Jak pozostać wiernym RODO w czasach koronowirusa?
Epidemia koronawirusa obfituje w sytuacje dotąd nieznane i stanowi duże wyzwanie również z perspektywy ochrony danych osobowych. Poniżej zamieszczamy informacje na najczęściej zadawane pytania.
Czy rozporządzenie RODO nadal jest obowiązuje i czy należy je stosować w okresie epidemii?
Tak. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej jako: „RODO” weszło w życie 25 maja 2018 r. i żadna epidemia nie ma wpływu na jego obowiązywanie.
Podkreślił to w komunikacie z dnia 12.03.2020 r. Prezes UODO, iż choć „Przepisy o ochronie danych osobowych nie mogą być stawiane jako przeszkoda w realizacji działań w związku z walką z koronawirusem” to jednak brak jest samej sprzeczności pomiędzy przepisami na których podstawie odbywa się zwalczania koronawirusa, a przepisami RODO.
Powyższe stanowisko potwierdziła również Europejska Rada Ochrony Danych Osobowych, zaznaczając ,jednocześnie iż „nawet w tych wyjątkowych czasach administrator musi zapewnić ochronę danych osobowych osób, których one dotyczą. W związku z tym należy wziąć pod uwagę szereg czynników, aby zagwarantować zgodne z prawem przetwarzanie danych osobowych” – tak komunikat Prezesa UODO z dnia 16.03.2020 r.
Zgodnie z motywem 46 rozporządzenia RODO przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest niezbędne do ochrony interesu, który ma istotne znaczenie dla życia osoby, której dane dotyczą, lub innej osoby fizycznej. Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej. Niektóre rodzaje przetwarzania mogą służyć zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą, na przykład gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka.
Czy przepisy dot. ochrony danych osobowych nie stoją w sprzeczności z przepisami dot. zwalczania koronawirusa?
Nie. I vice versa tj. przepisy dotyczące zapobiegania i zwalczania chorób zakaźnych (ustawa z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi oraz tzw. „specustawa” – ustawa z dnia z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych) nie stoją w sprzeczności z ochroną danych osobowych.
Jak wskazano wcześnie, zgodnie z oświadczeniem Prezesa UODO z dnia 12.03.2020 r. w sprawie koronawirusa: „Przepisy o ochronie danych osobowych nie mogą być stawiane jako przeszkoda w realizacji działań w związku z walką z koronawirusem”. Podkreśla to również Andrea Jelinek, przewodnicząca Europejskiej Rady Ochrony Danych (EROD) (komunikat ze strony UODO z dnia 16.03.2020 r.): „Przepisy w zakresie ochrony danych (takie jak RODO) nie utrudniają działań podejmowanych w walce z pandemią koronawirusa. Chciałabym jednak podkreślić, że nawet w tych wyjątkowych czasach administrator musi zapewnić ochronę danych osobowych osób, których one dotyczą. W związku z tym należy wziąć pod uwagę szereg czynników, aby zagwarantować zgodne z prawem przetwarzanie danych osobowych.”
Organy powołane do zwalczania i zapobiegania chorobom takie jak min. stacje inspekcji sanitarnej, Główny Inspektor Sanitarny, wojewodowie działają w zakresie swoich kompetencji - a art. 17 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych daje podstawę do nakładania przez te organy zaleceń i obowiązków na pracodawców.
Podstawą przetwarzania danych może być w tym zakresie, w odniesieniu do danych zwykłych: art. 6 ust. 1 lit d RODO (przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej), jak również art. 6 ust. 1 lit e RODO (przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi), zaś w zakresie danych szczególnych: art. 9 ust. 2 lit i RODO (przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową) czy art. 9 ust. 2 lit. g RODO (przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą). Jak wskazuje motyw 46 RODO: „Niektóre rodzaje przetwarzania mogą służyć zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą, na przykład gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się”.
Jak stosować RODO w czasach epidemii?
Kwestia stosowania RODO jest niezwykle doniosła prawnie. Wskazać należy, że co do zasady dla przedsiębiorcy nadal muszą przestrzegać rozporządzenia RODO przy przetwarzaniu danych osobowych. Nawet w przypadku wypełniania obowiązków związanych z zwalczaniem koronawirusa należy sprawdzać czy nie należy dopełnić obowiązku informacyjnego. Dodatkowo przetwarzane dane osobowe muszą być adekwatne i odpowiednio zabezpieczone.
Należy pamiętać, iż dane osobowe przetwarzane mogą być tylko gdy w inny sposób nie da się osiągnąć celu, i tylko w zakresie minimum niezbędnego do osiągnięcia tego celu. Z chwilą kiedy dane osobowe nie są już potrzebne do celu powinny zostać usunięte.
Czy w związku z koronawirusem pracodawca może przetwarzać dane medyczne? Czy pracodawca może dokonywać pomiarów temperatury pracownika?
W pewnych sytuacjach jest możliwe przetwarzanie przez pracodawcę danych medycznych np. dot. temperatury pracownika. Tym nie mniej dane medyczne, należą do kategorii danych szczególnych z art. 9 RODO. Ich przetwarzanie jest, co do zasady zabronione i możliwe tylko w wyjątkowych wypadkach.
Po pierwsze, należy odpowiedzieć sobie na pytanie czy dane te są konieczne do przetwarzania? Czy są one zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach (zasada ograniczenia celu)? Rozważyć należy też podstawę ich przetwarzania.
Pracodawca nie może z własnej inicjatywy dokonywać pomiaru temperatury pracowników. Podstawą do takich działań może być jednak decyzja, wytyczne Organów sanitarnych wydane na podstawie art. 8 a ust. 5 ustawy o państwowej inspekcji sanitarnej. W takim wypadku podstawą przetwarzania danych osobowych powinien być art. 9 ust. 2 lit b, h lub h rozporządzenia RODO.
Przede wszystkim wskazać należy, iż dobrowolna zgoda na przetwarzanie danych pracownika dot. jego zdrowia, poprzez pracodawcę w celu zwalczani epidemii koronawirusa jest wątpliwa. Zgoda nie byłaby dobrowolna. Z uwagi na fakt, iż cechą charakterystyczną stosunku pracy jest podległość i kierownictwo pracownika, art. 221b § 1 wskazuje, iż dane szczególne mogą być przetwarzane przez pracodawcę na podstawie zgody pracownika wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy pracownika.
Wobec tego negatywnie należy odnieść się do prób masowego przetwarzania szczególnych kategorii danych osobowych przez pracodawców, np. poprzez mierzenie pracownikom temperatury przed wejściem do zakładu na podstawie ich zgody. Działania takie jest bezpodstawne, zarówno z uwagi na fakt, iż pracodawcy nie są zobowiązani, jak również nie mają kompetencji do prowadzenia tego rodzaju aktywności na podstawie żadnej z dotychczas wydanych ustaw, przez co przetwarzanie to nie spełnia warunków z art. 9 ust. 2 lit b (przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora), lit. i (przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego).
Bez decyzji, wytycznych inspekcji sanitarnej pracodawca nie można przetwarzać danych dot. temperatury pracownika w oparciu o art. 9 ust. 2 lit. h RODO. Niektórzy autorzy powołują się na podstawę przetwarzania z art. 9 ust. 2 lit h. Wybór tej podstawy również jest błędny! Zgodnie z § 7 Rozporządzenia Ministra Zdrowia i Opieki Społecznej z dnia 30 maja 1996 r. w sprawie przeprowadzania badań lekarskich pracowników, zakresu profilaktycznej opieki zdrowotnej nad pracownikami oraz orzeczeń lekarskich wydawanych do celów przewidzianych w Kodeksie pracy, oceny zdolności pracownika do pracy dokonuje lekarz medycyny pracy lub w zakresie wystawiania zwolnień lekarskich z powodu czasowej niezdolności do pracy wystawiają lekarze, lekarze dentyści i felczerzy upoważnieni przez ZUS (art. 54 ustawy z dnia 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa). Pracodawca przetwarza więc dane medyczne jedynie w takim zakresie w jakim przepisy prawa go do tego obligują, tj. kieruje pracownika na badania wstępne, okresowe lub kontrolne, oraz wykonuje obowiązki płatnika składek na ubezpieczenie.
Brak możliwości zastosowanie podstawy przetwarzania z art. 9 ust. 2 lit. I rozporządzenia RODO wynika z kolei faktu, iż motyw 54 rozporządzenia RODO przewiduje, iż przetwarzanie danych dotyczących zdrowia z uwagi na względy interesu publicznego nie powinno skutkować przetwarzaniem danych osobowych do innych celów przez strony trzecie, takie jak pracodawcy, czy zakłady ubezpieczeń i banki.
Czy pracodawca może wypytywać o kwestie prywatne w kontekście walki z korona wirusem?
Tak, ale tylko w ograniczonym zakresie (w związku z obowiązkami pracodawcy) i gdy w adekwatny sposób. Może chodzić o kwestie tego czy osoba przybywała z osobą zakażoną lub była w strefach skażenia. Nie wolno gromadzić nadmiarowych danych np. konkretnych miejsc, konkretnych nazwisk osób chorych z którymi przebywał pracownik. Podstawą przetwarzania może być art. 9 ust. 2 lit. b i g RODO. Pracodawca zobowiązany jest bowiem zapewnić bezpieczne i higieniczne warunki pracy. Dodatkowo pracodawca ma obowiązki sanitarne wynikające z ustawy o zwalczaniu chorób zakaźnych.
Czy pracodawca może ujawnić współpracownikom lub innym osobom dane pracownika zarażonego ?
Europejskich Urząd Ochrony Danych stoi na stanowisku, iż pracodawca może informować inne osoby o przypadkach zakażenia ale powinna zachowana być zasada adekwatności w zakresie udostępnianych informacji. Pracownicy, który dane zostaną ujawnione powinni zostać o tym uprzedzeni z wyprzedzeniem. Sposób przekazania informacji powinien zapewnić ochronę ich dóbr osobistych. Tutaj podstawą prawną dla ujawnienia informacji i danych pracownika zarażonego jest obowiązek zapewnienia bezpiecznych i higienicznych warunków pracy przez pracodawcę, wynikających z kodeksu pracy, jak również obowiązek zwalczania chorób zakaźnych, oraz obowiązek zapewnienia higieniczno-sanitarnych warunków lokalów wynikający z ustawy o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi.
Ochrona danych, w tym danych osobowych podczas pracy zdalnej? Jak zabezpieczyć Organizację, jakie trzeba wdrożyć procedury?
Praca zdalna wykonywana przez pracowników nie może zmniejszać poziomu ochrony danych osobowych. Wręcz przeciwnie art. 24 rozporządzenia RODO wymaga, aby administrator wdrożył odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualnieniom.
Powyższe podkreślono w oświadczeniu w sprawie przetwarzania danych osobowych w kontekście pandemii COVID -19 przyjętym w dniu 19 marca 2020 r. przez Europejską Radę Ochrony Danych. „nawet w tych wyjątkowych czasach administrator i podmiot przetwarzający muszą zapewnić ochronę danych osobowych osób, których dane dotyczą. W związku z tym należy wziąć pod uwagę szereg czynników gwarantujących zgodne z prawem przetwarzanie danych osobowych i we wszystkich przypadkach należy przypomnieć, że wszelkie środki podejmowane w tym kontekście muszą być zgodne z ogólnymi zasadami prawa i nie mogą być nieodwracalne. Sytuacja nadzwyczajna jest warunkiem prawnym, który może uzasadniać ograniczenie wolności, pod warunkiem że ograniczenia te są proporcjonalne i ograniczone do okresu nadzwyczajnego.”
Wysłanie pracowników na pracę zdalną wymaga od pracodawcy przedsięwzięcia nawet większej ilości środków zapobiegawczych i ochronnych, niż sytuacja gdy wszyscy pracownicy pracują w biurze.
Przyjmowane rozwiązania pracy zdalnej muszą już w fazie ich projektowania być zgodne z rozporządzeniem RODO – zasada privacy by design.
Pamiętać należy, pracownicy mają dostęp do szczególnie istotnych z perspektywy przedsiębiorstwa danych stanowiących nierzadko tajemnicę przedsiębiorstwa. Ich wyciek może narazić firmę na ogromne straty. Z tego też względu należy zapewnić, aby każdy z pracowników został przeszkolony w zakresie obowiązującej w firmie procedury bezpieczeństwa oraz korzystania z używanych narzędzi.
Pracodawcy biorąc pod uwagę zawodowy charakter ich działalności i obowiązek dołożenia należytej staranności powinni uregulować kwestie pracy zdalnej w dokumentacji wewnętrznej.
Art. 24 ust. 2 rozporządzenia RODO przewiduje obowiązek wdrożenia polityk ochrony danych osobowych gdy jest to proporcjonalne w stosunku do czynności przetwarzania. Wydaje się, iż sytuacja taka ma miejsce właśnie w obecnym czasie walki z epidemią koronawirusa. Konieczność pracy zdalnej i związane z tym ryzyka i wyzwania w zakresie ochrony danych osobowych stanowią o podstawie do samoregulacji przez Administratorów danych osobowych. Pamiętać należy, iż to na nich spoczywa na podstawie art. 5 RODO obowiązek wykazania, iż przetwarzają dane osobowe zgodnie z RODO i w tym zakresie podjęli wszystkie niezbędne kroki i narzędzia. Na okoliczność tą zwrócił uwagę Prezes UODO w komunikacie z dnia 17.03.2020 r. podkreślając wagę wewnętrznych zasad i procedur organizacyjnych dot. logowania, udostępniania danych i przetwarzania danych.
Pracodawcy powinni udostępniać pracownikom odpowiedni sprzęt i oprogramowanie. Wprawdzie w komunikacie z dnia 17.03.2020 r. Prezes UODO dopuścił możliwość wysyłki korespondencji służbowej z maila prywatnego to sytuacja ta powinna mieć charakter wyjątku. Dodatkowo Prezes UODO zwrócił uwagę na kwestie szyfrowania.
W komunikat Prezesa UODO przypomina również o kwestiach:
nie instalowania dodatkowych aplikacji i oprogramowania niezgodnego z wewnętrzną procedurą organizacji,
zapewnienia aktualności oprogramowania, w tym systemu antywirusowego, sytemu operacyjnego,
zapewnienia bezpiecznej przestrzeni do pracy z danymi osobowymi,
stosowaniu adekwatnych haseł, wielopoziomowych uwierzytelnień,
podejmowaniu szczególnych środków ochrony sprzętów na których przetwarzane są dane osobowe,
nie przesyłaniu mailem informacji zaszyfrowanej razem z hasłem pozwalającym na jej odszyfrowanie.