Kryzysowa sytuacja związana ze stanem zagrożenia epidemiologicznego stawia przedsiębiorców w trudnej sytuacji. Z dnia na dzień przybywa nowych pytań odnośnie tego jak powinni funkcjonować oraz jakie działania dotyczące zapewnienia ochrony dla pracowników i klientów powinni podejmować. Wszyscy czekają na przyjęcie tarczy antykryzysowej i zastanawiają się, jak zapewnić bezpieczeństwo – sobie, swoim bliskim, pracownikom i kontrahentom.
Dyskusja na temat tego, kiedy pracodawca przetwarza dane osobowe trwa od zeszłego roku. Zaczęła się od badań trzeźwości. Teraz wiele firm chce badać temperaturę pracowników, co zgodnie z przyjętą interpretacją przepisów RODO może wiązać się przetwarzaniem danych szczególnej kategorii (o stanie zdrowia). Przepisy, które są tworzone, kwestię danych osobowych pozostawiają w zasadzie na marginesie. Przedsiębiorcy muszą podejmować konkretne działania, które będą rzutować na dalsze funkcjonowanie przedsiębiorstwa i zapewnienie bezpiecznych warunków pracy dla pracowników. Czas nagli, ale działania, które zostaną podjęte nie mogą być sprzeczne z przepisami. RODO wyraźnie ogranicza zbieranie i przetwarzanie danych oraz wymaga, żeby takie działania były właściwie uzasadnione. Aktualna sytuacja pokazuje, że brzmienie przepisów RODO nie jest wystarczająco przygotowane do stosowania w obecnych ekstremalnych warunkach. Zgodnie z art. 97 ust. 1 RODO do dnia 25 maja 2020 r., Komisja Europejska przedkłada Parlamentowi Europejskiemu i Radzie sprawozdania z oceny i przeglądu rozporządzenia. Może to stanowić dobry moment na uwzględnienie wniosków płynących z działań podejmowanych w celu przeciwdziałania COVID-19 związanych z przetwarzaniem danych osobowych, które przyczynią się do zaktualizowania przepisów RODO. Jak na tę sytuację reagują organy ochrony danych osobowych i jakie są ich aktualne stanowiska?
Stanowisko Prezesa Urzędu Ochrony Danych Osobowych, a stanowiska Europejskiej Rady Ochrony Danych
Globalny charakter obecnej sytuacji dotyczy większości państw, z tego powodu stanowiska zajmują różne krajowe organy ochrony danych osobowych, których opinie są zróżnicowane. Europejska Rada Ochrony Danych (dalej jako: „EROD”) 19 marca br. wydała oświadczenie w kontekście pandemii COVID-19, w którym podkreślono, że RODO nie ogranicza środków podejmowanych w ramach walki z pandemią. Pomimo trudnej sytuacji, administratorzy i podmioty przetwarzające dane, muszą zapewnić ochronę tych danych analogicznie jak wcześniej. Dane powinny być przetwarzane w konkretnych i wyraźnie określonych celach, a osoby, których dane są przetwarzane powinny otrzymać przejrzyste informacje na temat prowadzonych działań. Zasady proporcjonalności i minimalizacji danych muszą być brane pod uwagę przy rozpoczynaniu, czy kontynuowaniu przetwarzania. Kluczowe dla określenia co jest dozwolone i jak powinno przebiegać jest przede wszystkim prawo krajowe, które określa obowiązki administratorów w celu zapewnienia bezpieczeństwa w związku z pandemią.
Prezes Urzędu Ochrony Danych Osobowych w oświadczeniu wydanym jeszcze przed stanowiskiem EROD (w dniu 12 marca 2020 r.) stwierdził, że przepisy o ochronie danych osobowych nie mogą stać na przeszkodzie zapewnieniu bezpieczeństwa. Wskazał również, że sytuacje związane z ochroną zdrowia i zapobieganiem rozprzestrzeniania się chorób zakaźnych związane z przetwarzaniem danych znajdują swoją podstawę w art. 9 ust. 2 lit. i, art. 6 ust. 1 lit. d RODO. Nie zajął jednak jednoznacznego stanowiska co do zasad, według których przetwarzanie w tego typu sytuacji powinno się odbywać w przypadku prewencji stosowanej przez pracodawców.
Wskazane powyżej stanowiska mają charakter bardzo ogólny, odnoszą się do fundamentalnych zasad przetwarzania danych, jednak nie wskazują konkretnych rozwiązań jakie należy podjąć i na jakich zasadach należy oprzeć działania prewencyjne w zakresie przetwarzania danych osobowych. Głównym celem stanowisk było wskazanie administratorom i podmiotom przetwarzającym, że wprowadzenie szczególnych stanów zagrożenia epidemiologicznego nie zwalnia z działania w granicach przepisów i zasad przetwarzania danych osobowych. Nie uwzględniają jednak praktycznych problemów pracodawców i nie dają konkretnych wskazówek co do zasad wprowadzania nowych środków bezpieczeństwa, które mogą dotyczyć przetwarzania danych osobowych. Dotyczy to np. kwestii mierzenia temperatury, zbierania informacji o kontakcie z osobami chorymi czy informowania o zakażeniach w firmie pracowników i kontrahentów.
Wskazana podstawa przetwarzania z art. 9 ust. 2 lit. i RODO odnosi się do podmiotów działających w interesie publicznym (motyw 46 RODO) np. podmiotów służby zdrowia, co oznacza, że przedsiębiorcy niebędący podmiotami publicznymi nie powinni opierać przetwarzania danych osobowych dotyczących zdrowia do celów prewencyjnych na tej podstawie prawnej. Poza tym art. 9 ust. 2 lit. i RODO pozwala na przetwarzania danych, jeżeli przepisy unijne lub krajowe przewidują „odpowiednie, konkretne środki ochrony praw i wolności”. Przepisy określające bezpieczeństwo pracowników to przede wszystkim kodeks pracy, Ustawa o zwalczaniu chorób zakaźnych[1] i Specustawa COVID-19[2]. Żadna z nich w tym kontekście nie odnosi się wprost do ochrony danych osobowych przez pracodawców. Dlatego wskazanie, że jest ok, bo pracodawca może czekać na stanowisko inspektora sanitarnego należy ocenić jako niewystarczające, bo uniemożliwia prewencję w miejscu pracy. W obecnej sytuacji nie można też oczekiwać od służb sanitarnych, że będą regulowały kwestie ochrony danych osobowych w wydawanych decyzjach – ich zadania są skoncentrowane na innych aspektach.
Jak chronić pracowników zgodnie z RODO?
Rząd planował wprowadzenie zmian do Specustawy COVID-19, które w celu przeciwdziałania COVID-19, miały nadawać pracodawcom prawo do:
- Żądania od pracownika informacji o tym, czy przebywał w ostatnim czasie w miejscu zagrożonym zakażeniem COVID-19.
- Żądania od pracownika, co do którego istnieje uzasadnione podejrzenie, iż jest zakażony COVID-19, lub który przebywał w miejscu zagrożonym zakażeniem COVID-19, aby poddał się niezbędnym badaniom lekarskim; badania lekarskie są świadczeniami opieki zdrowotnej w rozumieniu art. 9 Ustawy.
- Kontrolowania stan zdrowia pracownika przed dopuszczeniem go do pracy, w szczególności przez pomiar temperatury ciała pracownika.
- Wprowadzania w miejscu pracy dodatkowych wymagań sanitarnych lub bezpieczeństwa i higieny pracy.
Projekt nie został jednak jeszcze procedowany. Dlatego obecnie w celu wprowadzania badań temperatury istotne będzie ułożenie w prawidłowy sposób procesu mogącego dotyczyć zbierania i przetwarzania zbieranych z związku z tym danych.
Podstawą przetwarzania danych osobowych dla działań prewencyjnych związanych z ochroną zdrowia może i powinien być art. 9 ust. 2 lit. b RODO, który pozwala na przetwarzanie jeżeli „jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej (..).” Wynikający z art. 94 pkt 4 Kodeksu pracy obowiązek pracodawcy zapewnienia bezpiecznych i higienicznych warunków pracy wymaga w obecnych warunkach wdrożenia rygorystycznych środków prewencyjnych. Zgodnie z art. 207 §1 §2 Kodeksu pracy są to działania, za które można pociągnąć pracodawcę do odpowiedzialności.
Test proporcjonalności procesów przetwarzania do ochrony praw osób, których dane dotyczą powinien wypaść pozytywnie. Skala zagrożenia zachorowaniem na COVID-19 jest znacząca. Po jednej stronie znajduje się prawo do prywatności pracownika, po drugiej zestawiamy obowiązek prowadzenia działań prewencyjnych przeciwko rozprzestrzenianiu się COVID-19 i obowiązek zapewnienia innym pracownikom bezpiecznych i higienicznych warunków pracy. Oczywiście należy również brać pod uwagę dodatkowe zmienne takie jak; wielkość przedsiębiorstwa, ilość pracowników i stopień możliwości rozprzestrzeniania się COVID-19 oraz zadbać o odpowiednie ograniczenie przetwarzania danych osobowych.
Pracownicy nie mogą być w żaden sposób dyskryminowani, dlatego należy odgórnie przyjąć takie zasady, aby badanie zapewniało prywatność, a pracownicy byli odpowiednio poinformowani o przebiegu badania oraz zakresie przetwarzania i dalszego udostępniania ich danych.
W stosunku do osób trzecich, kontrahentów, kurierów czy innych osób, których wejście na teren przedsiębiorstwa może stanowić potencjalną przyczynę rozprzestrzenienia się wirusa – badanie ma analogiczny cel jak w przypadku pracowników.
Przede wszystkim – myśleć praktycznie
Pracodawcy powinni śledzić wytyczne Głównego Inspektora Sanitarnego i działających z jego upoważnienia państwowego wojewódzkiego inspektora sanitarnego, który jest uprawniony do wydawania poleceń, decyzji oraz zaleceń i wytycznych w związku z przeciwdziałaniem COVID-19 w danym regionie. Z wytycznych organów ochrony danych osobowych wynika, że obecna sytuacja nie zwalnia z wypełniania przez administratorów obowiązków prawnych, czyli minimalizacji przetwarzanych danych, zapewnienia ich ochrony oraz przekazywania osobom, których dane są przetwarzane, informacji o zasadach tego przetwarzania danych. Najlepsze są proste rozwiązania. Proces przetwarzania danych z pomiaru temperatury, czy innych działań prewencyjnych można zaplanować i wdrożyć w taki sposób, aby móc wykazać zgodność przetwarzania z zasadami wysłowionymi w RODO. Jest to szczególnie istotne ze względu na możliwe kontrole związane z przestrzeganiem przepisów o ochronie danych osobowych, które mogą zostać przeprowadzone po zakończeniu stanu zagrożenia epidemiologicznego.
[1] Ustawa z dnia 5 grudnia 2008 o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi (Dz.U. z 2019 r. poz. 1239),
[2] Ustawa z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. z 2020 r. poz. 374).