LexDigital

Ochrona danych osobowych w czasach pandemii - na co należy zwrócić uwagę?

W związku z zaistniałą sytuacją pojawiły się liczne kontrowersje, co do sposobu, podstaw prawnych i możliwości przetwarzania danych osobowych przez administratorów i podmioty przetwarzające. Rzecz głównie dotyczy pracodawców, którzy z jednej strony zobowiązani są do zapewnienia bezpieczeństwa przetwarzania danych, z drugiej zaś – do zachowania bezpieczeństwa zdrowia i życia pracowników.

Ochrona danych osobowych w czasach pandemii - na co należy zwrócić uwagę?

Pandemia w świetle prawa

COVID-19 to choroba zakaźna wywołana koronawirusem SARS-CoV-1 przenoszonym drogą kropelkową. Pierwszy potwierdzony przypadek zachorowania w Polsce odnotowano 4 marca w Zielonej Górze. Na dzień 25 marca liczba chorych wyniosła 927, w tym 12 przypadków śmiertelnych[1]. Skala zachorowań, tempo rozprzestrzeniania się wirusa i związane z tym konsekwencje gospodarcze, ekonomiczne i społeczne uznaje się za bezprecedensowe, dlatego rząd polski w dniu 12 marca 2020 r. w drodze rozporządzenia ministra zdrowia wprowadził w kraju stan zagrożenia epidemicznego, a 21 marca 2020 stan epidemii. Uchwalano również w trybie przyśpieszonym ustawę z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (DZ. U 2020 r. poz. 374) (dalej: Specustawa), która reguluje w sposób szczegółowy konkretne działania odnoszące się do zapobiegania i zwalczania zakażenia ww. wirusem oraz ogranicza na pewien czas obowiązywanie dotychczasowych przepisów. Sytuacja, w której obecnie znajduje się świat implikuje konieczność współdziałania wielu instytucji na arenie międzynarodowej oraz krajowej, w celu wypracowywania najlepszych praktyki postępowania.  W obliczu zagrożenia kluczowe znaczenia ma ścisłe stosowanie się do wytycznych publikowanych w oficjalnych komunikatach organów ustawodawczych i regulujących. 

Podstawy prawne przetwarzania danych osobowych w obliczu pandemii

W związku z zaistniałą sytuacją pojawiły się liczne kontrowersje, co do sposobu, podstaw prawnych i możliwości przetwarzania danych osobowych przez administratorów i podmioty przetwarzające. Rzecz głównie dotyczy pracodawców, którzy z jednej strony zobowiązani są do zapewnienia bezpieczeństwa przetwarzania danych, z drugiej zaś – do zachowania bezpieczeństwa zdrowia i życia pracowników.

Przyjęte w dniu 19 marca 2020 r. przez Europejską Radę Ochrony Danych Oświadczenie w sprawie przetwarzania danych osobowych w kontekście pandemii COVID-19 mówi, że

„Rządy, organizacje publiczne i prywatne w całej Europie podejmują środki mające na celu ograniczenie i złagodzenie skutków pandemii COVID-19. Może się to wiązać z przetwarzaniem różnego rodzaju danych osobowych.  Zasady ochrony danych (takie jak RODO) nie ograniczają środków podejmowanych w ramach walki z pandemią koronawirusa. Walka z chorobami zakaźnymi jest wspólnym celem dla wszystkich narodów i dlatego powinna być wspierana w najlepszy możliwy sposób. W interesie ludzkości leży ograniczenie rozprzestrzeniania się chorób i wykorzystanie nowoczesnych technik w walce z plagami dotykającymi znaczną część świata. Mimo to EROD chciałaby podkreślić, że nawet w tych wyjątkowych czasach administrator i podmiot przetwarzający muszą zapewnić ochronę danych osobowych osób, których dane dotyczą. W związku z tym należy wziąć pod uwagę szereg czynników gwarantujących zgodne z prawem przetwarzanie danych osobowych i we wszystkich przypadkach należy przypomnieć, że wszelkie środki podejmowane w tym kontekście muszą być zgodne z ogólnymi zasadami prawa i nie mogą być nieodwracalne. Sytuacja nadzwyczajna jest warunkiem prawnym, który może uzasadniać ograniczenie wolności, pod warunkiem, że ograniczenia te są proporcjonalne i ograniczone do okresu nadzwyczajnego”[2].

Z treści opublikowanego stanowiska wynika, że pracodawcy mogą przyjąć następujące podstawy prawne przetwarzania danych osobowych w związku z epidemią koronawirusa:

  • przetwarzanie danych szczególnych, w tym dotyczących stanu zdrowia, jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego (art. 9 ust. 2 lit. i RODO);
  • przetwarzanie danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (art. 6 ust. 1 lit. d oraz art. 9 ust. 2 lit. c RODO), przy czym w odniesieniu do przetwarzania danych szczególnych, oparcie przetwarzania na tej podstawie jest dopuszczalne wyłącznie, gdy osoba, której dane dotyczą, jest niezdolna do udzielenia zgody;
  • przetwarzanie danych jest niezbędne do wypełnienia obowiązków ciążących na administratorze (art. 6 ust. 1 lit. c oraz art. 9 ust. 2 lit. b RODO) – w tym kontekście możliwe jest wskazanie obowiązku udostępniania danych i informacji względem służb sanitarnych, wynikającego z art. 5 ust. 1 pkt 4 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi (tj. Dz. U. z 2019 r. poz. 1239, ze zm.).

 Wcześniejsze (wystosowane 12 marca) oświadczenie Prezesa UODO w sprawie koronawirusa odsyła zainteresowanych do Specustawy, jednocześnie podkreślając, że przepisy o ochronie danych osobowych nie mogą być stawiane jako przeszkoda w realizacji działań w związku z walką z koronawirusem. Urząd powołuje się jednak jedynie na (art. 9 ust. 2 lit i art. 6 ust. 1 lit d), jako podstawę przetwarzania danych.

 

Ochrona danych osobowych a informacje przekazywane opinii publicznej w obliczu koronawirusa

Dane dotyczące zdrowia są danymi szczególnej kategorii, których przetwarzanie jest co do zasady zabronione, a dopuszczalne tylko w szczególnych wypadkach.

Pojawia się wiele wątpliwości, co do tego, czy stan epidemii uznać za stan wyższej konieczności i udostępniać publicznie informacje bardziej szczegółowe (niż to się dzieje obecnie) dotyczące osób, u których zdiagnozowano chorobę. Media natarczywie dopytują o szczegóły związane z zakażonymi osobami. Często pytania dotyczą wieku, sytuacji rodzinnej, czy też szczegółów związanych z chorobami współistniejącymi u konkretnego pacjenta. 

Należy pamiętać, że o ile dopuszczalne i uzasadnione jest udzielanie ogólnych informacji o osobie chorej niepozwalających na jej identyfikację, o tyle udostępnianie wszelkich innych danych narusza już regulacje RODO i może skutkować odpowiedzialnością z tytułu naruszenia przepisów o ochronie danych osobowych.

Eksperci w obszarze ochrony danych osobowych wydają się być zgodni co do tego, że stan zagrożenia nie upoważnia do jednoznacznego wskazywania (np. z imienia i nazwiska) osoby, u której stwierdzono koronawirusa. Efektem takich działań mogłoby być stygmatyzowanie tych osób, co znacząco mogłoby na te osoby wpłynąć.

RODO bez wątpienia nie powinno być przeszkodą w walce z koronawirusem. Jednak w imię realizacji takich wartości jak ochrona zdrowia publicznego nie można naruszać istoty podstawowych praw i wolności obywateli. Upublicznianie większej, niż jest to konieczne, ilości informacji dotyczących osób fizycznych w związku z pandemią, jest łamaniem prawa i podlega surowym karom. 


Działania podejmowane przez pracodawców w obliczu nowego wyzwania

Zgodnie z art. 207 Kodeksu pracy pracodawca ma obowiązek chronić zdrowie i życie pracowników oraz zapewnić bezpieczne i higieniczne warunki pracy, a pracownik ma współdziałać z pracodawcą w realizacji tych zadań – art. 211 pkt 7 Kodeksu pracy.

Wielu pracodawców, powołując się na powyższe zdecydowało o dokonywaniu pomiaru temperatury ciała swoich pracowników, w celu uniknięcia rozprzestrzeniania się choroby. Kluczowe jest, aby proces ten odbywał się z zachowaniem jaknajwiększej poufności wobec osoby poddawanej badaniu, w szczególności w taki sposób, aby inne osoby nie mogły zobaczyć jego wyników.

Pracodawcy pozyskują również informacje o tym, czy pracownik przybywał ostatnio w miejscu rozpowszechniania się wirusa lub czy miał kontakt z osobami, które przebywały na takim obszarze. 

Konieczne jest jednak zapewnienie w tym zakresie prawidłowości przetwarzania danych osobowych i spełnienie obowiązku informacyjnego wobec osób podlegających badaniu i udzielających informacji o kierunkach swoich podróży. Należy pamiętać, że powoływanie się na ochronę żywotnych interesów powinno być również uzasadnione, a nie nadużywane. Należy zachować zasadę przejrzystości i legalności przetwarzania danych osobowych.

Szefowa zespołu specjalistów w zakresie ochrony danych osobowych LexDigital – Katarzyna Muszyńska wypowiedziała się na ten temat na łamach gazety prawnej.pl (artykuł w całości dostępny jest pod umieszczonym pod linkiem).

Jako środek prewencyjny, w obliczu rosnącego zagrożenia pracodawcy zastosowali również zlecanie pracownikom pracy zdalnej. Urząd Ochrony Danych Osobowych, 18 marca wydał wytyczne dotyczące sposobów postępowania podczas pracy zdalnej, tak, aby nie naruszać przepisów o ochronie danych (wytyczne UOP dostępne tutaj).

W sprawie wypowiedziało się też wielu specjalistów z obszaru ochrony danych osobowych rekomendujących sporządzenie stosownych dokumentów regulujących proces delegowania pracowników do pracy zdalnej w obliczu pandemii. Warto również wprowadzić odpowiednie zabezpieczenia techniczne w tym zakresie oraz przeszkolić pracowników z zasad bezpiecznej pracy zdalnej.

 

Zapraszamy na bezpłatne webinarium!

Szczegółowe informacje na temat tego jak bezpieczenie zaplanować pracę zdalną będzie można również uzyskać podczas webinarium organizowanego przez OVH Sp. z o.o., 7 kwietnia 2020 roku. Na pytania odpowie m.in. specjalista ochrony danych osobowych – LexDigital – Katarzyna Muszyńska.

-> Link do zapisów
.

 

Życzymy Państwu dużo zdrowia!

Zespół LexDigital


[1] Raport Ministerstwa Zdrowia na dzień 25 marca 2020

[2] W imieniu Europejskiej Rady Ochrony Danych Przewodnicząca Andrea Jelinek

Polecane

Podsumowanie listopadowego newslettera Europejskiego Inspektora Ochrony Danych (EIOD/EDPS)

Podsumowanie listopadowego newslettera Europejskiego Inspektora Ochrony Danych (EIOD/EDPS)

​W listopadowym biuletynie informacyjnym Europejskiego Inspektora Ochrony Danych (EIOD/EDPS) czytamy m.in. o: pierwszej Konferencji Nadzoru EIOD współorganizowanej z Eurojustem – Agencją Unii Europejskiej ds. Współpracy Wymiarów Sprawiedliwości w Sprawach Karnych oraz EPPO – Prokuratura Europejska; ochronie danych osobowych przed atakami typu phishing i ransomware; kontrolach przeprowadzonych przez EIOD wśród trzech dużych systemów informatycznych UE.

Standard TISAX

Standard TISAX

Firmy z branży automotive wiedzą o standardzie TISAX. Podłożem standardu jest kompleks wymagań branżowych, które mają zapewnić, że dane i informacje będą bezpieczne. Standard TISAX skupia się na zapewnieniu by przetwarzanie i zarządzanie informacjami odbywało się w sposób bezpieczny i odpowiedzialny.

487 milionów numerów telefonów na sprzedaż: wyciek danych z WhatsApp

487 milionów numerów telefonów na sprzedaż: wyciek danych z WhatsApp

Do sieci wyciekły aktualne numery telefonów komórkowych prawie 500 milionów użytkowników WhatsApp. Jak podaje portal Cybernews, 16 listopada pewien człowiek opublikował reklamę na znanym forum społeczności hakerskiej, twierdząc, że sprzedaje bazę danych z 2022 r. zawierającą 487 milionów numerów telefonów użytkowników WhatsApp.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk