5 maja 2020 r. Prezes Urząd Ochrony Danych Osobowych („PUODO” lub „Urząd”) wydał pierwsze wytyczne w sprawie przetwarzania danych pozyskanych w wyniku pomiaru temperatury ciała lub innych danych o stanie zdrowia osób w celu przeciwdziałania koronawirusowi SARS-CoV-19. Jak wskazuje Urząd, kiedy będzie dokonywany np. pomiar temperatury ciała danej osoby, czy też będą gromadzone dane dotyczące jej stanu zdrowia, a następnie informacje te będą utrwalane, przekazywane i gromadzone, wówczas będzie następowało przetwarzanie szczególnej kategorii danych osobowych.
Zgoda jako podstawa przetwarzania
PUODO podnosi, że podstawą przetwarzania danych stanu zdrowia w miejscu pracy oraz w relacji z podmiotem publicznym, nie może zgoda osoby, której daje dotyczą. Zdaniem Urzędu powyższe wynika to wprost z postanowień RODO, które wskazuje, że zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach.
Sytuacja pracodawców i przedsiębiorców
W relacji pracodawca-pracownik również występuje nierówność tych dwóch podmiotów. Pracodawca nie może także nakazać pracownikom i tzw. gościom wchodzącym na teren zakładu pracy dokonywania pomiaru temperatury. W każdym przypadku musi wykazać podstawę prawną, która dawałaby takie uprawnienie. Podkreślenia wymaga, że przepisy prawa nie regulują, jaka wysokość temperatury daje podstawę do stwierdzenia, że pracownik jest chory bądź zarażony wirusem COVID. PUODO wskazuje, iż to służby sanitarne, a nie pracodawca, podejmując określone działania wskazują w konkretnych przypadkach na przyjmowanie właściwych rozwiązań. Urząd nie widzi możliwości prowadzenia takiej kontroli przez pracodawców „z własnej inicjatywy”, czyli bez opublikowania zaleceń lub wytycznych przez Inspekcję Sanitarną.
Obowiązek informacyjny
Administrator ma obowiązek w klauzuli informacyjnej, określonej w art. 13 lub 14 RODO, przekazać osobom, których dane osobowe przetwarza wszelkie niezbędne informacje w tym zakresie. Treść klauzuli informacyjnej powinna zawierać elementy, na które wskazuje RODO oraz zostać przekazana tym osobom. Obowiązek informacyjny powinien zostać spełniony przez administratora w taki sposób, aby osoba, której dane dotyczą mogła się zapoznać bezpośrednio ze wszystkimi informacjami. Klauzula może być zawarta np. w kwestionariuszu, jak również może być dostępna w zakładzie pracy, np. na tablicy ogłoszeń lub stronie internetowej. Osoba, której dane dotyczą, powinna zostać poinformowana o podstawowych kwestiach związanych z przetwarzaniem jej danych osobowych (dane administratora, cel przetwarzania, podstawa prawna, zakres danych) najpóźniej w momencie zbierania danych. Następnie może być ewentualnie odesłana do pełnej treści klauzuli, która znajduje się w ww. miejscach.
Podsumowanie
PUODO wskazuje, że przepisy o ochronie danych osobowych nie przeciwstawiają się podejmowanym działaniom związanym z przeciwdziałaniem COVID. Podejmowane rozwiązania będą legalne, jedynie w sytuacji, jeżeli będą realizowane na podstawie przepisów prawa – zgodnie z zasadą legalności (art. 5 ust. 1 lit. a RODO). W tym przypadku, jako podstawa mogą być traktowane rozwiązaniach wyznaczane przez Głównego Inspektora Sanitarnego.
Komentarz naszych ekspertów – r. pr. Joanny Jarguz oraz Pauli Nowak
W opublikowanym stanowisku Prezes UODO odnajduje podstawę do przetwarzania danych osobowych dotyczących zdrowia w ramach procesu kontroli epidemiologicznej w zakładzie pracy w art. 9 ust. 2 lit i RODO. Zgodnie z tym artykułem przetwarzane jest dozwolone, gdy jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, jeżeli wynika to z przepisów prawa. . Wśród nich znajdują się m.in. ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi
Jednocześnie Urząd odnajduje ową podstawę prawną w art. 8a ustawy o Państwowej Inspekcji Sanitarnej, znowelizowanym przez tzw. specustawę o zwalczaniu COVID-19. Zgodne ze wskazanym przepisem, Główny Inspektor Sanitarny lub działający z jego upoważnienia Państwowy Wojewódzki Inspektor Sanitarny może wydawać zalecenia i wytyczne określające sposób postępowania w trakcie realizacji zadań obowiązujące między innymi pracodawców.
W naszej ocenie istnieją silne argumenty prawne, aby polemizować z przytoczonym stanowiskiem Urzędu. Już samo stwierdzenie ustawowe, że organy Państwowej Inspekcji Sanitarnej mogą wydać obowiązujące pracodawców zalecenia lub wytyczne określające sposób realizacji zadań, przesądza o tym, że na pracodawcach ciążą w tym zakresie zadania, które nie tylko mogą, ale powinny być przez nich realizowane na podstawie i w granicach obowiązującego prawa. Stoimy na stanowisku, że pracodawcy realizujący swoje zadania nie muszą oczekiwać na szczegółowe wytyczne i zalecenia Inspekcji Sanitarnej i w tym zakresie i mogą prowadzić kontrolę epidemiologiczną osób wchodzących na teraz zakładu pracy. Oczywiście musi być ona przeprowadzana w sposób adekwatny, proporcjonalny i z poszanowaniem godności osobistej tych osób.
Jednocześnie zgadzamy się, że podstawą przetwarzania danych osobowych przy kontroli epidemiologicznej w zakładzie pracy nie może być zgoda z art. 9 ust. 2 lit a RODO. Nie można jednak nie zauważyć, że stwierdzenie PUODO, jakoby zgoda nie mogła stanowić ważnej podstawy prawnej przetwarzania danych osobowych w sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem (jak w relacji pracownik – pracodawca), zdaje się być wprost sprzeczne z obowiązującymi przepisami kodeksu pracy.
Art. 221a § 1 k.p. stanowi, że zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę jej danych osobowych, z wyjątkiem danych osobowych, o których mowa w art. 10 RODO. Zgodnie zaś z art. 221b § 1 k.p. zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych, o których mowa w art. 9 ust. 1 RODO (danych szczególnie chronionych), wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy tej osoby. Jednocześnie przepisy kodeksu pracy ustanawiają standardy ochrony dobrowolności zgody pracowników i osób ubiegających się o zatrudnienie.