На 19 март 2020 г. Европейският комисия по защита на данните (ЕКЗД) прие изявление относно обработката на лични данни в контекста на огнището на Covid-19. Изявлението се отнася до обработката на различни видове лични данни от правителства, публични и частни организации в цяла Европа по време на техните усилия за ограничаване и ограничаване на Covid-19.
ЕКЗД заяви, че правилата на GDPR не представляват пречка за предприетите мерки за предотвратяване и борба с пандемията Covid-19, но подчертават, че дори при тези изключителни обстоятелства личните данни на субектите трябва да бъдат защитени. Мерките, предприети срещу Covid-19, трябва да гарантират законното обработване на личните данни и да зачитат общите принципи на закона и не трябва да бъдат необратими.
GDPR позволява на компетентните органи в областта на общественото здравеопазване и работодателите да обработват лични данни в контекста на епидемията, в съответствие с националното законодателство, ЕКЗД даде за пример следната ситуация: „когато обработката е необходима по причини от съществен обществен интерес в областта на обществеността здравеопазването, при тези обстоятелства не е необходимо да се разчита на съгласието на хората. “
ЕКЗД счита, че членове 6 и 9 от GDPR дават възможност за обработка на лични данни (включително специални категории), когато попадат в законния мандат на публичния орган, предвиден от националното законодателство и условията на GDPR. Нарушаването на забраната за обработване на специални категории лични данни, като например здравни данни, са предвидени от GDPR, когато това е необходимо поради причини от съществен обществен интерес в областта на общественото здраве (член 9, параграф 2, i)) въз основа на законодателството на Съюза или националното законодателство или когато е необходимо да се защитят жизнените интереси на субекта на данните (член 9, параграф 2, буква в), посочени изрично за контрола на епидемия.
- По отношение на трудовите отношения ЕКЗД посочва, че обработката на лични данни може да е необходима за спазване на правно задължение, на което работодателят е подчинен, като задължения, свързани със здравето и безопасността на работното място, или от обществен интерес, като например контрол на болести и други заплахи за здравето.
В такъв случай работодателите трябва да информират персонала за случаите на Covid-19 и да предприемат защитни мерки и да съобщят само необходимата информация. Въпреки че, в случаите, когато е необходимо да се разкрие името на служителя (служителите), които са се свързали с вируса, но само за превантивен контекст и ако националното законодателство го позволява, съответният (ите) служител (и) се информира предварително и достойнството и почтеността се защитават.
Относно обработката на телекомуникационни данни, като например данни за местоположение, може да се използва от оператора само когато е направена анонимнo или със съгласието на участващите. Държавите-членки могат да приемат изключителни мерки по отношение на този вид лични данни, само ако те представляват необходима, подходяща и пропорционална мярка в рамките на демократичното общество.
В някои държави-членки правителствата предвиждат възможност за геолокация на лица или за изпращане на съобщения за обществено здраве до лица в определена област по телефон или текстово съобщение. ЕКЗД съветва публичните органи първо да се стремят да обработват данни за местоположение по анонимен начин (т.е. обработват данни, събрани по начин, който не може да бъде идентифициран повторно), което би могло да даде възможност за генериране на доклади за концентрацията на мобилни устройства на определено място ,
Когато обаче не е възможно да се обработват само анонимни данни, държавите-членки следва да въведат подходящи защитни мерки, като например предоставянето на физически лица на електронни съобщителни услуги право на съдебна защита.
ЕКЗД твърди, че се прилага принципът на пропорционалност, тъй като винаги трябва да се предпочита най-малко натрапчивото решение, като се отчита конкретната цел, която трябва да бъде постигната. „Проследяване“ на лица (т.е. обработка на исторически неанонимни данни за местоположение) може да се счита за пропорционално при изключителни обстоятелства и в зависимост от конкретните модалитети на обработката – но при по-засилен контрол и гаранции, за да се гарантира спазването на принципите за защита на данните (пропорционалност на мерките по отношение на продължителност и обхват, ограничено запазване на данни и ограничаване на целта).
Всички горепосочени мерки трябва да бъдат обработвани за конкретни и изрични цели, трябва да бъдат строго ограничени до продължителността на извънредната ситуация и трябва да спазват Хартата на основните права и Европейската конвенция за защита на правата на човека и основните свободи.
В допълнение, ЕКЗД заяви, че субектът на данните трябва да получава прозрачна информация, лесно достъпна и предоставена на ясен и разбираем език за дейностите по обработка, включително периода на запазване на събраните данни и целите на обработката. Освен това ЕКЗД наблегна на важността на подходящи обосновани мерки за сигурност и политика за поверителност, за да се гарантира, че личните данни не се разкриват на неоторизирани страни.