Rządy, organizacje publiczne, a także sektor prywatny na całym świecie podejmują działania w celu zaprzestania rozprzestrzeniania się koronawirusa (COVID-19). W walce z pandemią przetwarza się różne rodzaje danych osobowych. Pracodawcy mają świadomość, że zagrożenie zakażenia wirusem występuje również w ich miejscu pracy, dlatego muszą zminimalizować to ryzyko. Jak przetwarzać dane pracowników i odwiedzających siedzibę firmy, żeby być zgodnym z przepisami?

Pracownik w kraju o wysokim ryzyku zachorowania na koronawirusa – jak pytać o wyjazdy urlopowe?

Jednym z elementów potrzebnej teraz profilaktyki jest monitorowanie oraz ewentualna izolacja osób, które w ostatnim czasie podróżowały do krajów, w których ryzyko zakażenia koronawirusem jest zwiększone. W konsekwencji, pracodawcy stają w obliczu konieczności pozyskiwania informacji na temat wyjazdów swoich pracowników. Z oczywistych względów, służbowe podróże są łatwe do monitorowania. Problem pojawia się w przypadku wyjazdów prywatnych. Z uwagi na osobisty charakter tych wyjazdów, rośnie zagrożenie naruszenia prywatności.

Pogodzenie realizacji nowych obowiązków spoczywających na administratorze z ochroną danych osobowych nie jest proste. Trzeba być niezwykle ostrożnym. Nie jest wskazane przepytywanie pracowników o miejsce spędzania urlopu wypoczynkowego. Nie wolno gromadzić informacji o konkretnych destynacjach podróży prywatnych (kierując się zasadą minimalizacji danych wynikającą z RODO):

  • informacja ta nie jest niezbędna do realizacji celu w jakim przetwarzamy dane;
  • informacja zdradza (przynajmniej potencjalnie) preferencje konsumenckie oraz może wskazywać na sytuację materialną pracownika.

Administrator musi ograniczyć swoje zapytanie, do zbierania informacji na temat spędzania urlopu w krajach o wysokim ryzyku zachorowania na koronawirusa. Czytelność zapytania może zwiększyć dołączony spis państw o wysokim ryzyku zakażenia.

Na jakiej podstawie pracodawca może uzyskać informacje na temat wyjazdu urlopowego swojego pracownika?

RODO zapewnia podstawy prawne umożliwiające pracodawcom przetwarzanie danych osobowych w kontekście pandemii. W tym przypadku nie ma konieczności uzyskania zgody pracownika na przetwarzanie jego danych osobowych. Zgoda jest tylko jedną (a nie jedyną) z podstaw prawnych przetwarzania, która pozwala legalnie wykorzystywać dane osobowe. W przypadku pytań dotyczących kwestii związanych z koronawirusem nie może zostać spełniony warunek prawidłowej zgody RODO, czyli jej dobrowolności. Obowiązkiem pracodawcy jest chronić zdrowie i życie pracowników i współpracowników, dlatego nie można odmówić udzielenia informacji na temat pobytu w krajach o wysokim ryzyku zakażenia koronawirusem.

Pozyskiwanie zgody na przetwarzanie danych osobowych w celu prowadzenia profilaktyki i działań zapobiegających rozprzestrzenianiu się koronawirusa jest błędem.

Jeśli nie zgoda, to co?

RODO przewiduje również inne (niż zgoda) podstawy prawne przetwarzania danych osobowych. Administrator może przetwarzać dane osobowe tzw. “zwykłe” na podstawie przepisów prawa (art. 6 ust. 1 lit. c RODO). Przykładem takiego przetwarzania będzie między innymi pozyskiwanie informacji o prywatnych wyjazdach pracowników do krajów o wysokim ryzyku zachorowania na koronawirusa. Przepisem prawa w tym przypadku będzie artykuł 207 Kodeksu pracy, który zobowiązuje pracodawcę do monitorowania zagrożeń dla jego zespołu oraz przeciwdziałania im.

Art.207.§1. Pracodawca ponosi odpowiedzialność za stan bezpieczeństwa i higieny pracy w zakładzie pracy. Na zakres odpowiedzialności pracodawcy nie wpływają obowiązki pracowników w dziedzinie bezpieczeństwa i higieny pracy oraz powierzenie wykonywania zadań służby bezpieczeństwa i higieny pracy specjalistom spoza zakładu pracy, o których mowa w art.237¹¹ §2.
§2.Pracodawca jest obowiązany chronić zdrowie i życie pracowników przez zapewnienie bezpiecznych i higienicznych warunków pracy przy odpowiednim wykorzystaniu osiągnięć nauki i techniki. W szczególności pracodawca jest obowiązany:
(…)
3) reagować na potrzeby w zakresie zapewnienia bezpieczeństwa i higieny pracy oraz dostosowywać środki podejmowane w celu doskonalenia istniejącego poziomu ochrony zdrowia i życia pracowników, biorąc pod uwagę zmieniające się warunki wykonywania pracy;

 

Sytuacja komplikuje się natomiast w przypadku pozyskiwania informacji na temat stanu zdrowia. Mamy tutaj do czynienia ze szczególnymi kategoriami danych osobowych, np. obserwowanie personelu w celu ustalenia, czy istnieją widoczne objawy zachorowania. Przetwarzanie tych danych wymaga sięgnięcia po inne podstawy prawne (art. 9 ust. 2 lit b RODO).

Art. 9 ust 2 lit b RODO: Przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą.

 

Przetwarzanie danych o stanie zdrowia pracowników jest dozwolone.

Osobną i w gruncie rzeczy organizacyjną sprawą pozostaje natomiast to, czy dane szczególnych kategorii będziemy gromadzić w nowym procesie, stworzonym szczegółowo w celu przeciwdziałania rozprzestrzenianiu się koronawirusa, czy też uznamy te operacje na danych za część szerszego procesu obejmującego działania z zakresu bezpieczeństwa i higieny pracy lub tzw. „bieżące sprawy pracownicze”. W obu wspomnianych tutaj procesach dochodzi do przetwarzania danych szczególnej kategorii. Podstawa prawna pozostaje ta sama – jest nią Kodeks pracy.
W naszej ocenie, oba podejścia są prawidłowe i nie wiążą się ze zwiększonym ryzykiem naruszenia praw lub wolności osób fizycznych.

Czy przetwarzanie danych osobowych realizowane jest w prawnie uzasadnionym interesie administratora?

Spotykamy się również z zapytaniami o możliwość powołania się na inną podstawę prawną przetwarzania wynikającą z RODO – tzw. prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO). Stoimy na stanowisku, że ta podstawa prawna niesie ze sobą pewne zagrożenia w przypadku pozyskiwania danych związanych z walką z koronawirusem. Co do zasady, tę przesłankę stosuje się, kiedy administrator chce skorzystać z przysługujących mu uprawnień, które wprost lub nie wynikają z porządku prawnego.
Administrator jest więc nie tylko wykonawcą, ale również inicjatorem przetwarzania w pełnym tego słowa znaczeniu. Z tego względu, oparcie przetwarzania o przesłankę prawnie uzasadnionego interesu pociąga za sobą obowiązek dokonania oceny, czy ten interes ważniejszy jest od prywatności (test ważenia). Należy podkreślić, że ilekroć sięgamy po tę podstawę prawną, interes osób, których dane dotyczą jest dodatkowo zabezpieczony przez przyznanie im prawa do sprzeciwu wobec dalszego przetwarzania (art. 21 RODO). Prawo to nie przysługuje natomiast, jeżeli przetwarzanie służy realizacji obowiązku prawnego (art. 6 ust. 1 lit. c RODO).

Na pracodawcy ciąży obowiązek podjęcia czynności, które niezbędnie wiążą się z przetwarzaniem danych osobowych. Nie ma tutaj mowy o dobrowolności, a więc i o uprawnieniu.

Ochrona danych osobowych odwiedzających siedzibę firmy w dobie koronawirusa

Problem związany z pandemią koronawirusa dotyczy każdego. Administrator musi zachować szczególną ostrożność, dlatego tak ważne jest obserwowanie nie tylko pracowników, ale każdej osoby, która wchodzi na teren firmy. Zbieranie informacji na temat gości w związku ze ze zwalczaniem rozprzestrzeniania się COVID-19 jest więc dozwolone, a nawet wskazane.

Wspomniany na początku artykułu przepis prawa, czyli obowiązek wynikający z art. 207 Kodeksu pracy, umożliwia również przetwarzanie danych osób, z którymi administrator nie jest związany stosunkiem zatrudnienia. Obowiązek ten dotyczy bezpieczeństwa miejsca pracy, dlatego administrator ma prawo przetwarzać dane swoich gości i weryfikować prawdopodobieństwo przyjmowania osób będących nosicielami koronawirusa (art. 6 ust. 1 lit. c RODO).

Rozważyć można również rozszerzenie katalogu podstaw prawnych przetwarzania o przesłankę niezbędności tego przetwarzania do ochrony żywotnych interesów ludzi (art. 6 ust. 1 lit. d RODO). Należy jednak podkreślić, że w motywie 46 RODO czytamy, że na tę przesłankę należy się powoływać “wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej. W naszej ocenie, warunek ten nie jest spełniony i z tego względu odradzamy powoływania się na art. 6 ust. 1 lit. d RODO.

motyw 46 RODO: Przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest niezbędne do ochrony interesu, który ma istotne znaczenie dla życia osoby, której dane dotyczą lub innej osoby fizycznej. Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej. Niektóre rodzaje przetwarzania mogą służyć zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą, na przykład gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka.

 

Ponadto kluczowym kryterium w ocenie legalności każdego procesu przetwarzania jest niezbędność stosowania informacji na temat ludzi do osiągnięcia postawionego sobie celu.

Gromadzenie danych osób odwiedzających będzie więc uzasadnione w przypadku, gdy:

  • nie zachodzi możliwość zabezpieczenia miejsca pracy w inny sposób (np. niemożliwe jest odwołanie spotkań lub przejście na spotkania w modelu wideokonferencji); oraz
  • zbieranie takie faktycznie pozwoli (potencjalnie choćby) zredukować ryzyko zarażenia koronawirusem.

Przykładowo, w sklepach lub zakładach usługowych, które codziennie odwiedzają setki, a nawet tysiące osób, gromadzenie danych osobowych odwiedzających wydaje się nie mieć sensu. Informacji tej, z uwagi na skalę, i tak nie sposób wykorzystać do ustalenia, kto jest nosicielem choroby.

Jakie dane zbierać od osób odwiedzających?

Aby zwalczać rozprzestrzenianie się koronawirusa, będziemy potrzebowali następujących informacji:

  • imię i nazwisko gościa (głównie w celu identyfikacji);
  • data wizyty (w celu zwiększenia szansy ustalenia, czy dana osoba jest nosicielem lub czy była narażona na zakażenie);
  • dane kontaktowe (w celu zawiadomienia danej osoby o stwierdzonych przypadkach zachorowania i zagrożenia zarażeniem);
  • informacja o wyjazdach do krajów, w których ryzyko zachorowania jest zwiększone (w przypadku otrzymania informacji pozytywnej, zaleca się odwołanie spotkania).

* Do informacji można dołączyć prośbę o powiadomieniu firmy, w przypadku stwierdzenia u siebie objawów koronawirusa.

Jak długo przechowywać oświadczenia o podróżach i listy odwiedzających?

Z uwagi na tempo rozwoju choroby, ocenia się że okres 14 do 21 dni jest w zupełności wystarczający aby podjąć wszystkie działania niezbędne do ochrony zdrowia i życia wszystkich zaangażowanych. Po tym czasie dane osobowe należy skutecznie zniszczyć.

Spełnienie obowiązku informacyjnego w przypadku zbierania danych dotyczących przebywania w krajach wysokiego ryzyka zakażenia koronawirusem

Obowiązkiem administratora danych osobowych jest poinformowanie wszystkich osób, których dane posiada o fakcie przetwarzania, np. kim jest oraz po co i na jakich zasadach wykorzystuje informacje o nich. Powstaje więc pytanie: czy do ankiet lub oświadczeń o podróżach w krajach o wysokim ryzyku zakażenia koronawirusem dołączać notę zawiadamiającą o przetwarzaniu? Spełnienie obowiązku informacyjnego w tym przypadku uzależnione jest od tego, czy dane pozyskiwane są od pracowników, czy od osób odwiedzających siedzibę firmy.

Odpowiedź znajdujemy w art. 13 ust. 4 RODO, który mówi, kiedy nie ma potrzeby realizowania obowiązku informacyjnego i głosi konkretnie, że obowiązek ten nie powstaje gdy – i w zakresie, w jakim – osoba, której dane dotyczą dysponuje już informacjami, które mielibyśmy jej przekazać.

Art. 13
1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:
(…)
4. Ust. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami.

 

Informacje pozyskiwane od pracowników i współpracowników

W naszej ocenie, celem przetwarzania jest wywiązanie się z obowiązku zapewnienia bezpieczeństwa i higieny w zakładzie pracy. Cel ten nie jest nowy pomimo okoliczności, w których się znajdujemy. Dochodzi jednak do zbierania dodatkowych informacji, które wcześniej nie były administratorowi potrzebne.
Nowym elementem procesu (a więc wykraczającym poza zakres noty informacyjnej przekazywanej pracownikom w chwili nawiązania stosunku pracy) jest weryfikacja, czy dana osoba podróżowała do krajów, w których ryzyko zakażenia jest zwiększone.

Stoimy na stanowisku, że zapytanie kierowane do pracowników musi zostać osadzone w odpowiednim kontekście – musi uwypuklać, że zbieranie informacji o podróżach do obszarów wysokiego ryzyka służy przeciwdziałaniu rozprzestrzeniania się koronawirusa. Jest to nowy element procesu. Pozostałe informacje wynikające z art. 13 RODO są już znane personelowi administratora, dlatego nie istnieje potrzeba powielania pełnego powiadomienia. Tym bardziej, nie dostrzegamy potrzeby przekazywania dodatkowego powiadomienia o przetwarzaniu w związku z otrzymaniem od pracownika “Oświadczenia o sprawowaniu opieki nad dzieckiem w wieku do 8 lat w związku z zamknięciem z powodu COVID-19 żłobka, klubu dziecięcego, przedszkola lub szkoły”.

Uprawnienie, z którego korzysta rodzić składając takie oświadczenie, wywodzi się z art. 32 ust. 1 pkt 1 ustawy z dnia 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa (wynika to wprost z tzw. specustawy – USTAWY z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych). Ani cel ani charakter przetwarzania nie są więc w zasadniczy sposób nowe.

Informacje pozyskiwane od gości przebywających w siedzibie firmy

Czy powiadamiać osoby odwiedzające siedzibę firmy o przetwarzaniu ich danych osobowych w celu zapobiegania rozprzestrzenianiu się koronawirusa? Administrator danych musi spełnić obowiązek informacyjny wobec wszystkich gości. Sytuacja ta różni się od opisywanej wyżej, kiedy była mowa o relacji między pracodawcą i pracownikiem. Goście firmy nie otrzymali wcześniej informacji o celach i charakterze przetwarzania ich danych, dlatego administrator nie może skorzystać ze zwolnienia z obowiązku informacyjnego.

Z uwagi na fakt, że rezultatem przetwarzania (zwłaszcza zbierania informacji o wyjazdach) może być odwołanie spotkania, sugeruje się, zebrać potrzebne dane oraz zrealizować obowiązek informacyjny pocztą elektroniczną, a więc zanim powstanie ryzyko zarażenia.

Zdrowie nas wszystkich i walka z koronawirusem najważniejsze!

Sytuacja, w której wszyscy się znaleźliśmy jest szczególna. Prezes Urzędu Ochrony Danych Osobowych powiedział, że przepisy o ochronie danych osobowych nie mogą być stawiane jako przeszkoda w realizacji działań w związku z walką z koronawirusem. Kwestie związane z działaniami zapobiegającymi rozprzestrzenianiu się wirusa COVID-19 regulowane przepisami szczególnymi, w tym przede wszystkim w tzw. specustawie nie stoją w sprzeczności z zasadami przetwarzania danych i nie naruszają RODO. Jak wynika z artykułu 17 specustawy dotyczącej przeciwdziałania koronawirusowi mówi, że Główny Inspektor Sanitarny lub działający z jego upoważnienia państwowy wojewódzki inspektor sanitarny może wydawać pracodawcom m.in. decyzje nakładające obowiązek podjęcia określonych czynności zapobiegawczych lub kontrolnych i współdziałania z innymi organami administracji publicznej oraz organami Państwowej Inspekcji Sanitarnej. Prezes Urzędu Ochrony Danych Osobowych informuje, że pracodawcy powinni na bieżąco śledzić komunikaty Państwowej Inspekcji Sanitarnej.

Głos w sprawie zajęła również Andrea Jelinek – przewodnicząca Europejskiej Rady Ochrony Danych (EROD): Przepisy w zakresie ochrony danych (takie jak RODO) nie utrudniają działań podejmowanych w walce z pandemią koronawirusa. Chciałabym jednak podkreślić, że nawet w tych wyjątkowych czasach administrator musi zapewnić ochronę danych osobowych, których one dotyczą. W związku z tym należy wziąć pod uwagę szereg czynników, aby zagwarantować zgodne z prawem przetwarzanie danych osobowych.

Biorąc pod uwagę emocje, które towarzyszą nam w tym niełatwym okresie, tym bardziej należy mieć na uwadze dobro i spokój psychiczny własnych pracowników i gości i przygotować się dostatecznie, aby być w stanie zaradzić niepotrzebnym, nerwowym sytuacjom.