Nasz strona wykorzystuje pliki cookies w celu personalizacji oferty wysyłanej do klientów oraz analizy zachowania użytkowników, tak aby dostarczać usługi na najwyższym poziomie. Korzystając ze strony wyrażają Państwo zgodę na przetwarzanie danych. Dalsze informacje można znaleźć w polityce prywatności.



Przetwarzanie danych w kontekście pandemii

PrintMailRate-it

Paweł Foltman

21 marca 2020 r.


Po krótkiej notce prasowej Europejska Rada Ochrony Danych Osobowych wydała pełne oświadczenie dotyczące przetwarzania danych osobowych w kontekście pandemii COVID-19. EROD zwraca uwagę, iż akty prawne (w tym RODO) nie utrudniają działań ukierunkowanych przez poszczególne kraje na walkę z wirusem. Ograniczenie pandemii leży we wspólnym interesie ludzkości, tak jak i wykorzystanie w tym zakresie nowoczesnych technologii.


EROD podkreśla, że nawet w aktualnej bardzo trudnej sytuacji Administratorzy Danych Osobowych powinni zapewnić ochronę danych osobowych osób, których dane dotyczą oraz wziąć pod uwagę szereg czynników, aby zagwarantować przetwarzanie danych osobowych zgodnie z prawem.


Nadzwyczajny stan, w jakim się obecnie znajdujemy może w pewnym zakresie uzasadniać ograniczenie wolności pod warunkiem jednak, iż te ograniczenia są proporcjonalne, limitowane do okresu trwania sytuacji nadzwyczajnej i nie mogą być nieodwracalne.


Podstawy przetwarzania

Rada twierdzi, że RODO wprost zapewnia reguły, które znajdują zastosowanie do przetwarzania danych w kontekście pandemii COVID-19. Rozporządzenie umożliwia uprawnionym organom ds. zdrowia publicznego oraz pracodawcom przetwarzane danych osobowych w zgodzie z prawem krajowym.
Przykładowo jeżeli podstawą przetwarzania jest art. 9 ust 2 lit. i RODO, tzn. przetwar

zanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, nie ma potrzeby uzyskiwania zgody osoby, której dane dotyczą.


EROD wskazuje, że:
- przetwarzanie danych przez organy ds. zdrowia publicznego jest możliwe na podstawach określonych w art. 6 i 9 RODO,
- w kontekście zatrudnienia i przetwarzania danych przez pracodawców EROD wskazuje, że przetwarzanie danych może być niezbędne w związku z koniecznością wypełnienia przez pracodawców np. obowiązków prawnych związanych z BHP lub interesem publicznym.

 

Jako możliwe podstawy przetwarzania danych dotyczących stanu zdrowia zostały wskazane:
1) art. 9 ust 2 lit. i –  przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego,
2) art. 9 ust 2 lit. c –  przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą (lub innej osoby fizycznej).


W drugiej z wymienionych podstaw EROD wskazuje na motyw (46) RODO w którym jest wyraźne odniesienie do kontroli epidemii:
„(46) Przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest niezbędne do ochrony interesu, który ma istotne znaczenie dla życia osoby, której dane dotyczą, lub innej osoby fizycznej. Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej. Niektóre rodzaje przetwarzania mogą służyć zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą, na przykład gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka”.


Dane telekomunikacyjne na podstawie dyrektywy ePrivacy

Przetwarzanie danych telekomunikacyjnych, takich jak dane dotyczące lokalizacji również powinno odbywać się w zgodzie prawem krajowym i krajowymi przepisami wdrażającymi dyrektywę ePrivacy (o prywatności i łączności elektronicznej). Główna zasada dyrektywy stanowi, że dane lokalizacyjne mogą być przetwarzane co do zasady na podstawie zgody osoby, której dotyczą lub anonimowo.


Jednak art. 15 dyrektywy umożliwia ograniczenie niektórych praw i obowiązków przewidzianych dyrektywą, gdy takie ograniczenia stanowią środki niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego do zapewnienia bezpieczeństwa narodowego (bezpieczeństwa państwa), obronności, czy bezpieczeństwa publicznego. Ograniczenia takie powinny być ściśle związane z nadzwyczajną sytuacją i nie powinny trwać dłużej niż ta sytuacja.

 

Podstawowe zasady przetwarzania danych osobowych RODO

Przetwarzanie danych osobowych w określonych wyżej sytuacjach nie może naruszać podstawowych zasad wynikających z RODO, tzn.:
- dane przetwarzane są jedynie w niezbędnym zakresie i w celu w jakim zostały zgromadzone (zasada ograniczenia celu),
- obowiązuje zasada przejrzystości, tzn. osoba, której dane dotyczą powinna zostać poinformowana w przejrzysty sposób (zgodnie z art. 13 lub 14 RODO) o głównych zasadach przetwarzania w tym okresach retencji danych, celach przetwarzania w zrozumiały i łatwo dostępny dla odbiorcy informacji sposób,
- należy zapewnić odpowiednie środki bezpieczeństwa, opracować zasady poufności gwarantujące, że dane nie zostaną udostępnione nieupoważnionym osobom (zasada integralności i poufności). Wdrożone środki i związany z nimi proces decyzyjny powinny zostać odpowiednio udokumentowane (zasada rozliczalności).


Pytania i odpowiedzi

EROD w oświadczeniu umieścił również sekcję Q&A dotyczącą przetwarzania danych lokalizacyjnych z urządzeń mobilnych oraz przetwarzanych w procesach zatrudnienia. W części dotyczącej pracodawców EROD odsyła jednak do przepisów krajowych, tzn. w zakresie możliwości uzyskania danych dotyczących stanu zdrowia osób odwiedzających zakład pracy, przeprowadzenia weryfikacji stanu zdrowia pracowników, zakresu niezbędnych danych w kontekście pandemii.


Jedynie na pytanie „czy pracodawca może ujawnić, że pracownik jest zakażony COVID-19 swoim kolegom lub osobom z zewnątrz?”  EROD udzielił wyczerpującej odpowiedzi:
„Pracodawca powinien poinformować personel o przypadkach COVID-19 i podjąć środki ochronne, ale nie powinien przekazywać więcej informacji niż jest to konieczne. W przypadkach, w których konieczne jest ujawnienie nazwiska pracownika(ów), który zaraził się wirusem (np. w kontekście profilaktycznym), a prawo krajowe na to zezwala, zainteresowani pracownicy powinni zostać poinformowani z wyprzedzeniem, a ich godność i uczciwość powinny być chronione”.

 

Oświadczenie Rady może służyć przedsiębiorcom jako wskazówka i być pomocne w interpretacji przepisów związanych z przetwarzaniem danych osobowych dotyczących stanu zdrowia pracowników. Oświadczenie potwierdza stanowisko wyrażane przez krajowych komentatorów, niż wnosi coś nowego w tym temacie. Cenną wskazówką jest możliwość powołania się przez pracodawców na przesłankę przetwarzania danych gdy jest to niezbędne w związku z koniecznością wypełnienia przez pracodawców np. obowiązków prawnych związanych z BHP, np. art. 207 i 211 kodeksu pracy na mocy których pracodawca ponosi odpowiedzialność za stan bezpieczeństwa i higieny pracy w zakładzie pracy, obowiązany jest chronić zdrowie i życie pracowników przez zapewnienie bezpiecznych i higienicznych warunków pracy przy odpowiednim wykorzystaniu osiągnięć nauki i techniki (art. 207 KP), a pracownik zobowiązany jest współdziałać z pracodawcą i przełożonymi (art. 211 KP).

 

Kontakt

Contact Person Picture

Paweł Foltman

radca prawny

+48 696 139 865

Wyślij zapytanie


Deutschland Weltweit Search Menu