Czy RODO obowiązuje podczas epidemii?

Przed chwilą dzwonił do mnie klient z pytanie, czy RODO obowiązuje podczas epidemii. Słyszał bowiem plotki, że z uwagi na walkę z koronawirusem stosowanie RODO zostało zawieszone. Czy to prawda?

RODO a epidemia

Jeszcze zanim pojawiły się pierwsze przypadki zachorowania na COVID-19 w Polsce jeden z moich klientów zwrócił się do mnie z zapytaniem, czy można mierzyć temperaturę pracownikom w ramach działań zapobiegawczych, a gości pytać o wyjazdy do miejsc objętych epidemią.

Z biegiem czasu zaczęłam otrzymywać pytania o pracę zdalną pracowników i sposób zabezpieczenia danych przetwarzanych przez pracowników w ich domach.

Kiedy nauczyciele zaczęli wdrażać lekcje on-line rodzice nabrali wątpliwości, czy dane ich dzieci zostały odpowiednio zabezpieczone.

Powyższe przykłady pokazują, że koronawirus może mieć wpływ sposób przetwarzania danych osobowych. W czasie epidemii i przestoju gospodarczego RODO jest jednym z problemów, którymi przedsiębiorcy nie mają czasu się zajmować. Są przecież inne trudności i ważniejsze dylematy do rozwiązania.

Należy jednak pamiętać, że:

RODO obowiązuje podczas epidemii

Żaden z przepisów dotychczas uchwalonych specustaw nie zawiesza obowiązywania RODO. Wprowadzono jedynie pewne rozwiązania, które regulują szczegółowo sposób postępowania z danymi zbieranymi przez organy w związku z wprowadzonym stanem epidemii. Na przykład:

Zakład Ubezpieczeń Społecznych jest uprawniony do pozyskiwania i przetwarzania danych osobowych w zakresie niezbędnym do przyznawania, ustania prawa do świadczenia postojowego i wypłacania tego świadczenia.

Art. 15zz ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych

W związku z pojawiającymi się wątpliwościami i pytaniami Prezes UODO poinformował, że kwestie dotyczące przetwarzania danych dotyczących zdrowia na skutek działań zapobiegających rozprzestrzenianiu się wirusa COVID-19 uregulowane są w przepisach szczególnych, w tym przede wszystkim w tzw. specustawie.

Oznacza to, że w razie wątpliwości należy najpierw zajrzeć do treści ustaw tzw. tarczy antykryzysowej, a następnie do innych ustaw szczegółowych regulujących uprawnienia organów związanych z przetwarzaniem danych.

Jeśli te ustawy nie regulują danego zagadnienia, należy stosować RODO.

RODO przeszkodą w walce z koronawirusem?

Przepisy RODO przewidują sytuacje przetwarzania danych związane z ochroną zdrowia i zapobieganiem rozprzestrzeniania się chorób zakaźnych (art. 9 ust. 2 lit i oraz art. 6 ust. 1 lit d).

Art. 9 ust. 2 lit. i) RODO dotyczy tzw. danych „wrażliwych” takich jak dane o stanie zdrowia.

Art. 6 ust. 1 lit. d) dotyczy danych „zwykłych”, które administrator danych ma prawo przetwarzać na podstawie tzw. prawnie uzasadnionego interesu tego administratora lub osoby trzeciej . Nie można się jednak powoływać na ten przepis w odniesieniu do danych o stanie zdrowia.

Natomiast zgodnie z motywem 46 RODO przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest to niezbędne do ochrony interesu, które ma istotne znaczenie dla życia osoby której dane dotyczą np. gdy przetwarzanie jest potrzebne do celów humanitarnych w tym monitorowania epidemii i ich rozprzestrzeniania się.

Przepisy o ochronie danych osobowych nie mogą być więc wskazywane jako przeszkoda w realizacji działań w związku z walką z koronawirusem .

Z drugiej strony, jak podkreśliła Europejska Rada Ochrony Danych „nawet w tych wyjątkowych czasach administrator i podmiot przetwarzający muszą zapewnić ochronę danych osobowych osób, których dane dotyczą”.

Co to oznacza w praktyce?

RODO nie powinno utrudniać uzasadnionych działań podejmowanych przez instytucje państwowe, takie jak Policja, ZUS czy Sanepid, w oparciu o przepisy prawa w celach związanych z publiczną ochroną zdrowia. Działania te powinny jednak uwzględniać zastosowanie odpowiednich środków ochrony danych . Epidemia Covid-19 nie oznacza zawieszenia stosowania RODO.

Zwracam uwagę, że celem działalności większości przedsiębiorców nie jest ochrona zdrowia i zapobieganie rozprzestrzeniania się chorób zakaźnych. Takie zadania należą do organów władz publicznych.

W motywie 54 RODO zastrzeżono, że przetwarzanie danych dotyczących zdrowia z uwagi na względy interesu publicznego nie powinno skutkować przetwarzaniem danych do innych celów przez podmioty trzecie, takie jak pracodawcy, banki czy zakłady ubezpieczeń.

W mojej opinii przepis art. 9 ust. 2 lit. i) RODO skierowany jest do organów publicznych i może być podstawą ich działania. Pracodawca czy przedsiębiorca co do zasady nie może się natomiast powoływać na względy związane z interesem publicznym w dziedzinie zdrowia publicznego. Mógłby to zrobić jedynie w przypadku, gdyby obowiązek przetwarzania danych w tym celu przez pracodawcę/przedsiębiorce wynikał wprost z przepisów prawa przewidujących odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą.

Co więcej, takie przetwarzanie danych w oparciu o przepisy musiałoby być niezbędne do realizacji celów związanych z interesem publicznym w dziedzinie zdrowia publicznego. Jeśli więc pracodawca może dbać o zdrowie pracowników w inny sposób niż przetwarzając jego dane o stanie zdrowia, to danych takich nie należy zbierać.

Nie można walką z koronawirusem uzasadniać poluzowania zasad ochrony danych osobowych w firmie niezwiązanej z publiczną ochroną zdrowia.

Czy firmie grozi kontrola UODO w trakcie epidemii?

Zdaję sobie sprawę, że wiele firm do tej pory nie drożyło zasad RODO, a te które to zrobiły, nie chcą się zajmować ochroną danych osobowych w tych trudnych czasach. Kto by się RODO zajmował, skoro firma stoi na granicy zapaści finansowej?

Jeśli nie ma kontroli, to czym się przejmować?

Zgodnie ze znowelizowaną specustawą w okresie ogłoszonego stanu zagrożenia epidemicznego lub stanu epidemii bieg terminów prawa administracyjnego oraz bieg terminów w postępowaniach administracyjnych ulega zawieszeniu. Pisaliśmy już o tym w poprzednim artykule .

W konsekwencji terminy w postępowaniach prowadzonych przez Prezesa UODO także ulegają zawieszeniu.

Proszę jednak pamiętać, że UODO nadal działa i ma prawo wszczynać postępowania, prowadzić czynności, wydawać decyzje, w tym nakładające kary . Czynności podjęte w tym czasie pozostają w mocy.

Ze względów epidemiologicznych trudno sobie wyobrazić, aby UODO przeprowadzało kontrole w terenie, ale może w inny sposób zbierać materiał dowodowy. Po ustaniu stanu epidemii z pewnością urząd zajmie się zgłoszeniami naruszeń ochrony danych, które napłynęły w czasie epidemii.

Skoro RODO obowiązuje w czasie epidemii zalecam, aby także w tych trudnych chwilach pamiętać o ochronie danych osobowych. Nie wiele nam pomoże tarcza antykryzysowa i pomoc od państwa, jeśli po zakończeniu epidemii na naszą firmę zostanie nałożona na podstawie RODO słona kara.

Autor: radca prawny Justyna Lisińska