СТАНОВИЩЕ НА КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ ОТНОСНО ОБРАБОТВАНЕ НА ДАННИ ЗА ВАКСИНАЦИОННИЯ СТАТУС НА ЛИЦАТА
OPINION OF THE COMMISSION FOR THE PROTECTION OF PERSONAL DATA CONCERNING THE PROCESSING OF VACCINATION STATUS DATA

 

В отговор на множество запитвания на граждани и организации, сред които и запитване от  Адвокатско дружество „Динова Русев и Съдружници“ на 5 октомври 2021 г. Комисията за защита на личните данни („КЗЛД“) излезе със свое Становище рег. № ПНМД-01-93/2021 г. относно обработването на данни за ваксинационен статус във връзка с мерките за ограничаване на COVID епидемията.

In response to numerous inquiries from citizens and organizations, including one from Dinova Rusev § Partners Law Office on October 5, 2021 the Bulgarian data protection authority – the Commission for Personal Data Protection (“CPDP”) issued Opinion Reg. No. PNMD-01-93/2021 on processing of vaccination status data in relation to the measures for control of the COVID pandemic.

NEWSLETTER
www.drp-legal.com

Предлагаме на Вашето внимание основните моменти от становището:

We bring to your attention the main points of the opinion:

  • КЗЛД приема, че данни за ваксинационния статус на лицата могат да се обработват единствено чрез данните, съдържащи се в цифровия COVID сертификат на ЕС.
  • The CPDP states that data on the vaccination status of individuals can only be processed through the data in the EU digital COVID certificate.
  • Според Регламента на ЕС, уреждащ сертификатите, целта за обработване на данни от този сертификат е да се улесни свободното движение в Съюза по време на пандемията от COVID-19 в сроковете, предвидени в европейското законодателство.
  • As per the EU Regulation on Digital COVID Certificates, the purpose of processing data from these certificates is just to facilitate the free movement within the Union during the COVID-19 pandemic and within the timeframes provided for in the European legislation.
  • За всяка друга цел, според общите правила за защита на личните данни, следва да се търси и защити друго правно основание за обработване на данните от COVID сертификатите на ЕС в европейското или националното ни законодателство.
  • As per the general rules for personal data protection for any different purposes another legal basis for processing data from the EU COVID certificates should be used and sustained based on the European or national legislation.

Дали и как сертификатите попадат в обхвата на Общия регламент относно защита на личните данни („ОРЗЛД“) зависи от начина, по който администраторите ги използват – така например при запис и съхранение на данните от сертификата или самия сертификат (вкл. чрез сканиране на QR код) е налице обработване на специални категории данни (чувствителна здравна информация) по ОРЗЛД и следва да се осигури неговата законосъобразност. Обратното – при използване на анонимизирана обобщена информация обработване може да се счете, че не е налице обработване на лични данни.

Whether and how the certificates fall within the scope of the General Data Protection Regulation (GDPR) depends on the way the processors are using them – e.g. recording and storing data from the certificate or the certificate itself (including by scanning QR code) is processing of special categories data (sensitive health information) under the GDPR and its lawfulness should be ensured. On the contrary – using anonymized information is to be considered as no processing of personal data.

На база горното КЗЛД заключва , че:

Based on the above, the CPDP concludes that:

  • Към настоящия момент българското законодателство не регламентира разширеното използване на лични данни от цифровия COVID сертификат на ЕС за цели, различни от улесняването на правото на свободно движение в Съюза по време на пандемията от COVID-19 и само в рамките на определения от Регламента относно цифровия COVID сертификат на ЕС срок.
  • Currently Bulgarian legislation does not regulate the extended use of personal data from the EU digital COVID certificate for purposes other than facilitating the right to free movement in the Union during the COVID-19 pandemic and only within the framework defined by Regulation on the Digital EU COVID Certificate.
  • Съгласието, като основание, предвидено в правото на ЕС (ОРЗЛД), не може да бъде приложимо за обработване на лични данни от Цифровия COVID сертификат на ЕС.
  • The consent as a legal ground provided for in EU law (GDPR) cannot be applied to the processing of personal data from the EU Digital COVID certificate.
  • Въпреки това и с оглед необходимостта от спазване на заповедите на министъра на здравеопазването, с които се въвеждат противоепидемични мерки, администраторите на лични данни (бел. авт.: например работодателите) могат да използват агрегирани (обобщени или анонимизирани) данни за ваксинационен статус. Подобно обобщаване на информация трябва да се извърши от службата по трудова медицина на работодателя-администратор, доколкото единствено тя би имала правно основание да борави с тези данни.
  • However, and in view of the need to comply with the orders of the Minister of Health, introducing anti-epidemic measures, personal data controllers (g. employers) may use aggregated (summarized or anonymized) data on vaccination status. Such aggregation of information should be performed by the occupational health service provider of the employer-controller as far as only it has a legal basis to process such data.

Като практическо решение КЗЛД посочва, че за да получат агрегирани данни, администраторите могат да насърчават персонала си да информира службата по трудова медицина за техния ваксинационен статус, при условие че това е доброволно и се извършва само от медицинско лице.

As a practical solution the CPDP suggests that for obtaining aggregated data, controllers may encourage their staff to inform the occupational health service provider of their vaccination status, provided that this is voluntary act and the data is processed only by a medical professional.

Алтернативен подход за събиране на анонимни обобщени данни е чрез доброволни анонимни анкети, попълнени от служителите.

An alternative approach to collect anonymous aggregated data is through voluntary anonymous surveys completed by the employees.

Също администраторът може да извърши проверка на цифровия COVID сертификат на ЕС, предоставен доброволно от титуляря, без да съхранява резултатите от тази проверка или копие или данни от сертификата по какъвто и да е начин. Тези действия според КЗЛД не представляват обработване на лични данни, но биха могли да нарушат други лични права на лицата, което следва да се преценява за всеки случай поотделно.

Another approach is the controller to check the EU digital COVID certificate provided voluntarily by the holder but without storing the results of this check or a copy or other data from the certificate in any way. According to the CPDP, these actions do not constitute processing of personal data but could violate other personal rights of individuals, which should be assessed on a case-by-case basis.

В случай че имате нужда от съдействие при прилагане на правилата за защита на личните данни и/или структуриране на трудовоправните си отношения в условията на извънредната епидемиологична обстановка, ние сме на Ваше разположение:

Vesela.Kabatliyska@drp-legal.com

Bilyana.Ruseva@drp-legal.com

In case you need any assistance for compliance with the data protection rules and/or structure of the employment relations in the conditions of the emergency epidemic situation, you may contact us at:

Vesela.Kabatliyska@drp-legal.com

Bilyana.Ruseva@drp-legal.com

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.