Dlaczego tak długo mnie tu nie było – i o jednej z najbardziej niedocenianych przesłanek RODO

Od dawna nie było tu nowego wpisu. Nie dlatego, że zabrakło tematów – wręcz przeciwnie. W ciągu kilku ostatnich miesięcy zmarło kilka bardzo bliskich mi osób. To był czas, w którym musiałam na chwilę zwolnić, złapać oddech i poukładać swoje sprawy. Wracam jednak z tematem trudnym, ale niezwykle potrzebnym. Tematem, który pokazuje, że RODO nie jest przepisem „przeciwko ludziom”, lecz – w określonych sytuacjach – dla ochrony życia i zdrowia.

Historia, która nie powinna się wydarzyć

Ostatnio usłyszałam historię, która nie daje mi spokoju.

Dziewczyna nie przyszła do pracy. Pracowała tam od kilkunastu lat. Nigdy wcześniej nie zdarzyło się, by nie przyszła bez uprzedzenia. Nigdy nie było problemu z kontaktem. Tym razem – cisza. Telefon milczał.

Koledzy z pracy wiedzieli, że samotnie wychowuje dziecko z niepełnosprawnością. Zaczęli się obawiać, że mogło stać się coś poważnego – jej, dziecku albo im obojgu. Nie był to impuls ani plotka. Było to racjonalne zaniepokojenie oparte na wieloletniej znajomości i konkretnych okolicznościach.

Jedna z koleżanek przypomniała sobie, że wiele lat temu – „na wszelki wypadek” – dostała od niej klucz do mieszkania. Problem w tym, że nie pamiętała dokładnego adresu. Wiedziała tylko, w jakiej okolicy i w którym bloku może mieszkać.

Koledzy zadzwonili do kadr. Opisali sytuację. Wskazali, że chodzi o realną obawę o życie i zdrowie pracownicy oraz jej dziecka. Poprosili o podanie adresu zamieszkania. Kadry odmówiły. Powołały się na ochronę prywatności pracownika.

Koledzy zdecydowali się działać sami. Ustalili blok, chodzili od drzwi do drzwi, pytali sąsiadów. W końcu ktoś wskazał właściwe mieszkanie. Gdy weszli do środka – było już za późno. Dziewczyna nie żyła.

Co tu poszło nie tak – z perspektywy RODO

Ten przypadek nie jest „szarą strefą przepisów RODO”. On idealnie mieści się w przesłance z art. 6 ust. 1 lit. d RODO: Przetwarzanie jest zgodne z prawem, jeżeli jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.

Kluczowe elementy tej przesłanki:

chodzi o ochronę życia lub zdrowia,
sytuacja ma charakter nagły i wyjątkowy,
osoba, której dane dotyczą, nie jest w stanie wyrazić zgody (bo nie ma z nią kontaktu),
przetwarzanie danych jest niezbędne, a nie „wygodne”.

W tej historii wszystkie te warunki były spełnione.

Czy kadry miały prawo odmówić?

Formalnie – mogły mieć wątpliwości. Merytorycznie – powinny były zadziałać inaczej. Przepisy RODO mają chronić dane osobowe przed nieuprawnionym udostępnianiem. Jednak w tym przypadku:

istniało realne, uzasadnione zagrożenie życia,
informacja o adresie miała służyć jednemu, konkretnemu celowi ratunkowemu,
brak działania mógł prowadzić (i jak się okazało – doprowadził) do nieodwracalnych skutków.

Kadry mogły:

same skontaktować się z odpowiednimi służbami,
przekazać adres policji lub pogotowiu,
udostępnić dane w wąskim, celowym zakresie, dokumentując podstawę prawną i okoliczności.

Zasłanianie się „ochroną prywatności” w takiej sytuacji jest błędnym, nadmiernie zachowawczym interpretowaniem przepisów RODO.

Kiedy art. 6 ust. 1 lit. d RODO ma zastosowanie – przykłady

Ta przesłanka działa m.in. wtedy, gdy:

pracownik nagle traci kontakt, a istnieje uzasadnione podejrzenie zagrożenia życia lub zdrowia,
konieczne jest przekazanie danych ratownikom medycznym, policji lub straży pożarnej,
trzeba poinformować bliskich w sytuacji wypadku lub nagłego zachorowania,
ujawnienie danych jest jedynym realnym sposobem udzielenia pomocy.

Nie jest to podstawa „na zapas” ani „na wszelki wypadek” w sensie organizacyjnym. Ale jest absolutnie właściwa wtedy, gdy stawką jest ludzkie życie lub zdrowie.

RODO nie jest tarczą przed odpowiedzialnością

Ta historia pokazuje coś jeszcze: RODO nie ma chronić instytucji przed podjęciem trudnej decyzji. Ma chronić ludzi – także wtedy, gdy ochrona danych musi ustąpić przed ochroną życia. Czasem najbezpieczniejszą decyzją prawną nie jest „nic nie robić”, tylko zrobić to, co konieczne, i umieć to uzasadnić.

Jeżeli ten wpis sprawi, że choć jedna osoba w podobnej sytuacji zada sobie pytanie: „czy naprawdę nie wolno – czy tylko boję się podjąć decyzję?” to znaczy, że warto było tę sytuację opisać.

Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie