RODO zezwala na przetwarzanie danych osobowych dotyczących zdrowia bez zgody zainteresowanej strony w sytuacjach związanych z interesem publicznym w dziedzinie zdrowia publicznego i zgodnie z obowiązkami prawnymi w miejscu pracy wynikającymi z takich sytuacji.
Hiszpańska Agencja Ochrony Danych (AEPD) opublikowała raport, w którym analizuje przetwarzanie danych osobowych w związku z sytuacją wynikającą z rozprzestrzeniania się wirusa COVID-19. RODO zawiera niezbędne zasady, aby zgodnie z prawem zezwolić na przetwarzanie danych osobowych w sytuacjach, w których występuje ogólny stan zagrożenia zdrowia. W związku z tym, jak stwierdzono w raporcie, ochrona danych nie powinna być wykorzystywana do ograniczania lub ograniczania skuteczności środków podjętych przez władze, a zwłaszcza służby zdrowia w walce z pandemią.
AEPD stwierdza, że RODO wyraźnie uznaje w swoim motywie 46 podstawę prawną przetwarzania danych osobowych w wyjątkowych przypadkach, takich jak kontrola epidemii i ich rozprzestrzeniania się, misja realizowana w interesie publicznym (art. 6 ust. 1 lit. e RODO) lub istotne interesy zainteresowanej strony lub innych osób fizycznych (art. 6 ust. 1 lit. d RODO), niezależnie od tego, że mogą istnieć inne podstawy, takie jak na przykład wypełnienie obowiązku prawnego (dla pracodawcy w zakresie zapobiegania ryzyku zawodowemu dla jego pracowników). Te podstawy prawne umożliwiają przetwarzanie danych bez zgody osób, których to dotyczy.
Dane dotyczące zdrowia są klasyfikowane w rozporządzeniu jako specjalne kategorie danych, a ich przetwarzanie jest zabronione, chyba że można je objąć jednym z wyjątków zawartych w przepisach. Raport określa wyjątki zawarte w art. 9 ust. 2 RODO:
- AEPD powołuje się na przestrzeganie obowiązków w zakresie prawa pracy oraz zabezpieczenia społecznego i ochrony (art. 9 ust. 2 lit. b RODO). AEPD przypomina o obowiązkach pracodawców i ich pracowników w zakresie zapobiegania ryzyku zawodowemu oraz, że do każdego pracownika należy zapewnienie własnego bezpieczeństwa i zdrowia w pracy oraz tych osób, które mogą mieć wpływ na ich działalność zawodową. Oznacza to, że pracownicy muszą poinformować swojego pracodawcę w przypadku podejrzenia kontaktu z wirusem, w celu ochrony, oprócz własnego zdrowia, zdrowia innych pracowników w miejscu pracy, aby można było podjąć odpowiednie środki.
- Kolejna podstawa to niezbędność przetwarzania w interesie publicznym w dziedzinie zdrowia publicznego, o którym mowa w art. 9 ust. 2 lit. i RODO, który w tym przypadku jest skonfigurowany jako istotny interes publiczny, o którym mowa w art. 9 ust. 2 lit. g RODO.
- W przypadku konieczności przeprowadzenie diagnozy medycznej zastosowanie z kolei znajduje art. 9 ust. 2 lit. h RODO.
- Gdy leczenie jest konieczne w celu ochrony żywotnych interesów zainteresowanej strony lub innych osób, gdy zainteresowana strona nie jest w stanie wyrazić zgody, podstawę przetwarzania danych stanowi art. 9 ust. 2 lit. c RODO.
W dalszej części raport AEPD odnosi się do ustawy organicznej 3/1986 o specjalnych środkach w sprawach zdrowia publicznego (zmienionej dekretem królewskim 6/2020 z 10 marca 2020 roku) lub ogólnej ustawy o zdrowiu publicznym 33/2011. Pierwszy ze wspomnianych aktów prawnych wskazuje, że „w celu kontroli chorób zakaźnych organ ochrony zdrowia, oprócz ogólnych działań zapobiegawczych, może przyjąć odpowiednie środki w celu kontroli chorych, osób, które są lub były w kontakt z nimi i najbliższym otoczeniem, a także tymi, które uważa się za konieczne w przypadku ryzyka przenoszenia ”.
Jeżeli chodzi o ryzyko przenoszenia chorób, epidemii, kryzysów zdrowotnych itp., obowiązujące przepisy dały organom ochrony zdrowia publicznego uprawnienia do przyjęcia niezbędnych środków przewidzianych przez prawo, gdy wymagają tego pilne względy zdrowotne lub konieczność. Z punktu widzenia przetwarzania danych osobowych ochrona żywotnych interesów osób fizycznych odpowiada w dziedzinie zdrowia różnym organom ds. zdrowia publicznego, które mogą podjąć niezbędne środki w celu ochrony ludzi w nagłych przypadkach zdrowotnych.
Tak więc to organy ochrony zdrowia publicznego muszą podjąć niezbędne decyzje, a podmioty odpowiedzialne za przetwarzanie danych osobowych muszą postępować zgodnie z tymi instrukcjami, nawet jeśli dotyczy to przetwarzania danych osobowych dotyczących zdrowia.
W ten sam sposób oraz zgodnie z przepisami rozporządzeń dotyczących zapobiegania ryzyku w pracy, pracodawcy mogą przetwarzać, zgodnie z wymienionymi przepisami i gwarancjami określonymi w tych przepisach, dane niezbędne do zagwarantowania zdrowia wszystkich pracowników w celu uniknięcia zarażeń w zakładach pracy.
Wreszcie AEPD podkreśla w raporcie, że przetwarzanie danych osobowych, nawet w sytuacjach zagrożenia zdrowia, musi być nadal przetwarzane zgodnie z przepisami dotyczącymi ochrony danych osobowych tj. RODO i ustawą organiczną 3/2018 o ochronie danych osobowych i gwarancji praw cyfrowych, ponieważ przepisy te przewidują taką ewentualność, do której mają zastosowanie jej zasady, a wśród nich: zasada traktowania danych osobowych w sposób zgodny z prawem, lojalności i przejrzystości, ograniczenia celu (w tym przypadku ochrona interesów ludzi w tej pandemii), zasada dokładności i zasada minimalizacji danych. W tym ostatnim przypadku nawiązuje się wyraźnie do faktu, że przetwarzane dane muszą być ograniczone wyłącznie do tego, co jest konieczne do zamierzonego celu, przy czym takie przetwarzanie nie może być rozszerzone na inne dane osobowe, które nie są absolutnie niezbędne do tego celu.
mec. Piotr Stankiewicz (tłumaczenie i opracowanie)