W związku z sytuacją epidemiologiczną spowodowaną koronawirusem SARS-CoV-2 światowa gospodarka została postawiona przed sytuacją, w której przedsiębiorcy muszą podjąć wszelkie kroki, które pomogą im zachować ciągłość działania, uwzględniając przy tym wszelkie aspekty nie tylko bezpieczeństwa zdrowotnego swoich pracowników, ale także bezpieczeństwa przetwarzanych danych. Jakie rozwiązania powinni stosować polscy przedsiębiorcy w obliczu walki z pandemią? Na co mogą sobie pozwolić pracodawcy w zakresie ankiet medycznych?
W zaistniałej, bezprecedensowej sytuacji przedsiębiorcy planują i wdrażają szereg rozwiązań, które pomogą w nieprzerwanym działaniu zakładów pracy. Jednym z instrumentów stanowiących pomoc w odpowiednim zaplanowaniu pracy oraz ustalenia strategii zmniejszenia ekspozycji biologicznej pracowników, których obecność w miejscu pracy jest konieczna, jest wprowadzenie ankiet zdrowotnych wśród osób zatrudnionych, a także Klientów odwiedzających zakłady pracy. Na pracodawcach spoczywa obowiązek przetwarzania danych osobowych zgodnie z obowiązującymi przepisami oraz zachowanymi zasadami bezpieczeństwa, w tym przypadku respektując także szczególną wrażliwość niniejszych danych. Jak więc zatem posługiwać się takimi instrumentami pomocniczymi w zgodzie z przepisami RODO?
Z czego powinna składać się ankieta medyczna?
W przypadku zbierania od pracowników, współpracowników lub gości danych osobowych w postaci np. ankiety o stanie zdrowia, przedsiębiorca zbiera dane i jest ich administratorem, ponosi zatem pełną odpowiedzialność dotyczącą prawidłowości przetwarzania i zgodności z RODO. W związku z tym, że są to dodatkowe dane medyczne dotyczące przebytych chorób, odwiedzanych miejsc, kontaktów, członków rodziny, zdrowia), przed wypełnieniem tego rodzaju ankiety należy:
1. Poinformować osobę, iż wypełnienie ankiety jest dobrowolne (dane w ankiecie są przetwarzane na podstawie zgody);
2. Przedstawić klauzulę informacyjną, zawierającą informację o: administratorze danych osobowych, celu przetwarzania, zakresie, sposobie, długości, podmiotach mogących mieć dostęp do danych itd., informacji w zakresie praw ankietowanego, sposobach zabezpieczenia danych, odbiorcach danych itd.;
3. Pobrać zgodę na podstawie uzasadnionego interesu administratora danych.
Dodatkowe dane zbierane dot. stanu zdrowia należą do szczególnych kategorii danych osobowych (danych wrażliwych).
Brak powyższego skutkuje bardzo istotnym naruszeniem RODO i możliwością nałożenia kary przez PUODO oraz roszczeniami podmiotów danych. Gdyby ankieta naruszała prawo, skutkowałoby to koniecznością usunięcia zebranych na jej podstawie danych, a zatem brakiem zrealizowania celu, któremu pierwotnie przyświecała.
19 marca 2020 roku European Data Protection Board (“EDPB”) opublikował stanowisko, z którego wyraźnie wynika, iż ankietę należy poprzedzić klauzulą informacyjną, zastosować zasadę minimalizacji danych oraz przechowywać je tylko wówczas, gdy jest to uzasadnione i przez okres uzasadniony, ograniczyć dostęp itd. zasada proporcjonalności, ograniczenie do tzw. emergency period.
„Core Principles: The EDPB underlined that even in these exceptional times, personal data must be processed for specified and explicit purposes. In addition, individuals must receive transparent information regarding the processing activities, including the applicable retention period for the collected data and the purposes of the processing. Adequate security and confidentiality measures must be implemented to ensure that the personal data is not disclosed to unauthorized parties. Importantly, the EDPB requires documenting measures implemented to manage the COVID-19 emergency situation.”
Stanowisko UODO
UODO w przedstawionym przez siebie stanowisku z dnia 12 marca br. w zakresie zaistniałej sytuacji epidemiologicznej wskazuje, iż kwestie związane z przetwarzaniem danych dotyczących zdrowia na skutek działań zapobiegających rozprzestrzenianiu się wirusa COVID-19 regulowane są w przepisach szczególnych, w tym przede wszystkim w tzw. specustawie.
Wskazuje się tu przepisy specustawy, dotyczące m.in. możliwości wydawania przez Głównego Inspektora Sanitarnego (lub działającego z jego upoważnienia państwowego wojewódzkiego inspektora sanitarnego) pracodawcom decyzji nakładających obowiązek podjęcia określonych czynności zapobiegawczych lub kontrolnych i współdziałania z innymi organami administracji publicznej oraz organami Państwowej Inspekcji Sanitarnej (art. 17 specustawy), czy też wydawania poleceń przedsiębiorcom w związku z przeciwdziałaniem COVID-19 przez Prezesa Rady Ministrów na wniosek wojewody. Przepisy te korespondują z przepisami RODO, które również przewidują sytuacje związane z ochroną zdrowia i zapobieganiem rozprzestrzeniania się chorób zakaźnych (art. 9 ust. 2 lit i art. 6 ust. 1 lit d). Zgodnie z motywem 46 RODO przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest to niezbędne do ochrony interesu, które ma istotne znaczenie dla życia osoby której dane dotyczą np. gdy przetwarzanie jest potrzebne do celów humanitarnych w tym monitorowania epidemii i ich rozprzestrzeniania się.
Przepisy o ochronie danych osobowych nie mogą być stawiane jako przeszkoda w realizacji działań w związku z walką z koronawirusem – twierdzi Prezes UODO. Wskazane przepisy nie stoją w sprzeczności z zasadami przetwarzania danych i nie naruszają RODO. Dają one narzędzia do podejmowania przez pracodawców określonych działań, które wynikają zarówno z zaleceń Głównego Inspektora Sanitarnego, jak i Prezesa Rady Ministrów.