Oświadczenie Przewodniczącej EROD ws. przetwarzania danych podczas pandemii COVID-19

Aktualności

19 marca 2020 roku Andrea Jelinek Przewodnicząca Europejskiej Rady Ochrony Danych (EROD) wystosowała oświadczenie w imieniu EROD w sprawie przetwarzania danych osobowych w czasie pandemii. Z pełną treścią oświadczenia można zapoznać się na oficjalnej stronie internetowej
Prezesa Urzędu Ochrony Danych Osobowych:
https://uodo.gov.pl/pl/138/1463

Zasady ochrony danych (takie jak RODO) nie ograniczają środków podejmowanych w ramach walki
z pandemią koronawirusa. Walka z chorobami zakaźnymi jest wspólnym celem dla wszystkich narodów i dlatego powinna być wspierana w najlepszy możliwy sposób. W interesie ludzkości leży ograniczenie rozprzestrzeniania się chorób i wykorzystanie nowoczesnych technik w walce z plagami dotykającymi znaczną część świata. Mimo to EROD chciałaby podkreślić, że nawet w tych wyjątkowych czasach administrator i podmiot przetwarzający muszą zapewnić ochronę danych osobowych osób, których dane dotyczą.
W związku z tym należy wziąć pod uwagę szereg czynników gwarantujących zgodne z prawem przetwarzanie danych osobowych we wszystkich przypadkach. Należy przypomnieć, że wszelkie środki podejmowane w tym kontekście muszą być zgodne z ogólnymi zasadami prawa i nie mogą być nieodwracalne. Sytuacja nadzwyczajna jest warunkiem prawnym, który może uzasadniać ograniczenie wolności, pod warunkiem że ograniczenia te są proporcjonalne i ograniczone do okresu nadzwyczajnego.

EROD zauważa, że obecna sytuacja nie może wpłynąć negatywnie na sposób przetwarzania danych osobowych przez administratorów oraz podmioty przetwarzające. Podmioty muszą kierować się podstawowymi zasadami ochrony danych osobowych. Jeżeli przetwarzanie danych osobowych może ograniczyć wolność osób fizycznych, to jedynie pod warunkiem, że takie działania są proporcjonalne
i adekwatne do celu
oraz ograniczone do czasu zakończenia stanu nadzwyczajnego.

EROD zwraca szczególną uwagę na przetwarzanie danych osobowych pracowników. Co raz częściej pojawiają się pytania o możliwości zabezpieczenia zdrowia pracowników w kontekście ochrony danych osobowych. Jakie działania podjąć, aby nie ingerować nadto w prywatność i wolność osoby fizycznej?

W kontekście zatrudnienia przetwarzanie danych osobowych może być konieczne do wypełnienia obowiązku prawnego, któremu podlega pracodawca, np. obowiązków związanych ze zdrowiem
i bezpieczeństwem w miejscu pracy lub z interesem publicznym, takim jak kontrola chorób i innych zagrożeń dla zdrowia. RODO przewiduje również odstępstwa od zakazu przetwarzania określonych szczególnych kategorii danych osobowych, takich jak dane dotyczące zdrowia, gdy jest to konieczne
ze względu na istotny interes publiczny w dziedzinie zdrowia publicznego (art. 9 ust. 2 lit. i RODO),
 na podstawie prawa Unii lub prawa państwa członkowskiego lub gdy istnieje potrzeba ochrony żywotnych interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. c RODO), ponieważ motyw 46 wyraźnie odnosi się do kontroli epidemii

20 marca 2020 roku wprowadzono w Polsce stan epidemii. Jest to znacząca zmiana w kontekście ochrony danych osobowych, ponieważ od tego momentu ma zastosowanie motyw 46 RODO.

W odpowiedzi na częste pytania dotyczących gromadzenia informacji na temat zdrowia pracowników
w związku z pandemią, EROD udziela nam wskazówek. Administrator, przy wdrażaniu środków zabezpieczających musi zastosować zasady proporcjonalności i minimalizacji danych. Pracodawca powinien wymagać informacji dotyczących zdrowia jedynie w zakresie, w jakim zezwala na to prawo krajowe. Powinien mieć dostęp do danych dotyczących zdrowia i przetwarzać je tylko wtedy,
gdy wymagają tego jego własne zobowiązania prawne. Odpowiedzi należy szukać w przepisach krajowych dotyczących zatrudnienia lub zdrowia i bezpieczeństwa oraz w specustawach.

W kontekście przetwarzania danych osobowych pracownika w związku z pandemią w Rozporządzeniu Ministra Zdrowia z dnia 20 marca 2020 r. w sprawie ogłoszenia na obszarze Rzeczypospolitej Polskiej stanu epidemii zawarte są informacje na ten temat. Paragraf 3 ust. 2 i 5 Rozporządzenia określa katalog danych osobowych niezbędnych pracodawcy do złożenia oświadczenia w sprawie pracownika odbywającego obowiązkową kwarantannę. Pozostałe przepisy odnoszą się do specyficznej działalności służb i organów państwowych. W polskich przepisach prawa nie unormowano wprost kwestii badania temperatury ciała bądź przeprowadzanie ankiet dotyczących stanu zdrowia i przebytych podróży (które są stosowane przez służby) przeprowadzanych przez pracodawców.

Proporcjonalne działania podejmowane w zakresie przeciwdziałania zagrożeniu epidemicznemu
są zgodne z obowiązującymi przepisami o ochronie danych osobowych. Za takie działania można,
w szczególności, uznać przetwarzanie przez pracodawcę danych o stanie zdrowia pracownika,
w przypadku podejrzenia lub stwierdzenia objawów COVID-19
. Należy mieć jednak na uwadze zasadę minimalizacji danych, wynikającą z RODO, która nakazuje zbieranie i przetwarzanie tylko takich danych, które są adekwatne, stosowne i ograniczone do tego, co jest niezbędne do osiągnięcia celu, w tym przypadku, zapobiegania rozprzestrzenianiu się wirusa. Pracodawca powinien mieć również
na względzie poszanowanie prywatności pracownika i ograniczyć ujawnianie danych o jego stanie zdrowia jedynie upoważnionemu personelowi, np. działowi HR.

Pracodawca, który decyduje się na wprowadzenie dodatkowych zabezpieczeń w postaci badania temperatury ciała musi brać pod uwagę proporcjonalność zastosowanych środków oraz ryzyko prowadzenia takich działań. Odpowiednim narzędziem będzie zatem analiza ryzyka określająca ocenę skutków, zgodna z art. 35 RODO. Zastosowanie takiej profilaktyki będzie zależne od formy i rodzaju działalności gospodarczej przedsiębiorcy.

Co w sytuacji, gdy u pracownika wykryto obecność wirusa COVID-19. EROD stoi na stanowisku,
że pracodawcy powinni informować pracowników o przypadkach COVID-19 i podejmować środki ochronne, ale nie powinni przekazywać więcej informacji niż jest to konieczne. W przypadkach, w których konieczne jest ujawnienie nazwiska pracownika, który zarażony jest wirusem (np. w kontekście profilaktyki), a prawo krajowe na to zezwala, pracownicy, których sprawa dotyczy, powinni zostać poinformowani z wyprzedzeniem, a ich godność i uczciwość powinny być chronione.