RODO a koronawirus SARS-CoV-2
W ostatnich kilku tygodniach życie większości z nas uległo diametralnej zmianie w skutek epidemii (a właściwe już pandemii) wywołanej przez wirusa SARS-CoV-2 zwanego potocznie koronawirusem. W Polsce i na świecie prowadzone są różne działania mające na celu ograniczenie rozprzestrzeniania się wirusa, a pracodawcy zadają sobie pytania jak pogodzić ochronę danych osobowych z zapewnieniem ochrony zdrowia i ograniczaniem liczby zakażeń.
Najczęściej pojawiające się pytania dotyczą dwóch kwestii, a mianowicie czy wprowadzony w Polsce stan epidemii powoduje wyłączenie stosowania przepisów RODO, jak również czy sytuacja epidemiologiczna uzasadnia przetwarzanie przez pracodawcę dodatkowych danych osobowych pracowników, kontrahentów czy dostawców takich jak informacja o ostatnich podróżach zagranicznych, ewentualnym kontakcie z zakażonymi czy temperaturze ciała.
Koronawirus nie wyłącza stosowania RODO
Na pierwsze z pytań należy odpowiedzieć przecząco – obecna sytuacja nie wyłącza konieczności stosowania przepisów o ochronie danych osobowych. Pracodawca nie może przetwarzać nieograniczonego zakresu danych swoich pracowników lub innych osób, powołując się na występujące niebezpieczeństwa związane z koronawirusem. Z drugiej jednak strony w oświadczeniu z dnia 12 marca 2020 r. Prezes Urzędu Ochrony Danych Osobowych wyraźnie podkreślił, że „przepisy o ochronie danych osobowych nie mogą być stawiane jako przeszkoda w realizacji działań w walce z koronawirusem”.[1]
Biorąc pod uwagę, iż sytuacja z którą przyszło nam się obecnie zmierzymy jest niewątpliwie wyjątkowa należy każdorazowo ocenić czy przetwarzanie dodatkowych danych może korzystnie wpłynąć zatrzymanie rozwoju epidemii i ograniczenie liczby zachorowań (zgodnie z zasadą celowości), jak również czy zakres danych, które są zbierane nie jest zbyt szeroki (zgodnie z zasadą minimalizacji danych).
Powyższe stanowisko znajduje swoje potwierdzenie w oświadczeniu Europejskiej Rady Ochrony Danych z dnia 20 marca 2020 r., w której zaznaczono, że „Zasady ochrony danych (takie jak RODO) nie ograniczają środków podejmowanych w ramach walki z pandemią koronawirusa. Walka z chorobami zakaźnymi jest wspólnym celem dla wszystkich narodów i dlatego powinna być wspierana w najlepszy możliwy sposób”.[2]
Przetwarzanie danych osobowych innych niż dane wrażliwe w celu ochrony żywotnych interesów osób fizycznych
Zgodnie z art. 6 ust. 1 lit. d RODO przetwarzanie danych osobowych będzie zgodne z prawem wtedy, gdy jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej. Przepis ten odczytywać należy w powiązaniu z pkt 46 motywów RODO, gdzie wyraźnie wskazano, iż żywotny interes może stanowić podstawę przetwarzania danych osobowych w przypadkach, gdy nie można znaleźć innej podstawy, a przetwarzanie może służyć zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą, na przykład gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych.
Co to oznacza w praktyce? W obecnej sytuacji pracodawca uzyskuje podstawę przetwarzania dodatkowych danych osobowych swoich pracowników, kontrahentów czy dostawców, których dotychczas nie miał prawa przetwarzać dla celów ochrony żywotnych interesów osób fizycznych tj. na podstawie art. 6 ust. 1 lit. d RODO. Oznacza to tyle, że przetwarzanie jest dozwolone bez uzyskiwania dodatkowej zgody. Nie ma prawnych przeszkód ażeby przedsiębiorca w powołaniu na żywotne interesy zbierał od pracowników (lub innych osób wchodzących do siedziby firmy czy na teren zakładu pracy) dane dotyczące np. ostatnich podróży zagranicznych, przebywania w miejscach, gdzie istnieje wysokie ryzyko zarażenia bądź możliwej styczności z osobą zarażoną koronawirusem.
Alternatywnie podstawą do przetwarzania takich danych może być również art. 6 ust. 1 lit f RODO, czyli prawnie uzasadniony interes jakim jest ochrona zdrowia swoich pracowników.
Jednak zastrzec należy, iż w lutym Państwowa Inspekcja Pracy wyraziła odmienne w kwestii przetwarzania danych o miejscu wypoczynku pracowników.[3] Jednak w mojej ocenie, jak również w świetle ostatniego oświadczenia PUODO, stanowisko to straciło na swej aktualności i wydaje się być nieprawidłowe. Zauważyć, że m.in. Duńska Agencja Ochrony Danych (Datatilsynet) stanęła na stanowisku, że w obliczu zmagań z epidemią koronawirusa pracodawca jest uprawniony do przetwarzania danych dotyczących m.in. powrotu z „obszaru ryzyka” czy też przebywania w kwarantannie domowej (bez podania przyczyny).[4]
Przetwarzanie danych o stanie zdrowia (danych szczególnej kategorii, danych wrażliwych)
Problem pojawia się w sytuacji, gdy pracodawca chce zweryfikować czy pracownik, bądź inna osoba wchodząca do siedziby firmy lub na teren zakładu pracy może być chora i dokonuje w tym celu pomiaru temperatury jej ciała. Pamiętać należy, iż temperatura ciała stanowić będzie daną o stanie zdrowia, a więc będzie traktowana jako dana wrażliwa podlegająca szczególnej ochronie. Co do zasady RODO zabrania przetwarzania szczególnych kategorii danych (m.in. dotyczących zdrowia), chyba że wystąpi któraś z przesłanek określonych w art. 9 ust. 2 RODO.
Obecnie pewnymi i bezpiecznymi przesłankami przetwarzania danych o stanie zdrowia (np. temperaturze ciała czy występowaniu kaszlu) jest:
- (1) wyraźna zgoda wyrażona z inicjatywy osoby, której dane dotyczą (art. 9 ust. 2 lit. a RODO);
- (2) wypełnianie obowiązku prawnego, któremu podlega pracodawca, np. obowiązków związanych ze zdrowiem i bezpieczeństwem w miejscu pracy lub z interesem publicznym, takim jak kontrola chorób i innych zagrożeń dla zdrowia (art. 9 ust. 1 lit. b RODO). Obowiązki te będą wynikać głównie z Kodeksu Pracy, albowiem przepisy prawa pracy nakazują pracodawcy m.in. chronić zdrowie i życie pracowników przez zapewnienie bezpiecznych i higienicznych warunków pracy, dostosowywać środki zmierzające do doskonalenia istniejącego poziomu ochrony zdrowia i życia pracowników z uwzględnieniem zmieniających się warunków wykonywania pracy (art. 207 § 2 pkt kodeksu pracy), jak również podejmować działania w celu zapewnienia pracownikom ochrony w przypadku możliwości wystąpienia zagrożenia dla ich zdrowia lub życia (art. 209[5] § 1 kodeksu pracy).
- (3) powstanie obowiązku przetwarzania danych w związku z nakazami Głównego Inspektora Sanitarnego lub działającego z jego upoważnienia wojewódzkiego inspektora sanitarnego (art. 9 ust. 2 lit i RODO). Nakazy te mogą być wydawane na podstawie art. 17 tzw. specustawy dotyczącej przeciwdziałaniu COVID-19 . Wskazany wyżej artykuł specustawy przewiduje możliwość nałożenia na szereg różnych podmiotów, w tym również na pracodawców, obowiązku podjęcia określonych czynności zapobiegawczych lub kontrolnych. W takim wypadku podstawę przetwarzania stanowić będzie (art. 9 ust. 2 lit i RODO).
Reasumując sytuacja epidemiologiczna nie włącza stosowania przepisów RODO, jednak daje przedsiębiorcy możliwość przetwarzania dodatkowych danych osobowych (o ile nie mają one charakteru danych wrażliwych) na podstawie art. 6 ust. 1 lit d RODO tj. w powołaniu się na to, iż przetwarzanie jest niezbędne do ochrony żywotnych interesów osób fizycznych.
W przypadku danych wrażliwych, np. dotyczących stanu zdrowia podstawę legalizującą przetwarzania tych danych stanowić może dobrowolna zgoda osoby, której dane dotyczą (art. 9 ust. 2 lit a RODO), wypełnianie obowiązku prawnego, któremu podlega pracodawca (art. 9 ust. 2 lit a RODO) lub też powstanie obowiązku przetwarzania danych w związku z nakazami wydanymi przez służby sanitarne (art. 9 ust. 2 lit. i RODO).
[1] https://uodo.gov.pl
[2] https://edpb.europa.eu
[3] https://www.pip.gov.pl
[4] https://www.datatilsynet.dk
[5] http://prawo.sejm.gov.pl