На фона на продължаващото разпространение на COVID-19 и все още твърде ниския брой на лицата, завършили пълния ваксинационен цикъл срещу заболяването у нас, темата за допустимите предели на обработване на лични данни, свързани със здравния статус на работниците и служителите от техните работодатели, не спира да е на дневен ред. Очевидно е, че при настоящата политическа обстановка са невъзможни промени на законово ниво, тъй като няма действащ парламент. Това налага органите на изпълнителната власт да поемат отговорността за антикризисните мерки, дори когато те са непопулярни и срещат обществена съпротива. За съжаление в последните дни и седмици отново ставаме свидетели на противоречиви послания от институциите, неясни и понякога взаимоизключващи се административни актове, указания и практики, които – вместо да послужат като стимул за увеличаване на процента на ваксинираните – могат да имат и обратен на целения ефект.
I. Кратка „предистория“ на проблема
Досега сравнително единодушно в трудовоправната литература са възприемани следните принципни отговори на въпросите, възникващи във взаимоотношенията между работодателя и работниците и служителите по повод ваксинацията срещу COVID-19:
- Работодателят не може да принуждава работниците и служителите си да се ваксинират. За момента у нас, както и в повечето държави, поставянето на ваксина зависи изцяло от личния избор и преценката на лицата. Това важи и за работници и служители, за които опасността да се срещнат с коронавируса е най-голяма, като медицинския персонал.
- Разбира се, не е изключено това положение да се промени и в бъдеще да се въведат хипотези на задължителна ваксинация, както често се дискутира в публичното пространство. Добре е да се напомни също, че българското право урежда различни други ваксини, които са задължителни и са част от имунизационния ни календар. В този смисъл задължителното ваксиниране срещу COVID-19 не би било прецедент. Друг е въпросът доколко обществото е готово да го приеме.
- Отказът за ваксиниране не може да повлече и ангажирането на дисциплинарната отговорност на работника или служителя. Доколкото ваксинирането е доброволно, работодателят не може да предприема никакви мерки от санкционен характер за работници и служители, които откажат да се ваксинират. Единствено ако със закон или с административен акт в бъдеще се въведе задължителна ваксинация за всички или за отделни категории работници или служители, отказът им да изпълнят това задължение ще може да се квалифицира като нарушение на трудовата дисциплина, с всички произтичащи от това последици, в т.ч. възможност за налагане на дисциплинарни наказания.
- Работодателят не може да поставя и като условие за назначаване вече извършена ваксинация. Подобно условие би било проява на дискриминационно третиране по отношение на кандидатите за работа и основание за налагане на санкции от Комисията за защита от дискриминация (КЗД). Комисията вече взе отношение по темата в свое принципно становище, за което ще стане дума по-долу.
- Кандидатите за работа, както и вече назначените работници и служители, нямат задължение да отговарят на въпроси, касаещи ваксинация срещу COVID-19, и на въпроси дали са преболедували от заболяването. Такава информация може да се обработва от работодателя, единствено ако е предоставена доброволно. Позволявам си да изразя несъгласието си с този извод, особено в контекста на последната заповед на министъра на здравеопазването (вж. по-долу, т. IV).
- Работодателят може да организира и съдейства за ваксинирането на персонала. Няма пречка и практиката вече познава много случаи, в които работодатели организират ваксинирането на персонала, като съдействат за изготвянето на списъци с желаещите да се ваксинират, ангажирането на мобилен медицински екип и т.н.
II. Практиката на КЗЛД относно обработването на данни за здравния статус на служителите и по-конкретно, заболеваемостта с COVID-19
В качеството си на национален надзорен орган по спазване на законодателството за защита на личните данни, Комисията за защита на личните данни (КЗЛД) вече неколкократно е вземала отношение по въпроси, свързани с обработването на данни за здравния статус на лицата, и по-конкретно за заболяването коронавирус. Това е обяснимо, доколкото информацията, свързана със здравния статус, попада в категориите на т.нар. „чувствителни лични данни“ по смисъла на Закона за защита на личните данни и Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета на Европейския съюз (Общия регламент за защита на данните /ОРЗД/ или GDPR). Обработването на чувствителни лични данни в контекста на изпълнението на правата и задълженията на работодателя – администратор на данните по принцип е допустимо, но трябва да се прави със съзнанието за вредите, които могат да претърпят субектите на данните от нерегламентираното им разкриване, съответно да се вземат адекватни технически и организационни мерки за обезпечаване на тяхната сигурност.
Oще миналата година КЗЛД се произнесе със свои становища по въпросите за груповото тестване на служителите за COVID-19 (Становище Рег. № НПМД-17-151/2020 г.), както и за обработването на лични данни относно здравето и степен на информиране на служителите в случай на наличие на инфектиран с COVID-19 служител (Становище Рег. № НПМД-17-114/2020 г.). Тогава Комисията достигна до извода, че българското законодателство не задължава работодателите да тестват персонала за коронавирус. Работодателите имат само правната възможност да организират изследвания, но не и да ги извършват сами. Преди да пристъпят към такива действия, те следва да извършат предварителен анализ (т.нар. тест за балансиране), в резултат на който да се установи, че легитимните интереси на работодателя (опазване на здравето и работоспособността на целия персонал и продължаване на функционирането на дейността) имат преимущество пред правата и свободите на субектите на данните (идеята за ограничаване на намесата в личното пространство на работника или служителя). В такъв случай работодателят може да издаде заповед за задължително групово тестване за установяване на заразени или приносители на COVID-19 сред своите служители. Обработването на данни за здравето и данни от пробите, съдържащи генетичен материал на изследваните лица за COVID-19 чрез групови PCR-тестове, може да се извърши само от компетентните здравни власти, които са обвързани със задължението за професионална тайна и съобразно приложимото законодателство.
Във второто цитирано становище КЗЛД приема: (1) Няма правно основание за изискването на информация от служителите, които работят от вкъщи, относно тяхното здравословно състояние и това на членовете на семейството им. Работодателят може да въведе пропускателен режим на територията на предприятието, само когато конкретната трудова дейност налага това. Всички останали мерки свързани с издирването на контактните лица на заразения са в правомощията на здравните власти. (2) Работодателят може да предостави информация на колектива за наличието на заразен служител, без да предоставя данни за неговото идентифициране, и когато такъв е установен по безспорен начин на основание чл. 4, ал. 1 от ЗЗБУТ. Здравните власти следва да извършат действията по откриването на контактните лица и съответното им изследване.
Наскоро КЗЛД публикува ново свое становище, свързано с пандемията на коронавирус, което е и непосредственият повод да се върнем на въпроса за допустимостта на обработване на данни за ваксинационния статус. Разбира се, предмет на това становище е обработването на данни за ваксинационния статус изобщо, а не само в отношенията между страните по трудовия договор. В настоящото изложение обаче се фокусираме върху темата дали и доколко е допустимо работодателят да обработва такива данни за персонала на предприятието.
В Становище с Рег. № ПНМД-01-93/2021 г. от 06.10.2021 г.[1] членовете на КЗЛД посочват:
Регламентът за Цифровия COVID сертификат на ЕС се прилага пряко във всички държави членки, считано от 1 юли 2021 г. Целта му е да улесни и направи безопасно свободното движение на граждани в рамките на ЕС по време на пандемията от COVID-19. Сертификатът разполага с оперативно съвместим и машинночетим QR код, достъпен на хартиен или цифров носител. Чрез него се удостоверява, че дадено лице е: (а) ваксинирано срещу COVID-19; (б) получило отрицателен резултат от тест; или (в) преболедувало инфекцията.
Разпоредбата на чл. 10, пар. 1 във вр. със съобр. 48 от Регламента за Цифровия COVID сертификат на ЕС дефинира ясно, че Регламент (ЕС) 2016/679 (ОРЗД) се прилага за обработването на лични данни, извършвано при неговото изпълнение. Личните данни, съдържащи се в сертификатите, се обработват единствено с цел достъп до и проверка на информацията, съдържаща се в тях, за да се улесни упражняването на правото на свободно движение в Съюза по време на пандемията от COVID-19 и само в рамките на определения от регламента срок, като след това не следва да се извършва по-нататъшно обработване.
За всяка друга цел обаче, националното законодателство трябва изрично да предоставя правно основание за обработване на данните от сертификатите. В този смисъл ОРЗД е напълно приложим и по отношение на обработването на личните данни за всяка друга цел, различна от целта на Регламента за Цифровия COVID сертификат на ЕС.
Дали и как сертификатите попадат в обхвата на ОРЗД ще зависи от начина, по който администраторите възнамеряват да ги използват. В тази връзка могат да се очертаят следните хипотези:
1) Администраторът възнамерява да записва систематично сертификатите или информацията, която те съдържат, като част от регистър с лични данни;
2) Администраторът възнамерява да въведе цифрова проверка на сертификатите, включваща сканиране на техния QR код (със или без записване на данните, които съдържат);
3) Администраторът възнамерява да въведе ръчна проверка на сертификатите, включваща проверяване на отпечатани хартиени копия или ръчна проверка на цифровия сертификат (само чрез визуализиране на сертификата, без да се сканира QR кода и/или без да се записва/документира информацията, съдържаща се в него).
Хипотези (1) и (2) представляват дейности по обработване на лични данни, които попадат в материалния обхват на ОРЗД (чл. 2, пар. 1 ОРЗД) и в този смисъл трябва да отговарят на предвидените в него условия за законосъобразност.
Хипотеза (3) не попада в обхвата на ОРЗД, но въпреки това, изискването за споделяне на чувствителна медицинска информация представлява намеса в основното право на личен живот, което е защитено с чл. 7 от Хартата на основните права на ЕС (Хартата). Чрез подобна намеса могат да бъдат засегнати и други права на човека, освен неговата неприкосновеност, като напр. правото на недискриминация, правото на труд, правото на образование, права на детето и т.н. Следователно такава мярка трябва да бъде обект на условията за законосъобразност, необходимост и пропорционалност, предвидени в чл. 52, пар. 1 от Хартата и администраторът трябва да извърши внимателна преценка дали подобна намеса може да бъде законово оправдана.
Безспорно е, че сертификатите съдържат чувствителна здравна информация, която представлява специална категория данни и нейното обработване трябва да отговаря на по-завишения праг за законосъобразност, заложен в чл. 9 от ОРЗД.
Като мярка, предназначена да защити здравето и безопасността на персонала (работници/служители) чл. 9, пар. 2, б. „б” от ОРЗД[2] може да осигури подходящо основание за законосъобразно обработване на данните от цифровите сертификати. Приложими могат да бъдат и условията за законосъобразност по чл. 9, пар. 2, б. „ж”[3] или чл. 9, пар. 2, б. „и”[4] ОРЗД, ако националното законодателство налага по-широко използване на сертификатите.
Когато обработването на данни от сертификатите отговаря на изискванията за законосъобразност, необходимост и пропорционалност, трябва да бъдат приложени подходящи технически и организационни мерки за тяхната сигурност. Администраторът следва да прецени необходимостта от извършване на оценка на въздействието върху защитата на данните по чл. 35 от ОРЗД с цел установяване на рисковете и тяхното смекчаване на всички етапи от обработването. Когато сертификатите се използват като условие и средство за получаване на достъп до помещения, такава оценка ще е почти винаги необходима, тъй като касае мащабно обработване на специални категории лични данни.
Способите за защита на данните на етапите на „проектиране” и по „подразбиране” също трябва да бъдат отчетени от администратора, гарантирайки, че се обработват само минимален обем от данни и се използват технологии, щадящи поверителността. В тази връзка следва да се предвидят процедури за проверка, чрез които да се избягва записването и запазването на лични данни в съответствие с принципа за свеждане на данните до минимум и в изпълнение на Регламента за Цифровия COVID сертификат на ЕС, който има за цел децентрализирано проверяване на сертификатите без обработване на допълнителни данни за това.
В съответствие с принципа за прозрачност, субектите на данни (служители, посетители и др.) трябва да бъдат предварително информирани за наложените от администратора мерки при проверка на сертификатите, като напр. как ще се извършва тя, какви данни ще се обработват, кой ще има достъп до тях и към кой могат да се отправят искания или възражения свързани с обработването на тези данни.
Защитата на личните данни е само един от аспектите при въвеждането и прилагането на мерки за ограничаване на разпространението на епидемията. Към настоящия момент в редица държави от ЕС са извършени или са в процес на извършване законодателни промени, които да отговорят както на наложените безпрецедентни обществени отношения, така и на действащия правопорядък, гарантиращ основните права и свободи на гражданите. Тъй като темата надскача пределите на компетентност на един надзорен орган по защита на личните данни, считаме, че в стратегически план тя следва да бъде дискутирана във възможно най-широк кръг от други публични органи, граждани и организации. Подобен подход би спомогнал за приемането на необходимите правно обвързващи актове на национално равнище.
В Държавен вестник бр. 44 от 13.05.2020 г. беше обнародван Закон за изменение и допълнение на Закона за здравето, който урежда правните инструменти за ограничаване на разпространението на епидемията и преодоляване на последиците от нея, които се прилагат на територията на страната след отмяната на извънредното положение, т.е. след 13 май 2020 г. Регламентирани са както изцяло нови, различни по своя характер мерки, така и промени във вече въведените такива.
Законът дава право на Министерски съвет, по предложение на министъра на здравеопазването, да обявява извънредна епидемична обстановка на територията на страната при непосредствена опасност за живота и здравето на гражданите от разпространението на заразна болест, каквато е COVID-19. Уреждат се и условията, които следва да са изпълнени, за да бъде въведена такава обстановка. Във връзка с това, със свое Решение № 325 от 14.05.2020 г. Министерският съвет обяви извънредна епидемична обстановка на територията на страната, която продължава и към настоящия момент. Противоепидемичните мерки се въвеждат със заповед на министъра на здравеопазването или на друг компетентен орган (напр. директор на съответната РЗИ).
Наред с това, Законът за мерките и действията по време на извънредното положение, обявено с решение на народното събрание от 13 март 2020 г. и за преодоляване на последиците (загл. доп. – ДВ, бр. 44 от 2020 г., в сила от 14.05.2020 г.) предвижда, че министърът на здравеопазването освен по Закона за здравето може да въвежда и други временни мерки и ограничения, определени в закон.
Преди въвеждането на интрузивни мерки като тестове (антигенен/PCR) или обработване на данни за ваксинационния статус на лицата, администраторите могат да обмислят използването на агрегирани (обобщени) данни за здравето. Агрегираните данни, които не позволяват свързването на информация за здравето с отделни лица, могат да се считат за анонимни, т.е. не попадат в обхвата на ОРЗД. Примерите за такива обобщени здравни данни включват:
– Процент на служителите, които са ваксинирани срещу COVID-19 в рамките на определен период от време;
– Процент на служителите без ваксинация срещу COVID-19 или на тези с неизвестен ваксинационен статус.
Службите по трудова медицина, разполагащи с ваксинационния статус на лицата, могат да бъдат натоварени с изготвянето на такива обобщени данни. За да се гарантира обаче, че обобщените данни са анонимни, те винаги трябва да се отнасят до групи от индивиди, които са достатъчно големи, за да се изключи възможността за идентифициране на конкретно лице.
Поначало службата по трудова медицина може да не разполага с тази информация (или тя да е неточна или неактуална). В тези случаи, за да получат агрегирани данни, администраторите могат да насърчават персонала си да информира службата по трудова медицина за техния ваксинационен статус, при условие че това е доброволно и се извършва само от медицинско лице.
Администраторите могат да обмислят също така използването на анкети, от които да получат представа за процента на ваксинирани и неваксинирани служители. Тези анкети следва да бъдат доброволни и анонимни. В случай че се използва електронен инструмент за провеждането им, трябва да се гарантира, че той осигурява анонимност на участващите лица (дори ако такъв инструмент не събира имена или имейл адреси, той може да събира IP адреси). Поставянето на отворени въпроси в тези анкети трябва да се избягва, тъй като чрез отговорите им може да се идентифицира конкретно лице.
На равнище ЕС изискванията на Регламента за Цифровия COVID сертификат на ЕС изключват изначално приложимостта на съгласието по отношение на обработването на данните, съдържащи се в сертификатите. Както беше посочено по-горе, обработването на данните за други цели може да се извършва единствено, ако правното основание за това е установено в националното законодателство, т.е. то трябва да има характера на законово задължение. Съгласието, като основание, предвидено в правото на ЕС (ОРЗД), не може да бъде приложимо за обработване на лични данни от Цифровия COVID сертификат на ЕС. В съображение (48) от Регламент (ЕС) 2021/953 е предвидено изрично, че държавите членки могат да въведат в националното си законодателство възможност за обработване на данните за други цели, при условие че е предвидено ясно разписано правно основание за това, което съответства на правото на ЕС за защита на данните и с принципите на ефективност, необходимост и пропорционалност, и трябва да включва разпоредби, в които ясно се посочват обхватът и степента на обработването, конкретната цел, категориите субекти, които могат да проверяват сертификата, както и съответните гаранции за предотвратяване на дискриминация и злоупотреби, като се отчитат рисковете за правата и свободите на субектите на данни. Регламент (ЕС) 2021/953 забранява изрично съхраняването на данни от сертификата, когато обработването е за немедицински цели.
За пълнота на информацията следва да се има предвид, че Министерство на здравеопазването е разработило и пуснало за употреба приложение за проверка на Цифровия COVID сертификат на ЕС – т.нар. „Covid Check BG”.
Комисията за защита на личните данни изразява следното СТАНОВИЩЕ:
Към настоящия момент националното ни законодателство не регламентира разширеното използване на лични данни от Цифровия COVID сертификат на ЕС за цели, различни от улесняването на правото на свободно движение в Съюза по време на пандемията от COVID-19 и само в рамките на определения от Регламент (ЕС) 2021/953 срок.
Въпреки това и с оглед необходимостта от спазване на заповедите на министъра на здравеопазването, с които се въвеждат противоепидемични мерки, администраторите на лични данни могат да обработват агрегирани (обобщени) данни за ваксинационния статус на лицата, които да ги подпомогнат при извършване на оценката на риска при осигуряването на здравословни и безопасни условия на труд.
Единствената правна възможност за администраторите, извън посочената в параграф втори, да осигурят баланс при изпълнението, както на заповедите на министъра на здравеопазването, така и на законодателството за защита на личните данни, е да извършват проверка на Цифровия COVID сертификат на ЕС, без да съхраняват резултатите от нея. Тези действия могат да се извършат само при доброволно представяне на сертификата, а липсата на такова представяне не може да се използва за ограничаване на правата и свободите на физическите лица. (подчерт. мое – А.А.)
Прави впечатление, че КЗЛД подхожда по-„плахо“ към темата за обработването на данните за ваксинационния статус в сравнение с предходната си практика. Ще припомня част от анализа в цитираното по-горе Становище с Рег. № НПМД-17-151/2020 г.: „… Тъй като към момента на вземането на решение за тестване, работодателят не обработва данни за здравето или друг вид специални категории данни, може да се направи обосновано предположение, че воден от своите легитимни интереси да планира и да осигурява непрекъснатост на трудовия процес, работодателят предприема мерки за запазването на здравето на своите служители в условията на здравна криза, като осигурява тяхното тестване. В този смисъл, може да се търси приложение на хипотезата на чл. 6, пар. 1, б. „е“ от Регламент (ЕС) 2016/679 – обработването е необходимо за целите на легитимните интереси на администратора …, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни. Когато се позовава на това основание за обработване на лични данни, администраторът (в случая работодателят) следва да извърши тест за балансиране, за да прецени доколко интересите му биха имали преимущество пред правата и свободите на субектите на данни – негови служители. С оглед специфичния характер на ситуацията, в която се намираме, при извършването на теста за балансиране следва да се отчетат и рисковете, произтичащи от икономическата дейност, възможността за по-голямо взривно разпространение на заразата, ако не се приложат планираните мерки и т.н.
Само след като тестът за балансиране установи, че преимущество имат легитимните интереси на работодателя, същият би могъл да пристъпи към издаване на акт, с който да задължи служителите си да се подложат на PCR-тест за COVID-19. …
Обработването на данни за здравето (дали едно лице е заразено или не, изследване на генетичния материал, съдържащ се във взетите проби и т.н.) се извършва от лицензирани лаборатории, които при наличие на положителна проба, макар и при групово изследване, имат протоколи за откриване на заразеното лице и уведомяване на властите за последващи мерки. В този смисъл не може да се разчита на съгласието за последващо изследване, поради високия риск от разпространението на болестта. За съответните лаборатории, както и за здравните власти, като администратори на лични данни, се прилагат подходящите основанията на чл. 9, пар. 2 от Регламент (ЕС) 2016/679, включително обществения интерес, който е присъщ обикновено на публичните органи.“
Не ми изглежда особено последователна позицията първо да се разрешава на работодателите да въвеждат задължително тестване на персонала за COVID-19 (разбира се, при определени предпоставки и с ясно очертани ограничения), но впоследствие да им се забранява изискването на COVID сертификати, освен ако същите не са представени доброволно.
III. По темата взе отношение и Комисията за защита от дискриминация
Както беше посочено, и КЗД предложи собствен правен анализ в дискусията около ваксинациите, което публикува на 22.10.2021 г. на Интернет-страницата си.[5] Комисията дава определени „препоръки“, но всъщност ясно декларира и готовността си да разгледа всяко конкретно оплакване за нарушение на антидискриминационното законодателство, с което е сезирана.
Ето някои от по-важните моменти в публикуваното принципно становище:
Създалата се ситуация в страната поставя предизвикателства, както пред гражданите, така и пред институциите. Налагането на мерки от министъра на здравеопазването, отразени в Заповед РД-01-856/ 19.10.2021 г., поставят ограничения, които несъмнено целят запазване на живота и здравето на гражданите на територията на Република България.
Защитата на общественото здраве като национална кауза всъщност е детерминирана от предприетите мерки на държавата за индивидуалната защита на живота и здравето на всеки гражданин. Правото на живот е основно и неотменимо право, като е допустимо в някой случаи защитата му да изисква ограничаването на други права. Това обстоятелство обаче не променя изискването, че мерките следва да бъдат единствено необходимите за ограничаване или предотвратяване на нежеланите ефекти.
Безспорна е необходимостта от приемане на адекватни мерки при наличие на заплаха, застрашаваща живота и здравето на гражданите, като тези мерки следва да са пропорционални с оглед преследваната цел. Принципът на пропорционалност и съпътстващите го мерки трябва да намерят своето приложение към отделните групи лица, ползващи се с конкретни, характерни за групата специфични нужди (напр.: противопоказания за ваксиниране, установено преболедуване по друг от приетия със заповедта метод, наличие на антитела без регистрирано заболяване на лицето, лицето да в процес на ваксинационен курс и др.).
КЗД подчертава, че за да се избегне дискриминация на тези, които не са ваксинирани, и поради посочените по-горе причини, държавата в лицето на компетентните органи следва да гарантира универсални, достъпни, навременни и щадящи мерки, които да не предизвикват особена тежест за гражданите както от финансово или социално, така и от времево или друго естество, различно от обикновените ограничения, които гражданите търпят в ежедневието си при създадената обстановка.
Непропорционалното и нееднакво третиране на всички лица, независимо от здравния, имунизационния или какъвто и да било друг статус, чрез въвеждане на изискването за наличие на „зелен сертификат“, следва да бъде съобразено с принципа на пропорционалност, като мерките бъдат навременни, обществено необходими и социално оправдани.
… непритежаването на сертификат за преболедуване или притежаването на сертификат за ваксинация, в който се посочва ваксина срещу COVID-19, не следва да е предварително условие за ограничаване повече от необходимото на достъпа до услуги, свободното движение, упражняване правото на труд и други права, защитени от закон. (подчерт. мое -А.А.)
Комисията за защита от дискриминация (КЗД):
Обръща внимание и препоръчва да се спазват антидискриминационното законодателство и принципа на равно третиране.
При упражняване на правомощията си министърът на здравеопазването следва да спазва изискването, че издаването на сертификати не следва да води до дискриминация, основана на притежаването на конкретна категория сертификат, какъвто е и смисъла на Регламент (ЕС) 2021/953 на Европейския парламент и на Съвета от 14 юни 2021 г.
Еднаквото третиране на различните случаи би могло да представлява нарушение на принципа на равното третиране.
КЗД препоръчва на министъра на здравеопазването да преразгледа и прецизира заповедта си максимално, с цел обхващане на всички или почти всички групи граждани или ситуации.
Комисията обръща внимание на работодателите от сферите, извън посочените в заповедта, да не ограничават правото на труд чрез въвеждане на мерки, които не са обективно оправдани и надвишават необходимото за постигане на целта.
IV. Предизвикателства пред работодателите по прилагането на Заповед № РД-01-856/19.10.2021 г. на министъра на здравеопазването
На фона на всичко, казано дотук, едва ли е нужно специално да се обоснова, че пред работодателите възникват неочаквани предизвикателства. Широко дискутираната в последните дни Заповед № РД-01-856/19.10.2021 г. на министъра на здравеопазването[6] (цитирана и в становището на КЗД), предвижда, че считано от 21.10.2021 г. се преустановяват различни дейности, например посещенията в търговски обекти тип МОЛ, магазини с търговска площ над 300 кв.м. и пр. Въведените противоепидемични мерки могат обаче да не се прилагат, ако 100 % от персонала са ваксинирани или преболедували, съответно разполагат с отрицателен резултат от тест, и се контролира посетителите да отговарят на същите условия (т. 31 от Заповедта).
Тук идва и деликатният от гледна точка на трудовото право и защитата на личните данни въпрос: на какво основание работодателите могат да обработват информацията за ваксинационния статус на служителите си?
Очевидно, работодателят може или да преустанови дейността си (ако тя, разбира се, попада в дейностите, изброени в цитираната заповед на министъра на здравеопазването), или да я продължи, ако разполага с персонал, който отговаря на изискванията на т. 31 от Заповедта. Прилагайки указанията на КЗЛД, че проверката на сертификатите на служителите „може да се извършва само при доброволно представяне на сертификата, а липсата на такова представяне не може да се използва за ограничаване на правата и свободите на физическите лица“, работодателят на практика изпада в безизходица. Напълно е възможно и реалистично и служители, които разполагат със сертификат, да откажат да го представят, за да не полагат труд, а да получават трудово възнаграждение. (Вероятно подобни претенции ще бъдат мотивирани със специалното правило на чл. 267а КТ, което беше прието миналата година като специфична антикризисна мярка на трудовото законодателство: „За времето на преустановяване на работата в случаите по чл. 120в /т.е. при преустановяване на работата при обявено извънредно положение или обявена извънредна епидемична обстановка/ работникът или служителят има право на брутното си трудово възнаграждение.“)
Позволявам си тук да изразя личното си становище, че времето, през което работодателят продължава да осъществява дейността си, но не може да допусне до работа работник или служител, който не е ваксиниран/преболедувал/с отрицателен тест или откаже да представи съответен удостоверителен документ, следва да се оформи като престой по причини у служителя, съответно за това време на въпросния служител да не се изплаща трудово възнаграждение. Обратното решение противоречи на логиката на нововъведените правила и стимулира недобросъвестното поведение на някои работници и служители за сметка на тези, които ще продължат да изпълняват трудовите си задължения.
Както Комисията за защита на личните данни, така и Комисията за защита от дискриминация, са особено внимателни в становищата си, така че те да отговарят на очакванията на преобладаващата част от обществото, и същевременно да не вземат категорична политическа позиция по един отчетливо политизиран дебат. Това е обяснимо, но – струва ми се – и не особено продуктивно, защото посява семената за бъдещи спорове. Като „окуражават“ гражданите (и в частност – работниците и служителите) да защитават личната си неприкосновеност и да не разкриват данни за ваксинационния си статус, на практика цитираните по-горе становища игнорират баланса в интересите на страните по трудовото правоотношение. Неясно как „непритежаването на сертификат … не следва да е предварително условие за ограничаване повече от необходимото на упражняване правото на труд“, щом към работниците и служителите в засегнатите от заповедта на министъра на здравеопазването обекти се поставя изискването да имат сертификат (и, разбира се, да го представят на работодателя си). Несигурността на работодателите относно допустимите предели в обработването на данните води и до опасения от евентуални бъдещи проверки и налагане на санкции.
Изобщо, крайно наложително е работодателските правомощия в обработването на данни за ваксинационния статус на персонала да се уредят на законодателно ниво, когато това стане възможно, а не да се извеждат по тълкувателен път. Правната несигурност е последното, от което имаме нужда в и без това твърде несигурната във всяко друго отношение обстановка. А спорове тепърва ще възникват и трудно може да се предвиди в каква посока ще се ориентира съдебната и административна практика.
доц. д-р Андрей АЛЕКСАНДРОВ, ИДП при БАН
______
[1] Текстът на становището е възпроизведен със съкращения, а пълният текст може да се открие на адрес: https://www.cpdp.bg/?p=element_view&aid=2287
[2] Обработването е необходимо за целите на изпълнението на задълженията и упражняването на специалните права на администратора или на субекта на данните по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила, дотолкова, доколкото това е разрешено от правото на Съюза или правото на държава членка, или съгласно колективна договореност в съответствие с правото на държава членка, в което се предвиждат подходящи гаранции за основните права и интересите на субекта на данните.
[3] Обработването е необходимо по причини от важен обществен интерес на основание правото на Съюза или правото на държава членка, което е пропорционално на преследваната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните.
[4] Обработването е необходимо от съображения от обществен интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия, въз основа на правото на Съюза или правото на държава членка, в което са предвидени подходящи и конкретни мерки за гарантиране на правата и свободите на субекта на данните, по-специално опазването на професионална тайна.
[5] Пълният текст е достъпен на адрес: https://www.kzd-nondiscrimination.com/layout/
[6] Допълнена със Заповед № РД-01-861/21.10.2021 г. – вж. и двете на адрес: https://www.mh.government.bg/bg/normativni-aktove/zapovedi-pravilnitsi-instruktsii/
