Посочването на диагноза в болничния лист не противоречи на разпоредбите на GDPR

Допустимо ли е след влизането в сила на Общия регламент за защита на данните (GDPR) в болничния лист, който се предоставя на работодателя и в Националния осигурителен институт, да се посочва диагнозата на служителя?

Този въпрос е поставил гражданин на омбудсмана Мая Манолова. Като твърди, че посочването на конкретното заболяване в болничния противоречи на защитата на информацията за здравословното състояние на гражданите по Закона за здравето, както и на Регламент (ЕС) 2016/679, т.е. Общият регламент за защита на данните, който е в сила от 25 май 2018 г. Затова Манолова е сезирала Комисията за защита на личните данни (КЗЛД) и е поискала компетентно становище по случая.

За да отговори, комисията е изследвала цялата нормативна база, свързана с издаването на болничен лист – от Закона за здравето, през Наредбата за медицинската експертиза до Наредбата за реда за представяне в НОИ на данните от издадените болнични листове и решенията по обжалването им от 2014 г. А след това е направила анализ на изискванията на GDPR, като припомня, че той само надгражда  предишния режим за защита на данните, въведен от Директива 95/46/ЕО, който е транспонирана в българския закон още през 2002 г.

И тримата ѝ членове, натоварени да се произнесат по казуса – Цанко Цолов, Цветелин Софрониев и Веселин Целков, излизат със следното становище: „Посочването на конкретното заболяване в болничния лист при удостоверяването на временна неработоспособност пред работодателя не противоречи на нормите на Регламент (ЕС) 2016/679. Налице е нормативно основание за обработване на данните съгласно чл. 6, параграф 1, буква „в“ от Общия регламент, респективно условие по чл. 9, параграф 2, буква „б“ от Регламента, във връзка с чл. 13 от Наредбата за реда за представяне в НОИ на данните от издадените болнични листове и решенията по обжалването им“.

Повече подробности по темата четете тук.

Новости в „GDPR Инфо“ през месец май 2018 г.

  1. Въведена е новата разработка:
  • Определяне на водещ надзорен орган

    2. Към разработката „Администратор и обработващ лични данни – понятие, задължения, отговорност. Защита на личните данни при съвместни администратори“ е въведен нов образец:

  • Анекс относно защитата на личните данни между администратор и обработващ

3. Към разработката „Длъжностно лице по защита на данните – изисквания, задачи и отговорности“ е въведен нов образец:

    . Уведомление за определено длъжностно лице по защита на данните (DOC-формат) – утвърден образец от КЗЛД

   4. Към експертната разработка „Средства за правна защита срещу нарушения на Общия регламент относно защитата на данните“ е добавен раздел „Защита на субектите на лични данни при директен маркетинг“

   5. Към експертната разработка „Уведомяване на надзорния орган при нарушения

на сигурността на данните“ е въведен нов образец: 

  • Правила за използване на система за докладване на нарушения“

   6. Към разработката „Организационни и технически мерки за защита на сигурността на личните данни“ са въведени следните нови образци:

. Анекс относно защитата на личните данни към трудов договор

. Анекс относно защитата на личните данни към граждански договор

. Политика за определяне на правилата за достъп до лични данни

. Правила за предаване на лични данни в организацията

. Правила за обработване на лични данни от автобиографии

    7. Към разработката „Даване на съгласие от субекта за обработване на личните му данни съгласно Общия регламент относно защитата на данните. Оттегляне на съгласието“ са въведени нови образци:

. Декларация – съгласие за обработване на лични данни за статистически цели

. Декларация – съгласие от субект на лични данни за обработване на лични данни при директен маркетинг