Pandemia koronawirusa COVID-19 wywołuje liczne problemy, także w obszarze ochrony danych osobowych. Większość administratorów, w tym m.in. pracodawcy, ma wątpliwości czy przetwarzając określone informacje dotyczące zdrowia (np. pracownika), nie naruszają przepisów RODO.
Do problemu odniósł się w zeszły czwartek Urząd Ochrony Danych Osobowych (oświadczenie UODO skomentowaliśmy tutaj: https://gdpr.pl/czy-rodo-rzeczywiscie-utrudnia-walke-z-koronawirusem). Wątpliwości te starają się także wyjaśniać europejskie organy nadzoru. Co do zasady wskazują one, że przepisy o ochronie danych osobowych nie mogą stanowić przeszkody w walce z koronawirusem.
Co ciekawe, w większości przestrzegają one jednak, aby nie pozyskiwać danych osobowych, które nie są niezbędne do zapobiegania oraz zwalczania tej choroby. Te wskazówki mają duże znaczenie w kontekście przetwarzania danych osobowych pracowników.
Zalecenia ICO
W zaleceniach opublikowanych na swojej stronie internetowej przez brytyjski organ nadzorczy, The Information Commissioner’s Office (ICO), wskazał m.in., że obowiązkiem pracodawcy jest dbanie o zdrowie i bezpieczeństwo swoich pracowników, a także obowiązek zachowania daleko posuniętej ostrożności. Jeżeli pracodawca pozyska informację, że jeden z jego pracowników został zakażony koronawirusem powinien on powiadomić o tym fakcie pozostałych podwładnych. Nie może on jednak przekazywać im więcej informacji o chorym, niż jest to konieczne. Zdaniem ICO takie działania nie naruszają przepisów o ochronie danych osobowych.
ICO podkreślił, że pracodawca ma prawo uzyskać informację, czy dany pracownik w ostatnim czasie odwiedzał kraje, w których istnieje duże ryzyko zarażeniem koronawirusem, jak również, czy występują u niego objawy charakterystyczne dla tej choroby. Jeżeli pracodawca gromadzi określone dane osobowe pracowników dotyczące ich zdrowia, powinien on – zdaniem ICO – pamiętać o zasadzie minimalizacji danych i nie przetwarzać ich więcej niż potrzebuje. Ponadto powinien on także przetwarzać te dane z uwzględnieniem odpowiednich zabezpieczeń.
Uwaga na zakres danych osobowych
O konieczności uwzględnienia zasady minimalizacji danych w kontekście walki z pandemią koronawirusa przypomina większość europejskich organów nadzorczych. Przykładowo, CNIL (francuski regulator) wskazuje, że pracodawcy nie mogą gromadzić danych o pracownikach w sposób kompleksowy, w tym np. poprzez prowadzenie zbioru kart zdrowia wszystkich podwładnych.
Podobnie wskazuje AEDP (organ hiszpański). Podkreślił on, że nawet w sytuacji zagrożenia zdrowia, administrator (np. pracodawca) zobowiązany jest przetwarzać dane osobowe zgodnie z przepisami o ochronie danych osobowych, w tym w szczególności z zasadą minimalizacji danych. Oznacza to, że może on pozyskiwać jedynie te dane osobowe, które są niezbędne do zamierzonego celu, tj. szerokorozumianej walki z pandemią koronawirusa. UODO nie zwrócił uwagi na tę kwestię w swoim oświadczeniu, a wydaje się, że jest to niezmiernie istotne. Pracodawca powinien bowiem dołożyć szczególnej staranności, aby pod pretekstem walki z panującym wirusem, nie gromadzić w sposób kompleksowy danych dotyczących zdrowia pracowników, w tym np. odnoszących się do innych chorób.
Na koniec warto zwrócić uwagę na prace nowelizacyjne ustawy o koronawirusie, które się toczą w senacie. Oczywiście poinformujemy Państwa o ich efektach, jak tylko się zakończą.
Oświadczenie ICO dostępne tutaj: https://ico.org.uk/for-organisations/data-protection-and-coronavirus/
Oświadczenie CNIL dostępne tutaj: https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles
Oświadczenie AEDP dostępne tutaj: https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-un-informe-sobre-los-tratamientos-de-datos-en