Законосъобразност и добросъвестност са изискванията при обработката на личните данни
Във връзка със зачестилите запитвания на пациенти, кога и къде трябва да предоставят личните си данни, след влизането в сила на Регламентът на Европейския съюз за защита на личните данни, ви предлагане разяснението на Комисията за защита на личните данни.
Събирането и обработката на лични данни трябва да бъде законосъобразно и добросъвестно, съобразено с някое от изрично изброените в Общия регламент относно защитата на данните (GDPR), правни основания. Наличието, на което да е от тях прави обработването на данните законосъобразно, стига, разбира се, да са спазени и другите изисквания на Регламента.
Когато събирането на определен обем лични данни от лицето се явява задължение по закон за администратора, например по силата на Закона за здравето, Закона за здравното осигуряване, Закона за счетоводството и т.н., тогава той не само няма потребност, но и няма право да иска допълнително съгласие от лицето, както и за изпълнението на задача от обществен интерес или е налице друго правно основание, по чл. 6 от Регламента.
Яо се отнася до т.н. чувствителните лични данни, Регламентът гласи, че обработването на данни за здравословното състояние или други специални категории данни, които се ползват с повишена защита, е законосъобразно, ако се извършва за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение, за целите на управлението на услугите и системите за здравеопазване или социални грижи или необходимо от съображения от обществен интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето, т.е. ако е необходимо за някоя от изброените в чл. 9 на Регламента цели, съответното болнично заведение, лаборатория или аптека няма нито задължение, нито право да иска допълнително изрично съгласие на лицето (пациента).
Преди да поискат от лицето лични данни, администраторите следва внимателно да преценят: 1. дали не е налице друго основание за обработването на данните, като например законово задължение по чл. 6 или специална цел по чл. 9 от Регламента; 2. дали са в състояние да гарантират и да докажат, че съгласието е свободно дадено, конкретно, информирано и недвусмислено; 3. дали са осигурили на лицето реална възможност да оттегли съгласието си по всяко време, съответно какви биха били последствията за съответната дейност от оттеглянето на съгласието.
Второто изискване към администраторите на лични данни е добросъвестността, т.е. действията с личните данни да отговарят на нормалните и легитимни очаквания на лицето. Например, ако лицето ползва здравна услуга или закупува лекарства, финансирани от Здравната каса, то има легитимни очаквания данните му да бъдат обработени от лечебното заведение или аптеката само за тази цел, както и да бъдат предадени на НЗОК.
Ясно е, че използването на данни за маркетинг и реклама следва да се основава на единствено със съгласието на лицето.
Администраторът няма право да обвърже изпълнението на даден договор, включително предоставянето на дадена услуга, с получаването на съгласие за обработване на лични данни, което не е необходимо за изпълнението на договора, като например получаване на рекламни съобщения. В тези случаи съгласието на лицето няма да е свободно дадено, тъй като субектът на данни няма истински свободен избор и не е в състояние да откаже или да оттегли съгласието си, без това да доведе до вредни последици за него. В контекста на здравната сфера това би означавало, че болницата ще откаже лечение или аптеката лекарство, ако лицето не се съгласи да получава рекламни съобщения от тях. Подобно поведение се явява пряко нарушение на Общия регламент, което може да бъде санкционирано с глоба или имуществена санкция.
Повече информация можете да получите тук:
https://www.cpdp.bg/userfiles/file/Documents_2018/10_Steps_GDPR.p