„Rządy, a także organizacje publiczne, prywatne i ochotnicze podejmują niezbędne kroki w celu ograniczenia rozprzestrzeniania się i łagodzenia skutków COVID-19, powszechnie określanego jako koronawirus. Wiele z tych kroków będzie wiązało się z przetwarzaniem danych osobowych (takich jak imię i nazwisko, adres, miejsce pracy, dane dotyczące podróży) osób fizycznych, w tym w wielu przypadkach danych wrażliwych (takich jak dane dotyczące zdrowia).
Przepisy prawa dot. ochrony danych osobowych nie stoją na przeszkodzie świadczeniu opieki zdrowotnej i zarządzaniu kwestiami zdrowia publicznego, niemniej jednak istnieją ważne czynniki, które należy wziąć pod uwagę podczas przetwarzania danych osobowych w tym celu, w szczególności danych dotyczących zdrowia i innych wrażliwych danych.
Środki podjęte w odpowiedzi na koronawirusa, obejmujące wykorzystanie danych osobowych, w tym danych zdrowotnych, powinny być konieczne i proporcjonalne. Decyzje w tym zakresie powinny być oparte na wytycznych oraz wskazówkach organów zdrowia publicznego lub innych właściwych organów.
Organizacje powinny również wziąć pod uwagę następujące obowiązki:
Zgodność z prawem
Istnieje wiele podstaw prawnych przetwarzania danych osobowych na mocy art. 6 RODO oraz warunków zezwalających na przetwarzanie specjalnych kategorii danych osobowych, takich jak dane dotyczące zdrowia, zgodnie z art. 9 RODO, które mogą mieć zastosowanie w tym kontekście. W okolicznościach, w których organizacje działają zgodnie ze wskazówkami organów zdrowia publicznego lub innych właściwych organów, prawdopodobne jest, że art. 9 ust. 2 lit. i RODO i art. 53 ustawy o ochronie danych z 2018 r. zezwalają na przetwarzanie danych osobowych, w tym danych dotyczących zdrowia, po wdrożeniu odpowiednich zabezpieczeń. Takie zabezpieczenia mogą obejmować ograniczenie dostępu do danych, ścisłe terminy usuwania danych oraz inne środki, takie jak odpowiednie szkolenie personelu z zagadnień dotyczących ochrony danych osobowych.
Pracodawcy są również prawnie zobowiązani do ochrony swoich pracowników na mocy ustawy o bezpieczeństwie, zdrowiu i opiece społecznej w pracy z 2005 r. z późniejszymi zmianami. Obowiązek ten wraz z art. 9 ust. 2 lit. b RODO stanowi podstawę prawną do przetwarzania danych osobowych, w tym danych dotyczących zdrowia, jeżeli zostanie to uznane za konieczne i proporcjonalne. Wszelkie przetwarzane dane muszą być jednak traktowane w sposób poufny. Wszelka komunikacja z pracownikami na temat możliwej obecności koronawirusa w miejscu pracy nie powinna zasadniczo identyfikować poszczególnych pracowników.
Przetwarzanie danych osobowych jest również dozwolone w celu ochrony żywotnych interesów osoby, której dane dotyczą, lub innych osób, w razie potrzeby. Dane dotyczące zdrowia mogą być przetwarzane w tym celu, jeżeli podmioty danych nie są fizycznie lub prawnie zdolne do wyrażenia zgody na przetwarzanie. Zazwyczaj będzie to miało zastosowanie tylko w sytuacjach awaryjnych, w których nie można ustalić innej podstawy prawnej.
Przejrzystość
Organizacje przetwarzające dane osobowe muszą przestrzegać zasady przejrzystości w odniesieniu do środków, które stosują w celu gromadzenia danych osobowych i czasu ich przechowywania. Muszą przekazywać osobom fizycznym informacje dotyczące przetwarzania ich danych osobowych w formie zwięzłej, łatwo dostępnej, łatwej do zrozumienia oraz w jasnym i prostym języku.
Poufność
Wszelkie przetwarzanie danych w celu zapobiegania rozprzestrzenianiu się COVID-19 musi odbywać się w sposób zapewniający bezpieczeństwo danych, w szczególności w przypadku danych dotyczących zdrowia. Tożsamości osób poszkodowanych nie należy ujawniać żadnym stronom trzecim ani ich współpracownikom bez wyraźnego uzasadnienia.
Minimalizacja danych
Podobnie jak w przypadku każdego przetwarzania danych, tylko minimalna niezbędna ilość danych powinna być przetwarzana, aby osiągnąć cel w postaci zapobiegania rozprzestrzenianiu się COVID-19 lub ograniczenia go.
Odpowiedzialność
Administratorzy powinni również upewnić się, że dokumentują każdy proces decyzyjny dotyczący środków wdrożonych w celu zapobiegania rozprzestrzenianiu się COVID-19, który wiąże się z przetwarzaniem danych osobowych.
Organizacje i pracodawcy zadali nam szereg pytań na temat tego, w jaki sposób mogą zapewnić, że wszelkie podejmowane środki są zgodne z prawem o ochronie danych. Poniżej pytania i nasze odpowiedzi:
Czy pracodawca może wymagać od wszystkich pracowników i gości budynku wypełnienia kwestionariusza zawierającego informacje na temat ich ostatniej historii podróży dotyczącej krajów dotkniętych wirusem oraz informacje medyczne, takie jak np. objawy gorączki?
Jak wspomniano powyżej, pracodawcy są prawnie zobowiązani do ochrony zdrowia swoich pracowników i utrzymania bezpiecznego miejsca pracy. W tym względzie oraz w obecnych okolicznościach pracodawcy mogą poprosić pracowników i gości odwiedzających zakład pracy o przekazanie informacji na temat odwiedzin w kraju ryzyka lub objawów mogących świadczyć o zakażeniu COVID – 19.
Wdrożenie bardziej rygorystycznych wymagań, takich jak kwestionariusz, musiałoby mieć silne uzasadnienie poparte przeprowadzoną oceną ryzyka. Powinno to uwzględniać szczególne czynniki organizacyjne, takie jak podróże pracowników związanych z ich obowiązkami, obecność osób wymagających szczególnego traktowania w miejscu pracy oraz wszelkie wskazówki lub wytyczne organów ds. zdrowia publicznego. Wszelkie pytania dotyczące odpowiednich środków, które należy wdrożyć w celu ochrony przed COVID-19, należy kierować do organów zdrowia publicznego.
Czy pracodawca może poprosić o bardziej szczegółowe informacje na temat choroby pracownika, potwierdzone zaświadczeniami lekarskimi w świetle sytuacji związanej z COVID-19?
Podczas gdy pracodawcy są prawnie zobowiązani do ochrony zdrowia swoich pracowników, pracownicy mają również obowiązek dołożyć należytej staranności, aby chronić swoje zdrowie i zdrowie każdej innej osoby w miejscu pracy. W tym względzie pracodawcy są uprawnieni, aby wymagać od pracowników informacji o zdiagnozowaniu u nich COVID-19, aby umożliwić podjęcie niezbędnych kroków. Należy jednak pamiętać, że rejestracja wszelkich informacji zdrowotnych musi być uzasadniona i oparta na faktach oraz musi ograniczać się do tego, co jest konieczne, aby umożliwić pracodawcy wdrożenie środków w zakresie zdrowia i bezpieczeństwa. Pracodawcy powinni postępować zgodnie ze wskazówkami organów zdrowia publicznego, które mogą wymagać ujawnienia danych osobowych w interesie publicznym w celu ochrony przed poważnymi zagrożeniami dla zdrowia publicznego. W takich okolicznościach pracodawcy powinni postępować zgodnie ze wskazówkami organów zdrowia publicznego, którzy poinstruują ich, co powinni zrobić, jeśli pracownik wykazuje objawy COVID-19.
Czy pracodawca może odesłać pracowników do domu z pracy, jeśli potwierdzono, że mają wirusa?
W przypadku potwierdzenia u pracownika COVID-19, należy niezwłocznie zwrócić się do organów ds. zdrowia publicznego, jakie kroki należy podjąć. Decyzja o wysłaniu pracowników do domu z pracy nie jest kwestią ochrony danych i może mieć inne konsekwencje dla pracodawców związane z prawem pracy np. prawo do zasiłku chorobowego.
Czy pracodawca może ujawnić, że pracownik ma wirusa wśród swoich kolegów?
Należy tego unikać w celu zachowania poufności danych osobowych pracownika. Na przykład, pracodawca może poinformować pracowników o wystąpieniu lub podejrzewanym przypadku COVID-19 w organizacji, prosząc ich przy tym o pracę z domu. W komunikacie nie należy wymieniać osoby, której dotyczy problem. Organy zdrowia publicznego mogą wymagać ujawnienia tych informacji w celu wykonywania swoich obowiązków z związku z walką z COVID-19.
Czy terminy odpowiedzi na żądania podmiotów danych wskazane w RODO obowiązują w sytuacji, gdy organizacja jest tymczasowo zamknięta lub zdolność do obsługi wniosków jest ograniczona z powodu COVID-19?
Komisja Ochrony Danych przyjmuje do wiadomości znaczący wpływ COVID-19 na zdolność organizacji do reagowania na żądania RODO od osób fizycznych. Chociaż ramy czasowe odpowiadania na żądania osób są określone w RODO i nie mogą być zmieniane, uznajemy, że nieuniknione opóźnienia mogą wynikać bezpośrednio z wpływu COVID-19.
Szczególnie mamy na uwadze fakt, że organizacje i instytucje świadczące usługi o kluczowym znaczeniu, takie jak opieka zdrowotna, mogą potrzebować przekierowania zasobów ludzkich do obsługi priorytetowych obszarów w zakładzie pracy, co będzie miało wpływ na inne obszary, takie jak obsługa wniosków o dostęp do danych osobowych. Każda organizacja mająca trudności z odpowiedzią na wnioski powinna komunikować się z zainteresowanymi osobami w sprawie obsługi ich wniosku, w tym na temat przedłużenia terminu udzielenia odpowiedzi i przyczyn opóźnienia w udzieleniu odpowiedzi. RODO przewiduje przedłużenie o dwa miesiące, aby odpowiedzieć na wniosek w razie potrzeby, biorąc pod uwagę złożoność i liczbę wniosków.
Organizacje, które mają trudności z realizacją wniosków, powinny również rozważyć, czy możliwe jest odpowiadanie na wnioski etapami. Na przykład organizacja, której pracownicy pracują zdalnie, może mieć trudności z dostępem do dokumentów w formie papierowej. W takim przypadku może być możliwe dostarczenie wnioskodawcy zapisów elektronicznych, z wydrukami dostarczonymi na późniejszym etapie.
W przypadku gdy organizacja, z powodu wpływu COVID-19, nie może odpowiedzieć na wniosek w całości lub w części w ustawowych ramach czasowych, zobowiązana jest do rozpatrzenia wniosku w najbliższym możliwym terminie. Dla celów rozliczalności i przejrzystości powody nieprzestrzegania terminów powinny być udokumentowane przez organizację i jasno przedstawione zainteresowanym osobom.
W przypadku wniesienia skargi do DPC, DPC zbada i weźmie pod uwagę wszelkie okoliczności łagodzące dla organizacji w związku z COVID-19.”
Źródło – https://dataprotection.ie/en/news-media/blogs/data-protection-and-covid-19
adw. Piotr Stankiewicz (opracowanie i tłumaczenie).