Czy testowanie pracowników pod kątem COVID-19 i weryfikacja szczepień są zgodne z RODO?
Najpierw pytania, które pewnie zadaje sobie większość z Was. Dlaczego pracodawcy wciąż nie wiedzą czy mogą testować pracowników na COVID-19? Dlaczego temat wywołuje tyle emocji i dlaczego wciąż nie ma specjalnej ustawy, która zezwala pracodawcom na testowanie pracowników?
Konflikt wartości
Prawdziwym podłożem sporu pomiędzy zwolennikami szczepień i ich przeciwnikami, jest głęboki konflikt dwóch wartości. Z jednej strony nasza Konstytucja gwarantuje nam wszystkim prawo do wolności i prywatności (art. 47 i art. 51). Z drugiej strony, ta sama Konstytucja mówi o tym, że każdy obywatel ma prawo do ochrony swojego zdrowia (art. 68)
Która wartość zatem jest ważniejsza w obliczu pandemii? Zdrowie i życie czy szeroko pojęta wolność jednostki? To właśnie te ważne dla nas wartości sprawiają, że często trudno ze sobą rozmawiać zwolennikom i przeciwnikom szczepień.
W artykule nie zdradzę, które z ww. wartości są istotniejsze dla mnie i którym dałbym pierwszeństwo. Zależy mi na tym, żeby zarówno zwolennicy szczepień jak i ich przeciwnicy znaleźli obiektywny ogląd prawny sytuacji (bez faworyzowania żadnej ze stron).
Pamiętaj również o tym, że wszystko zmienia się bardzo dynamicznie. Artykuł piszę nomen-omen 13 grudnia 2021 roku w rocznicę stanu wojennego. Stan wojenny podzielił Polaków, spolaryzował społeczeństwo.
Również bardzo głębokie emocje wywołuje obecnie podział na zwolenników i przeciwników szczepień. Myślę jednak, że w przeciwieństwie do wydarzeń sprzed 40 lat, możemy spojrzeć na całą sytuację w bardziej dojrzały sposób. Dojrzały, czyli w tym przypadku starając się zrozumieć argumenty każdej ze stron. Do czasu uchwalenia konkretnych przepisów, jesteśmy zdani w dużym stopniu sami na siebie. Dlaczego? O tym w kolejnych akapitach.
Co mówi prawo dzisiaj? (15 grudnia 2021 r.)
Oddajmy głos przepisom. Pytanie pracowników o wynik testu COVID-19 lub czy zostali zaszczepieni przeciwko COVID-19, jest pytaniem o szczególne kategorie danych osobowych z art. 9 RODO. Oba te pytania dotyczą informacji o stanie zdrowia. Oznacza to, że możliwość ich przetwarzania została obwarowana dodatkowymi restrykcjami. Stosujemy inne, bardziej rygorystyczne przesłanki z art. 9 Ogólnego rozporządzenia o ochronie danych.
Zobaczmy zatem, jakie możliwości prawne daje nam art. 9 RODO. Jedna z możliwości, to art. 9 ust. 2 lit. i) RODO.
| art. 9 ust. 2 lit. i) RODO przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową |
Państwowa Inspekcja Sanitarna
Z pozoru wydaje się, że to wyjątek, którego szukamy. Mamy poważne transgraniczne zagrożenie zdrowotne. Wydaje się, że zwolennicy szczepień wygrali. Jednak przeciwnicy szczepień, powiedzą teraz: „zaraz zaraz, nie tak szybko, a gdzie są odpowiednie, konkretne środki ochrony praw? A gdzie są konkretne przepisy prawa UE lub polskie?”.
I tutaj teoretycznie zwolennicy mogliby odwołać się do art. 8a ust. 5 Ustawy o Państwowej Inspekcji Sanitarnej, który wskazuje, że Główny Inspektor Sanitarny lub działający z jego upoważnienia inny organ Państwowej Inspekcji Sanitarnej może wydawać:
- decyzje nakładające obowiązek m.in. podjęcia określonych czynności zapobiegawczych lub kontrolnych,
- zalecenia i wytyczne określające sposób postępowania w trakcie realizacji zadań w przypadku stanu zagrożenia epidemicznego, stanu epidemii albo w razie niebezpieczeństwa szerzenia się zakażenia lub choroby zakaźnej.
Mogliby, ale nic z tego. GIS nie jest skłonny do wydawania w stosunku do konkretnych pracodawców decyzji nakazujących weryfikację szczepień pracowników, czy też nawet do wydania w tym zakresie zaleceń i wytycznych, które mogłyby być dla pracodawców podstawą do takich działań.
Wracamy do RODO…
Zwolennicy szczepień szukają zatem dalej i powołują art. 9 ust. 2 lit. b) RODO oraz art. 9 ust. 2 lit. h) RODO.
| Art. 9 ust. 2 lit. b) RODO przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą |
| Art. 9 ust. 2 lit. h) RODO przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3 |
Powoływane przepisy RODO odwołują się do wykonywania przez pracodawcę obowiązków w zakresie prawa pracy oraz do kwestii związanej z zagwarantowaniem bezpieczeństwa i miałyby funkcjonować w omawianym zakresie w związku z art. 207 Kodeksu Pracy, który wskazuje na odpowiedzialność pracodawcy za stan bezpieczeństwa i higieny pracy w zakładzie pracy. Wykonanie testu czy weryfikacja szczepienia byłyby instrumentami, które umożliwiają pracodawcy realizację wspomnianego obowiązku w warunkach zagrożenia epidemiologicznego.
Co na to przeciwnicy?
Przeciwnicy szczepień nie złożą jednak broni. Powiedzą, że w tych przepisach brakuje zapisów o konkretnych środkach ochrony praw i wolności podmiotów danych. To trafne argumenty. Obecnie w Polsce nie mamy konkretnych przepisów, które pozwolą nam na badanie pracowników pod kątem COVID-19. Co więcej te przepisy powinny dać konkretne gwarancje pracownikom, dotyczące ich prywatności. Ponieważ nie ma samych przepisów, to konkretnych gwarancji nie ma tym bardziej.
Powyższe potwierdza stanowisko prezentowane przez Prezesa UODO. Od czerwca 2021 r. polski organ nadzorczy podkreśla, że brak jest przepisów, które regulują możliwości żądania udostępnienia od podmiotów danych informacji na temat ich szczepienia.
Żadne regulacje (jak np. Rozporządzenie Rady Ministrów w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii) nie określają, kto i na jakich zasadach może weryfikować i w jaki sposób ma być dokonywana weryfikacja, czy dana osoba odbyła szczepienie przeciwko COVID-19. Tak samo sprawa wygląda z testami.
A co ze zgodą na przetwarzanie danych?
Zdaniem UODO, tylko gdy zainteresowana osoba wyrazi zgodę na przedłożenie informacji o zaszczepieniu, pozyskanie takich informacji może zostać uznane za uprawnione – spełniona bowiem będzie przesłanka, o której mowa w art. 9 ust. 2 lit. a) RODO.
| Art. 9 ust. 2 lit. a) RODO osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1 |
Zgoda musi być dobrowolna, świadoma, konkretna, wyrażona w formie jednoznacznego okazania woli i możliwa do odwołania w każdym czasie. Na linii pracodawca – pracownik, pozyskanie takiej zgody jest zawsze trudne.
Zwolennicy szczepień mogą odpowiedzieć jeszcze, że UODO nie jest ostatnią instancją. Są jeszcze Wojewódzkie Sądy Administracyjne, które mogą mieć zupełnie inne zdanie w tej materii. Poza tym organy nadzorcze innych państw w tej materii są bardziej wyrozumiałe.
Jak Wam się podoba ten spór na argumenty prawne? Pewnie nie tego oczekiwaliście od prawa. Tak jednak często wygląda rzeczywistość pracy prawnika. Obie strony mają mocne argumenty prawne. Gdyby ich nie miały, to cała sprawa nie wywoływałaby tylu emocji. Oczywiście wprowadzenie konkretnej ustawy z konkretnymi przepisami umożliwiającymi badanie pracowników, dałoby wszystkim jasną i jednoznaczną odpowiedź.
Czekając na ustawę
14 grudnia 2021 r. do Sejmu wpłynął projekt Ustawy o szczególnych rozwiązaniach zapewniających możliwość prowadzenia działalności gospodarczej w czasie epidemii COVID-19, przygotowany przez grupę posłów PiS.
Zakłada on m.in. możliwość żądania pracodawcy od pracownika lub osoby pozostającej w stosunku cywilnoprawnym z tym pracodawcą okazania informacji o posiadaniu ważnego negatywnego wyniku testu diagnostycznego w kierunku SARS-CoV-2, informacji o przebytej infekcji wirusa SARS-CoV-2, lub wykonaniu szczepienia przeciwko COVID-19. Projekt będzie teraz procedowany przez Sejm i zanim zostanie uchwalony (o ile do tego w ogóle dojdzie) to jego brzmienie może się jeszcze zmienić.
Co robić i jak żyć zanim pojawi się ustawa?
No dobrze, ale czy możemy coś zrobić, zanim pojawi się ustawa? Czy możemy mimo wszystko sprawdzać status szczepień naszych pracowników i testować ich? Z jakimi ryzykami wiąże się podjęcie ww. działań bez ustawy?
Możesz powołać się na argumentację, którą wskazałem powyżej, czyli np. art. 9 ust. 2 lit. i), b) czy h) RODO. Możesz również, w zgodzie ze stanowiskiem UODO, zbierać od pracowników zgody na przetwarzanie informacji o szczepieniach czy wynikach testów, starając się, aby mimo wszystko były one dobrowolne.
Niestety, nie mogę dać Ci gwarancji, że Twoja organizacja nie zostanie ukarana za takie działania przez UODO. Kary teoretycznie mogą być wysokie, ponieważ w tym przypadku, mamy do czynienia z naruszeniem podstawowych zasad przetwarzania danych (zgodność z prawem), w dodatku w stosunku do danych szczególnych kategorii (a więc karą nawet do 4% rocznego światowego obrotu lub do 20 mln EUR).
Oczywiście w tej sytuacji szanse na maksymalną wysokość kary są praktycznie zerowe. Takie kary nigdy do tej pory nie zostały nałożone. Z uwagi na dość duże kontrowersje w doktrynie prawnej co do możliwości przetwarzania takich danych, prognozuję, że sprawa zakończyłaby się żądaniem zaprzestania przetwarzania danych. Oczywiście mogę się mylić.
O czym musisz pamiętać, jeśli zdecydujesz się zbierać dane o szczepieniach
W praktyce również Ty masz wpływ na wysokość ewentualnej kary. Pamiętaj o tym, że ryzyka maleją, jeśli poziom wdrożenia RODO ogólnie jest w Twojej organizacji wysoki. Pamiętaj, że proces przetwarzania danych dotyczących wyników testów / szczepień, powinien:
- zostać opisany w RCP,
- same dane osobowe powinni zostać należycie zabezpieczone (warto wykonać analizę ryzyka),
- nie zapomnij także o dopełnieniu obowiązku informacyjnego.
Warto wspomnieć także o tym, że jeszcze w listopadzie, media donosiły, że Państwowa Inspekcja Pracy nie zamierza karać pracodawców za przymuszanie pracowników do szczepień.
„Przepisy nie przewidują karania pracodawców za przymuszanie pracowników do szczepień. W przypadku stwierdzenia takich sytuacji inspektorzy pracy poprzestają na działaniach informacyjnych”. Taką informację przekazał Polskiej Agencji Prasowej Juliusz Głuski-Schimmer, rzecznik prasowy Głównego Inspektoratu Pracy.
Podsumowując, jeśli chcesz przetwarzać dane dotyczące testów / szczepień – możesz to robić na (prawdopodobnie) niewielkim ryzyku prawnym. Nie traktuj jednak tego jako jednoznacznej zachęty ze strony autora. Pamiętaj o tym, że w tym procesie nie chodzi jedynie o cyfry i ryzyka prawne.
Potrzebujesz wsparcia i konsultacji?
Nasi RODO-eksperci pomogą Ci w dowolnym temacie związanym z ochroną danych osobowych. Skorzystaj z naszego wsparcia i upewnij się, że działasz zgodnie z przepisami.
Zobacz, w jaki sposób możemy Ci pomóc:
Nie tylko ryzyka prawne
W tym miejscu wracamy do naszego punktu wyjścia, czyli konfliktu wartości. Jeśli wiesz, że bardzo duża część Twojego Zespołu to osoby, które nie chcą się zaszczepić / poddawać testom, to musisz liczyć się z konfliktami.
Tego typu spory mogą skutecznie podzielić Twój Zespół. Nie możesz im zapobiec, ale możesz próbować je łagodzić. Na pewno pomocne będzie danie szansy wypowiedzenia się również przeciwnikom testów / szczepień. Może będziesz w stanie zrealizować część ich postulatów (np. odpowiednie zabezpieczenie informacji).
Ważne, żeby nie traktować w tym sporze swoich racji, jako jedynie słusznych. Przeciwnicy szczepień / testów, też mają dostęp do wiedzy i argumentów, które mogą być sprzeczne z Twoją wiedzą i Twoimi argumentami. W tym przypadku twierdzenie, że prawo jest całkowicie po stronie pracodawcy, nie będzie prawdą. Jeśli według Ciebie większe ryzyka wiążą się z brakiem szczepień czy testów, zakomunikuj to otwarcie. Niech Twój Zespół wie, na czym opierasz swoją decyzją. Jeśli stwierdzisz autorytatywnie, że prawo jest w 100% po Twojej stronie, ryzykujesz własnym autorytetem.
Znam relacje z wielu organizacji, które z powodzeniem wdrożyły politykę testowania swoich pracowników. Przy tej okazji obyło się bez konfliktów. Pracownicy docenili dodatkową troskę pracodawcy i poczuli się bezpieczniej. Co jednak ważne, większość tych pozytywnych historii, dotyczy organizacji z branży medycznej. W tego typu organizacjach, pracują najczęściej osoby z dużym poziomem zaufania do medycyny.
Dlatego zanim podejmiesz ostateczną decyzję, sprawdź nastawienie Twojego zespołu do takiego pomysłu. Jeśli okaże się, że budzi on ogromny sprzeciw, poszukaj źródeł tego sprzeciwu. Jeśli nie jesteś w stanie w żaden sposób przekonać sceptyków, zastanów się nad poczekaniem na stosowne przepisu.
W tym wszystkim bardzo ważne jest też to, że decyzja o wprowadzeniu testów / szczepień, jest decyzją, która powinna zapaść na szczeblu Zarządu. Jeśli pracujesz w Dziale Kadr i chcesz podjąć taką decyzję samodzielnie, to uważam, że bierzesz na siebie zbyt dużą odpowiedzialność.
Powiem więcej, w optymalnie zarządzanym państwie, to również Zarząd nie powinien sam podejmować takich decyzji. To rola instytucji państwowych, które powinny za pomocą ustawy odpowiednio uregulować ten obszar. Tak się niestety do dzisiaj nie stało, miejmy nadzieję, że już niedługo to się zmieni.
Podsumowanie
Nauka nie daje jeszcze odpowiedzi na pytanie o to, kiedy pandemia się zakończy. Prawo niestety również nie daje jednoznacznych odpowiedzi na pytanie, czy pracodawca może legalnie przetwarzać dodatkowe dane osobowe pracowników. Jeśli jednak spojrzymy na procesy ewolucji nauk biologicznych czy na historie regulacji prawnych, to znajdziemy tam dużo nadziei. Odpowiedzi na pytania zawsze w końcu się pojawiają.
4 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Jak można posługiwać się niewiarygodnymi testami (tak stwierdził nawet w tym konkretnym przypadku ich twórca)? Jak mają się zaszczepić osoby, których organizm reaguje negatywnie na wszelkie inne szczepionki? Mają ryzykować utratą zdrowia lub nawet życia, aby tylko spełnić absurdalny przepis?
Temat szczepień jak już wiemy wywołuje sporo dyskusji. Trudno znaleźć złoty środek. Pozdrawiamy!
Nie podejmę się dyskusji na tematy medyczne. Tutaj odnoszę się tylko do tego jak działają obecnie przepisy prawa i jak mają działać wkrótce. Co do negatywnej reakcji na szczepienia, powinna być jakaś możliwość, która zagwarantuje takim osobom brak wykluczenia społecznego.
Bardzo ciekawy temat.