Wytyczne dla przedsiębiorców i podmiotów publicznych w związku z odmrażaniem gospodarki a przepisy RODO
W ostatnim czasie wrócił ze zdwojoną siłą temat postępowania przez przedsiębiorców i podmioty publiczne w związku z powrotem do pracy stacjonarnej. Ponieważ będę go omawiać w kontekście przepisów RODO, ogólnie będę określać te podmioty, jako administratorów 🙂 Poniżej przedstawiam moją subiektywną interpretację, a także rozwiązania, które moim zdaniem są najlepsze.
Zacznę może od tego, że w ostatnim czasie bardzo dużo różnych podmiotów publikuje zalecenia dotyczące określonych zasad postępowania. Łatwo jest pogubić się w nich wszystkich, tym bardziej, że czasami są one ze sobą sprzeczne lub stoją w oczywistej opozcyji z przepisami RODO. Punktem wyjścia powinna być dla Was tzw. specustawa o COVID-19 (czyli ustawa o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych). Przepis ten ma bezpośredni wpływ na sposób przetwarzania danych przez administratorów, jeżeli zajdą określone w nim warunki. Po pierwsze art. 11 specustawy daje wojewodom, ministrowi zdrowia oraz premierowi uprawnienie do wydawania administratorom wiążących poleceń, także w zakresie sposobów przetwrzania danych. Takie polecenie jest wydawane w postaci decyzji opublikowaniej w BIP organu lub dostarczane indywidualnie administratorowi (w zależności od tego, czy dotyczy ogółu, czy konkretnego podmiotu). Administrator, który otrzyma takie polecenie, jest zobligowany je zastosować. I tu tadam! Czy zastanawialiście się dlaczego w szpitalach wprowadzono bezwzględny nakaza mierzenia wszystkim temperatury? Wcale nie był to wynik analizy ryzyka, ale właśnie działanie na polecenie wojewody. Jakiś czas temu poszczególni wojewodowie wydali decyzje w tym zakresie obowiązujące podmioty lecznice. I wówczas, podmioty te były zobligowane do wprowadzenia mierzenia temperatury ciała (spełniony jest warunek z art. 9 ust. 2 lit. i RODO).
Na tej samej zasadzie, zgodnie z art. 17 specustawy o COVID-19 polecenia administratorom może wydawać GIS oraz wojewódzki inspektor sanitarny mogą wydawać decyzje wiążące administratorów. Dodatkowo zgodnie z zalecenia opublikowane przez GIS także administrator może przywołać, jako podstawę do podjęcia pewnych działań.A co z wytyczymi publikowanymi przez inne resorty lub organizacje? Są to wytyczne, które należy rozumieć jako zalecenia postępowania, jednakże nawet gdyby był w nich wskazany obowiązek w zakresie podjęcia jakiegoś działania (np. mierzenia temperatury), nie jest on wiążący i nie będzie stanowił warunku legalizującego przetwarzanie, jak we wskazanych wcześniej przykładach. Warto znać te różnice, tym bardziej, że w różnych zaleceniach, które mi przesyłacie, można znaleźć wiele rażących błędów, które stoją w oczywistej sprzeczności z przepisami RODO.
Jak, moim zdaniem, podejść do poszczególnych wytycznych?
1) Mierzenie temperatury ciała za zgodą osoby, której dane dotyczą. Ten pomysł przewija się przez wiele zaleceń, odnosi się głównie do osób, które korzystają z usług administratora. Sporadycznie widziałam także takie zalecenia w odniesieniu do pracowników. Moim zdaniem jest to fatalna przesłanka legalizująca przetwarzanie. Po pierwsze, zgoda musi być świadoma i dobrowolna, czyli już na początku należy poinformować tę osobę, że nie musi się zgadzać. Ponieważ zgoda jest dobrowolna, nie może stanowić warunku skorzystania z usługi, czy wejścia do budynku. Jeżeli ktoś się nie zgodzi na pomiar temperatury ciała, nie można odmówić mu wejścia. Dodatkowo dochodzą kwestie zapewnienia prywatności podczas pomiaru, a także sformalizowanej procedury postępowania w zależności od wyniku. Wierzcie mi, przechodziłam przez te pomysły z wieloma klientami i okazuje się, że mierzenie temperatury na wejściu to jeden, wielki problem. Zaczynając od tego kto to będzie robił (trzeba oddelegować kogoś na cały dzień), kończąc na tym, że po kilku dniach nikt już się na to nie zgadza i jest pozamiatane. Dla mnie sens mają wytyczne dla żłobków, czy przedszkoli, gdzie szkoła zawczasu uzyskuje zgodę opiekuna ustawowego na zmierzenie temperatury ciała dziecka, jeżeli ono źle się poczuje lub zacznie mieć chorobowe objawy. To ma sens, zwłaszcza że dziecko samo nie jest w stanie obiektywnie ocenić swojego stanu zdrowia. Odnosząc się jeszcze do zgody. Pracodawca wychodzi z pozycji siły wobec pracownika, więc taka zgoda na pomiar temperatury ciała jest po prostu wadliwa, bo nie będzie dobrowolna i moim zdaniem, po prostu nie może stanowić przesłanki legalizującej przetwarzanie.
2) Pytanie o stan zdrowia. Coraz częściej spotykam się ze stanowiskiem, że administratorzy powinni pytać pracowników oraz inne odwiedzające ich siedzibę osoby o stan zdrowia. Moim zdaniem jest to błędna interpretacja zaleceń i wytycznych. Przede wszystkim odniosę się do zelceń publikowanych przez GIS, bo są dla administratora najbardziej wiążące i można na nich oprzeć takie przetwarzanie. W zaleceniach GIS dla poszczególnych branż wskazano, że osoby pracujące lub korzystające z usług muszą być zdrowe. Czasami wskazuje się także dodatkowe warunki, jak brak kontaktu w ostanim czasie z osobami objętymi kwarantanną. Moim zdaniem z tych zaleceń nie wynika konieczność pytania o stan zdrowia. Ja zalecam swoim klientom wprowadzenie zasad określających warunki wejścia do siedziby i świadczenia pracy stacjonarnej. W takich zasadach można określić nie tylko kwestie związane z dystanesem społecznym, czy higieną, ale także warunki dotyczące stanu zdrowia, np. przebywać w biurze mogą jedynie osoby zdrowe. Każda osoba chcąca wejść do biura musi zapoznać się z zasadami.
3) Potwierdzanie przez osobę, której dane dotyczą, że zgadza się na przetwarzanie jej danych zgodnie z przepisami dotyczącymi zapobiegania COVID-19. Chciałaybm spuścić na to zasłonę milczenia. Kochani, jeśli jest przepis prawa, to on obowiązuje i nie można uzależniać jego obowiązywania od zgody lub nie osoby, której dane dotyczą. Nie dość, że taka zgoda będzie wadliwa, to daje jeszcze tej osobie poczucie, że przysługują jej prawa, których administrator nie spełni (np. wycofanie zgody). Zresztą co w przypadku wycofania zgody?
4) Obowiązek poinformowania pracodawcy o chorobach współistniejących, które zwiększają ryzyko związane z zachorowaniem na COVID-19. Moim zdaniem, pracodawca może poinformować pracowników, że jeżeli ich stan zdrowia zwiększa ryzyka związane z zarażeniem koronawirusem, to mogą skontaktować się ze swoim przełożonym lub kadrami, aby ustalić indywidualne zasady pracy. Czyli pracownik ma możliwość wyboru postępowania. Może, ale nie musi korzystac z takiej możliwości, tym samym nie jest zmuszany do informowania pracodawcy o swoich problemach zdrowotnych.
Podejdźcie do tematu na zimno i na spokojnie. Naprawdę wiele kwestii można rozwiązać w prosty sposób, a gromadzenie informacji o stanie zdrowia, gdy tak naprawdę nie jest to niezbędne i bardzo trudno wywodzić to z przepisów prawa, może odbić się czkawką. Podobnie uzależnianie pewnych niezbędnych działań od zgody. Jeżeli są niezbędne, nie mogą być oparte na zgodzie. Pomijam kwestię tego, kto miałby takie informacje pozyskiwać – czyż w tym wypadku nie wzrasta ryzyko związane z wykonywaniem przez tę osobę jej obowiązków? Jak na przykład zapewnić właściwą ochronę zdrowia osoby, która realizuje te czynności? I jak to wszystko zrobić, aby zapewnić poszanowanie prywantości osób, których dane dotyczą?
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.