W związku z wciąż rozprzestrzeniającą się pandemią wirusa Covid-19 wielu pracodawców zastanawia się, jak zapobiegać wzrostowi zakażeń wśród ich personelu. Polski ustawodawca w ustawie z dnia 02.03.2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (zwanej specustawą), w jej art. 3 wprowadził wprawdzie możliwość oddelegowania pracownika do świadczenia pracy poza miejscem jej stałego wykonywania (praca zdalna), jednakże w niektórych przypadkach sam charakter wykonywanej przez pracownika pracy czy też sytuacja finansowa pracodawcy nie pozwalają, aby była ona wykonywana przez dłuższy czasokres.
Powstaje wówczas pytanie, czy istnieją narzędzia, jakimi może posłużyć się pracodawca w celu zapobiegania zakażeniom wśród pracowników, które nie pozostają w sprzeczności z przepisami Ogólnego rozporządzenia o ochronie danych osobowych z dnia 27.04.2016 r. (zwanego dalej „RODO”).
Zgodnie z oświadczeniem w sprawie przetwarzania danych osobowych w kontekście pandemii COVID-19 przyjętym przez Europejską Radę Ochrony Danych (ang.: European Data Protection Board, zwaną dalej EROD) w dniu 19.03.2020 r. w tym zakresie przetwarzanie danych osobowych może być konieczne do wypełnienia obowiązku prawnego, któremu podlega pracodawca. Pracodawca m.in. ma szereg obowiązków związanych ze zdrowiem i bezpieczeństwem w miejscu pracy bądź z interesem publicznym, tj. kontrolowaniem chorób, zagrożeń zdrowotnych. EROD nadto zaznacza, iż RODO reguluje także odstępstwa od zakazu przetwarzania określonych szczególnych kategorii danych osobowych, takich jak dane dotyczące zdrowia, w przypadku gdy jest to konieczne ze względu na istotny interes publiczny w dziedzinie zdrowia publicznego (art. 9 ust. 2 lit. i RODO), na podstawie prawa Unii lub prawa państwa członkowskiego lub gdy istnieje potrzeba ochrony żywotnych interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. c RODO). Motyw 46 RODO wyraźnie odnosi się do kontroli epidemii.
Regulacje krajowe, w tym m.in. specustawa, nie zawierają przepisów, które wprost pozwalałaby pracodawcy na przetwarzanie danych osobowych pracowników w związku z tzw. profilaktyką i zapobieganiem rozprzestrzeniania się Covid-19.
Jednocześnie zaś istnieją podstawy prawne, jak chociażby art. 207 Kodeksu Pracy, które wprowadzają obowiązek i odpowiedzialność pracodawcy w zakresie stanu bezpieczeństwa i higieny pracy w zakładzie pracy, w tym obowiązki w zakresie ochrony zdrowia jego pracowników. W związku z powyższym, w mojej ocenie, kluczowym jest stanowisko w tej sprawie prezentowane przez nasz krajowy organ nadzorczy tj. Prezesa Urzędu Ochrony Danych Osobowych (zwanego dalej PUODO).
PUODO w pierwszym oświadczeniu dot. tego zagadnienia z dnia 12.03.2020 r. wskazał, iż w art. 17 specustawy to Główny Inspektor Sanitarny czy też działający z upoważnienia GIS państwowy wojewódzki inspektor sanitarny posiada uprawnienie do wydawania pracodawcom decyzji zobowiązujących ich do podjęcia określonych czynności zapobiegawczych lub kontrolnych. Wskazał jednocześnie, iż przepis art. 17 specustawy koresponduje z art. 9 ust. 2 lit. i RODO i art. 6 ust. 1 lit. d RODO.
Jako że w praktyce stanowisko to nie wyjaśniło kwestii dot. tego, czy pracodawca, może przetwarzać dane osobowe pracownika celem zapobiegania rozprzestrzeniania się pandemii, eksperci zwrócili się z oficjalnym zapytaniem do organu. W jego wyniku w dniu 5.05.2020 r. PUODO wydał oświadczenie, z którego bezsprzecznie wynika, iż Organ stoi na stanowisku, że pracodawcy mogą wprowadzać jedynie takie rozwiązania pozwalające na zwalczanie Covid-19, które wynikają z decyzji bądź zaleceń GIS lub właściwego inspektora sanitarnego na podstawie upoważnienia.
PUODO stanął na stanowisku, iż art. 17 specustawy nie wyklucza możliwości wprowadzenia przez pracodawców narzędzi, których celem jest zwalczanie COVID-19, jak chociażby pomiar temperatury ciała pracowników oraz gości wjeżdżających na teren zakładu pracy czy też zbierania oświadczeń w formie kwestionariuszy. Jednakże w ocenie PUODO mogą one zostać wprowadzone jedynie w przypadku, gdy właściwy inspektor sanitarny uzna takie narzędzie za właściwe. Co za tym idzie, jedyną podstawą prawną dla przetwarzania danych osobowych pracowników i gości może być w ocenie Organu nadzorczego art. 9 ust. 2 lit. i RODO w związku z art. 17 specustawy.
W mojej ocenie powyżej wskazane stanowisko nie odpowiada na nurtujące pracodawców wciąż pytanie – czy art. 207 k. p. bądź inny przepis kodeksu pracy może stanowić podstawę dla procesu przetwarzania danych dot. zdrowia pracowników.
Pracodawcy zatem, mając na uwadze powyższe stanowisko, zgodnie z zasadą minimalizacji, kluczową według mnie, mogą z jednej strony oczekiwać na zalecenia, wytyczne GIS bądź inspektorów sanitarnych ukazujące się na stronie BIP, bądź też na decyzje GIS mające walor natychmiastowej wykonalności w zakresie przetwarzania danych osobowych wrażliwych swoich pracowników, gości (inspektorzy bowiem mogą nałożyć na pracodawcę obowiązek pomiaru temperatury pracowników co wynika z art. 17 specustawy w zw. z art. 8a ust. 5 ustawy z 14 marca 1985 r. o Państwowej Inspekcji Sanitarnej) i jednocześnie powstrzymać się od przetwarzania danych osobowych pracowników czy gości, którzy z dużą dozą prawdopodobieństwa (z uwagi na okoliczność przebywania w miejscach rozprzestrzeniania się epidemii, styczność z osobami powracającymi z krajów objętych epidemią czy też z uwagi na obserwowane u nich objawy) mogą być zakażeni.
Z drugiej strony jednak dla tych wszystkich przedsiębiorstw które wdrożyły już i utrzymują stosowne rozwiązania w postaci ankiet oraz pomiarów w oparciu o uprzednią analizę oraz ocenę skutków dla ochrony danych, pozostaje ponowna ewaluacja zagadnienia wobec restrykcyjnego stanowiska Organu, a następnie świadoma decyzja o ewentualnym dalszym stosowaniu tychże rozwiązań (jeżeli pracodawca nadal będzie zdania, że takowe działania spełniają kryterium legalności w oparciu o istniejące przepisy Kodeksu pracy i RODO).
Jak widać stanowisko PUODO w powyższym zagadnieniu jest o wiele bardziej rygorystyczne aniżeli stanowisko wewnątrzwspólnotowego Organu. Zapewne niedaleka przyszłość pokaże zatem czy polski Organ będzie nakładał na pracodawców kary finansowe za przetwarzanie danych osobowych pracownika (w postaci danych zawartych w kwestionariuszu dot. stanu jego zdrowia, zbioru danych dot. temperatury ciała pracowników).
Autor: Anna Kuś-Kluka, Radca prawny w kancelarii Juvo (juvo.pl)
Wpisana na listę Okręgowej Izby Radców Prawnych w Krakowie. Absolwentka Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego oraz studiów podyplomowych z zakresu ochrony danych osobowych. W Kancelarii zajmuje się świadczeniem pomocy prawnej dla przedsiębiorców, a zwłaszcza bieżącym doradztwem z zakresu ochrony danych osobowych.