Osoby, których dane dotyczą – zarówno osoby fizyczne oraz pracodawcy i pracownicy służby zdrowia skontaktowali się z Nemzeti Adatvédelmi és Információszabadság Hatóság (węgierski krajowy organ ds. ochrony danych i wolności informacji) w związku z trudnościami w zakresie przetwarzania danych osobowych w związku z walką z koronawirusem (COVID-19), rozprzestrzeniającym się niezwykle szybko, pytając o rodzaj środków, które można wdrożyć, aby powstrzymać wirusa zgodnie z obowiązującymi wymogami prawa ochrony danych osobowych i czy możliwe jest przetwarzanie danych osobowych – w szczególności danych dotyczących zdrowia, które stanowią szczególną kategorię danych.
Z otrzymanych przez organ informacji wynika, że w celu zidentyfikowania osób potencjalnie zarażonych, które mogą zagrozić zdrowiu swoich współpracowników, nawet przed zdiagnozowaniem choroby przez lekarza, niektóre organizacje gromadzą dane osobowe, w tym dane wrażliwe (dane dotyczące zdrowia), wykorzystując w tym celu kwestionariusze lub urządzenia pomiarowe do mierzenia temperatury ciała.
W związku z powyższym organ wydał następujące rekomendacje na temat przetwarzania danych związanych z koronawirusem w celu opracowania zgodnych praktyk przetwarzania danych przez administratorów danych i procesorów oraz w celu zapewnienia skutecznej ochrony prywatności osób, których dane dotyczą. Wytyczne te dotyczą zarówno sektora publicznego jak i prywatnego, a także przetwarzania danych osobowych osób pozostających w stosunku pracy lub w innym stosunku prawnym mających na celu wykonywanie pracy oraz innych osób trzecich takich jak klienci czy goście zakładu pracy.
Zgodnie z obowiązującymi przepisami dotyczącymi ochrony danych, administrator danych – pracodawca wzywający do kontroli oraz lekarz zapewniający opiekę zdrowotną – ponoszą główną odpowiedzialność za zgodność z prawem przetwarzania danych osobowych. Znaczna część administratorów danych obowiązana jest do stosowania w tym zakresie przepisów RODO z wyłączeniem podmiotów uczestniczących w przetwarzaniu danych osobowych wyłącznie na podstawie przepisów szczególnych. Chodzi w szczególności o organy ścigania, obrony i bezpieczeństwa narodowego.
Przetwarzanie danych, w tym gromadzenie, przekazywanie i wykorzystywanie wrażliwych danych osobowych (danych o zdrowiu) musi odbywać się z uwzględnieniem ogólnych zasad ochrony danych. Ważne jest aby, przetwarzanie danych osobowych było uzasadnione tylko wtedy, gdy cel przetwarzania danych nie może zostać osiągnięty innymi środkami niewymagającymi przetwarzania danych. Należy w każdym przypadku sprawdzić, czy istnieją skuteczne rozwiązania, które stanowią mniejsze zagrożenie dla prywatności osób tj. określenie podstawowych zasad stosowania środków higienicznych, dokładniejsze czyszczenie narzędzi i biur, dostarczanie środków dezynfekujących i egzekwowanie ich częstszego używania, ustalenie kolejności przyjmowania klientów czy używanie szklanych ścianek działowych w biurach obsługi klienta. Takie działania mogą w niektórych przypadkach zapewniać skuteczne rozwiązania w walce z koronawirusem bez konieczności przetwarzania danych osobowych.
Jeżeli środki, o których mowa powyżej są niewystarczające, a przetwarzanie danych osobowych wydaje się absolutnie konieczne, administrator danych musi przede wszystkim określić dokładne cele przetwarzania danych i podstawę prawną takiego przetwarzania z poszanowaniem zasady minimalizacji danych. Dane, które mają być przetwarzane (gromadzone i przechowywane), muszą być absolutnie konieczne i proporcjonalne, aby cel został osiągnięty. Administratorzy danych muszą również zapewnić przejrzystość przetwarzania danych, a także ich bezpieczeństwo.
Zgodnie z art. 13 RODO podmiotom danych należy udzielić informacji o celu przetwarzania danych, okresie przechowywania danych oraz zakresie osób upoważnionych do dostępu do danych – w sposób łatwy do zrozumienia dla osób, których dane dotyczą. W przypadku przetwarzania danych na podstawie art. 6 ust. 1 lit. f RODO należy sprawdzić czy cel przetwarzania jest nadrzędny wobec praw i wolności osób, których dane dotyczą. Pracodawca jest odpowiedzialny za organizacje pracy w taki sposób, aby nie zagrażała życiu i zdrowiu pracowników oraz planowanie w związku z tym procesów przetwarzania danych.
Pracodawca może zatem opracować tzw. plan działania na wypadek walki z pandemią, wprowadzając działania zapobiegawcze oraz odpowiednie środki po pojawieniu się infekcji, uwzględniając przy tym kwestie związane z ochroną danych osobowych, zasady ponoszenia odpowiedzialności w organizacji za zgodność z prawem przetwarzania oraz budowania wydajnych i odpowiednich kanałów komunikacji ułatwiających dostarczanie informacji osobom, których dane dotyczą.
W ramach planu działania, w celu ograniczenia zagrożeń należy sporządzić i udostępnić pracownikom szczegółowy dokument informacyjny na temat najważniejszych zagadnień związanych z koronawirusem (źródło zakażenia, sposób rozprzestrzeniania się, okres rozwijania się choroby, objawy, zapobieganie) oraz informacji na temat tego, gdzie należy zwrócić się w przypadku jakiegokolwiek domniemanego kontaktu z koronawirusem lub po wystąpieniu innych objawów określonych w materiale informacyjnym. W razie potrzeby może być konieczna reorganizacja podróży służbowych, imprez służbowych oraz innych wydarzeń czy konieczność wprowadzenie zasad realizacji pracy poza miejscem pracy. W przypadku jakiegokolwiek domniemanego kontaktu z koronawirusem i po wystąpieniu innych objawów określonych w materiale informacyjnym, osoby które podejrzewają możliwość zakażenia powinny zgłosić to wyznaczonej w zakładzie pracy osobie i niezwłocznie udać się do lekarza firmowego lub innego lekarza w celu przeprowadzenia odpowiednich badań.
Jeżeli pracownik zgłosi podejrzenie zakażenia lub pracodawca ustali to na podstawie innych informacji przekazanych przez pracownika, pracodawca może zarejestrować datę zgłoszenia i podstawowe dane osobowe pracownika, miejsce i datę zagranicznych podróży pracownika do kraju wskazanego w materiale informacyjnym pracodawcy, również tych w celach prywatnych, dane dotyczące kontaktu z osobą przybywającą z terytoriów wskazanych w materiale informacyjnym pracodawcy, środki podjęte przez pracodawcę tj. zapewnienie możliwości wizyty u lekarza firmowego czy informację o kwarantannie
W odniesieniu do wskazanego powyżej zakresu danych organ uznaje za niedopuszczalne, aby wszyscy pracownicy, musieli wypełniać kwestionariusze, jeżeli na podstawie wstępnej oceny ryzyka przeprowadzonej przez pracodawcę pracodawca uzna, że zastosowanie tej metody jest konieczne i proporcjonalne, bowiem ogranicza to w ocenie organu prawo pracowników do prywatności. Organ wyraźnie podkreśla jednak, że prowadzony przez pracodawcę rejestr nie może zawierać danych dotyczących historii medycznej osoby, której dane dotyczą, a pracodawca nie może wymagać od pracowników dołączania dokumentacji medycznej.
Podstawa prawna przetwarzania danych, o których mowa powyżej, może być oparta o art. 6 ust. 1 lit. f RODO lub w przypadku przetwarzania danych przez organizacje wykonujące zadania publiczne lub wykonujące uprawnienia publiczne, może to być art. 6 ust. 1 lit. e RODO z uwagi na potrzebę wykonywania ich podstawowych obowiązków. Przetwarzanie danych dotyczących zdrowia może być oparte o art. 9 ust. 2 lit. b RODO, ponieważ przepisy prawa pracy wymagają od pracodawcy zapewnienia zdrowych i bezpiecznych warunków pracy.
Zgodnie ze stanowiskami przyjętymi przez organy nadzorcze innych państw członkowskich, mając jednak na względzie obecną sytuację epidemii na Węgrzech, organ węgierski stoi na stanowisku, że przeprowadzenie badań temperatury ciała wśród pracowników oraz wyciągnięcie wniosków z tych pomiarów jest uprawnieniem pracowników służby zdrowia i władz. Jeśli jednak z informacji pozyskanych od pracownika wynika, ze może być on osobą potencjalnie zarażaną koronawirusem z uwagi na przekazane informacje zwiększające to zagrożenie, wówczas pracodawca może zobowiązać pracownika do poddania się odpowiednim badaniom, które powinny być wykonane przez pracowników służby zdrowia a pracodawca może być jedynie poinformowany o wynikach tych badań.
W związku z przetwarzaniem danych dotyczących osób trzecich niezwiązanych z pracodawcą stosunkiem pracy tj. goście czy klienci, organ podkreśla, że w trakcie wdrażania w ramach planu działania wzmocnionej kontroli osób wchodzących na teren zakładu, należy zwrócić szczególną uwagę na ważenie ryzyka związanego z ochroną danych w przypadku środków zastosowanych w celu przeciwdziałania rozprzestrzeniania się pandemii koronawirusa. Pracodawca może w sposób efektywny budować odpowiednie kanały informacyjne w celu przekazywania informacji na temat wdrożonych działań i przekazania ich również osobom trzecim takim jak goście i klienci. W swoich planach działania pracodawcy mogą regulować kwestie wprowadzonych działań zapobiegawczych w walce z koronawiursuem, które mogą różnić się od zasad stosowanych w stosunku do pracowników, niekoniecznie musi temu towarzyszyć przetwarzanie danych osobowych (na przykład wprowadzenie zakazu wstępu na teren zakładu pracy dla osób trzecich).
Organ zwraca ponadto uwagę na fakt, że zgodnie z Kodeksem karnym osoba, która nie poddaje się środkom epidemiologicznym wprowadzonym przez właściwą organizację, popełnia przestępstwo. W takich przypadkach policja jest uprawniona do przetwarzania danych osobowych zgodnie z treścią ustawy XXXIV z 1994 r. o Policji, ustawy XC z 2017 r. o postępowaniu karnym oraz przepisów ustawy o prywatności. W trakcie swoich działań służby mogą również stosować nadzór wideo w przestrzeni publicznej zgodnie z obowiązującymi przepisami prawa.
W niniejszym opracowaniu pominięto kwestie niezwiązane z ochroną danych osobowych, o których pobocznie wypowiedział się organ węgierski.
Źródło: https://www.naih.hu/files/NAIH_2020_2586_EN.pdf
adw. Piotr Stankiewicz (opracowanie)