LexDigital

Ochrona danych osobowych w czasach pandemii - na co należy zwrócić uwagę?

W związku z zaistniałą sytuacją pojawiły się liczne kontrowersje, co do sposobu, podstaw prawnych i możliwości przetwarzania danych osobowych przez administratorów i podmioty przetwarzające. Rzecz głównie dotyczy pracodawców, którzy z jednej strony zobowiązani są do zapewnienia bezpieczeństwa przetwarzania danych, z drugiej zaś – do zachowania bezpieczeństwa zdrowia i życia pracowników.

Ochrona danych osobowych w czasach pandemii - na co należy zwrócić uwagę?

Pandemia w świetle prawa

COVID-19 to choroba zakaźna wywołana koronawirusem SARS-CoV-1 przenoszonym drogą kropelkową. Pierwszy potwierdzony przypadek zachorowania w Polsce odnotowano 4 marca w Zielonej Górze. Na dzień 25 marca liczba chorych wyniosła 927, w tym 12 przypadków śmiertelnych[1]. Skala zachorowań, tempo rozprzestrzeniania się wirusa i związane z tym konsekwencje gospodarcze, ekonomiczne i społeczne uznaje się za bezprecedensowe, dlatego rząd polski w dniu 12 marca 2020 r. w drodze rozporządzenia ministra zdrowia wprowadził w kraju stan zagrożenia epidemicznego, a 21 marca 2020 stan epidemii. Uchwalano również w trybie przyśpieszonym ustawę z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (DZ. U 2020 r. poz. 374) (dalej: Specustawa), która reguluje w sposób szczegółowy konkretne działania odnoszące się do zapobiegania i zwalczania zakażenia ww. wirusem oraz ogranicza na pewien czas obowiązywanie dotychczasowych przepisów. Sytuacja, w której obecnie znajduje się świat implikuje konieczność współdziałania wielu instytucji na arenie międzynarodowej oraz krajowej, w celu wypracowywania najlepszych praktyki postępowania.  W obliczu zagrożenia kluczowe znaczenia ma ścisłe stosowanie się do wytycznych publikowanych w oficjalnych komunikatach organów ustawodawczych i regulujących. 

Podstawy prawne przetwarzania danych osobowych w obliczu pandemii

W związku z zaistniałą sytuacją pojawiły się liczne kontrowersje, co do sposobu, podstaw prawnych i możliwości przetwarzania danych osobowych przez administratorów i podmioty przetwarzające. Rzecz głównie dotyczy pracodawców, którzy z jednej strony zobowiązani są do zapewnienia bezpieczeństwa przetwarzania danych, z drugiej zaś – do zachowania bezpieczeństwa zdrowia i życia pracowników.

Przyjęte w dniu 19 marca 2020 r. przez Europejską Radę Ochrony Danych Oświadczenie w sprawie przetwarzania danych osobowych w kontekście pandemii COVID-19 mówi, że

„Rządy, organizacje publiczne i prywatne w całej Europie podejmują środki mające na celu ograniczenie i złagodzenie skutków pandemii COVID-19. Może się to wiązać z przetwarzaniem różnego rodzaju danych osobowych.  Zasady ochrony danych (takie jak RODO) nie ograniczają środków podejmowanych w ramach walki z pandemią koronawirusa. Walka z chorobami zakaźnymi jest wspólnym celem dla wszystkich narodów i dlatego powinna być wspierana w najlepszy możliwy sposób. W interesie ludzkości leży ograniczenie rozprzestrzeniania się chorób i wykorzystanie nowoczesnych technik w walce z plagami dotykającymi znaczną część świata. Mimo to EROD chciałaby podkreślić, że nawet w tych wyjątkowych czasach administrator i podmiot przetwarzający muszą zapewnić ochronę danych osobowych osób, których dane dotyczą. W związku z tym należy wziąć pod uwagę szereg czynników gwarantujących zgodne z prawem przetwarzanie danych osobowych i we wszystkich przypadkach należy przypomnieć, że wszelkie środki podejmowane w tym kontekście muszą być zgodne z ogólnymi zasadami prawa i nie mogą być nieodwracalne. Sytuacja nadzwyczajna jest warunkiem prawnym, który może uzasadniać ograniczenie wolności, pod warunkiem, że ograniczenia te są proporcjonalne i ograniczone do okresu nadzwyczajnego”[2].

Z treści opublikowanego stanowiska wynika, że pracodawcy mogą przyjąć następujące podstawy prawne przetwarzania danych osobowych w związku z epidemią koronawirusa:

  • przetwarzanie danych szczególnych, w tym dotyczących stanu zdrowia, jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego (art. 9 ust. 2 lit. i RODO);
  • przetwarzanie danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (art. 6 ust. 1 lit. d oraz art. 9 ust. 2 lit. c RODO), przy czym w odniesieniu do przetwarzania danych szczególnych, oparcie przetwarzania na tej podstawie jest dopuszczalne wyłącznie, gdy osoba, której dane dotyczą, jest niezdolna do udzielenia zgody;
  • przetwarzanie danych jest niezbędne do wypełnienia obowiązków ciążących na administratorze (art. 6 ust. 1 lit. c oraz art. 9 ust. 2 lit. b RODO) – w tym kontekście możliwe jest wskazanie obowiązku udostępniania danych i informacji względem służb sanitarnych, wynikającego z art. 5 ust. 1 pkt 4 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi (tj. Dz. U. z 2019 r. poz. 1239, ze zm.).

 Wcześniejsze (wystosowane 12 marca) oświadczenie Prezesa UODO w sprawie koronawirusa odsyła zainteresowanych do Specustawy, jednocześnie podkreślając, że przepisy o ochronie danych osobowych nie mogą być stawiane jako przeszkoda w realizacji działań w związku z walką z koronawirusem. Urząd powołuje się jednak jedynie na (art. 9 ust. 2 lit i art. 6 ust. 1 lit d), jako podstawę przetwarzania danych.

 

Ochrona danych osobowych a informacje przekazywane opinii publicznej w obliczu koronawirusa

Dane dotyczące zdrowia są danymi szczególnej kategorii, których przetwarzanie jest co do zasady zabronione, a dopuszczalne tylko w szczególnych wypadkach.

Pojawia się wiele wątpliwości, co do tego, czy stan epidemii uznać za stan wyższej konieczności i udostępniać publicznie informacje bardziej szczegółowe (niż to się dzieje obecnie) dotyczące osób, u których zdiagnozowano chorobę. Media natarczywie dopytują o szczegóły związane z zakażonymi osobami. Często pytania dotyczą wieku, sytuacji rodzinnej, czy też szczegółów związanych z chorobami współistniejącymi u konkretnego pacjenta. 

Należy pamiętać, że o ile dopuszczalne i uzasadnione jest udzielanie ogólnych informacji o osobie chorej niepozwalających na jej identyfikację, o tyle udostępnianie wszelkich innych danych narusza już regulacje RODO i może skutkować odpowiedzialnością z tytułu naruszenia przepisów o ochronie danych osobowych.

Eksperci w obszarze ochrony danych osobowych wydają się być zgodni co do tego, że stan zagrożenia nie upoważnia do jednoznacznego wskazywania (np. z imienia i nazwiska) osoby, u której stwierdzono koronawirusa. Efektem takich działań mogłoby być stygmatyzowanie tych osób, co znacząco mogłoby na te osoby wpłynąć.

RODO bez wątpienia nie powinno być przeszkodą w walce z koronawirusem. Jednak w imię realizacji takich wartości jak ochrona zdrowia publicznego nie można naruszać istoty podstawowych praw i wolności obywateli. Upublicznianie większej, niż jest to konieczne, ilości informacji dotyczących osób fizycznych w związku z pandemią, jest łamaniem prawa i podlega surowym karom. 


Działania podejmowane przez pracodawców w obliczu nowego wyzwania

Zgodnie z art. 207 Kodeksu pracy pracodawca ma obowiązek chronić zdrowie i życie pracowników oraz zapewnić bezpieczne i higieniczne warunki pracy, a pracownik ma współdziałać z pracodawcą w realizacji tych zadań – art. 211 pkt 7 Kodeksu pracy.

Wielu pracodawców, powołując się na powyższe zdecydowało o dokonywaniu pomiaru temperatury ciała swoich pracowników, w celu uniknięcia rozprzestrzeniania się choroby. Kluczowe jest, aby proces ten odbywał się z zachowaniem jaknajwiększej poufności wobec osoby poddawanej badaniu, w szczególności w taki sposób, aby inne osoby nie mogły zobaczyć jego wyników.

Pracodawcy pozyskują również informacje o tym, czy pracownik przybywał ostatnio w miejscu rozpowszechniania się wirusa lub czy miał kontakt z osobami, które przebywały na takim obszarze. 

Konieczne jest jednak zapewnienie w tym zakresie prawidłowości przetwarzania danych osobowych i spełnienie obowiązku informacyjnego wobec osób podlegających badaniu i udzielających informacji o kierunkach swoich podróży. Należy pamiętać, że powoływanie się na ochronę żywotnych interesów powinno być również uzasadnione, a nie nadużywane. Należy zachować zasadę przejrzystości i legalności przetwarzania danych osobowych.

Szefowa zespołu specjalistów w zakresie ochrony danych osobowych LexDigital – Katarzyna Muszyńska wypowiedziała się na ten temat na łamach gazety prawnej.pl (artykuł w całości dostępny jest pod umieszczonym pod linkiem).

Jako środek prewencyjny, w obliczu rosnącego zagrożenia pracodawcy zastosowali również zlecanie pracownikom pracy zdalnej. Urząd Ochrony Danych Osobowych, 18 marca wydał wytyczne dotyczące sposobów postępowania podczas pracy zdalnej, tak, aby nie naruszać przepisów o ochronie danych (wytyczne UOP dostępne tutaj).

W sprawie wypowiedziało się też wielu specjalistów z obszaru ochrony danych osobowych rekomendujących sporządzenie stosownych dokumentów regulujących proces delegowania pracowników do pracy zdalnej w obliczu pandemii. Warto również wprowadzić odpowiednie zabezpieczenia techniczne w tym zakresie oraz przeszkolić pracowników z zasad bezpiecznej pracy zdalnej.

 

Zapraszamy na bezpłatne webinarium!

Szczegółowe informacje na temat tego jak bezpieczenie zaplanować pracę zdalną będzie można również uzyskać podczas webinarium organizowanego przez OVH Sp. z o.o., 7 kwietnia 2020 roku. Na pytania odpowie m.in. specjalista ochrony danych osobowych – LexDigital – Katarzyna Muszyńska.

-> Link do zapisów
.

 

Życzymy Państwu dużo zdrowia!

Zespół LexDigital


[1] Raport Ministerstwa Zdrowia na dzień 25 marca 2020

[2] W imieniu Europejskiej Rady Ochrony Danych Przewodnicząca Andrea Jelinek

Polecane

Czy compliance officer może być inspektorem ochrony danych?

Czy compliance officer może być inspektorem ochrony danych?

25 maja 2020 roku miną 2 lata odkąd obowiązują wymogi ogólnego rozporządzenia o ochronie danych osobowych (RODO). Funkcja Inspektora Ochrony Danych (IOD) oraz jego zadania zostały dość jasno określone w rozporządzeniu i wydaje się, że po 24 miesiącach funkcjonowania RODO wszystko powinno być jasne. Skąd zatem tyle wątpliwości dotyczących łączenia stanowiska IOD z innymi obowiązkami? I czy możliwe jest łączenie funkcji IOD ze stanowiskiem compliance officera?

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.