Katarzyna Kubicka-Żach: Jak oceni pan obecną sytuację pracodawców, którzy zapewniają ciągłość działania firm i instytucji w czasie pandemii i jednocześnie są w obowiązku obsługi interesantów?

Jarosław Jan Feliński, prezes Zarządu Stowarzyszenia Inspektorów Ochrony Danych Osobowych, wykładowca AGH i UJ w Krakowie i WSAP w Szczecinie, przedsiębiorca - kierownik Zespołu Audytorów: Znalezienie się w nietypowej sytuacji jaką jest zagrożenie zdrowia i życia wielu osób zezwala każdemu pracodawcy na podjęcie działań określonych w art. 3 ust. 3 Konstytucji RP (ograniczenia w zakresie korzystania z […] wolności i praw mogą być ustanawiane[…], gdy są konieczne […] dla ochrony [..] zdrowia), jako usprawiedliwione do zaistniałej sytuacji, w tym gromadzenie i operowanie danymi osobowymi.

Obsługa klientów, interesantów wiążąca się z przetwarzaniem ich danych, stwarza możliwość kontaktu z osobami będącymi źródłem niebezpieczeństwa zarażenia lub rozprzestrzeniania groźnej choroby. Dodatkowo, pracodawca jest w obowiązku zawiadomienia odpowiednich organów, gdyż jeśli mając wiarygodną wiadomość o karalnym przygotowaniu albo usiłowaniu lub dokonaniu czynu zabronionego określonego - art. 240 ustawy Kodeks karny w zw. z art. 156, nie zawiadamia niezwłocznie organu powołanego do ścigania przestępstw, podlega karze pozbawienia wolności.

Tak więc, nie należy kojarzyć usprawiedliwionego przeciwdziałania pandemii i zawiadamiania o osobach chorych - „Sanepidu” z pospolitym „donosicielstwem”. 

Jak usprawnić działania zapobiegawcze lub usprawiedliwić postępowanie pracodawcy przetwarzającego dane osobowe inne niż standardowo uprawnione?

Działania pracodawcy w czasie trwania pandemii powinny spełniać warunki zapobiegania, przeciwdziałania i zwalczania COVID-19. W tym miejscu należy podkreślić szczególną pozycję pracodawcy, którego obowiązkiem jest przestrzeganie obowiązków wynikających z przepisów prawa i unikanie sytuacji ich niedopełnienia, gdy dotyczy działania na rzecz dobra publicznego.

Przyjmując założenie niedopełnienia obowiązków związanych z koniecznością zapewnienia „ładu i porządku na terenie zakładu pracy” w niekorzystnym przypadku – utrata zdrowia, zakażenie wielu osób, w ostateczności śmierć osoby zakażonej – pracodawca może się spodziewać roszczeń osób poszkodowanych. Tym samym zadaniem pracodawcy jest profilaktyka i prewencja oraz zapobieganie zagrożeniu.

Jest także usprawiedliwione wprowadzanymi, zmianami organizacji pracy, sposobu przyjmowania korespondencji i innych bieżących spraw obsługi. Pracodawca musi działać, aby nie powstawały sytuacje powodujące utratę zdrowia lub życia osób przebywających na terenie zakładu pracy.

W kontekście tych obowiązków na każdego pracodawcę zostało nałożone zadanie publiczne w postaci zapewnienia bezpieczeństwa na terenie zakładu pracy. Przyjmując szeroką definicję bezpieczeństwa, warto zwrócić uwagę na kilka istotnych zadań i przepisów związanych z możliwością zapewnienia legalnego i usprawiedliwionego przetwarzania danych osobowych.

Gromadzenie danych o osobach potencjalnie stwarzających zagrożenie jest zgodne z profilaktyką i nie są one nadmiarowe. Dają możliwość identyfikacji i sprawnej reakcji na wypadek zagrożenia i nie są przechowywane co do zasady dłużej niż uzasadniona potrzeba wyliczenia się.

Czy przepisy zezwalają na gromadzenie danych osobowych w związku z COVID19, czy są ograniczenia ilościowe tych danych?

W tym zakresie kierunek wytyczają delegacje art. 6 ust. 1 lit. c - e RODO, ustawodawca wskazuje w motywie 46 RODO, sytuacje usprawiedliwiające zastosowanie trybu nadzwyczajnego gromadzenia danych, niezbędnych do identyfikacji osób stwarzających potencjalne zagrożenie.

Pomocnym zapisem RODO są zasady określone w art. 5 ust. 1 lit. c, wskazującym na przetwarzanie dane minimalnych danych do konkretnego celu, np. zawiadomienie Głównego Inspektora Sanitarnego, poprzez właściwe terenowe delegatury. Służy temu także zapis o ograniczeniu celu – art. 5 ust. 1 lit. b oraz przez czas nie dłuższy niż wymaga tego określone rozwiązanie wg zasady ograniczenia przechowywania – art. 5 ust. 1 lit e RODO.

Powyższe uzasadnienie zezwala na gromadzenie minimalnych danych (imię i nazwisko, kontakt) w celu informacyjnego zawiadamiania o zagrożeniu odpowiednich organów, aby unikać sytuacji rozpowszechnienia zagrożenia przez osoby niezidentyfikowane, np. zarażony śmiertelnie kierowca PKS, pasażerowie „#LOTdoDomu”, itd., do skierowania na kwarantannę.

Czytaj też: GIS namawia pracodawców do łamania prawa

Czy i kogo pracodawca zawiadamia o stanie bezpieczeństwa zdrowotnego?

Wszystkie instytucje odpowiedzialne za zapewnienie interesów i zdrowia innych osób. W tym zakresie zgromadzone i utrwalone dane, odpowiednio zabezpieczone u administratora, przekazane właściwym służbom, nie będą narażone na bezprawne ich wykorzystanie.

Pozwala to uzyskać przekonanie każdej osoby o niezbędności podania danych i ograniczonym dostępie przez wyłącznie uprawnione osoby i podmioty. Należy także dostrzegać instrumenty prawne RODO, pozwalające na skuteczne domaganie się swoich praw, przez osoby których dane dotyczą z pełnym rozliczeniem, po ustaniu zagrożenia COVID-19.

Kolejnym działaniem pracodawcy jest powszechne komunikowanie o śmiertelnym zagrożeniu, jakim jest epidemia. Tak więc dostrzegając realizację celu jakim jest dobro i zdrowie publiczne obywateli, które realizuje Główny Inspektor Sanitarny związanych z przeciwdziałaniem C-19, pracodawcy powinni wszelkimi sposobami wspierać ograniczanie pandemii.

Co mówi o tych zagadnieniach Prezes UODO?

Należy dostrzegać stanowisko Prezesa UODO, w którym podkreślono, iż przetwarzanie danych określone w przepisach RODO nie stoi w sprzeczności z przepisami krajowymi i jest kompletne i spójne.

W tym miejscu należy zachęcać pracodawców do odważnego podejmowania decyzji oraz wprowadzaniu działań ostrożnościowych i zapobiegawczych. Jednocześnie należy wystrzegać się nadmiernych „RODO~ wątpliwości” inspektorów doradzających administratorom w zakresie gromadzenia danych. Kierując się celem nadrzędnym, iż najważniejsze jest zdrowie i życie, powinni uspokoić administratorów w zakresie poprawności gromadzenia danych.

Jednocześnie unikajmy powierzchownych interpretacji, wadliwych i nadmiernej asekuracji w podejmowaniu decyzji – ponieważ, gdy zdarzy się indywidualna lub zbiorowa ludzka tragedia, to pracodawcy i inspektorzy będą musieli zmagać się z moralną współodpowiedzialnością „za nadmierną zgodność z RODO” i dramat innych osób. RODO nie jest zatem przeszkodą w uznawaniu ważnej zasady - „primum, non nocere”.