Wpływ pandemii na ochronę danych osób fizycznych
2020-03-26
Wydarzenia ostatnich tygodni wywołały chaos informacyjny w kwestii dopuszczalności przetwarzania przez pracodawców danych o stanie zdrowia pracowników, a w szczególności podstawy prawnej takiego działania na tle przepisów RODO. Pandemia koronawirusa 2019-nCoV rodzi jednak także inne wątpliwości związane z ochroną danych osobowych.
Na czym polegały wątpliwości pracodawców
Kontrowersje powstały nie tylko w odniesieniu dopuszczalności pomiaru temperatury i możliwości stałego monitorowania tego typu informacji przez pracodawcę, lecz także w odniesieniu do pozyskiwania przez pracodawców informacji dotyczących sposobu spędzania czasu wolnego przez pracowników czy miejsca pobytu członków ich rodzin. Wiele wątpliwości na gruncie obecnych przepisów prawa unijnego i krajowego wzbudza również możliwość zawieszenia pracownika w wykonywaniu obowiązków służbowych na czas bliżej nieokreślony, lub wydania mu polecenia świadczenia pracy zdalnej na podstawie informacji, że on sam lub ktoś z bliskich pracownika powrócił z krajów wysokiego ryzyka zarażenia koronawirusem.
Powstaje wiele pytań co do interpretacji prawnej działań podejmowanych przez pracodawców ze względu na bezpieczeństwo pracowników, w szczególności co do tego, gdzie przebiega granica pomiędzy usprawiedliwionym działaniem pracodawcy podyktowanym troską o dobro nadrzędne jakim jest zdrowie i życie ludzkie, a nadmierną ingerencją w prywatność pracowników i działaniami, które mogą zostać zinterpretowane jako nękanie pracowników, nadużycie przez przełożonego pozycji nadrzędności służbowej. Czy pracodawca powinien zbierać zgody na przetwarzanie danych od pracowników? W odniesieniu do poruszonych kwestii, szczególnie tych dotyczących przetwarzania przez pracodawców danych o stanie zdrowia, w mediach pojawiły się rozbieżne interpretacje przepisów prawa, zwłaszcza przepisów RODO. Podnoszona była nawet taka argumentacja, że jednorazowy pomiar temperatury w ogóle nie jest daną o stanie zdrowia. Przeciwnicy takiego podejścia wskazywali natomiast na zamknięty katalog danych osobowych jakich pracodawca może żądać od pracownika na podstawie art. 221 Kodeksu pracy oraz niedopuszczalność rozszerzającej interpretacji tego przepisu nawet w sytuacji rozszerzającej się pandemii.
W medialnych konstatacjach nad dopuszczalnością przetwarzania przez pracodawcę danych o stanie zdrowia pracownika najczęściej wniosek był taki, że nie ma przepisu prawa wprost zezwalającego na pomiar temperatury przez pracodawcę, a tego typu informacje stanowią dane szczególnie chronione, których przetwarzanie na gruncie RODO jest zabronione. Jako możliwość wyjścia z tej sytuacji wskazywano pozyskanie zgody pracownika na przetwarzanie jego danych o stanie zdrowia, w tym na pomiar temperatury, niezależnie od tego czy pomiaru dokonywałby sam pracownik, pracodawca, czy podmiot trzeci na zlecenie pracodawcy.
W mojej opinii przyjęcie konstrukcji odbierania tego typu zgód byłoby rozwiązaniem niewłaściwym i to z wielu względów. Przede wszystkim dlatego, że RODO zapewnia osobie, której dane dotyczą możliwość wycofania zgody w każdym czasie, poza tym zgoda wyrażana przez pracownika w stosunku podległości służbowej wielokrotnie była przedmiotem krytyki ze strony przedstawicieli doktryny, którzy poddawali w wątpliwość jej dobrowolność. Kolejnym argumentem przeciwko zbieraniu zgód na przetwarzanie danych o stanie zdrowia w czasie pandemii jest konieczność ograniczenia działań, które de facto nie służą zapewnieniu zgodności z RODO i tylko wprowadzałyby dodatkowe zamieszanie w zakładach pracy. Wreszcie argument najważniejszy, odbieranie zgód nie jest konieczne, bo możliwość przetwarzania danych o stanie zdrowia osób fizycznych w sytuacji zagrożenia życia i zdrowia ludzkiego można interpretować wprost z przepisów RODO.
W aktualnym stanie faktycznym, czyli w sytuacji realnego zagrożenia życia i zdrowia ludzkiego wywołanego koronawirusem, potwierdzonej ogłoszeniem przez WHO stanu pandemii, pracodawca jest odpowiedzialny za zapewnienie bezpieczeństwa swoich pracowników i innych osób przebywających na terenie zakładu pracy. Obowiązek taki wynika z przepisów odrębnych, natomiast na gruncie RODO działania podejmowane przez pracodawcę znajdują uzasadnienie w art. 6 ust. 1 lit. d) oraz art. 9 ust. 2 lit. i) RODO.
Przywołany art. 6 ust. 1 lit. d) stanowi, że przetwarzanie danych o stanie zdrowia osób fizycznych jest zgodne z prawem, jeśli jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej. Natomiast art. 9 ust. 2 RODO wyłącza ogólny zakaz przetwarzania danych o stanie zdrowia wynikający z art. 9 ust. 1 RODO. W myśl art. 9 ust. 2 lit. i) RODO przetwarzanie takich danych jest dopuszczalne, jeżeli jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową.
Co może zrobić pracodawca
Przywołane przepisy jednoznacznie wskazują, że RODO nie stoi na przeszkodzie w walce z koronawirusem, a podejmowanie przez pracodawców takich działań jak pomiar temperatury ciała, wprowadzenie pracy zmianowej, czy zlecenie wykonywania pracy zdalnej ma na celu ograniczanie rozprzestrzeniania się pandemii. Pozyskiwane w ten sposób dane nie mogą być przetwarzane dla innych celów niż ochrona życia i zdrowia ludzkiego w ramach wykonywania pracy.
Oczywiście realizacja takich wartości jak ochrona zdrowia publicznego, czy zapewnienie bezpieczeństwa narodowego musi odbywać się z poszanowaniem prawa i nie może naruszać istoty podstawowych praw i wolności obywateli, nawet w tak wyjątkowej sytuacji jak stan pandemii. Biorąc jednak pod uwagę, że stan pandemii został już ogłoszony, brak przepisu prawa, który wprost zezwalałby na pomiar temperatury nie powinien stanowić przeszkody w podjęciu takich działań, jeśli mogą one służyć podniesieniu bezpieczeństwa wszystkich pracowników i są podejmowane dla monitorowania epidemii oraz ochrony życia i zdrowia ludzkiego.
Odpowiedź na tego typu wątpliwości zawarta została w Motywie 46 preambuły RODO, w myśl którego przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest niezbędne do ochrony interesu, który ma istotne znaczenie dla życia osoby, której dane dotyczą, lub innej osoby fizycznej. Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej. Niektóre rodzaje przetwarzania mogą służyć zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą, na przykład, gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka.
Stanowisko takie podzielił zarówno Prezes Urzędu Ochrony Danych Osobowych w oświadczeniu w sprawie koronawirusa z 12 marca 2020 r. (dostępnym na stronie https://uodo.gov.pl/pl/138/1456) jak i Przewodniczący Europejskiej Rady Ochrony Danych w oświadczeniu w spawie przetwarzania danych podczas pandemii przyjętym w dniu 19 marca 2020 r. (dostępnym na stronie https://uodo.gov.pl/pl/138/1463). W odniesieniu do zatrudnienia EROD wprost wskazuje, że „przetwarzanie danych osobowych może być konieczne do wypełnienia obowiązku prawnego, któremu podlega pracodawca, np. obowiązków związanych ze zdrowiem i bezpieczeństwem w miejscu pracy lub z interesem publicznym, takim jak kontrola chorób i innych zagrożeń dla zdrowia, przywołuje również motyw 46, który odnosi się do kontroli epidemii.
Specustawa
Na koniec warto wspomnieć także, że szerzej kwestie związane podejmowaniem działań mających na celu ograniczenie rozprzestrzeniania się koronawirusa uregulowane zostały w przepisach szczególnych, w szczególności w ustawie z dnia 2 marca 2020 o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. 2020 poz. 374).
Przywołane przepisy jednoznacznie wskazują, że RODO nie stoi na przeszkodzie w walce z koronawirusem, a podejmowanie przez pracodawców takich działań jak pomiar temperatury ciała, wprowadzenie pracy zmianowej, czy zlecenie wykonywania pracy zdalnej ma na celu ograniczanie rozprzestrzeniania się pandemii. Pozyskiwane w ten sposób dane nie mogą być przetwarzane dla innych celów niż ochrona życia i zdrowia ludzkiego w ramach wykonywania pracy.
Przepisy tej ustawy wprowadziły m.in. po stronie pracodawcy możliwość oddelegowania pracownika do świadczenia pracy poza miejscem, w którym jest stale wykonywana (praca w trybie zdalnym), a po stronie pracownika obowiązek dostosowania się do tego polecenia. W tym akcie prawnym przewidziane zostały także inne działania ograniczające min. obowiązek wykonania przez przedsiębiorców działań nałożonych na nich przez Prezesa Rady Ministrów (art. 11 ust. 2 ustawy).
Przewidziane zostały także uprawnienia dla Głównego Inspektora Sanitarnego, który w przypadku stanu zagrożenia epidemiologicznego, stanu epidemii lub w razie szerzenia się zakażenia lub choroby zakaźnej będzie mógł wydawać decyzje nakładające na pracodawców lub spółki dalsze ograniczenia, wymagać podejmowania wskazanych przez niego czynności zapobiegawczych lub kontrolnych (art. 17 ustawy) oraz wydawać zalecenia i wytyczne wiążące dla tych podmiotów. W odniesieniu do typu decyzji GIS przesłankę legalności przetwarzania danych osobowych w celu wykonania zadań wynikających z tych decyzji będzie stanowił art. 6 ust. 1 lit. c RODO, czyli wypełnienie obowiązku prawnego ciążącego na administratorze danych osobowych.
Co dalej
W dobie pandemii działania mające na celu zapobieganie rozprzestrzenianiu się koronawirusa spoczywają na wszystkich, a powodzenie tych działań zależy od odpowiedzialnego zachowania zarówno pracodawców jak i pracowników, czy kontrahentów odwiedzających zakład pracy.Osoby te powinny więc rozumieć, że podejmowanie działań mających na celu ochronę ich zdrowia i ograniczanie rozprzestrzeniania się koronawirusa. Powagę sytuacji podkreśla również wprowadzenie w dniu 20 marca 2020 r. stanu epidemii oraz kolejnych działań zapobiegawczych w postaci ogłoszonego w dniu 24 marca 2020 r. zakazu wychodzenia z domów poza niezbędnymi sprawami jak: praca, apteka, sklep oraz wprowadzenie kar finansowych za nieprzestrzeganie kwarantanny.
Ochrona danych osobowych w dobie epidemii koronawirusa wymaga podjęcia radykalnych działań zmierzających do ochrony życia i zdrowia ludzkiego. Wbrew wiadomościom rozpowszechnianym przez niektóre osoby i media, przepisy RODO zawierają rozwiązania, które poszerzają zakres uprawnień organów państwowych i prywatnych (np. pracodawców) w kontekście przetwarzania danych osobowych osób fizycznych. Zawsze jednak ograniczenia prywatności muszą następować w minimalnym możliwym zakresie i z poszanowaniem podstawowych praw i wolności obywatelskich.