RODO versus COVID-19: dezorientacja przedsiębiorców wynikiem braku jasnych wytycznych związanych z ochroną danych osobowych

Laura Benachir
Laura Benachir Starszy Analityk
kontakt

Nowe realia biznesowe, dynamicznie definiowane przez pandemię koronawirusa COVID-19, w większości przypadków wymusiły na przedsiębiorstwach zmianę ich profilu działalności. Również w kontekście RODO dostrzec można dezorientację, wynikającą między innymi z braku konkretnych wytycznych dla firm.

Prezes UODO, w opublikowanym komunikacie przypomniał przedsiębiorcom, że RODO nie może być przeszkodą w walce z koronawirusem, a specustawa nie kwestionuje zasad przetwarzania danych osobowych, tylko wręcz z nimi koresponduje.

Na mocy wspomnianej specustawy, podmioty gospodarcze mogą otrzymać od Głównego Inspektora Sanitarnego (lub upoważnionej jednostki sanitarnej na szczeblu wojewódzkim) decyzje, nakładające na nie „obowiązek podjęcia określonych czynności zapobiegawczych lub kontrolnych i współdziałania z innymi organami administracji publicznej oraz organami Państwowej Inspekcji Sanitarnej”. Drugim źródłem wytycznych, wydawanych w formie decyzji administracyjnej, jest Prezes Rady Ministrów, który na wniosek wojewody i po poinformowaniu ministra właściwego do spraw gospodarki może wydać polecenie, które podlega „natychmiastowemu wykonaniu z chwilą doręczenia lub ogłoszenia, bez wymogu uzasadnienia”.

Wszystko to pozostaje w zgodności z przepisami RODO, gdzie art. 9 ust. 2 lit i oraz art. 6 ust. 1 lit d traktują o ochronie zdrowia i zapobieganiu rozprzestrzeniania się chorób zakaźnych, a motyw 46 o niezbędnym przetwarzaniu danych osobowych, w kontekście „ochrony życia osoby, której dane dotyczą np. gdy przetwarzanie jest potrzebne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się”.

Jak wynika z analizy treści komunikatu UODO, przedsiębiorcy znajdą w nim ogólne zalecenia, według których firmy powinny postępować w zgodzie z wytycznymi publikowanymi przez Państwową Inspekcję Sanitarną, a pytania związane z działaniami dedykowanymi walce z epidemią mogą kierować do Głównego Inspektora Sanitarnego.

Szczegółowych wytycznych nie podała również Europejska Rada Ochrony Danych (European Data Protection Board), która ograniczyła się do przeniesienia odpowiedzialności na prawo krajowe, o czym sygnalizowaliśmy we wcześniejszym artykule.

Na mocy powyższego, przedsiębiorcy są uprawnieni do podjęcia kroków, które będą zgodne z interpretacją podstawy prawnej. W przypadku, gdy pracodawca ma na celu jedynie ochronę pozostałych pracowników oraz działa zgodnie z wymogami nałożonymi przez wymienione organy, podwładny nie ma prawa odmówić udzielenia informacji. Do takich działań można zaliczyć przede wszystkim:

  • mierzenie temperatury ciała: w trakcie przeprowadzania badań losowych (bez zidentyfikowania danej osoby) w świetle prawa nie zachodzi proces zbierania danych osobowych; według zasady minimalizacji, jedynie przypadki podwyższonej temperatury powinny zaliczać się do identyfikowalnej puli,
  • uzyskiwanie od pracownika informacji związanej z historią jego wcześniejszych miejsc pobytu – szczególnym przypadkiem są miejsca podwyższonego ryzyka, czyli takie, gdzie zarejestrowano istotnie wyższą liczbę zachorowań; wówczas od pracodawcy wymaga się w trakcie zbierania tych danych eliminacji wszelkich kroków, mogących zostać odebrane, jako działania szykanujące,
  • uzyskiwanie od pracownika informacji o jego zakażeniu lub kwarantannie,
  • udzielanie informacji pozostałym pracownikom o zidentyfikowaniu zakażonego pracownika. Również w tym przypadku od pracodawcy wymaga się przekazania danej informacji w taki sposób, by dana osoba mogła uniknąć wszelkich wymierzonych w nią działań, mogących zostać odebrane, jako szykanujące.

Zalecenia związane z ochroną danych osobowych sięgnęły również do kwestii zdalnego świadczenia usług pracy. Od pracowników wymaga się między innymi korzystania z dedykowanego sprzętu oraz oprogramowania, ze szczególnym podkreśleniem konieczności wykonywania wymaganych przez system aktualizacji. Do miejsca pracy nie powinny mieć dostępu osoby trzecie, a wykorzystywany sprzęt musi być blokowany, w przypadku tymczasowego opuszczenia zajmowanego przez nas stanowiska.

Odrębny przypadek stanowią pracownicy, którzy z racji profilu swojej działalności muszą korzystać z dokumentacji papierowej, zawierającej dane osobowe. Jako, że pracodawcy są w świetle prawa administratorami takich danych, wymaga się od nich zapewnienia zwiększonego poziomu ochrony w trakcie ich przetwarzania. W związku z tym, UODO sformułował zasady korzystania z dokumentacji papierowej w trakcie wykonywania pracy zdalnej, które opublikował w osobnym komunikacie. Należy jednak pamiętać, że korzystanie z takiej dokumentacji nie będzie zasadne w przypadku jakichkolwiek przesłanek, stanowiących o tym, że dany pracodawca ma możliwość udostępnienia elektronicznego obiegu dokumentacji.

Powiązane wpisy


Napisz komentarz

XHTML: Możesz użyć tagów: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>