Венгрия выпустила руководство по защите данных и коронавирусу

Венгерское национальное управление по защите данных и свободе информации (Nemzeti Adatvedelmi es Informacioszabadsag Hatosag, NAIH) выпустило руководство по защите данных и COVID-19. Как отметили в NAIH, обрабатывающие личные данные в контексте усилий по предотвращению распространения COVID-19 организации должны соответствовать «Общему регламенту по защите данных» (General Data Protection Regulation, GDPR) и венгерскому закону о защите данных. Руководство адресовано государственным и частным организациям, их сотрудникам и подрядчикам, а также третьим сторонам (клиентам, посетителям):

1. Ограничение целей

Сбор и обработка персональных данных могут считаться необходимыми только в том случае, если цель не может быть достигнута каким-либо другим способом, и в каждом случае необходимо оценить, существует ли менее агрессивное решение.

2. Минимизация данных и законность

Если сбор персональных данных считается абсолютно необходимым, организация должна определить точное назначение и правовую основу этого. Сбор, обработка и хранение данных должны быть пропорциональны цели такой деятельности.

3. Прозрачность

Организация должна предоставить субъекту данных информацию, требуемую согласно Статье 13 GDPR и Разделу 16 венгерского закона о защите данных. В таком случае она должна показать, что важность цели превышает важность прав личности.

4. Особые требования

NAIH также определила ряд уникальных требований в нынешних условиях.

I. Обработка данных, связанных с занятостью

Работодатели должны обеспечить безопасную рабочую среду, которая включает планирование и выполнение процедур защиты данных. В данных рамках работодатели обязаны: создать план обеспечения непрерывности бизнеса, включающий необходимые шаги для уменьшения распространения инфекции, оценку рисков для защиты данных, внутренние обязанности и соответствующие каналы связи; предоставить подробную информацию о коронавирусе и план действий в случае подозрения на инфекцию; при необходимости отменить или отложить деловые поездки и мероприятия, а также предоставить возможность работать из дома; предупредить сотрудников о том, что в интересах защиты своего здоровья и здоровья своих коллег они должны сообщать о любом предполагаемом контакте с коронавирусом и обращаться за медицинской помощью как можно скорее.

II. Поставщики медицинских услуг и медицинские работники

Поставщики медицинских услуг и медицинские работники обязаны соблюдать применимые к ним правила защиты данных, в том числе обязанности в соответствии со статьей 6 (1) (c) GDPR и статьей 9 (2) (i) GDPR.

III. Обязанности сотрудников

Сотрудники обязаны сотрудничать и информировать своих работодателей, если они знают о каком-либо риске заражения, который может повлиять на их рабочее место, их коллег или третьих лиц. Работник в этих случаях имеет право полагаться на свои права в соответствии с главой III GDPR, и работодатель должен обеспечить это.

IV Третьи стороны

Работодатели должны удостовериться, что план обеспечения непрерывности бизнеса включает расширенные проверки посетителей, оценку рисков защиты данных в связи с этим и предоставляет соответствующие каналы связи, а клиентам и посетителям предоставляется информация о коронавирусе.

5. Санкции

Как отмечается в документе, нарушение законодательства о распространении инфекционных заболеваний является уголовным преступлением. В случаях намеренного заражения других людей полиция имеет право использовать записи видеонаблюдения в своих уголовных расследованиях.

Публикация руководства NAIH следует за публикацией аналогичных документов других регуляторов Европейской экономической зоны, в том числе Франции, Дании, Испании, Исландии, Ирландии, Италии, Люксембурга, Нидерландов, Норвегии, Польши, Словении, Словакии и Великобритании.