Koronawirus to nowe wyzwanie przed którym stajemy wszyscy. Również my, prawnicy zajmujący się RODO. Jak walczyć z zagrożeniem zgodnie z RODO?
Koronawirus a RODO – czyli co z pracą zdalną
Działaniem nieingerującym w prywatność pracownika będzie polecenie mu wykonywania pracy zdalnej, tj. poza miejscem jej stałego wykonywania.
To rozwiązanie jest już od dawna praktykowane w Azji. W takich miastach, jak np. Hongkong, większość pracowników biurowych nie pojawia się fizycznie w pracy już od 2 miesięcy.
Praca zdalna została właśnie uregulowana w specjalnej polskiej ustawie o koronawirusie.
Art. 3. W celu przeciwdziałania COVID-19 pracodawca może polecić pracownikowi wykonywanie, przez czas oznaczony, pracy określonej w umowie o pracę, poza miejscem jej stałego wykonywania (praca zdalna).
Pracy zdalnej zgodnej z RODO, poświęciliśmy osobny artykuł. Znajdziesz go tutaj.
Czy mogę zapytać o kierunki urlopowych wyjazdów?
W sferę prywatności, a tym samym również RODO, zaczniemy wchodzić, pytając o kierunek wakacyjnego wyjazdu. Po otrzymaniu odpowiedzi, możemy nakazać pracę zdalną wszystkim pracownikom, którzy w ostatnich 10 dniach wrócili np. z regionu pn. Włoch.
Odpowiedź jest w tym przypadku jednoznaczna.
Tak, mogę zapytać pracowników o kierunki ostatnich wyjazdów.
Podstawą prawną będzie tutaj art. 6 ust. 1 lit. f) RODO, tj. prawnie uzasadniony interes administratora (czyli pracodawcy) jakim będzie zapewnienie bezpieczeństwa pracowników i innych osób przebywających na terenie zakładu pracy.
Pamiętajmy jednak, że w każdym przypadku, kiedy korzystamy z tej właśnie przesłanki, jako administrator danych jesteśmy zobowiązani do przeprowadzenia tzw. testu równowagi.
Musimy zatem wskazać, czy nasze działania w tym zakresie nie naruszają interesów lub podstawowych praw i wolności podmiotów danych.
W sytuacji zagrożenia koronawirusem trudno jednak doszukiwać się takiego naruszenia.
Inną z przesłanek, którą można w tym zakresie wziąć pod uwagę jako legalizującą nasze zapytanie, jest art. 6 ust. 1 lit. d) RODO tj. przetwarzanie danych niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej.
Żywotne interesy to interesy o dużym znaczeniu dla osoby, której dane dotyczą lub dla innej osoby. W szczególności takie jak zdrowie i życie. Zgodnie z motywem 46 preambuły RODO, przesłanka żywotnych interesów ma jednak charakter awaryjny. Oznacza to, że powinna być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej. Warto jednak o niej pamiętać.
Bezpłatne klauzule informacyjne dot. zbierania dodatkowych danych osobowych
Wychodząc naprzeciw problemom, z jakimi mierzą się obecnie administratorzy danych, udostępniamy Ci nieodpłatnie profilowane klauzule informacyjne. Zastosuj je gdy pozyskujesz dodatkowe informacje od pracowników oraz osób innych niż pracownicy (współpracownicy, klienci, goście, kierowcy).
Czy mogę zmierzyć temperaturę?
Następną sferą, której do tej pory nie przekroczyliśmy, będzie sprawdzenie objawów. Na przykład pomiar temperatury ciała pracownika.
Tutaj sprawa jest trochę bardziej skomplikowana. Znajdziemy jednak rozwiązanie.
Wysokość temperatury to tzw. szczególna kategoria danych w myśl art. 9 ust. 1 RODO.
Dlatego będziemy musieli skorzystać z przesłanek legalności wskazanych w art. 9 ust. 2 RODO. A te są znacznie bardziej restrykcyjne niż przesłanki z art. 6 dotyczące danych zwykłych.
Możliwe do zastosowania będą w mojej opinii następujące podstawy prawne:
- art. 207 kodeksu pracy w związku z art. 9 ust. 1 lit. b RODO (wykonywanie obowiązków w dziedzinie prawa pracy i zabezpieczenia społecznego)
- art. 9 ust. 1 lit. h RODO (niezbędność dla celów medycyny pracy i oceny pracownika zdolności do pracy)
Czy mogę przeprowadzić badania na obecność koronawirusa COVID-19?
Badanie pracownika będzie najmocniejszą formą ingerencji w jego sferę prywatności. Przetwarzanie takich informacji wymaga przesłanek legalności z art. 9 RODO.
Pamiętajmy jednak, że to nie pracodawca wykonuje badania. Są one realizowane przez podmiot medyczny. A ten przyjmując pacjenta dysponuje swoimi podstawami prawnymi legalizującymi pobranie próbek, ich zbadanie oraz opracowanie i wydanie wyników.
W przypadku, gdy:
- pracodawca zastrzeże sobie prawo do poddawania swoich pracowników badaniom medycznym w ramach umów, a także
- gdy badanie takie jest uzasadnione z uwagi na szczególne okoliczności tj. powrót pracownika z lokalizacji o podwyższonym ryzyku występowania koronawirusa lub zauważalne objawy choroby,
Pracownik nie może racjonalnie odmówić poddania się badaniu lekarskiemu.
Skierowanie na wykonanie badania leży w najlepszym interesie pracownika oraz osób, które z nim współpracują. Także osób przebywających z nim po opuszczeniu zakładu pracy.
Po otrzymaniu przez pracownika wyniku, należy z nim postępować na takich samych zasadach jak z oświadczeniami zbieranymi w związku z medycyną pracy, czy też zwolnieniami lekarskimi (w przypadku wyniku pozytywnego skutkującego hospitalizacją pracownika).
Do przetwarzania danych osobowych w tym zakresie znajdzie zastosowanie przesłanka art. 9 ust. 2 lit. h) RODO, tj. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej (…).
Dlaczego nie powinniśmy zbierać zgód?
Najgorszym z rozwiązań, będzie zbieranie zgód od pracowników na przetwarzanie ich danych osobowych w związku ze zwalczaniem zakażenia czy profilaktyką wobec koronawirusa. Dlaczego? Poniżej argumenty za tym, aby unikać tej przesłanki:
- Pracownik ma pełne prawo odmówić wyrażenia zgody
Jeśli cała, licząca np. 1000 osób załoga, wyrazi zgodę, wartość takiej zgody będzie niewielka. W razie kontroli organ nadzorczy łatwo wykaże, że choćby przez sam fakt, że zgodę wyrazili wszyscy – nie była ona w pełni dobrowolna.
- Europejskie organy nadzorcze już teraz nakładają kary za zbieranie zgód, wtedy kiedy one nie są konieczne
Na przykład Grecki Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (APDPC), ukarał spółkę PWC Business Solutions karą 109 766 317 EUR, za to, że spółka zbierała dane osobowe na podstawie zgody, mimo, że nie było to potrzebne. Jak stwierdził organ: „spółka dała pracownikom fałszywe poczucie przetwarzania ich danych osobowych na podstawie zgody”.
- Zgoda musi być niewymuszona oraz wycofywalna
Dochodzimy tutaj do absurdu, gdzie każde rozwiązanie będzie złe. Jeśli zgoda będzie naprawdę niewymuszona to pracodawca musi liczyć się z tym, że nie wszyscy poddadzą się badaniom.
Wtedy cała profilaktyka COVID-19 traci sens. Jeśli zgoda będzie z kolei wymuszona – to nie będzie miała wartości w świetle RODO. Tak źle i tak niedobrze. Wniosek jest jeden.
Zgoda nie będzie w tym przypadku dobrą przesłanką legalności! Więcej szczegółów na temat zbierania zgód od pracowników znajdziesz w naszym kompleksowym kursie e-learningowym RODO w kadrach.
Czy mogę zbadać dostawców?
Niektóre organizacje chcą badać również dostawców usług. Na przykład mierzyć temperaturę kierowcom ciężarówek przyjeżdżającym z regionów dotkniętych epidemią.
Taką sytuację również przewidział art. 9 RODO oraz przepisy kodeksu pracy.
Poniżej rekomendowana przeze mnie podstawa prawna dla nie-pracowników (np. gości):
- art. 207 kodeksu pracy w związku z art. 9 ust. 1 lit. i rodo (interes publiczny w dziedzinie zdrowia publicznego w zakresie ochrony przed zakażeniami).
Jest jeszcze jedna możliwość zbadania temperatury ciała osób trzecich wchodzących na teren naszej organizacji.
Jeśli są to osoby dla nas obce, dokonajmy pomiaru temperatury jeszcze przed ich identyfikacją (np. przed bramą wjazdową na teren fabryki).
W takiej sytuacji w ogóle nie dojdzie do przetwarzania danych osobowych.
Podsumowanie
COVID-19 to wyzwanie także dla prawników. Na szczęście RODO jest elastycznym aktem prawnym i daje nam możliwość odpowiedniej reakcji.
Zanim zaczniemy wprowadzać konkretne działania na większą skalę, skonsultujmy temat z fachowcem, aby wybrać odpowiednią przesłankę legalności (np. na naszym blogu – wsparcie z zakresu ochrony danych osobowych).
Zbieranie nowej kategorii danych osobowych (jeśli się na to zdecydujemy), będzie wymagać także aktualizacji rejestru czynności przetwarzania.
Jeżeli przesłanką legalizującą z której będziemy korzystać będzie prawnie uzasadniony interes, przeprowadzam test równowagi.
Nie zapominając o powyższych, możemy walczyć z pandemią, mając przepisy RODO po swojej stronie!
Na temat możliwości badania pracowników zaczęli wypowiadać się polski UODO oraz Europejska Rada Ochrony Danych Osobowych.
Oświadczenie polskiego Urzędu Ochrony Danych Osobowych:
Kluczowy fragment oświadczenia: „przepisy o ochronie danych osobowych nie mogą być stawiane jako przeszkoda w realizacji działań w związku z walką z koronawirusem”.
Moją uwagę przykuł też komentarz byłej Minister Cyfryzacji, Anny Streżyńskiej, zamieszczony na portalu Linkedin:
Stanowisko Europejskiej Rady Ochrony Danych Osobowych:
- EROD w swoim stanowisku wskazuje jednoznacznie, że zasady ochrony danych osobowych wskazane w RODO nie utrudniają działań podejmowanych w walce z pandemią koronawirusa.
- RODO zapewnia podstawy prawne umożliwiające pracodawcom i właściwym organom zdrowia publicznego przetwarzanie danych osobowych w kontekście pandemii, bez konieczności uzyskania zgody osoby, której dane dotyczą. Ma to na przykład zastosowanie wtedy, gdy przetwarzanie jest konieczne dla pracodawców ze względu na interes publiczny w dziedzinie zdrowia publicznego lub w celu ochrony żywotnych interesów (art. 6 i 9 RODO) lub w celu spełnienia innego obowiązku prawnego.
- W sytuacji przetwarzania danych komunikacji elektronicznej, takich jak dane lokalizacji mobilnej, obowiązują dodatkowe zasady. Przepisy krajowe wdrażające dyrektywę o prywatności i łączności elektronicznej (dyrektywa ePrivacy) przewidują zasadę, że operator może wykorzystywać dane lokalizacji tylko wtedy, gdy są anonimowe lub za zgodą osób fizycznych.
- Władze publiczne powinny najpierw dążyć do przetwarzania danych dotyczących lokalizacji w sposób anonimowy. Jeżeli takie przetwarzanie nie jest możliwe, art. 15 dyrektywy ePrivacy umożliwia państwom członkowskim wprowadzenie środków legislacyjnych służących bezpieczeństwu narodowemu i bezpieczeństwu publicznemu. To nadzwyczajne ustawodawstwo jest możliwe pod warunkiem, że stanowi konieczny, odpowiedni i proporcjonalny środek w społeczeństwie demokratycznym.
Pobierz artykuł w PDF
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- Ustawa o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych
- praktyczne doświadczenie budowania systemów ochrony danych osobowych od 2008 roku (jako ABI) i po 2018 roku (jako IOD)
17 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Dzień Dobry.
Ostatnio wróciłam z wypadu weekendowego z Rzymu, jestem pracownikiem szkoły. Z racji, że czułam ból gardła i miałam delikatnie podniesioną temperaturę ( 37 stopni) zgłosiłam to Pani dyrektor, zaznaczałam, że ból gardła występuje u mnie często, ale z racji występującej epidemii dobrze by było jakbym wróciła do domu i się „wykurowała”. Pani dyrektor zgłosiła to do sanepidu, również ja sama to zrobiłam, przeprowadzili ze mną wywiad i zalecili pozostanie w domu i samoobserwację( ale nie oficjalną kwarantanne), zalecili również kontakt z lekarzem. Skontaktowałam się z lekarzem, jego zdaniem było to przeziębienie, ale wypisał mi zwolnienie lekarskie do końca tygodnia abym mogła obserwować się. Na wyjeździe byłam z partnerem, co zgłosiłam, w stosunku do niego nie było zaleceń.
Sanepid nie chciał zrobić mi badania pod kontem obecności wirusa, więc na podstawie tego wszystkiego wnioskuje, że tak naprawdę nie ma podejrzenia, że mogłabym być nosicielką wirusa.
O tej sprawie rozmawiałam tylko z Panią dyrektor, Pani dyrektor wywołała panikę w szkole jak i poza szkołą. Czy miała ona prawo informować inne osoby o tej sytuacji? Mówić o tym gdzie byłam i jak się czuje? Chciałbym również zaznaczyć, że informowała ona ludzi, że mam gorączkę, a miałam tylko 37 stopni. Czuję się pokrzywdzona, ponieważ mam poczucie, że gdy wrócę do szkoły bez wykonanego badania będę osobą stygmatyzowaną, zarówno przez nauczycieli, rodziców jak i dzieci.
Z góry dziękuje za odpowiedź.
Dzień dobry 🙂 Sytuacja jest wyjątkowa ze względu na duże ryzyko zakażenia koronawirusem i wielu osobom nie udaję się uniknąć popadania w panikę. W opisanej sytuacji w naszej opinii należy przede wszystkim zwrócić uwagę Pani Dyrektor na fakt niepotrzebnego naruszania Pani prywatności. Pozdrawiamy!
Dzień dobry,
Czy nie lepiej uznać, że dane osobowe dot. pomiarów temperatury ciała (uznając że są to dane dot. zdrowia) są przetwarzane przez administratora w celu realizacji obowiązków prawnych pracodawcy wynikających przede wszystkim z postanowień Kodeksu pracy z zakresu bezpieczeństwa i higieny pracy – podstawą prawną jest wypełnienie obowiązków prawnych i wykonywania szczególnych praw przez pracodawcę (art. 9 ust. 2 lit. b ogólnego rozporządzenia o ochronie danych osobowych nr 2016/679 w zw. z art. 207 §2 pkt 1 i 2 Kodeksu pracy ?
Dzień dobry, w naszej ocenie w sytuacji uznania temperatury ciała pracownika jako danej dot. zdrowia, właściwą podstawą prawną będzie art. 9 ust. 2 lit. h) RODO, tj. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej (…) Pozdrawiamy!
Dzień dobry,
niejako podłączę się pod powyższe pytanie. Czy w przypadku mierzenia przez firmę temperaturę ciała kontrahentów wchodzących na teren firmy można się kierować art.9 ust. 2 lit c RODO(temperatura jest przez nas spisywana)? Czy można stosować tą samą podstawę prawną przy „kartach zdrowia”, które muszą wypełnić by wejść na teren firmy (informacja o podróżach w przeciągu ostatnich 14 dni, czy w przeciągu ostatnich 14 dni wystąpiły u danej osoby symptomy takie jak podwyższona temp., kaszel)?
Z góry dziękuję za odpowiedź.
Dzień dobry 🙂 w naszej ocenie w opisanej przez Panią sytuacji – mierzenia temperatury kontrahentów, będziemy mieli podstawę prawną w postaci art. 9 ust. 2 lit i) RODO. Pozdrawiamy!
Dzień dobry,
czy możemy ze względów bezpieczeństwa, wprowadzić w zakładzie pracy ankietę dla pracowników, których odsyłamy do domu ze względu na złe samopoczucie. Czy może zwierać poniższe punkty i czy jeszcze o coś powinniśmy pytać?
Datę, imię i nazwisko, kontaktowy nr tel. Oraz odpowiedzi na pytania:
1. Czy w ciągu ostatnich 14 dni byłeś/byłaś za granicą w krajach wysokiego ryzyka koronawirusem?
2. Czy w ciągu ostatnich 14 dni miałeś/miałaś bezpośredni kontakt z osobą zarażoną koronawirusem?
3. Które z symptomów odczuwasz:
temp. Powyżej 38 st
temp. 37-38 st
temp. Poniżej 37
kaszel
duszności
objawy przeziębienia
inne (opcjonalnie)
4.Wymień osoby z którymi miałeś/miałaś dziś kontakt.
5. Wymień stanowiska pracy, przy których dziś pracowałeś/pracowałaś.
Czy musi być pod taką ankietą jakaś klauzula związana z ochroną danych osobowych i czy są jakieś zastrzeżenia ze strony prawnej. Oczywiście te dane będą wykorzystywane do celów ochrony przed rozwojem epidemii i ochrony pracowników.
Dzień dobry, jeśli chodzi o zakres podjętych działań związanych z walką z koronawirusem zgodnie z komunikatem Prezesa UODO należy zwrócić się do Głównego Inspektora Sanitarnego, jako organu właściwego w tej sprawie.
Po ustalenie zakresu zbieranych danych ankietę należy opatrzyć klauzulą informacyjną podając podstawę prawną.
Polecamy zapoznanie się z treścią oświadczenia Prezesa UODO https://uodo.gov.pl/pl/138/1456
Pozdrawiamy!
Kto powinien mierzyć temperaturę pracownikom -wyznaczony pracownik czy pracownik ochrony jako podwykonawca.
Dzień dobry 🙂 decyzja należy do pracodawcy. W obu przypadkach należy dokonać analizy – czy jest to wyłącznie pomiar temperatury bez zapisywania danych, czy też w przypadku stwierdzenia podwyższonej temperatury ciała jest spisywany np. protokół z danymi osobowymi badanego. Jeśli tak konieczne będzie zastosowanie zabezpieczeń organizacyjnych np. nadanie upoważnienia wskazanemu pracownikowi do przetwarzania tego rodzaju danych osobowych. Oczywiście należy też dopełnić obowiązku informacyjnego wobec badanych. Pozdrawiamy
Dzień dobry. Czy pracodawca może żądać informacji nt chęci poddania się szczepieniu lub braku chęci zaszczepienia się?
Dzień dobry, to wszystko zależy od kontekstu sprawy. Sprawa do szerszej analizy.Pozdrawiamy!
Dzień dobry.
Bardzo proszę o poradę, czy w świetle obowiązujących dzisiaj przepisów prawnych, pracodawca może apelować do pracowników o dobrowolne deklarowanie swojego „statusu zaszczepienia”?
Czy może prosić o dobrowolne, pisemne wyrażenie zgody na przetwarzanie danych, które pracownik przekazuje w tej deklaracji (imię, nazwisko, „zaszczepiony: TAK/NIE”)?
Dzień dobry,
w obecnej chwili nie mamy żadnych przepisów, które regulowałyby kwestie dotyczące pozyskiwania informacji o „statusie zaszczepienia”.
Z niecierpliwością oczekujemy na finał inicjatywy Ministra Zdrowia https://www.pit.pl/aktualnosci/minister-zdrowia-pracodawcy-otrzymaja-możliwość-sprawdzenia-czy-pracownik-jest-zaszczepiony-1006186
Na ten moment zgodnie ze komunikatem UODO jedyną możliwością uzyskania informacji o zaszczepieniu konkretnej osoby przeciwko COVID-19 jest jej zgoda na przetwarzanie danych o zaszczepieniu. W takim przypadku spełniona bowiem będzie przesłanka legalizująca przetwarzanie danych osobowych, o której mowa w art. 9 ust. 2 lit. a RODO.
Więcej informacji o stanowisku UODO https://uodo.gov.pl/pl/138/2088
Pozdrawiamy!
Dzień dobry,
Czy w świetle nowych informacji na temat obostrzeń i postulowania przez Ministra zdrowia możliwości weryfikacji zaszczepienia Pracownika przez pracodawcę ( w przyszłości) , można będzie zastosować klauzule informacyjną w oparciu o przesłankę : art. 6 ust. 1 lit. d, a także art. 9 ust. 2 lit. (przetwarzanie jest niezbędne w celu realizowania prawnie uzasadnionego interesu administratora jakim jest ochrona zdrowia pracowników, oraz interes publiczny związany z ochroną zdrowia ?
Dzień dobry, jeśli pracodawca uzyska prawo do weryfikacji zaszczepienia pracownika, to przesłanką prawną przetwarzania danych może stać się art. 9 ust. 2 lit. b RODO- przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej (dane szczególnej kategorii) oraz art. 6 ust. 1 lit.c (dane zwykłe). Pozdrawiamy!
Dzień dobry, na naszym blogu pojawił się artykuł, który szerzej omawia poruszone zagadnienie. Zapaszmy do lektury 🙂
https://blog-daneosobowe.pl/czy-testowanie-pracownikow-pod-katem-covid-19-i-weryfikacja-szczepien-sa-zgodne-z-rodo/