Czy RODO obowiązuje podczas epidemii?
RODO a epidemia
Jeszcze zanim pojawiły się pierwsze przypadki zachorowania na COVID-19 w Polsce jeden z moich klientów zwrócił się do mnie z zapytaniem, czy można mierzyć temperaturę pracownikom w ramach działań zapobiegawczych, a gości pytać o wyjazdy do miejsc objętych epidemią.
Z biegiem czasu zaczęłam otrzymywać pytania o pracę zdalną pracowników i sposób zabezpieczenia danych przetwarzanych przez pracowników w ich domach.
Kiedy nauczyciele zaczęli wdrażać lekcje on-line rodzice nabrali wątpliwości, czy dane ich dzieci zostały odpowiednio zabezpieczone.
Powyższe przykłady pokazują, że koronawirus może mieć wpływ sposób przetwarzania danych osobowych. W czasie epidemii i przestoju gospodarczego RODO jest jednym z problemów, którymi przedsiębiorcy nie mają czasu się zajmować. Są przecież inne trudności i ważniejsze dylematy do rozwiązania.
Należy jednak pamiętać, że:
RODO obowiązuje podczas epidemii
Żaden z przepisów dotychczas uchwalonych specustaw nie zawiesza obowiązywania RODO. Wprowadzono jedynie pewne rozwiązania, które regulują szczegółowo sposób postępowania z danymi zbieranymi przez organy w związku z wprowadzonym stanem epidemii. Na przykład:
Zakład Ubezpieczeń Społecznych jest uprawniony do pozyskiwania i przetwarzania danych osobowych w zakresie niezbędnym do przyznawania, ustania prawa do świadczenia postojowego i wypłacania tego świadczenia.
Art. 15zz ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych
W związku z pojawiającymi się wątpliwościami i pytaniami Prezes UODO poinformował, że kwestie dotyczące przetwarzania danych dotyczących zdrowia na skutek działań zapobiegających rozprzestrzenianiu się wirusa COVID-19 uregulowane są w przepisach szczególnych, w tym przede wszystkim w tzw. specustawie.
Oznacza to, że w razie wątpliwości należy najpierw zajrzeć do treści ustaw tzw. tarczy antykryzysowej, a następnie do innych ustaw szczegółowych regulujących uprawnienia organów związanych z przetwarzaniem danych.
Jeśli te ustawy nie regulują danego zagadnienia, należy stosować RODO.
RODO przeszkodą w walce z koronawirusem?
Przepisy RODO przewidują sytuacje przetwarzania danych związane z ochroną zdrowia i zapobieganiem rozprzestrzeniania się chorób zakaźnych (art. 9 ust. 2 lit i oraz art. 6 ust. 1 lit d).
Art. 9 ust. 2 lit. i) RODO dotyczy tzw. danych „wrażliwych” takich jak dane o stanie zdrowia.
Art. 6 ust. 1 lit. d) dotyczy danych „zwykłych”, które administrator danych ma prawo przetwarzać na podstawie tzw. prawnie uzasadnionego interesu tego administratora lub osoby trzeciej . Nie można się jednak powoływać na ten przepis w odniesieniu do danych o stanie zdrowia.
Natomiast zgodnie z motywem 46 RODO przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest to niezbędne do ochrony interesu, które ma istotne znaczenie dla życia osoby której dane dotyczą np. gdy przetwarzanie jest potrzebne do celów humanitarnych w tym monitorowania epidemii i ich rozprzestrzeniania się.
Przepisy o ochronie danych osobowych nie mogą być więc wskazywane jako przeszkoda w realizacji działań w związku z walką z koronawirusem .
Z drugiej strony, jak podkreśliła Europejska Rada Ochrony Danych „nawet w tych wyjątkowych czasach administrator i podmiot przetwarzający muszą zapewnić ochronę danych osobowych osób, których dane dotyczą”.
Co to oznacza w praktyce?
RODO nie powinno utrudniać uzasadnionych działań podejmowanych przez instytucje państwowe, takie jak Policja, ZUS czy Sanepid, w oparciu o przepisy prawa w celach związanych z publiczną ochroną zdrowia. Działania te powinny jednak uwzględniać zastosowanie odpowiednich środków ochrony danych . Epidemia Covid-19 nie oznacza zawieszenia stosowania RODO.
Zwracam uwagę, że celem działalności większości przedsiębiorców nie jest ochrona zdrowia i zapobieganie rozprzestrzeniania się chorób zakaźnych. Takie zadania należą do organów władz publicznych.
W motywie 54 RODO zastrzeżono, że przetwarzanie danych dotyczących zdrowia z uwagi na względy interesu publicznego nie powinno skutkować przetwarzaniem danych do innych celów przez podmioty trzecie, takie jak pracodawcy, banki czy zakłady ubezpieczeń.
W mojej opinii przepis art. 9 ust. 2 lit. i) RODO skierowany jest do organów publicznych i może być podstawą ich działania. Pracodawca czy przedsiębiorca co do zasady nie może się natomiast powoływać na względy związane z interesem publicznym w dziedzinie zdrowia publicznego. Mógłby to zrobić jedynie w przypadku, gdyby obowiązek przetwarzania danych w tym celu przez pracodawcę/przedsiębiorce wynikał wprost z przepisów prawa przewidujących odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą.
Co więcej, takie przetwarzanie danych w oparciu o przepisy musiałoby być niezbędne do realizacji celów związanych z interesem publicznym w dziedzinie zdrowia publicznego. Jeśli więc pracodawca może dbać o zdrowie pracowników w inny sposób niż przetwarzając jego dane o stanie zdrowia, to danych takich nie należy zbierać.
Nie można walką z koronawirusem uzasadniać poluzowania zasad ochrony danych osobowych w firmie niezwiązanej z publiczną ochroną zdrowia.
Czy firmie grozi kontrola UODO w trakcie epidemii?
Zdaję sobie sprawę, że wiele firm do tej pory nie drożyło zasad RODO, a te które to zrobiły, nie chcą się zajmować ochroną danych osobowych w tych trudnych czasach. Kto by się RODO zajmował, skoro firma stoi na granicy zapaści finansowej?
Jeśli nie ma kontroli, to czym się przejmować?
Zgodnie ze znowelizowaną specustawą w okresie ogłoszonego stanu zagrożenia epidemicznego lub stanu epidemii bieg terminów prawa administracyjnego oraz bieg terminów w postępowaniach administracyjnych ulega zawieszeniu. Pisaliśmy już o tym w poprzednim artykule .
W konsekwencji terminy w postępowaniach prowadzonych przez Prezesa UODO także ulegają zawieszeniu.
Proszę jednak pamiętać, że UODO nadal działa i ma prawo wszczynać postępowania, prowadzić czynności, wydawać decyzje, w tym nakładające kary . Czynności podjęte w tym czasie pozostają w mocy.
Ze względów epidemiologicznych trudno sobie wyobrazić, aby UODO przeprowadzało kontrole w terenie, ale może w inny sposób zbierać materiał dowodowy. Po ustaniu stanu epidemii z pewnością urząd zajmie się zgłoszeniami naruszeń ochrony danych, które napłynęły w czasie epidemii.
Skoro RODO obowiązuje w czasie epidemii zalecam, aby także w tych trudnych chwilach pamiętać o ochronie danych osobowych. Nie wiele nam pomoże tarcza antykryzysowa i pomoc od państwa, jeśli po zakończeniu epidemii na naszą firmę zostanie nałożona na podstawie RODO słona kara.
Autor: radca prawny Justyna Lisińska