В связи с объявленной в Латвии чрезвычайной ситуацией в целях ограничения распространения коронавирусной инфекции COVID-19 предприятия, а также государственные и муниципальные учреждения приняли меры для защиты работников, клиентов и других лиц от вероятной угрозы их здоровью, чтобы в то же время продолжать работу в возможном объеме, учитывая установленный режим чрезвычайной ситуации. С учетом новых обстоятельств дополнительно осуществляется сбор и обработка нового вида информации о физических лицах: например, наблюдаются ли у них симптомы коронавирусной инфекции, контактировал ли человек с возможно инфицированным, включая любые связанные с COVID-19 проверки и их результаты, а также другую информацию, связанную с местами, которые человек посещал.
Указанные сведения, собираемые предприятиями, являются персональными данными, в том числе персональными данными особых категорий, о физических лицах, поддающихся идентификации, и к обработке таких данных предъявляются строгие требования согласно Общему регламенту о защите данных (ОРЗД). В настоящей статье – о важнейших вопросах, которые предприятиям необходимо учитывать в ходе обработки данных физических лиц в связи с выявлением и ограничением распространения COVID-19.
В первую очередь необходимо учитывать, что информация, полученная от физических лиц в связи с COVID-19, большей частью считается персональными данными особых категорий, поскольку согласно части первой статьи 9 ОРЗД сведения о здоровье физического лица признаются персональными данными особых категорий.
Учитывая ситуацию, сложившуюся сейчас в Латвии и в мире, в целях ограничения и уничтожения COVID-19 предприятиям разрешается обрабатывать вышеупомянутые персональные данные, однако при этом необходимо обеспечить предусмотренное в ОРЗД оповещение субъектов данных (физических лиц), поскольку сейчас, с учетом особых обстоятельств в связи с COVID-19, предприятие может собирать информацию, которую раньше не получало и которая непосредственно не связана с обеспечением деятельности предприятия, однако текущим основанием для получения такой информации от физических лиц является COVID-19. К примеру, предприятие может дополнительно собирать информацию о том, является ли работник постоянно изолированным, сведения о температуре тела работников и посетителей помещений, а также другие сведения, если предприятие может обосновать, что данные сведения относятся к ограничению распространения COVID-19, защите и обеспечению жизни и здоровья других физических лиц.
К обработке персональных данных, в особенности данных особых категорий, предъявляются строгие требования, предусмотренные в ОРЗД и национальных нормативных актах, и предприятие в качестве администратора обработки персональных данных во время получения информации о физических лицах несет полную ответственность за законность ее обработки согласно требованиям ОРЗД.
Во-вторых, предприятия должны понимать и четко определить, какие персональные данные и персональные данные особых категорий они получают от физических лиц согласно целям, поставленным предприятиями и в общем определенным в стране в связи с ограничением распространения COVID-19. В противном случае существует вероятность, что предприятие получает слишком много персональных данных, что может быть незаконно и в нынешних условиях. В ОРЗД недвусмысленно указано, что разрешается собирать лишь такое количество информации о физическом лице, которое абсолютно необходимо для достижения поставленных целей.
Перед началом сбора любых данных от физических лиц предприятие должно иметь ясную цель и понимание относительно того, какие персональные данные и персональные данные особых категорий необходимы для достижения определенной цели, в основе которой лежит ограничение распространения COVID-19.
К примеру, если предприятие принимает решение, что работник должен находиться на домашней изоляции, может оказаться достаточным задать вопрос, есть ли у данного работника или кого-либо из его домочадцев симптомы COVID-19 (вместо запроса подробной и специфической информации).
Придерживаясь такого подхода, предприятие выполнит предусмотренный в ОРЗД принцип минимизации данных, а также предотвратит хранение излишней информации о работниках, рискуя существенно нарушить ОРЗД. В то же время предприятие должно обеспечить, чтобы информация, полученная о физических лицах в период ограничения распространения COVID-19, хранилась лишь до тех пор, пока существует цель обработки персональных данных.
В-третьих, предприятию необходимо соответствующее юридическое основание для обработки персональных данных, полученных в связи с COVID-19. Согласно ОРЗД, чтобы обеспечить себе юридическое основание для обработки персональных данных в контексте COVID-19, предприятие может полагаться на следующие правомерные основания для обработки данных:
Однако, несмотря на возможное наличие у предприятия юридического (законного) основания обрабатывать вышеуказанные персональные данные, на него распространяются предусмотренные в ОРЗД обязанности предприятия в качестве администратора, к примеру, обязанность информировать и осуществление соответствующих технических и организационных мероприятий, которые не отменяются и в момент, когда мире происходит борьба с распространением COVID-19. Даже если в настоящий момент надзорное учреждение «закрывает глаза» на возможные нарушения в ходе обработки данных, предприятию необходимо считаться с тем, что, если Государственная инспекция данных обнаружит, что обработка данных была незаконной или в ходе обработки данных не соблюдались предусмотренные в ОРЗД требования, она наложит штраф даже через какое-то время после совершения или обнаружения нарушения, ввиду чего предприятию не стоит полагаться на то, что возможные нарушения защиты данных во время чрезвычайной ситуации, если такие будут обнаружены, останутся безнаказанными.
Несомненно, сейчас предприятия заняты другими проблемами и осуществляемые процессы обработки персональных данных могут быть последним поводом для беспокойства, но все же, чтобы предприятиям после преодоления кризиса COVID-19 не пришлось столкнуться с новыми проблемами, уже сейчас, используя имеющихся работников, можно предпринять некоторые действия, чтобы обеспечить законность обработки персональных данных, осуществляемой с целью ограничить распространение COVID-19 и бороться с вызванными им последствиями.
Предприятиям рекомендуется и в это время по необходимости пересматривать и обновлять уведомления о конфиденциальности. Пересмотр имеющихся уведомлений о конфиденциальности важен, чтобы удостовериться в том, что они содержат необходимую информацию о полученных данных и целях обработки предприятием конкретных данных. Если предприятие получает от физических лиц новые категории персональных данных или персональные данные особых категорий и использует их в новых целях, может потребоваться обновление уведомлений о конфиденциальности, чтобы отразить изменения в процессе получения данных от физических лиц.
С точки зрения обеспечения защиты данных предприятиям также стоит рассмотреть ряд других вопросов, в том числе о разглашении случаев заболевания COVID-19 другим работникам предприятия. В рамках обязанности предприятия обеспечивать здоровье и безопасность работников работодатели могут, соблюдая требования применимого законодательства, информировать работников о случаях заболевания COVID-19. Разглашение такой информации следует по возможности ограничивать. В случае необходимости разгласить имя работника, у которого, к примеру, обнаружено заболевание COVID-19 (и это иным путем разрешено применимыми нормативно-правовыми актами), чтобы другие работники могли принять соответствующие защитные меры, работника, чьи данные планируется предать гласности, вначале необходимо уведомить о разглашении его данных, одновременно предотвращая чрезмерное разглашение данных и разглашение лицам, которые не должны получать такие сведения.
Если предприятие получает запрос субъекта данных, однако с учетом нынешней ситуации все усилия и внимание предприятия сосредоточены на устранении последствий вспышки COVID-19, то и в этом случае необходимо позаботиться о соблюдении сроков предоставления ответа на запрос субъекта данных. Если предприятие опасается, что не сможет соблюсти предусмотренные в ОРЗД сроки, следует как можно скорее сообщить об этом субъекту данных, указав, что ответ на запрос будет подготовлен по возможности быстрее, однако с учетом обстоятельств он не будет предоставлен в установленный срок.
Предприятию рекомендуется рассмотреть возможность провести оценку влияния на защиту данных, поскольку в статье 35 ОРЗД это считается обязательным действием в случае обработки конкретных данных. Согласно ОРЗД, предприятию необходимо провести оценку влияния, если обработка может подвергнуть права и свободы лиц значительному риску. Оценка влияния предназначена для того, чтобы помочь предприятию осознать риски, связанные с конкретными действиями по обработке данных, и меры, которые оно может принять, чтобы ограничить такие риски. Кроме того, оценка влияния поможет информировать об изменениях, которые может потребоваться внести в другой документ соответствия, связанный с защитой данных на предприятии (например, уведомления о конфиденциальности и регистр действий по обработке).
С учетом нынешней ситуации предприятиям особенно важно тщательно следить за безопасностью систем и киберугрозами. И персональные данные, и персональные данные особых категорий следует надлежащим образом защищать, в особенности обрабатываемые медицинские данные, и меры безопасности для защиты таких данных должны применяться строже. Кроме того, предприятия должны удостовериться в том, что они продолжают соблюдать сроки оповещения надзорных учреждений (а также частных лиц в случае необходимости) о нарушениях в области защиты персональных данных, если с учетом тяжести нарушения в ОРЗД предусматривается обязанность информирования.
В то же время мы советуем оценить необходимость заключить с вовлеченными третьими сторонами (например, поставщиками ИТ-услуг или медицинских услуг) договоры об обработке данных.
То, что сейчас предприятиям сложно соблюдать все необходимые стандарты защиты данных, поскольку ресурсы направлены на ограничение распространения COVID-19, понимают и надзорные учреждения; некоторые из них отметили, что к предприятиям, неспособным в настоящий момент обеспечить выполнение своих обязательств, не следует применять санкции. Это, конечно, приветствуется, но все же такая кажущаяся гибкость должна интерпретироваться очень узко. Предприятия по-прежнему должны соблюдать рекомендации, изданные в связи с выполнением требований по защите данных, а также указания национальных учреждений по надзору за защитой данных в тех странах, где осуществляют свою деятельность.
Если у Вас возникли какие либо комментарии к этой статье, просим отправить здесь lv_mindlink@pwc.com
Ваш вопросМы используем cookie-файлы для персонализации контента, улучшения пользовательского опыта и сбора статистики.
Нажимая «Принять все cookie-файлы», вы соглашаетесь на использование всех типов cookie-файлов. Если вы хотите выбрать, каких cookie-файлов мы можем использовать, выберите соответствующих.
Чтобы получить дополнительную информацию, вы можете ознакомиться с нашей «Политикой использования cookie-файлов».
Эти cookie-файлы обеспечивают работу веб-сайта, и отключить их нельзя. Обычно они применяются в ответ на производимые вами действия, т.е. на ваши запросы, например, установить настройки конфиденциальности или заполнить какие-либо формы и служат для того, чтобы сделать использование вами веб-сайта более удобным для вас. Вы можетe настроить свой браузер таким образом, чтобы он блокировал эти cookie-файлы или оповещал вас о них, но в этом случае некоторые компоненты сайта перестанут работать. Эти cookie-файлы не хранят данные, идентифицирующие личность.
Эти cookie-файлы помогают нам вести подсчет статистики количества посетителей и исследовать источники трафика, чтобы мы могли оценивать и повышать эффективность и удобство работы нашего сайта для вас. Они позволяют нам узнать, какие страницы являются самыми популярными или пользуются наименьшим интересом пользователей, каким образом посетители перемещаются по сайту. Вся информация, собираемая этими cookie-файлами, обобщается и, соответственно, является анонимной. Если вы запретите использовать эти cookie-файлы, мы не сможем отслеживать посещаемость сайта и не сможем регулировать его работу.
В целях продвижения своих услуг, сбора статистики и проведения исследований, PwC и MindLink.lv может размещать на других сайтах рекламу, которая будет видна вам. Cookie-файлы используются для того, чтобы сделать предложения ориентированными на вас и ваши интересы. Кроме того, они нужны для предотвращения частого появления одной и той же рекламы. Эти рекламные обращения предназначены исключительно для того, чтобы ознакомить вас с потенциально интересными для вас предложениями. PwC не продает ваши данные третьим лицам.