Uprzejmie informujemy, w ślad za Oświadczeniem Przewodniczącej EROD ws. przetwarzania danych podczas pandemii COVID-19, że nawet w tych wyjątkowych czasach administrator i podmiot przetwarzający muszą zapewnić ochronę danych osobowych osób, których dane dotyczą. W związku z tym należy wziąć pod uwagę szereg czynników gwarantujących zgodne z prawem przetwarzanie danych osobowych i we wszystkich przypadkach należy przypomnieć, że wszelkie środki podejmowane w tym kontekście muszą być zgodne z ogólnymi zasadami prawa i nie mogą być nieodwracalne. Sytuacja nadzwyczajna jest warunkiem prawnym, który może uzasadniać ograniczenie wolności, pod warunkiem że ograniczenia te są proporcjonalne i ograniczone do okresu nadzwyczajnego.
W kontekście zatrudnienia przetwarzanie danych osobowych może być konieczne do wypełnienia obowiązku prawnego, któremu podlega pracodawca, np. obowiązków związanych ze zdrowiem i bezpieczeństwem w miejscu pracy lub z interesem publicznym, takim jak kontrola chorób i innych zagrożeń dla zdrowia. RODO przewiduje również odstępstwa od zakazu przetwarzania określonych szczególnych kategorii danych osobowych, takich jak dane dotyczące zdrowia, gdy jest to konieczne ze względu na istotny interes publiczny w dziedzinie zdrowia publicznego (art. 9 ust. 2 lit. i RODO), na podstawie prawa Unii lub prawa państwa członkowskiego lub gdy istnieje potrzeba ochrony żywotnych interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. c RODO), ponieważ motyw 46 wyraźnie odnosi się do kontroli epidemii.
Dane osobowe, które są niezbędne do osiągnięcia zamierzonych celów, powinny być przetwarzane w konkretnych i wyraźnych celach. Ponadto osoby, których dane dotyczą, powinny otrzymywać przejrzyste informacje na temat prowadzonych działań w zakresie przetwarzania oraz ich głównych cech, w tym okresu przechowywania gromadzonych danych i celów przetwarzania. Dostarczane informacje powinny być łatwo dostępne i przedstawione jasnym i prostym językiem.
Ważne jest, aby przyjąć odpowiednie środki bezpieczeństwa i polityki poufności zapewniające, że dane osobowe nie są ujawniane nieupoważnionym stronom. Środki wdrożone w celu zarządzania bieżącą sytuacją nadzwyczajną oraz leżący u ich podstaw proces decyzyjny powinny być odpowiednio udokumentowane.
Poniżej wskazujemy odpowiedzi na pytania dotyczące zatrudnienia, udzielone przez EROD:
Czy w kontekście COVID-19 pracodawca może wymagać od osób odwiedzających lub pracowników dostarczenia konkretnych informacji dotyczących zdrowia?
Zastosowanie zasady proporcjonalności i minimalizacji danych jest tu szczególnie istotne. Pracodawca powinien wymagać informacji dotyczących zdrowia jedynie w zakresie, w jakim zezwala na to prawo krajowe.
Czy pracodawca może przeprowadzać badania lekarskie pracowników?
Odpowiedź opiera się na przepisach krajowych dotyczących zatrudnienia lub zdrowia i bezpieczeństwa. Pracodawcy powinni mieć dostęp do danych dotyczących zdrowia i przetwarzać je tylko wtedy, gdy wymagają tego ich własne zobowiązania prawne.
Czy pracodawca może ujawnić swoim współpracownikom lub innym osobom informację, że jego pracownik jest zakażony COVID-19?
Pracodawcy powinni informować pracowników o przypadkach COVID-19 i podejmować środki ochronne, ale nie powinni przekazywać więcej informacji niż jest to konieczne. W przypadkach, w których konieczne jest ujawnienie nazwiska pracownika, który zarażony jest wirusem (np. w kontekście profilaktyki), a prawo krajowe na to zezwala, pracownicy, których sprawa dotyczy, powinni zostać poinformowani z wyprzedzeniem, a ich godność i uczciwość powinny być chronione.
Jakie informacje przetwarzane w kontekście COVID-19 mogą uzyskać pracodawcy?
Pracodawcy mogą uzyskać dane osobowe w celu wypełnienia swoich obowiązków i zorganizowania pracy zgodnie z prawem krajowym.
Ponadto informujemy, że Europejska Rada Ochrony Danych w odpowiedzi na kryzys COVID-19 przyspiesza prace nad wytycznymi na temat przetwarzania danych w czasie działań służących opanowaniu trwającej pandemii. Rada będzie traktowała priorytetowo udzielanie wskazówek w następujących kwestiach: wykorzystanie danych dotyczących lokalizacji i anonimizacji danych; przetwarzanie danych dotyczących zdrowia do celów naukowych i badawczych oraz przetwarzanie danych przez technologie wykorzystywane do pracy zdalnej. EROD przyjmie podejście horyzontalne i planuje wydanie ogólnych wytycznych w związku z odpowiednimi podstawami prawnymi i obowiązującymi zasadami prawa ─ powiedziała 3 kwietnia 2020 r. Andrea Jelinek, przewodnicząca EROD.
W zakresie obecnych postępowań, dotyczących ochrony danych osobowych, wskazujemy, że UODO wydał komunikat, z którego wynika, że w okresie stanu zagrożenia epidemicznego lub stanu epidemii, bieg terminów w postępowaniach prowadzonych przez Prezesa Urzędu Ochrony Danych Osobowych nie rozpoczyna się, a rozpoczęty ulega zawieszeniu. Oznacza to wstrzymanie i zawieszenie biegu terminów z mocy ustawy. Jednocześnie czynności dokonane w tym okresie pozostają skuteczne.