LexDigital

Ochrona danych osobowych w czasach pandemii – na co należy zwrócić uwagę?

W związku z zaistniałą sytuacją pojawiły się liczne kontrowersje, co do sposobu, podstaw prawnych i możliwości przetwarzania danych osobowych przez administratorów i podmioty przetwarzające. Rzecz głównie dotyczy pracodawców, którzy z jednej strony zobowiązani są do zapewnienia bezpieczeństwa przetwarzania danych, z drugiej zaś – do zachowania bezpieczeństwa zdrowia i życia pracowników.

Ochrona danych osobowych w czasach pandemii – na co należy zwrócić uwagę?

Pandemia w świetle prawa

COVID-19 to choroba zakaźna wywołana koronawirusem SARS-CoV-1 przenoszonym drogą kropelkową. Pierwszy potwierdzony przypadek zachorowania w Polsce odnotowano 4 marca w Zielonej Górze. Na dzień 25 marca liczba chorych wyniosła 927, w tym 12 przypadków śmiertelnych[1]. Skala zachorowań, tempo rozprzestrzeniania się wirusa i związane z tym konsekwencje gospodarcze, ekonomiczne i społeczne uznaje się za bezprecedensowe, dlatego rząd polski w dniu 12 marca 2020 r. w drodze rozporządzenia ministra zdrowia wprowadził w kraju stan zagrożenia epidemicznego, a 21 marca 2020 stan epidemii. Uchwalano również w trybie przyśpieszonym ustawę z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (DZ. U 2020 r. poz. 374) (dalej: Specustawa), która reguluje w sposób szczegółowy konkretne działania odnoszące się do zapobiegania i zwalczania zakażenia ww. wirusem oraz ogranicza na pewien czas obowiązywanie dotychczasowych przepisów. Sytuacja, w której obecnie znajduje się świat implikuje konieczność współdziałania wielu instytucji na arenie międzynarodowej oraz krajowej, w celu wypracowywania najlepszych praktyki postępowania.  W obliczu zagrożenia kluczowe znaczenia ma ścisłe stosowanie się do wytycznych publikowanych w oficjalnych komunikatach organów ustawodawczych i regulujących. 

COVID-19, pandemia, ochrona danych osobowych

Podstawy prawne przetwarzania danych osobowych w obliczu pandemii

W związku z zaistniałą sytuacją pojawiły się liczne kontrowersje, co do sposobu, podstaw prawnych i możliwości przetwarzania danych osobowych przez administratorów i podmioty przetwarzające. Rzecz głównie dotyczy pracodawców, którzy z jednej strony zobowiązani są do zapewnienia bezpieczeństwa przetwarzania danych, z drugiej zaś – do zachowania bezpieczeństwa zdrowia i życia pracowników.

Przyjęte w dniu 19 marca 2020 r. przez Europejską Radę Ochrony Danych Oświadczenie w sprawie przetwarzania danych osobowych w kontekście pandemii COVID-19 mówi, że

„Rządy, organizacje publiczne i prywatne w całej Europie podejmują środki mające na celu ograniczenie i złagodzenie skutków pandemii COVID-19. Może się to wiązać z przetwarzaniem różnego rodzaju danych osobowych.  Zasady ochrony danych (takie jak RODO) nie ograniczają środków podejmowanych w ramach walki z pandemią koronawirusa. Walka z chorobami zakaźnymi jest wspólnym celem dla wszystkich narodów i dlatego powinna być wspierana w najlepszy możliwy sposób. W interesie ludzkości leży ograniczenie rozprzestrzeniania się chorób i wykorzystanie nowoczesnych technik w walce z plagami dotykającymi znaczną część świata. Mimo to EROD chciałaby podkreślić, że nawet w tych wyjątkowych czasach administrator i podmiot przetwarzający muszą zapewnić ochronę danych osobowych osób, których dane dotyczą. W związku z tym należy wziąć pod uwagę szereg czynników gwarantujących zgodne z prawem przetwarzanie danych osobowych i we wszystkich przypadkach należy przypomnieć, że wszelkie środki podejmowane w tym kontekście muszą być zgodne z ogólnymi zasadami prawa i nie mogą być nieodwracalne. Sytuacja nadzwyczajna jest warunkiem prawnym, który może uzasadniać ograniczenie wolności, pod warunkiem, że ograniczenia te są proporcjonalne i ograniczone do okresu nadzwyczajnego”[2].

Z treści opublikowanego stanowiska wynika, że pracodawcy mogą przyjąć następujące podstawy prawne przetwarzania danych osobowych w związku z epidemią koronawirusa:

  • przetwarzanie danych szczególnych, w tym dotyczących stanu zdrowia, jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego (art. 9 ust. 2 lit. i RODO);
  • przetwarzanie danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (art. 6 ust. 1 lit. d oraz art. 9 ust. 2 lit. c RODO), przy czym w odniesieniu do przetwarzania danych szczególnych, oparcie przetwarzania na tej podstawie jest dopuszczalne wyłącznie, gdy osoba, której dane dotyczą, jest niezdolna do udzielenia zgody;
  • przetwarzanie danych jest niezbędne do wypełnienia obowiązków ciążących na administratorze (art. 6 ust. 1 lit. c oraz art. 9 ust. 2 lit. b RODO) – w tym kontekście możliwe jest wskazanie obowiązku udostępniania danych i informacji względem służb sanitarnych, wynikającego z art. 5 ust. 1 pkt 4 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi (tj. Dz. U. z 2019 r. poz. 1239, ze zm.).

 Wcześniejsze (wystosowane 12 marca) oświadczenie Prezesa UODO w sprawie koronawirusa odsyła zainteresowanych do Specustawy, jednocześnie podkreślając, że przepisy o ochronie danych osobowych nie mogą być stawiane jako przeszkoda w realizacji działań w związku z walką z koronawirusem. Urząd powołuje się jednak jedynie na (art. 9 ust. 2 lit i art. 6 ust. 1 lit d), jako podstawę przetwarzania danych.

 

Ochrona danych osobowych a informacje przekazywane opinii publicznej w obliczu koronawirusa

Dane dotyczące zdrowia są danymi szczególnej kategorii, których przetwarzanie jest co do zasady zabronione, a dopuszczalne tylko w szczególnych wypadkach.

Pojawia się wiele wątpliwości, co do tego, czy stan epidemii uznać za stan wyższej konieczności i udostępniać publicznie informacje bardziej szczegółowe (niż to się dzieje obecnie) dotyczące osób, u których zdiagnozowano chorobę. Media natarczywie dopytują o szczegóły związane z zakażonymi osobami. Często pytania dotyczą wieku, sytuacji rodzinnej, czy też szczegółów związanych z chorobami współistniejącymi u konkretnego pacjenta. 

Należy pamiętać, że o ile dopuszczalne i uzasadnione jest udzielanie ogólnych informacji o osobie chorej niepozwalających na jej identyfikację, o tyle udostępnianie wszelkich innych danych narusza już regulacje RODO i może skutkować odpowiedzialnością z tytułu naruszenia przepisów o ochronie danych osobowych.

Eksperci w obszarze ochrony danych osobowych wydają się być zgodni co do tego, że stan zagrożenia nie upoważnia do jednoznacznego wskazywania (np. z imienia i nazwiska) osoby, u której stwierdzono koronawirusa. Efektem takich działań mogłoby być stygmatyzowanie tych osób, co znacząco mogłoby na te osoby wpłynąć.

RODO bez wątpienia nie powinno być przeszkodą w walce z koronawirusem. Jednak w imię realizacji takich wartości jak ochrona zdrowia publicznego nie można naruszać istoty podstawowych praw i wolności obywateli. Upublicznianie większej, niż jest to konieczne, ilości informacji dotyczących osób fizycznych w związku z pandemią, jest łamaniem prawa i podlega surowym karom. 


Działania podejmowane przez pracodawców w obliczu nowego wyzwania

Zgodnie z art. 207 Kodeksu pracy pracodawca ma obowiązek chronić zdrowie i życie pracowników oraz zapewnić bezpieczne i higieniczne warunki pracy, a pracownik ma współdziałać z pracodawcą w realizacji tych zadań – art. 211 pkt 7 Kodeksu pracy.

Wielu pracodawców, powołując się na powyższe zdecydowało o dokonywaniu pomiaru temperatury ciała swoich pracowników, w celu uniknięcia rozprzestrzeniania się choroby. Kluczowe jest, aby proces ten odbywał się z zachowaniem jak największej poufności wobec osoby poddawanej badaniu, w szczególności w taki sposób, aby inne osoby nie mogły zobaczyć jego wyników.

Pracodawcy pozyskują również informacje o tym, czy pracownik przybywał ostatnio w miejscu rozpowszechniania się wirusa lub czy miał kontakt z osobami, które przebywały na takim obszarze. 

Konieczne jest jednak zapewnienie w tym zakresie prawidłowości przetwarzania danych osobowych i spełnienie obowiązku informacyjnego wobec osób podlegających badaniu i udzielających informacji o kierunkach swoich podróży. Należy pamiętać, że powoływanie się na ochronę żywotnych interesów powinno być również uzasadnione, a nie nadużywane. Należy zachować zasadę przejrzystości i legalności przetwarzania danych osobowych.

Szefowa zespołu specjalistów w zakresie ochrony danych osobowych LexDigital – Katarzyna Muszyńska wypowiedziała się na ten temat na łamach gazety prawnej.pl  

Jako środek prewencyjny, w obliczu rosnącego zagrożenia pracodawcy zastosowali również zlecanie pracownikom pracy zdalnej. Urząd Ochrony Danych Osobowych, 18 marca wydał wytyczne dotyczące sposobów postępowania podczas pracy zdalnej, tak, aby nie naruszać przepisów o ochronie danych.

W sprawie wypowiedziało się też wielu specjalistów z obszaru ochrony danych osobowych rekomendujących sporządzenie stosownych dokumentów regulujących proces delegowania pracowników do pracy zdalnej w obliczu pandemii. Warto również wprowadzić odpowiednie zabezpieczenia techniczne w tym zakresie oraz przeszkolić pracowników z zasad bezpiecznej pracy zdalnej. 

Życzymy Państwu dużo zdrowia!

Zespół LexDigital


[1] Raport Ministerstwa Zdrowia na dzień 25 marca 2020

[2] W imieniu Europejskiej Rady Ochrony Danych Przewodnicząca Andrea Jelinek

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk