koronawirus rodo

Rosnąca ilość zachorowań prowadzi do coraz to nowszych działań, jakie zarówno rząd jak i obywatele – przedsiębiorcy oraz osoby prywatne – wprowadzają w celu zminimalizowania rozprzestrzeniania się COVID-19. Nowe środki ostrożności częstokroć rodzą pytania o ich zgodność z przepisami dotyczącymi przetwarzania danych osobowych. Z jednej strony jesteśmy zmuszeni do większej kontroli miejsca pobytu i stanu zdrowia – nie tylko naszego, ale również i pracowników – z drugiej zaś chcemy chronić naszą prywatność. Co więcej, przejście na pracę zdalną wymaga od nas zwiększenia przepływu danych i zapewnienia nowego rodzaju zabezpieczeń.

Poniżej przedstawiamy odpowiedzi na najczęstsze pytania przedsiębiorców dotyczące stosowania przepisów o przetwarzaniu danych osobowych.

Czy praca zdalna stoi w sprzeczności z RODO?

NIE. Dotyczy to również pracy zdalnej i telepracy. Żadna z tych form świadczenia pracy nie jest niczym nowym i obie zawsze były dopuszczalne, nawet jeśli wiązały się z przetwarzaniem przez pracownika danych osobowych.

Zgodnie z Kodeksem pracy, telepracą jest praca wykonywana „regularnie poza zakładem pracy, z wykorzystaniem środków komunikacji elektronicznej w rozumieniu przepisów o świadczeniu usług drogą elektroniczną”. Praca zdalna to natomiast „nowa formę organizacji i wykonywania pracy, w której charakter, miejsce i czas pracy, sposób i warunki jej wykonywania, porządek i organizacja mogą być kształtowane poprzez zastosowanie zaawansowanych technologii informatyczno-komunikacyjnych” (Ciupa Sławomir, Zatrudnienie pracowników w formie telepracy według Kodeksu Pracy w: Monitor Prawa Pracy, 2007, nr 12).

Dla zagadnień związanych z przetwarzaniem i ochroną danych osobowych nie ma znaczenia, czy zatrudnienie nastąpiło na podstawie umowy o pracę, umowy cywilnoprawnej czy  umowy B2B (samozatrudnienia).

Jeśli obie strony wdrożą odpowiednie środki ochrony danych i będą przestrzegać zasad bezpieczeństwa, to ani praca zdalna, ani telepraca nie rodzą żadnych zagrożeń dla danych osobowych.

Jakie działania należy podjąć, aby prawidłowo przetwarzać dane osobowe podczas pracy zdalnej?

TO ZALEŻY OD SPECYFIKI TEJ PRACY. Każdy przedsiębiorca powinien indywidualnie ocenić, jakie środki musi podjąć, aby zachować bezpieczeństwo danych. Wszystko bowiem zależy od sposobu organizacji pracy.

Pewne wytyczne w tym zakresie opublikował Urząd Ochrony Danych Osobowych. Należy łączyć się z Internetem przez szyfrowane, bezpieczne połączenia.  Dostarczony przez pracodawcę sprzęt musi służyć wyłącznie wykonywaniu obowiązków służbowych, a w przypadku korzystania ze sprzętu prywatnego zaleca się założenie odrębnego konta, bez uprawnień administratora. Pracownik powinien korzystać wyłączne ze służbowych kont e-mail. Dostęp do komputera powinien być zabezpieczony hasłem – UODO zaleca wielopoziomowe uwierzytelnianie. Zaleca się nieinstalowanie żadnych dodatkowych aplikacji ani oprogramowania, jeśli nie spełniają wymogów bezpieczeństwa – w szczególności, jeśli pochodzą z nieznanego źródła. Oprogramowanie – w tym systemy operacyjne, a w szczególności programy antywirusowe – powinno być zaktualizowane. Jeśli jest to wykonalne, należy zapewnić możliwość zdalnego wyczyszczenia pamięci w urządzeniu w razie jego zagubienia lub kradzieży.

Niezmiernie istotne, aczkolwiek często pomijane, są zabezpieczenia organizacyjne  ­– dotyczą organizacji funkcjonowania pod kątem przetwarzania danych osobowych. W kontekście telepracy jest to przede wszystkim odpowiednie poinstruowanie pracowników o obowiązujących procedurach, zapoznanie ich z Polityką Bezpieczeństwa i obowiązującymi przepisami (w obecnej sytuacji zasadne jest udostępnienie im takiej dokumentacji w wersji elektronicznej). Zatrudnieni powinni zostać szczególnie uwrażliwieni na zagrożenia związane z przekazywaniem dokumentów przez Internet – należy unikać wchodzenia na podejrzane strony www, otwierania załączników z e-maili od nieznanych nadawców, przed wysłaniem poczty upewnić się, że prawidłowo został wpisany adresat.

Ważna jest również odpowiednia organizacja miejsca, w którym będą przetwarzane dane osobowe. Pracownicy muszą zadbać o to, aby żaden z ich domowników nie miał dostępu do dokumentów ani plików, w których są przechowywane dane. UODO zaleca wylogowywanie się przy każdorazowym opuszczeniu stanowiska pracy. Organizacja pracy powinna zabezpieczać dane nie tylko przed dostępem osób nieuprawnionych, ale i przed ich zniszczeniem – dlatego stanowisko powinno chronić sprzęt i dokumenty np. przed zalaniem czy innym uszkodzeniem.

Czy trzeba dostarczyć zatrudnionym służbowy sprzęt do domu, aby praca była bezpieczna dla danych osobowych?

NIE TRZEBA. Z punktu widzenia przepisów prawa pracy, pracodawca powinien dostarczyć pracownikowi sprzęt niezbędny do wykonywania pracy w formie telepracy, jednak nie ma przeciwwskazań co do tego, aby pracownik – często w zamian  za ekwiwalent – korzystał ze swojego prywatnego sprzętu. Co do innych zatrudnionych – powinna to regulować umowa. Z punktu widzenia ochrony danych osobowych, nie ma to jednak znaczenia, o ile sprzęt używany do przetwarzania danych osobowych spełnia wszelkie wymogi bezpieczeństwa. Niejednokrotnie spełnienie tych wymagań jest utrudnione lub nie jest możliwe na sprzęcie prywatnym – zwłaszcza, jeśli do wykonywania obowiązków jest potrzebne specjalistyczne oprogramowanie. W większości przypadków, przy standardowej pracy biurowej, nie ma jednak przeciwwskazań do korzystania z prywatnego sprzętu.

Kto odpowiada za naruszenia bezpieczeństwa danych, jeśli winę ponosi pracownik wykonujący pracę zdalnie?

PRZEDSIĘBIORCA.  To przedsiębiorca jest administratorem danych osobowych i to on ponosi odpowiedzialność za bezpieczeństwo i integralność danych osobowych przed Prezesem Urzędu Ochrony Danych Osobowych oraz przed osobami, których dane dotyczą. Odpowiada również za zapewnienie, że osoby, które przetwarzają dane osobowe na jego polecenie, przestrzegają przepisów obowiązujących ogólnie jak i wewnątrz przedsiębiorstwa.

Jeśli zatrudniony, wskutek nieprzestrzegania procedur lub przepisów, doprowadził do  naruszenia bezpieczeństwa danych osobowych, ponosi odpowiedzialność – w zależności od łączącego go z przedsiębiorcą stosunku prawnego – dyscyplinarną lub cywilnoprawną.

Czy mogę wynosić dane poza obszar przetwarzania  danych?

TAK. Mowa oczywiście o wynoszeniu danych za zgodą administratora danych (przedsiębiorcy). W przypadku pracy z domu – zarówno przez telepracownika jak i samego przedsiębiorcę – w obecnej sytuacji trudno sobie wyobrazić pracę na danych osobowych bez wynoszenia dokumentów z obszaru przetwarzania danych. Ostrożność należy zachować zarówno już w nowym miejscu przechowywania danych jak i w drodze do niego – należy zwrócić szczególną uwagę, aby dane nie zostały w drodze ujawnione, utracone ani uszkodzone.

Biorąc pod uwagę obecny stan rozwoju technologicznego zaleca się jednak ograniczanie wynoszenia dokumentów papierowych i w miarę możliwości ograniczenie się do ich skanowania.

Czy mogę gromadzić dane klientów w celu ostrzeżenia ich o możliwym zarażeniu?

TAK, ALE Z ZACHOWANIEM ZASADY MINIMALIZMU. Jeśli działalność przedsiębiorcy nawet w okresie ograniczeń, wymaga stałego kontaktu z klientami, nawet przy zachowaniu najwyższej ostrożności mogą zostać narażeni na zarażenie. Zasadne jest zatem odnotowywanie danych osobowych tej osoby – chociażby imienia i inicjału nazwiska wraz z numerem telefonu – aby móc ją poinformować o np. stwierdzeniu zarażenia koronawirusem osoby, z którą się spotkała. Podstawą dla takich działań jest art. 6 ust. 1 lit. d RODO, zgodnie z którym przetwarzanie danych osobowych jest zgodne z prawem, jeśli przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej. Na wszelki wypadek można również poprosić klientów o wyrażenie pisemnej zgody na takie przetwarzanie ich danych.

Należy pamiętać o spełnieniu obowiązku informacyjnego, czyli poinformowaniu klienta m. in. o celach przetwarzania danych, okresie ich przechowywania, środkach ochrony i stosowanych zabezpieczeniach.

Czy mogę zbierać dodatkowe dane od pracowników?

TAK, ALE Z ZACHOWANIEM DUŻEJ OSTROŻNOŚCI.  Jak wspomniano w poprzednim pytaniu, zgodnie z art. 6 ust. 1 lit. d RODO przetwarzanie danych osobowych jest zgodne z prawem, jeśli przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej. Zgodnie ze stanowiskiem Przewodniczącej Europejskiej Rady Ochrony Danych RODO przewiduje odstępstwa od zakazu przetwarzania określonych szczególnych kategorii danych osobowych (takich jak informacje o stanie zdrowia), gdy jest to konieczne ze względu na istotny interes publiczny w dziedzinie zdrowia publicznego (art. 9 ust. 2 lit. i RODO) lub gdy istnieje potrzeba ochrony żywotnych interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. c RODO). Należy jednak zachować ostrożność i każdorazowo analizować niezbędność przetwarzania nowych kategorii danych. Trzeba również pamiętać o zachowaniu obowiązku informacyjnego.

Prezes UODO  póki co nie wypowiedział się w tej kwestii (stan na dzień 29 marca 2020 r.). Swoje stanowiska wygłosiły jednak organy nadzorcze Włoch i Francji, w których przestrzegły przed systematycznym monitorowaniem stanu zdrowia pracowników. Takie działania są uważane bowiem za nadużycie.

Czy mogę uzyskać informacje o osobach chorych i odwrotnie – czy inni dowiedzą się, że byłem zakażony?

NIE. Informacje o stanie zdrowia należą do tzw. szczególnej kategorii danych (zwanych również danymi wrażliwymi lub sensytywnymi). Ich przetwarzanie podlega szczególnej ochronie. W przepisach nie sposób doszukać się podstawy do upubliczniania informacji o zarażonych osobach wskazując je z imienia i nazwiska. Dla ochrony zdrowia i życia innych osób bardziej istotne są bowiem informacje o miejscach, gdzie te osoby przebywały i jakie grupy osób mogły mieć z nimi kontakt. Należy jednak mieć na uwadze, że takie informacje o tak mogą wypłynąć, jeśli będzie to dotyczyło wąskiej grupy osób pozostających w bliskich kontaktach. Nie usprawiedliwia to jednak wskazywania osoby zarażonej wprost, z imienia i nazwiska.

Czy sam mogę informować moich kontrahentów i pracowników o tym, że jestem zarażony?

TAK. Każdy z nas sam dysponuje swoimi danymi osobowymi i sam decyduje o ich upublicznianiu, również tych dotyczących stanu zdrowia.  Należy mieć jednak na uwadze, że tak pozyskane dane nie mogą być przekazywane dalej ani gromadzone bez podstawy prawnej. np. wyraźnej zgody.

Czy RODO utrudnia przeciwdziałanie epidemii?

NIE. Prezes UODO wydał oficjalne oświadczenie, w którym podkreślił, że przepisy o ochronie danych osobowych nie mogą być stawiane jako przeszkoda w realizacji działań w związku z walką z koronawirusem. Zwłaszcza przepisy tzw. specustawy nie stoją w sprzeczności z zasadami przetwarzania danych i nie naruszają RODO.

W stanowisku czytamy, że „artykuł 17 specustawy dotyczącej przeciwdziałania COVID-19 wskazuje, że Główny Inspektor Sanitarny lub działający z jego upoważnienia państwowy wojewódzki inspektor sanitarny może wydawać pracodawcom m. in. decyzje nakładające obowiązek podjęcia określonych czynności zapobiegawczych lub kontrolnych i współdziałania z innymi organami administracji publicznej oraz organami Państwowej Inspekcji Sanitarnej. W zakresie podejmowanych przez pracodawców działań należy przede wszystkim śledzić na bieżąco komunikaty Państwowej Inspekcji Sanitarnej. Prezes Rady Ministrów na wniosek wojewody, po poinformowaniu ministra właściwego do spraw gospodarki, ma prawo do wydawania poleceń przedsiębiorcom w związku z przeciwdziałaniem COVID-19. Polecenia te, wydawane w formie decyzji administracyjnej, podlegają natychmiastowemu wykonaniu z chwilą ich doręczenia lub ogłoszenia oraz nie wymagają uzasadnienia. Przepisy te korespondują z RODO, które również przewidują sytuacje związane z ochroną zdrowia i zapobieganiem rozprzestrzeniania się chorób zakaźnych (art. 9 ust. 2 lit i  art. 6 ust. 1 lit d).” Oznacza to, że jeśli Sanepid lub rząd wyda polecenie obejmujące przetwarzanie danych osobowych, należy je wykonać bez obawy o prawidłowość tych działań.

Należy jednak pamiętać, że walka z COVID-19 nie zwalnia ani organów państwowych, ani przedsiębiorców z obowiązku ochrony danych osobowych. Pandemia nie sprawia, że możemy całkowicie zignorować prawo do prywatności czy inne prawa wynikające m. in. z RODO.

radca prawny Małgorzata Maciejewska

Artykuł pierwotnie opublikowany 29 lipca 2020 roku na www.sobczak-maciejewska.pl.

Call Now Button