Руководство адресовано государственным и частным организациям, их сотрудникам и подрядчикам, а также клиентам.
Венгерское национальное управление по защите данных и свободе информации (Nemzeti Adatvedelmi es Informacioszabadsag Hatosag, NAIH) выпустило руководство по защите данных и COVID-19. Как отметили в NAIH, обрабатывающие личные данные в контексте усилий по предотвращению распространения COVID-19 организации должны соответствовать «Общему регламенту по защите данных» (General Data Protection Regulation, GDPR) и венгерскому закону о защите данных. Руководство адресовано государственным и частным организациям, их сотрудникам и подрядчикам, а также третьим сторонам (клиентам, посетителям):
1. Ограничение целей:
Сбор и обработка персональных данных могут считаться необходимыми только в том случае, если цель не может быть достигнута каким-либо другим способом, и в каждом случае необходимо оценить, существует ли менее агрессивное решение.
2. Минимизация данных и законность:
Если сбор персональных данных считается абсолютно необходимым, организация должна определить точное назначение и правовую основу этого. Сбор, обработка и хранение данных должны быть пропорциональны цели такой деятельности.
3. Прозрачность:
Организация должна предоставить субъекту данных информацию, требуемую согласно Статье 13 GDPR и Разделу 16 венгерского закона о защите данных. В таком случае она должна показать, что важность цели превышает важность прав личности.
4. Особые требования:
NAIH также определила ряд уникальных требований в нынешних условиях.
I. Обработка данных, связанных с занятостью:
Работодатели должны обеспечить безопасную рабочую среду, которая включает планирование и выполнение процедур защиты данных. В данных рамках работодатели обязаны: создать план обеспечения непрерывности бизнеса, включающий необходимые шаги для уменьшения распространения инфекции, оценку рисков для защиты данных, внутренние обязанности и соответствующие каналы связи; предоставить подробную информацию о коронавирусе и план действий в случае подозрения на инфекцию; при необходимости отменить или отложить деловые поездки и мероприятия, а также предоставить возможность работать из дома; предупредить сотрудников о том, что в интересах защиты своего здоровья и здоровья своих коллег они должны сообщать о любом предполагаемом контакте с коронавирусом и обращаться за медицинской помощью как можно скорее.
II. Поставщики медицинских услуг и медицинские работники:
Поставщики медицинских услуг и медицинские работники обязаны соблюдать применимые к ним правила защиты данных, в том числе обязанности в соответствии со статьей 6 (1) (c) GDPR и статьей 9 (2) (i) GDPR.
III. Обязанности сотрудников:
Сотрудники обязаны сотрудничать и информировать своих работодателей, если они знают о каком-либо риске заражения, который может повлиять на их рабочее место, их коллег или третьих лиц. Работник в этих случаях имеет право полагаться на свои права в соответствии с главой III GDPR, и работодатель должен обеспечить это.
IV Третьи стороны:
Работодатели должны удостовериться, что план обеспечения непрерывности бизнеса
включает расширенные проверки посетителей, оценку рисков защиты данных в связи с этим и предоставляет соответствующие каналы связи, а клиентам и посетителям предоставляется информация о коронавирусе.
5. Санкции:
Как отмечается в документе, нарушение законодательства о распространении инфекционных заболеваний является уголовным преступлением. В случаях намеренного заражения других людей полиция имеет право использовать записи видеонаблюдения в своих уголовных расследованиях.
Публикация руководства NAIH следует за публикацией аналогичных документов других регуляторов Европейской экономической зоны, в том числе Франции, Дании, Испании, Исландии, Ирландии, Италии, Люксембурга, Нидерландов, Норвегии, Польши, Словении, Словакии и Великобритании.