Rzeczywistość, w jakiej przyszło nam żyć w ostatnich tygodniach, przynosi całą rzeszę zagadnień prawnych, z którymi dotąd nie spotykaliśmy się. Czas światowej pandemii choroby COVID 19, wywoływanej przez koronawirusa SARS-CoV-2, niewątpliwie przewrócił nasze życie do góry nogami, jednakże nie wyeliminował w całości panujących dotychczas porządków prawnych. Obecnie zmagamy się z pogodzeniem różnych wartości chronionych przez prawo z ochroną zdrowia i życia.
Ochrona zdrowia vs. ochrona danych
W związku z powszechnie wykorzystywaną technologią do komunikowania się ludzi podczas odosobnienia i kwarantanny, powinniśmy pamiętać również o ochronie naszych danych osobowych. W sytuacji zagrożenia zdrowia i życia, takie kwestie często umykają naszej uwadze i schodzą na dalszy plan. Czy tak być powinno? W pierwszej kolejności oczywiście dbamy o tzw. pierwsze potrzeby oraz zapewnienie sobie i rodzinie bezpieczeństwa. Natomiast pamiętajmy, że kiedyś sytuacja wróci do stanu sprzed pandemii i wtedy możemy gorzko żałować braku odpowiednich zabezpieczeń danych. W oświadczeniu przewodniczącej EROD ws. przetwarzania danych osobowych w kontekście pandemii COVID-19 z dnia 16 marca 2020 czytamy, że „przepisy w zakresie ochrony danych (takie jak RODO) nie utrudniają działań podejmowanych w walce z pandemią koronawirusa. Chciałabym jednak podkreślić, że nawet w tych wyjątkowych czasach administrator musi zapewnić ochronę danych osobowych osób, których one dotyczą. W związku z tym należy wziąć pod uwagę szereg czynników, aby zagwarantować zgodne z prawem przetwarzanie danych osobowych”.(link do treści oświadczenia: TUTAJ)
Co na to ustawodawca?
Odpowiedzi na pytanie o ochronę naszych danych osobowych w okresie pandemii należy szukać w treści Rozporządzenia PE (dalej „RODO”). Tym samym, nowe akty prawne, powstałe w wyniku pandemii (dotyczy to również tzw. specustawy), muszą być zgodne z panującym porządkiem prawnym. Artykuł 6 ust.1 lit. d daje podstawę prawną administratorom do przetwarzania danych osobowych osób fizycznych, gdy przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej. W odniesieniu do szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO (tzw. dane wrażliwe), taką podstawą przetwarzania znajdujemy w art.9 ust. 2 lit i – przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową.
Ponadto, w art. 17 tzw. specustawy (link do ustawy: TUTAJ) nałożono na Głównego Inspektora Sanitarnego lub działającego z jego upoważnienia państwowego wojewódzkiego inspektora sanitarnego możliwość wydawania pracodawcom m.in. decyzji nakładających obowiązek podjęcia określonych czynności zapobiegawczych lub kontrolnych i współdziałania z innymi organami administracji publicznej oraz Państwowej Inspekcji Sanitarnej.
Pracodawco, chroń dane!
W wyniku wprowadzonych obostrzeń dotyczących odosobnienia społeczeństwa większość przedsiębiorstw przeniosła swoją działalność do Internetu, organizując pracownikom pracę zdalną. Takie rozwiązanie stanowiło niemałe wyzwanie dla działów IT u pracodawców, gdzie sieć wewnętrzna, serwery oraz zasoby sprzętowe, nie były do tego przystosowane. Pamiętajmy jednak, że praca zdalna nie zwalnia pracodawcy z obowiązku dbania o dane osobowe pracowników, klientów i innych osób fizycznych, których dane przetwarza. Niezapewnienie odpowiedniego bezpieczeństwa pracy zdalnej, nawet podczas pandemii koronawirusa, najpewniej nie będzie uznawane za okoliczność wyłączającą odpowiedzialność administratora danych w przypadku naruszeń.
W najbliższych tygodniach dużą rolę będą odgrywać Inspektorzy Ochrony Danych, wspierający administratorów w sferze danych osobowych. Możliwe, że przedsiębiorcy, którzy do tej pory nie byli zobowiązani do wyznaczenia IOD, przenosząc swój biznes w sferę online na dużą skalę, taki obowiązek będą musieli zrealizować.
Każdy pracodawca, zbierając nowe dane osobowe od pracowników (np. pomiar temperatury ciała lub informacja o odbywaniu kwarantanny), musi pamiętać o spełnieniu obowiązku informacyjnego z art. 13 RODO i poinformować pracownika m.in. jakie dane pobiera, w jakim celu zbierane są konkretne dane, jaka jest podstawa prawna oraz w jakim czasie dane te będą przetwarzane przez administratora. Niespełnienie tego obowiązku stanowi wprost naruszenie przepisów o ochronie danych osobowych.
Barbara Kurowska-Bajkiewicz, adwokat