Ochrona danych osobowych w obliczu pandemii koronawirusa

Laura Benachir
Laura Benachir Konsultant
kontakt

Obserwując bieg wydarzeń związany z pandemią koronawirusa (COVID-19) wielokrotnie zauważamy zmianę priorytetów w życiu prywatnym oraz sferze służbowej. Ale czy nadzwyczajna sytuacja powinna mieć przełożenie na kwestię respektowania prawa dotyczącego ochrony danych osobowych?

Według obowiązujących obecnie procedur bezpieczeństwa, konieczne jest zbieranie danych osobowych od osób, które między innymi dopiero wróciły do kraju lub były wcześniej narażone na kontakt z osobą zarażoną, jednak według obserwacji nie zawsze odbywa się to zgodnie z wymogami RODO.

Przykładem była sytuacja, która miała miejsce na lotnisku Chopina w Warszawie, gdzie po wylądowaniu samolotu, wszyscy pasażerowie musieli zgodnie z obowiązującą procedurą wypełnić Kartę Lokalizacji Pasażera. Dokument ten nie zawierał informacji o administratorze danych osobowych oraz o czasie, przez jaki będą one przetwarzane. Takiej wiedzy nie posiadała również załoga pokładowa. W przypadku ewentualnej odmowy wypełnienia karty, pasażerom miano rzekomo odmówić prawa do opuszczenia samolotu.

Później udało się ustalić, że administratorem zebranych w samolocie danych osobowych jest Państwowy Graniczny Inspektor Sanitarny (PGIS) w Warszawie, który podlega pod Główny Inspektorat Sanitarny. Według informacji źródłowej, Urząd Ochrony Danych Osobowych potwierdził, że GIS nie konsultował z nim wcześniej umieszczania na Karcie Lokalizacji Pasażera stosownej klauzuli informacyjnej. Później została ona niejako zastąpiona komunikatem opublikowanym na stronie internetowej Lotniska Chopina.

Podobny przypadek nieprzestrzegania zasad nałożonych przez RODO zaobserwowałam, gdy w pociągu relacji Warszawa – Łódź zidentyfikowano człowieka, który rzekomo uciekł ze szpitala. Zgodnie z obowiązującymi wymogami, załoga zebrała od wszystkich pasażerów dane osobowe (imię i nazwisko, adres zameldowania, numer telefonu oraz PESEL), które spisano na kartkach, które nie były oficjalnymi formularzami. W trakcie tej procedury, mimo wielokrotnych prób, nie uzyskałam informacji na temat procesu przetwarzania pozyskanych danych osobowych.

Z prawnego punktu widzenia, epidemia stanowi uzasadnienie do zbierania danych wrażliwych, jednak wymogiem jest zastosowanie do tego działań adekwatnych i niezbędnych, przy szczególnym zachowaniu środków zabezpieczających zebrane dane.

Kolejny wymiar problemu respektowania RODO w czasie pandemii dotyka już areny międzynarodowej. Wśród pracodawców nastąpiła bowiem dezorientacja, jakie pytania dotyczące stanu zdrowia skierowane do pracownika, są zgodne z prawem. Przyczyną niepewności jest rozbieżność w modelach przyjętych przez kraje europejskie.

Z założenia, jedynie kluczowe informacje potrzebne do utrzymania poziomu bezpieczeństwa wszystkich pracowników powinny być zbierane przez pracodawców, co podtrzymała Wielka Brytania, Dania i Irlandia. W opozycji stanęła natomiast Francja oraz Włochy, gdzie stwierdzono, że firmy nie powinny dopytywać zatrudnionych o ich stan zdrowia czy też historię podróży.

Sytuację pomogła dopiero rozwiązać Europejska Rada Ochrony Danych (European Data Protection Board), według której RODO pozwala „właściwym organom zdrowia publicznego i pracodawcom przetwarzać dane osobowe w kontekście epidemii”. EDPB dodaje jednak, że informacje muszą być „sprecyzowane i konkretne”, a pracodawcy nie mogą wysuwać nadmiernych żądań w trakcie ich pozyskiwania. Dodatkowo, cały proces musi być zgodny z obowiązującym prawem krajowym, przy czym to samo dotyczy kontroli lekarskich pracowników – jeśli pozwala na to prawo krajowe, pracodawcy mogą je zlecić. Organ zezwala również na informowanie pracowników, że dana osoba może być lub jest zarażona – i tu ponownie, personalia mogą zostać ujawnione, jeśli prawo krajowe na to pozwala, a osoba, której problem dotyczy, zostanie o tym poinformowana.

Powiązane wpisy


Napisz komentarz

XHTML: Możesz użyć tagów: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>