W naszym kraju przechodzimy chyba kulminacyjną fazę występującej epidemii Koronawirusa (COVID-19) – imprezy masowe są odwoływane, zapadła decyzja o zamknięciu szkół, ze sklepów znikają towary. W związku z powyższym Przedsiębiorcy podejmują szereg działań mających zmniejszyć ryzyko zarażenia wśród pracowników lub klientów. Do najczęstszych działań należy prowadzenie różnego rodzaju ankiet, wywiadów lekarskich, badań temperatury, czy zbieranie oświadczeń o stanie zdrowia, na podstawie których decyduje się o wpuszczeniu gościa na teren firmy, czy dopuszczeniu pracownika do pracy
Powyższe działania stanowią realne zagadnienie prawne, które łączy się z przetwarzaniem danych osobowych. W ocenie Sokół Doradztwo Prawne (SDP) niepewność co do tego gdzie w istocie przebiega granica pomiędzy działaniami pracodawcy zgodnymi z prawem, a naruszającymi RODO spotęgowana jest przez niedawne opinie UODO, oraz Ministerstwa Rodziny, Pracy i Polityki Społecznej dotyczące prewencyjnego badania trzeźwości pracowników. Dostrzegamy silną analogię pomiędzy prewencją związaną z dopuszczaniem do pracy osób nietrzeźwych, a osób potencjalnie zarażonych (lub prawdopodobnie wyeksponowanych na działanie wirusa). Sytuacji nie ułatwia duże zamieszanie informacyjne oraz naturalne napięcie społeczne. Poniżej zestawiamy pojawiające się komunikaty oraz naszą ocenę możliwych do podjęcia działań.
1. Ankiety/oświadczenia.
Niewątpliwie RODO będzie mieć zastosowanie do zebranych w formie ankiety czy oświadczenia dokumentów. W celu ustalenia czy nasze działanie będzie zatem zgodne z RODO należy zweryfikować istnienie klasycznych elementów – w pierwszej kolejności należy zapewnić podstawę prawną do przetwarzania danych, następnie zadbać o realizację zasad przetwarzania oraz dostarczyć stosowne klauzule informacyjne. Takie twierdzenie poparte jest wpisem irlandzkiego organu ochrony danych – warte podkreślenia jest, że irlandzki organ we wstępie stwierdza, że “prawo o ochronie danych nie stoi na przeszkodzie świadczeniu opieki zdrowotnej i zarządzaniu kwestiami dotyczącymi zdrowia publicznego; niemniej jednak istnieją ważne względy, które powinny być brane pod uwagę przy przetwarzaniu danych osobowych w tych kontekstach, w szczególności danych dotyczących zdrowia i innych wrażliwych danych”. Tak samo węgierski organ ochrony danych nie miał wątpliwości wskazując, że należy mieć na uwadze w ramach działań prewencyjnych wszystkie zasady związane z przetwarzaniem danych.
Rodzaj zadanych pytań ma wpływ na rodzaj informacji jaki pozyskujemy. Jeśli pytamy bezpośrednio o samopoczucie, dolegliwości czy wprost o stan zdrowia jest wysoce prawdopodobne, że pozyskamy informacje należące do kategorii “wrażliwych” (szczególnie chronionych). Możliwe jest jednak takie postawienie pytań, aby zręcznie uniknąć pytań kwalifikujących się jako dotyczące stanu zdrowia. W ten sposób oceniliśmy u naszych klientów np. pytania o obszary przebywania w ciągu ostatnich 30 dni, pytanie czy trasy podróży przebiegały przez obszary występowania wirusa, czy wreszcie pytanie wprost o styczność z osobą zarażoną. Żadne z nich nie dotyczyło więc stanu zdrowia, osoby która wypełniała ankietę. A od udzielonych odpowiedzi uzależniona jest możliwość wejścia na obiekty. Analogicznie – oświadczenia powinny być konstruowane w ten sam sposób – np. “oświadczam, że nie podróżowałem do…”/”nie miałem styczności z osobami zarażonymi”. W tej kwestii norweski organ ochrony danych wydał oświadczenie (dostępne w jęz. norweskim), w którym ocenił, że pytania o przebywanie w “obszarach ryzyka” oraz informacja o poddaniu kwarantannie (bez podania dalszych/innych szczegółów) nie powinny być kwalifikowane jako pytania o stan zdrowia. Takie podejście i działanie ułatwia znalezienie właściwych podstaw prawnych przetwarzania – pracodawcy mają szerokie obowiązki w zakresie zapewnienia bezpiecznych i higienicznych warunków pracy, a więc z pomocą przychodzi prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO). Nadto w obliczu pandemii zasadne wydaje się przywołanie art. 6 ust. 1 lit. d RODO, który legalizuje przetwarzanie danych gdy jest to “niezbędne do ochrony żywotnych interesów innych osób”. W tym wypadku chodzi o żywotny interes pracowników, ich bliskich czy innych osób przebywających w danym momencie w zakładzie pracy. Zadanie pytań ogólnych jest również środkiem o wiele mniej naruszającym prywatność osoby pytanej, przez co wykazanie spełnienia zasad przetwarzania danych jest łatwiejsze. Z kolei pytanie wprost o informacje ujawniające stan zdrowia wymaga zapewnienia innych podstaw prawnych – i w obecnym stanie prawnym w zasadzie tylko zgoda wyraźna mogłaby mieć zastosowanie. Jednak odradzamy korzystanie z tego rozwiązania, zwłaszcza w kontekście pracowników – na gruncie polskiego porządku prawnego udzielenie zgody przez pracownika jest kwestionowane w niektórych stanach faktycznych z uwagi na silniejszą pozycję pracodawcy, która wpływa na brak dobrowolności wyrażenia zgody, a więc pociąga za sobą nieważność takiego oświadczenia. Być może wkrótce otrzymamy na wzór Włoch, które wprowadziły szczegółowe przepisy prawa, stosowną legislację w tym względzie i nie będzie trzeba interpretować uprawnień pracodawcy z przepisów ogólnych, jednak na dzień 11 marca takie przepisy istnieją dla lotnisk, organizatorów imprez turystycznych, farmaceutów
2. Badania/Mierzenie temperatury
Prowadzenie badań polegających na wywiadzie lekarskim czy innego rodzaju testów wydaje się wątpliwe. Przede wszystkim nie można nikogo zmuszać do poddania się badaniom (wyjątkiem są badania przewidziane prawem pracy), zatem efekt prewencji może zostać zaprzepaszczony, albo znacznej części gości lub pracowników trzeba będzie odmówić wstępu na obiekt. Jednocześnie trudno znaleźć właściwe podstawy prawne do przetwarzania danych zgromadzonych w ramach wywiadu. Zastosowanie bowiem ma art. 9 ust. 2 RODO, który wymienia sytuacje, w których badanie jest dopuszczalne, a wśród nich trudno znaleźć taką, którą uprawniałaby przedsiębiorcę (czy instytucję publiczną) do prowadzenia prewencyjnych badań. W podobnym tonie wypowiada się francuski organ ochrony danych oraz luxemburski organ ochrony danych (oba oświadczenia w jęz. francuskim) podkreślając, że zbieranie danych dotyczących stanu zdrowia to domena instytucji państwowych powołanych do spraw zdrowia, oraz akcentując, że pracodawcy powinni powstrzymać się przed wdrażaniem procedur polegających na stałym i obowiązkowym badaniom. Zamiast powyższego wskazane rekomendację zmierzają do współpracy z właściwymi organami państwowymi oraz ew. pozyskiwania od nich niezbędnych informacji. Jesteśmy zdania, że tego rodzaju działania należy porzucić. O ile jeszcze w kontekście osób postronnych (ponieważ wejście na teren prywatny wiąże się z akceptacją zasad właściciela/zarządzającego w przypadku instytucji państwowej) potencjalnie możliwe byłoby prowadzenie wywiadów lekarskich czy badań oraz argumentowanie, że takie działanie nie narusza RODO. O tyle w kontekście pracowników z całą pewnością doszłoby do naruszenia zasad wskazywanych chociażby przez organ irlandzki, ponieważ w tym kontekście zastosowanie mają liczne przepisy, które określają zasady przetwarzania danych
Natomiast i w tym przypadku można ograniczyć się do działań mniej inwazyjnych, a równie skutecznych. Wielu przedsiębiorców zaczęło wykorzystywać termometry, żeby nie wpuszczać gości/pracowników z gorączką, a także zalecać im wizyty u lekarzy. Takie działanie przy użyciu bezdotykowych termometrów może być prowadzone w sposób nieinwazyjny, przez co w zasadzie gwarantowane jest 100 % frekwencja przystąpienia do badania. Czy takie działanie jest zgodne z RODO? Oczywiście wynik badania termometrem stanowi informację o stanie zdrowia – czy jednak konieczne jest jej utrwalenie. Wydaje się, że nie – takie działanie ma dać wynik “tu i teraz”, ponieważ jest to prewencja nikomu nie zależy na skomplikowanej procedurze, trybie odwoławczym, obrazowo pisząc: interesuje nas wyłącznie wynik pokazany przez termometr i fakt chęci wejścia na obiekt. To z kolei daje uprawnienia obsłudze obiektu do wpuszczenia lub proszenia o opuszczenie terenu firmy danej osoby, jednak bez rzeczywistej potrzeby jej identyfikacji. W sytuacji gdy wynik nie będzie utrwalany i nie będzie przetwarzany w sposób dający się powiązać z osobą poddawaną badaniu, nie dojdzie zdaniem SDP do przetwarzania danych osobowych w sposób ustrukturyzowany, a więc zbierane dane nie stanowią ani nie będą stanowić zbioru danych lub części zbioru danych, zatem stosownie do treści art. 2 ust. 1 RODO przepisy Rozporządzenia nie będą mieć zastosowania. Jednak i w tym przypadku należy mieć na uwadze zasady RODO, w tym znaczeniu, żeby uniknąć powiązania ze sobą informacji o badaniu i uzyskanym wyniku z konkretnym przypadkiem. Nie można zatem zestawiać wyniku badania z innymi danymi pracownika/gościa. A może się to stać różnymi ścieżkami – np. poprzez podpisane oświadczenie (notabene niepotrzebne w tym wypadku), stosowany monitoring, który zestawi twarz, wynik badania, czas wizyty, czy wreszcie listę płac, w której zapobiegliwe osoby odnotują np. symbol korony w ewidencji czasu pracy, żeby nie było wątpliwości co do powodów nieobecności pracownika. Na tę ostatnią możliwość “zdradzenia” informacji o stanie zdrowia poprzez listę płac zwraca bardzo słusznie uwagę islandzki organ ochrony danych sugerując notowanie jak najmniejszego zakresu informacji w celach płacowych. Tym bardziej, że w realiach polskich niedopuszczenie pracownika do pracy przez pracodawcę będzie 100% płatne, nie ma bowiem podstaw do jakichkolwiek potrąceń gdy tak naprawdę niedopuszczenie do pracy odbywa się z uwagi na autonomiczną decyzję pracodawcy. Podsumowując tę cześć należy podkreślić, że z uwagi na brak wyraźnych regulacji prawnych oraz niejednolite opinie organów nadzoru polecanym rozwiązaniem minimalizującym zarzuty niezgodności z RODO jest wdrożenie ankiet/pytań kontrolnych niezwiązanych bezpośrednio ze stanem zdrowia. Nie mniej w obliczu wewnętrznych procedur korporacyjnych często wymuszających prowadzenie pomiarów temperatury pod rozwagę dajemy argumentację i sposób działania możliwie najbezpieczniejszy z punktu widzenia ew. naruszenia przepisów.
Najbardziej liberalny w zakresie możliwości przetwarzania danych o pracownikach zdaje się być duński organ ochrony danych, który nie dość, że uznał za zgodne z RODO pytania pracodawcy o obszary przebywania w rejonach zagrożonych Koronawirusem, to jeszcze uznał za dopuszczalne utrwalenie i rozpowszechnienie wśród załogi informacji o konkretnym pracowniku i fakcie jego zarażenia. Nie mniej wszystko powyższe z wyraźnym podkreśleniem zasad i obowiązków administratora danych płynących z RODO. Wreszcie każdy z wypowiadających się do tej pory organów nadzoru podkreślał znaczenie klauzul informacyjnych i zbudowania odpowiedniej świadomości pracowników dotyczących przetwarzania danych – nie odnieśliśmy się do tego szerzej, gdyż ten aspekt jest “technicznie” najprostszy do wykonania i nie powinien nastręczać trudności.
Pamiętajmy, że lada dzień najprawdopodobniej polski organ nadzoru wypowie się co do możliwości zgodnego z RODO prowadzenia poszczególnych działań prewencyjnych. Należy również mieć na uwadze, że w ekspresowym tempie mogą zostać uchwalone akty prawne mające powszechne zastosowanie, nie mniej mamy nadzieję, że na tę chwilę daliśmy Wam garść cennych informacji. Koniec końców RODO dotyka również i takich działań pracodawców, dlatego warto przed ich wdrożeniem skonsultować się ze swoim inspektorem ochrony danych. W razie wątpliwości zapraszamy do kontaktu z nami za pomocą formularza, lub pod adresem kontakt[at]sokol-kancelaria[kropka]pl .
Sokół Doradztwo Prawne
Opracowanie oraz linki źródłowe na podstawie OneTrust DataGuidance 11.03.2020