Pracodawcy, którzy znajdą co najmniej 300 osób chętnych na szczepienie, mogą od 4 maja br. zgłosić za pośrednictwem Rządowego Centrum Bezpieczeństwa gotowość organizacji szczepienia w zakładzie pracy. Wiele firm jest chętnych by przystąpić do tego programu, ale ma wątpliwości jak to zrobić zgodnie z prawem. Nas zainteresowały oczywiście aspekty związane z przetwarzaniem danych osobowych i na nich się skupiliśmy, chociaż wątków jest tu dużo więcej, począwszy od ryzyka dyskryminacji a skończywszy na kwestiach bezpieczeństwa epidemicznego.
Szczepienia, dane i zgody
Z całą pewnością przy organizacji szczepienia przez pracodawcę dochodzi do przetwarzania danych osobowych. Tym samym, zgodnie z zasadą privacy by design, która została wprowadzona przez RODO, zanim pracodawca podejmie się przeprowadzenia takiego procesu, musi przeprowadzić jego analizę.
Jeśli pracodawca zdecyduje się zorganizować w swoim zakładzie pracy szczepienia, przystąpić do nich będą mogli zarówno pracownicy jak i członkowie ich rodzin. W pierwszym etapie do zgłoszenia gotowości przeprowadzenia szczepienia konieczna będzie minimalna ilość danych, imię i nazwisko zainteresowanych a przede wszystkim ich liczba, po to by przekroczyć wymagany próg.
Rząd wydał wytyczne w których wskazał, że pracodawca powinien zebrać listę osób chętnych do zaszczepienia oraz oświadczenia o zgodzie na przetwarzanie danych osobowych. Jednak, te wytyczne rodzą więcej wątpliwości niż odpowiedzi.
Na dwoje babka przetwarzała
Eksperci ds. ochrony danych osobowych wskazują dwa różne stanowiska co do kluczowego problemu, jakim jest rola pracodawcy w procesie organizacji szczepienia w zakładzie pracy. Jedni uznają, że pracodawca jest jedynie pośrednikiem, a więc podmiotem przetwarzającym. Administratorem w tym przypadku jest podmiot prowadzący działalność leczniczą i wykonujący szczepienie. Drudzy widzą w pracodawcy administratora danych.
W pierwszym przypadku, pracodawca nie musi określać podstawy prawnej przetwarzania danych, ponieważ działa on na zlecenie administratora, który jest obowiązany prawidłowo wskazać taką podstawę, a wiec jego pozycja wydaje się bardziej komfortowa. Ale czy na pewno? Oczywiście taka rola obliguje pracodawcę do zawarcia umowy powierzenia pomiędzy nim a podmiotem leczniczym.
Inni uznają, że pomiędzy pracodawcą czyli organizatorem szczepienia, a podmiotem prowadzącym działalność leczniczą wykonującym szczepienie istnieje relacja administrator – administrator. Eksperci opowiadający się za przyjęciem tej wykładni uzasadniają, że zarówno pracodawca jak i podmiot leczniczy działają samodzielnie w różnych niezależnych celach. W takim przypadku nie można uznać, że którykolwiek z tych podmiotów działa na zlecenie drugiego i jest podmiotem przetwarzającym. Każdy z administratorów musi wskazać podstawy na jakich przetwarza dane osobowe. Jak się wydaje przy podmiotach prowadzących działalność leczniczych jest to łatwiejsze, ponieważ mogą się one powołać na ustawę z dnia 15 kwietnia 2011 r. o działalności leczniczej (t.j. z 2020 r. Dz. U. poz. 295 z zm.) oraz ustawę z dnia 6 listopada 2008r. o prawach pacjenta i Rzeczniku Praw Pacjenta (t.j. z 2020 r. Dz. U. poz. 849 z zm.) w zakresie prowadzonej przez siebie działalności leczniczej, a szczepienia realizują zgodnie z ustawą z dnia 5 grudnia 2008r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi (t.j. Dz. U. 2020 r. poz. 1845 z zm.). W trudniejszej pozycji jest pracodawca, który nie może powołać się na przepisy ustawy, która wprost wskazywałaby, że ma on podstawy do przetwarzania danych dot. szczepienia. Pojawiają się więc pomysły by wskazywać Narodowy Program Szczepień przeciwko wirusowi Covid – 19 jako podstawę dla przetwarzania danych dotyczących szczepień przez pracodawców.
Kontrole trzeźwości pracowników przez pracodawców? Jest projekt ustawy
Okiem UODO
Urząd Ochrony Danych Osobowych w odpowiedzi na nasze pytanie wskazał, że rola administratora ma kluczowe znaczenie w stosowaniu przepisów RODO, ponieważ to on jest adresatem szeregu obowiązków wynikających z tego aktu prawnego. Odpowiada on m.in. za zgodność przetwarzania z zasadami określonymi tymi przepisami, w tym ww. art. 5 RODO; za realizację praw osób, których dane dotyczą, wynikających z przepisów art. 13 i 14, 15–22 RODO, a także jest obciążony pełną odpowiedzialnością za zgodne z prawem przetwarzanie danych, które prowadzi samodzielnie, lub które prowadzone jest w jego imieniu (motyw 74). Zarówno zakłady medyczne realizujące proces szczepienia, jak i pracodawcy obsługujący ten proces są zobligowani wykazać stosowną podstawę prawną dla realizacji swoich działań z wykorzystaniem danych osobowych i odpowiednio ukształtować klauzule informacyjne tak, aby zapewnić realizację zasady rozliczalności (art. 5 ust. 2 RODO).
Skłaniałoby to zatem bardziej do przyjęcia koncepcji ADO-ADO.
Dalej UODO wskazuje, że to resorty pracy i polityka społecznej jak i zdrowia powinny określić pozycję podmiotów w procesie przetwarzania danych w ramach szczepień. Dalej wskazał na przesłanki z RODO, przepisy Kodeksu pracy, (które wyraźnie regulują zakres danych, które może przetwarzać pracodawca), jak również przepisy ustawy o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (tzw. specustawa covidowa), które muszą być przestrzegane przez administratorów przetwarzających dane osobowe pracowników.
Podsumowanie
UODO przywołuje zatem powyższe regulacje, jako tworzące ramy przetwarzania, w tym przekazywania danych osobowych w ramach programu szczepień. To dzięki nim mamy poprawnie określać role poszczególnych „aktorów”, przy czym w przypadku dalszych wątpliwości istnieje możliwość zwrócenia się o wyjaśnienia do właściwych resortów. Co istotne UODO podkreśla istotną rolę resortu pracy i polityki społecznej, a także resortu zdrowia, jako tych podmiotów, które powinny w pierwszej kolejności odpowiadać za tworzenie i nadzorowanie ram prawnych przetwarzania danych na potrzeby programu. Może zatem warto do nich się zwrócić by rozwiać wątpliwości.