Szef UODO podkreśla, że w sytuacji kiedy będzie dokonywany np. pomiar temperatury ciała danej osoby, czy też będą gromadzone dane dotyczące jej stanu zdrowia, a następnie informacje te będą utrwalane, przekazywane i gromadzone, wówczas będzie następowało przetwarzanie szczególnej kategorii danych osobowych.
Niemniej jednak, w ocenie prezesa Urzędu Ochrony Danych Osobowych, przepisy o ochronie danych osobowych nie sprzeciwiają się przetwarzaniu danych pracowników i gości w zakresie np. mierzenia temperatury czy wdrażania kwestionariusza z objawami chorobowymi.
- RODO w swoim art. 9 ust. 2 lit. i) wskazuje, że szczególne kategorie danych (dotyczące zdrowia) można przetwarzać, gdy jest to niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi, jeżeli wynika to z przepisów prawa. Przepis ten koresponduje zatem z regulacjami krajowymi z dziedziny walki z pandemią COVID-19. Zgodnie z art. 17 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz.U. z 2020 r. poz. 374), tzw. specustawy, Główny Inspektor Sanitarny posiada uprawnienia, aby oddziaływać na inne podmioty oraz na zmiany w obowiązujących przepisach, a także wskazywać na przyjmowanie właściwych rozwiązań - czytamy w oświadczeniu.
Prezes UODO podkreśla, że specustawa daje szereg możliwości realizowania zadań przez Głównego Inspektora Sanitarnego, który ustala ogólne kierunki działania organów służb sanitarnych.
- Na podstawie nowych przepisów posiada on również uprawnienia do wprowadzania dodatkowych rozwiązań – mając na uwadze konieczność uregulowania pewnych kwestii oraz podjęcia niezbędnych działań związanych ze zwalczaniem epidemii. W ocenie Prezesa art. 17 specustawy nie wyklucza możliwości wprowadzenia przez pracodawców, czy przedsiębiorców ww. rozwiązań mających na celu zwalczanie COVID-19. W związku z tym, jeżeli inspektor sanitarny uzna, że niezbędne jest przyjęcie rozwiązania w postaci mierzenia temperatury pracownikom i tzw. gościom wchodzącym na teren zakładu pracy czy też pozyskiwania od pracowników oświadczeń dotyczących ich stanu zdrowia, może skorzystać z właściwego dla niego środka prawnego, w efekcie czego na zakład pracy nałożony zostanie obowiązek w postaci decyzji o dokonywaniu pomiaru temperatury czy też zbieraniu oświadczeń pracowników dotyczących ich stanu zdrowia. Służby sanitarne mogą również podjąć decyzję o konieczności dokonywania pomiarów temperatury ciała interesantów, którzy wchodzą do budynku w celu załatwienia sprawy - twierdzi prezes UODO.
W jego ocenie "wszystkie działania, jakie będzie podejmował inspektor sanitarny oraz podmioty, na które będzie on oddziaływał, będą wynikały z przepisów prawa, które regulują jego działania oraz z ww. decyzji, wytycznych oraz zaleceń, czyli uprawnień wynikających ze specustawy". Środki te "będą stanowiły podstawę prawną tych działań, w tym podstawę do przetwarzania danych osobowych dotyczących stanu zdrowia".
- W kwestii dotyczącej podejmowania działań związanych z przeciwdziałaniem COVID-19 w miejscu pracy, należy zaznaczyć, że podstawą legalizującą przetwarzanie danych dotyczących zdrowia w sektorze zatrudnienia, a zatem w relacji pracodawca-pracownik oraz w relacji z podmiotem publicznym, nie może być art. 9 ust. 2 lit. a) RODO, tj. zgoda osoby, której daje dotyczą. Wynika to wprost z ogólnego rozporządzenia o ochronie danych, które wskazuje, że zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach. W relacji pracodawca-pracownik również występuje nierówność tych dwóch podmiotów - tłumaczy prezes UODO.
I dodaje:
- Pracodawca nie może także nakazać pracownikom i tzw. gościom wchodzącym na teren zakładu pracy dokonywania pomiaru temperatury. W każdym przypadku musi wykazać podstawę prawną, która dawałaby takie uprawnienie. Podkreślenia wymaga, że przepisy prawa nie regulują, jaka wysokość temperatury daje podstawę do stwierdzenia, że pracownik jest chory bądź zarażony wirusem COVID-19. Dlatego też to służby sanitarne, a nie pracodawca, podejmując określone działania wskazują w konkretnych przypadkach na przyjmowanie właściwych rozwiązań.
W oświadczeniu prezesa UODO znalazło się również nawiązanie do kwestii związanych z realizacją obowiązku informacyjnego. Organ podkreśla, że administrator ma obowiązek w klauzuli informacyjnej przekazać osobom, których dane osobowe przetwarza wszelkie niezbędne informacje w tym zakresie.
- Treść klauzuli informacyjnej powinna zawierać elementy, na które wskazuje RODO oraz zostać przekazana tym osobom. Obowiązek informacyjny powinien zostać spełniony przez administratora w taki sposób, aby osoba, której dane dotyczą mogła się zapoznać bezpośrednio ze wszystkimi informacjami. Klauzula może być zawarta np. w kwestionariuszu, jak również może być dostępna w zakładzie pracy, czy w urzędzie, np. w recepcji, na tablicy ogłoszeń lub na stronie internetowej. Niemniej jednak osoba, której dane dotyczą, powinna zostać poinformowana o podstawowych kwestiach związanych z przetwarzaniem jej danych osobowych (dane administratora, cel przetwarzania, podstawa prawna, zakres danych) najpóźniej w momencie zbierania danych, a następnie ewentualnie odesłana do pełnej treści klauzuli, która znajduje się w ww. miejscach - zaznacza prezes UODO.
W oświadczeniu szefa UODO znalazła się wskazówka, że "przepisy o ochronie danych osobowych nie przeciwstawiają się podejmowanym działaniom związanym z przeciwdziałaniem COVID-19". Podkreślono też, że "podejmowanie rozwiązania przez przedsiębiorców, pracodawców i inne podmioty będą legalne, jedynie w sytuacji, jeżeli administrator będzie realizował je na podstawie przepisów prawa – zgodnie z zasadą legalności określoną w art. 5 ust. 1 RODO".
- W przedmiotowej sprawie podstaw prawnych należy niewątpliwie doszukiwać się w rozwiązaniach wyznaczanych przez Głównego Inspektora Sanitarnego - podpowiada prezes UODO.
