W sytuacji zagrożenia epidemiologicznego pojawia się wiele pytań otwartych dotyczących ochrony danych. Z jednej strony wszyscy czujemy, że jest to sytuacja wyjątkowa, a takie potrzebują wyjątkowych środków. Z drugiej jednak strony nikt nie chce działać poza prawem i przysporzyć sobie jeszcze więcej problemów.
Poniżej odpowiedzi na najczęściej zadawane mi pytania przez przedsiębiorców w związku pojawieniem się kolejnych przypadków coronavirusa w Polsce.
1. Czy nowa specustawa zmienia sytuacje pracodawców w zakresie ochrony danych?
Ustawa dotycząca coronavirusa weszła w życie w niedzielę tj. 08 marca 2020 roku. Reguluje ona m.in. kwestie pracy zdalnej, zasiłku opiekuńczego w przypadku zamknięcia szkół, przedszkoli etc. Nie odnosi się jednak do sytuacji prawnej pracodawcy w zakresie ochrony danych pracowników.
Powoduje to sytuację, w której pracodawcy chcąc zapewnić bezpieczeństwo na terenie zakładu pracy w sytuacji zagrożenia obawiają się jednocześnie podjęcia radykalnych kroków w postaci wykonywania chociażby pomiaru temperatury ciała u swoich pracowników przed wejście do budynku.
Opinie w zakresie uprawnień pracodawców są podzielone. Prawnicy mówią dwugłosem. Część uważa, że pracodawca ma takie uprawniania w związku z art. 207 Kodeksu Pracy, który określa obowiązki pracodawców w zakresie bezpieczeństwa i higieny pracy w zakładzie pracy wskazując na pracodawcę jako podmiot odpowiedzialny za przestrzeganie tych zasad.
Z drugiej jednak strony brak tutaj jednoznacznych podstaw prawnych, które pozwalają pracodawcy na wyjątkowe działania.
Obecnie dużo mówi się o tym, że Prezes Urzędu Ochrony Danych opublikuje już w niedługim czasie szczegółowe instrukcje dotyczące postępowania pracodawców w sytuacji zagrożenia epidemia coronavisa. Zanim to jednak nastąpi sytuacja jest niejednoznaczna.
2. Czy można badać pracowników przed wejściem na teren zakładu pracy, aby zapobiec ewentualnemu zarażeniu wirusem innych pracowników, czy gości?
W tym miejscu pojawia się uzasadnione przypuszczenie, że przecież prawo do ochrony zdrowia, bezpieczeństwa jest ważniejsze od prawa do ochrony danych. Intuicyjnie wszyscy wiemy, że w sytuacji zagrożenia zdrowia należy właśnie tę wartość traktować nadrzędnie.
Z drugiej jednak strony pracodawcy są świadomi prawnych ograniczeń i tego, że ich działania względem załogi są regulowane przez kodeks pracy, który takich działań nie bezpośrednio przewiduje.
Nie chwilę obecną nie można w sposób jednoznaczny odpowiedzieć na to pytanie. Jak wskazałam wyżej, specustawa sprzed kilku dni także tej kwestii nie rozjaśniła.
Należy zatem odwołać się do aktów prawnych obowiązujących, a przede wszystkich do art. 207 KP, który określa obowiązki pracodawców w zakresie bezpieczeństwa i higieny pracy w zakładzie pracy wskazując na pracodawcę jako podmiot odpowiedzialny za przestrzeganie tych zasad.
Po drugiej stronie tej sytuacji jest ochrona danych osobowych. Badając pracowników, gości, kontrahentów przed wejściem do zakładu pracy poprzez wykonywanie na przykład pomiaru temperatury ciała* pracodawca przetwarza dane dotyczące zdrowia osób badanych.
RODO mówi wyraźnie jakie mogą być podstawy przetwarzania danych i w sytuacji wykonywania pomiaru temperatury ciała naprawdę trudno mówić o jasnej i pewnej podstawie prawa dla przetwarzania danych osobowych.
Jakie jest wyjście z tej sytuacji?
Pośrednim rozwiązaniem jest dokonywanie takich pomiarów bez zapisywania ich wyników. W ten sposób nie dochodzi do czynności przetwarzania danych. Analogicznie wygląda sytuacja w sklepie spożywczym, w którym kasjer prosi osobę kupującą alkohol o przedstawienie dokumentu tożsamości celem potwierdzenia, że kupujący ukończył 18 rok życia. Kasjer weryfikuje jedynie informacje, nie zapisuje jej nigdzie, tym samym nie przetwarza danych osobowych.
W przypadku pracodawcy, który jedynie dokonuje pomiaru temperatury ciała sytuacja wygląda bardzo podobnie – bez zapisywania wyników i kojarzenia ich z konkretną osobą nie będzie dochodziło do przetwarzania danych osobowych.
Pojawia się jednak problem, w sytuacji ustalenia na podstawie tak wykonanego badania, że pracownik może być w grupie ryzyka. Tutaj pracodawca ma związane ręce. Nie może zmusić pracownika do wykonania badania lekarskiego w przypadku gorszego samopoczucia, chyba że nakłada się to na termin badań okresowych lub innych wskazanych w przepisach prawa.
*podwyższona temperatura ciała jest uznawana na pierwszy syndrom zarażenia coronavirusem
3. Czy obecny stan zagrożenia epidemiologicznego uchyla obowiązki Administratorów wynikających z RODO oraz ustawy o ochronie danych osobowych?
Nie, obecny stan w żaden sposób nie uchyla obowiązków Administratorów danych osobowych. Pracodawcy nadal powinni spełnić obowiązek informacyjny względem osoby, której dane przetwarzają, kierować się zasadami wskazanymi w RODO i mieć podstawę do przetwarzania danych osobowych.
Na potwierdzenie powyższego warto wskazać sytuacje opisaną w Dzienniku Gazeta Prawna z dnia 11 marca 2020 roku. W jednym z artykułów została opisana sytuacja, która w ostatnich dniach miała miejsce na Lotniku Chopina w Warszawie. W materiale wskazano, że od ponad tygodnia pasażerowie samolotów, które lądują na lotnisku są zobowiązani do wypełnienia kart lokalizacyjnych.
W kartach są pytani m.in. o stałe miejsce zamieszkania, miejsce pobytu w Polsce etc. Bez wątpienia dochodzi do przetwarzania danych osobnych. Problem jednak w tym, że osoby wypełniające karty nie wiedzą nawet kto te dane od nich zbiera, czyli kto jest administratorem danych wskazanych w kartach lądowania. Nie został wobec nich spełniony obowiązek informacyjny, nie wskazano na podstawę przetwarzania danych.
Powyższą sytuację skomentowało dwóch prawników – Aneta Sieradzka, partner zarządzający w Sieradzka & Partners Kancelaria Prawna oraz dr Paweł Litwiński, adwokat w Kancelarii Barta Litwiński. Oboje są zgodni, co to tego, że doszło do naruszenia RODO w tym zakresie.
Ten przykład z ostatnich dni doskonale ilustruje fakt, że obecny stan zagrożenia epidemiologicznego nie wyłączył stosowania RODO.
4. Czy można odbierać zaświadczenia o stanie zdrowia od pracownika?
Odpowiedz na to pytanie nie jest oczywista. Brak tutaj jednoznacznego stanowiska Prezesa Urzędu Ochrony Danych osobowych sprawił, że w środowisku pojawia się wiele sugestii i sprzecznych ze sobą dróg interpretacji.
Nie budzi wątpliwości, że odbierając tego typu zaświadczenia dochodzi do przetwarzania danych osobowy odnośnie zdrowia. Co do zasady przetwarzanie takich danych jest zabronione i mówi o tym w sposób bezpośredni RODO w art. 9 ust. 1. W kolejnej części tego samego artkułu znajdujemy jednak pewne furtki prawne, czyli wyłączenia. Jednym z nich jest sytuacja, w której przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą.
Cześć prawników uważa, zatem, że jest możliwość przetwarzania takich danych osobowych, ponieważ pracodawca ma obowiązek zapewnienia bezpieczeństwa na terenie zakładu pracy i w związku z tym może zbierać zaświadczenia odnośnie stanu zdrowia pracowników.
Wyraźny jest także pogląd odmienny wskazujący, że pracodawca nie może tak działać, bo nie ma ku temu podstawy prawnej. Dopóki Prezes Urzędu Ochrony Danych nie rozwieje tej wątpliwości należy przyjąć, że każdorazowo odpowiedz na to pytania będzie zawsze obarczona jakimś ryzkiem a pracodawcy powinni podjąć w tym zakresie decyzje godząc się na to ryzyko.
Pomijając jednak kwestie prawne trudno mi wyobrazić sobie sytuację, w której Prezes Urzędu Ochrony Danych mógłby blokować wykonywanie tego typu działań uzasadniając to ochroną danych osobowych. Chociaż scenariusz ten nie jest całkowicie wykluczony.
5. Czy w trakcie procesu rekrutacji można zapytać kandydata czy przebywał na terenie objętym najwyższym ryzykiem?
Po pierwsze trzeba wskazać, że pytanie o fakt powrotu z miejsca objętego najwyższym ryzykiem nie jest pytaniem o dane szczególnej kategorii. Niezależnie od tego dochodzi do ujawniania danych osobowych. W sytuacji przetwarzania danych osobowych administrator musi mieć postawę prawną wskazaną w RODO.
Obecnie zakres danych, jakie można przetwarzać w procesie rekrutacji określa art. 22 (1) KP. Wskazany katalog jest zamknięty, co oznacza, że bez uzyskania zgody aplikującego potencjalny pracodawca nie będzie mógł żądać podania innych danych.
Jeśli natomiast kandydat sam, ze swojej inicjatywy będzie chciał przedstawić przyszłemu pracodawcy dane dodatkowe, poza katalogiem wskazanym w art. 22(1) KP to jest to jak najbardziej możliwe. To częsta sytuacja w przypadku załączania do CV referencji. Pracodawca nie może żądać od kandydata do pracy referencji z poprzednich miejsc zatrudniania. Jeśli natomiast kandydat dobrowolnie takie referencje przedstawi i wyrazi zgodę na przetwarzanie danych osobowych tam zwartych to pracodawca będzie mógł dane wskazane w referencjach przetwarzać.
Można przyjąć, że analogicznie wygląda sytuacja do tej przedstawione w pytaniu. Od kandydata nie można żądać odpowiedzi na to pytanie, ale może sam nam jej udzielić. Problem jednak może pojawić się w sytuacji, kiedy osoba powie nam, że przebywała na obszarze objętym najwyższym ryzykiem. Co w takiej sytuacji powinien zrobić rekruter? Odpowiedź na to pytanie nie jest jasna.
Moim zdaniem bezpiecznym wyjściem z tej sytuacji jest po prostu zachęcanie kandydatów do pracy do zgłaszania wszelkich dolegliwości zdrowotnych oraz informowania o pobycie w krajach objętych czerwoną strefą odwołując się przy tym do świadomej, obywatelskiej postawy.
WNIOSKI
Na chwilę obecną należy wypracować strategię i przyjąć najbardziej bezpieczne z możliwych rozwiązań.
Rekomenduję zatem pomiar temperatury przed wejście do budynku potencjalnego pracodawcy bez odnotowywania tej informacji gdziekolwiek oraz odbiór zaświadczeń od kandydatów tylko kiedy sami, dobrowolnie wrazili na to zgodę.
A najważniejszą rekomendacja jest obserwowanie stanowiska Prezesa Urzędu Ochrony Danych. Czekamy aż sprawa ta zostanie u nas uregulowana w sposób ostateczny, tak jak miało to miejsce w innych krajach europejskich.
Mam nadzieję, że udało mi się rozwiać Twoje wątpliwości. Jeśli masz inne wyzwania związane z przetwarzanie danych osobowych pracowników lub kandydatów do pracy to napisz na dolę, w komentarzu, a ja postaram się odpowiedzieć na Twoje pytanie.
