Коментар: Христина Богиа, юрисконсулт
Посочването на конкретно заболяване в болничния лист при удостоверяването на временна неработоспособност пред работодателя не противоречи на нормите на Общия регламент относно защитата на личните данни (Регламента). Комисията за защита на личните данни (Комисията) се произнесе след постъпило искане от Омбудсмана на Република България за становище по прилагането на Регламент (ЕС) 2016/679 във връзка с удостоверяването на временна неработоспособност пред работодателя. Извода на Комисията е в смисъл, че поради наличието на нормативно установено основание, в разпоредбите на Наредбата за реда за представяне в НОИ на данните от дадените болнични листове и решенията по обжалването им (Наредбата), наличието на данни за диагноза не противоречи на нормите на Регламента и по-специално на чл. 6, т.1, който урежда основанията за обработване на лични данни.
Правният анализ на Комисията включва проследяване на нормативната уредба, която касае издаването на болнични листове. Данните, които се съдържат в болничните листове, се предават на НОИ от лекарите и се въвеждат от тях, като преминават през формален и логически контрол и се съхраняват, след което болничният лист се отпечатва, подписва и подпечатва с печата на лечебното заведение и се връчва на лицето. Приложение № 3 към Наредбата съдържа образец на болничен лист, а диагнозата на заболяването е задължителен реквизит. Тук възниква въпросът по практическото прилагане на Регламента и няма ли противоречие на нормативната ни уредба с принципните положения, които новата правна рамка за защита на личните данни въвежда. От 25 май тази година данните, които се обработват трябва да бъдат ограничени до необходимото във връзка с целите, за които се обработват.
За да бъде законосъобразно обработването на лични данни, в действителност е необходимо поне едно от условията, визирани в чл. 6, параграф 1, букви „а“ до „е“ от Регламента да е налице. Въпросът за личните данни, които присъстват в болничните листове обаче не се свежда единствено до наличието или липсата на нормативно уредено основание за обработване. Трябва да бъде отчетен факта, че изискването на Наредбата за посочване на диагноза противоречи на принципите на Регламента за свеждане на данните до минимум и имаме необходимост от инициатива de lege ferenda, така че да се постигне съответствие на подзаконовите нормативни актове с принципните положения на защитата на данните.
Съгласно добрите практики на останалите държави-членки на Европейския съюз, работодателите имат право да знаят как ще се осъществи продължаването на работния процес при наличието на отсъствие от работа и трябва да има установен механизъм, който да позволява да се провери дали служителят е наистина болен, но това не включва непременно данни за диагноза и здравословно състояние, които са чувствителни по смисъла на Регламента, който в чл. 30 въвежда и задължение за водене на регистър на дейностите по обработване, когато то включва специални категории лични данни. В този смисъл всички работодатели в България обработват специални категории лични данни и са длъжни и да водят регистър на дейностите си.