Государственная инспекция данных в ответ на запрос Rus.lsm.lv сообщила, что могут отличаться правила, когда речь идет о живых пациентах и об уже умерших. Согласно регулированию Европарламента и Евросовета 2016/679 о защите, обработке и обороте данных о физических лицах, таковыми данными считаются любые сведения, касающиеся идентифицированного или идентифицируемого физического (живого) лица (субъекта данных).
Физическое лицо может считаться идентифицированным, если в группе других лиц оно «отделено» от остальных членов группы, указала директор Госинспекции данных Екатерина Мацук. Соответственно, физическое лицо оказывается «идентифицируемым», когда человек еще хоть и не идентифицирован, но его личность возможно установить. Обычно это происходит, когда задействуется особая информация, сведения, служащие идентификаторами — тесно связанные с конкретным индивидом.
«В определенных случаях и без упоминания имени и фамилии можно идентифицировать лицо. Например: «Мужчина, живет в Огре, 27-летний, работает в инспекции» — это идентифицирующая информация»,
— пояснила Екатерина Мацук.
Объем информации, который может считаться личными данными в контексте европейского регулирования, в каждом конкретном случае может оказаться различным. Поэтому, если даже ограничиться приведенными в письме Rus.lsm.lv вопросами руководству больницы, на которые нам отказались отвечать (точный возраст; имелись ли хронические заболевания; как долго пациент лежал в больнице; известно ли, где он заразился), в некоторых случаях персону возможно идентифицировать даже по этим, достаточно безличным данным, следует из ответа Госинспекции данных.
Например, если в малом населенном пункте констатирован только один заболевший человек, и эта информация разглашена публично — велика вероятность, что конкретное лицо будет идентифицировано (например, если в Радополе Вилянской волости с его 250 жителями будет выявлен случай Covid-19).
«В связи с этим журналистам, запрашивая и публикуя информацию, следует оценивать, не окажется ли объем публикуемых сведений таким, который позволит идентифицировать персону и таким образом затронуть права и интересы этой персоны
(вызвать последствия из-за того, что обществу стало известно, что именно это лицо болело, что у него есть/отсутствуют хронические заболевания)», — подчеркивает директор инспекции.
Инспекция информирует, что часть первая ст. 32-й Закона об обработке данных физических лиц (далее – FPDAL) гласит: персона имеет право обрабатывать данные в журналистских целях, если это делается с целью опубликовать информацию, затрагивающую интересы общества. В связи с этим данные о персоне могут обрабатываться для нужд журналистики, чтобы реализовать право на свободу слова и информации.
Часть вторая ст. 32-й FPDAL гласит, что при обработке данных для нужд журналистики правила регулирования ЕС о защите, обработке и обороте данных (кроме ст. 5-й) не применяются, если констатированы все нижеследующие обстоятельства:
1) обработку данных производят, чтобы реализовать право на свободу слова и информации, с соблюдением права персоны на частную жизнь, и при этом не затрагиваются такие интересы субъекта данных, которым требуется защита и которые важнее интересов общества;
2) обработку данных производят с целью опубликовать информацию, затрагивающую интересы общества;
3) соблюдение требований регулы о защите данных несовместимо с правом на свободу слова и информации либо мешает реализовать это право.
Инспекция отмечает, что всё вышеизложенное вовсе не значит, будто для журналистов требования законодательства о защите данных не являются обязательными. Для них обязательны и нормы FPDAL, и европейского регулирования. В том числе — о том, что данные обрабатываются законно, добросовестно, прозрачным для субъекта данных образом, а также эти данные собираются в конкретных, ясных и легитимных целях, они адекватные, соответствующие и включают в себя только то, что необходимо обработать для достижения цели. Необходимость уравновесить и защиту личных данных, и право на свободу слова закреплена и в европейской регуле.
Поэтому в каждом конкретном случае следует оценить, возможно ли по запрошенной журналистами информации идентифицировать персону или нет.
Если нет, то требования регулы на такие случаи не распространяются. Если же лицо может быть идентифицировано — нужно нормы правовых актов о защите персональных данных соблюдать.
В отношении уже умерших людей (что оговорено и в европейском регулировании) нормы о защите личных данных не применяются, пояснили Rus.lsm.lv в инспекции. Дело в том, что сведения о покойных не классифицируются как личные данные (в понимании этих нормативных актов). Поэтому и в полномочия Госинспекции данных эти сведения не входят.
«Однако
в отдельных случаях, когда по публикуемой информации можно идентифицировать другое живое лицо, и обработка данных о скончавшемся человеке может повлиять на жизнь других людей, сведения об умерших могут являться косвенно охраняемыми»,
— указывает инспекция.
Запрошенная в нашем примере информация, по оценке Госинспекции данных — не только о живой или умершей персоне, это еще и медицинские данные о пациенте, потому что запрашивается информация о лицах, которые болели конкретным заболеванием. В этом случае применяются нормы Закона о правах пациентов, которые могут предусматривать особые ограничения на предоставление информации.
В то же время инспекция особо отмечает: защита данных не должна становиться препятствием для эффективной борьбы с распространением инфекции (в том числе Covid-19) в обществе. Правовые нормы призваны пресечь лишь необоснованное и несоразмерное распространение информации о конкретных заболевших персонах или о тех, кто находится в группе риска.
Как уже писал Rus.lsm.lv, в каждой стране Европейского Союза прежде были свои законы и требования к защите личных данных. Новый регламент, обязательный для всех государств альянса, вступил в силу 25 мая 2018 года. Этот порядок предоставляет простым жителям альянса больше прав для защиты и контроля своих личных данных.
Однако возникают и конфликтные ситуации, на которые жалуются рядовые европейцы, чьи данные закон призван охранять. Например, женщине, позвонившей из-за границы в пансионат, где содержится ее престарелая мать, отказались сообщить, каково состояние здоровья матери. В другом случае, ссылаясь на защиту данных, соседке не дали позвонить сыну пострадавшей.
