RODO podczas pandemii COVID-19
Panująca pandemia koronawirusa sprawia, że na bieżąco pojawiają się nowe regulacje prawne. Czy w związku z zaistniałą sytuacją pojawiły się nowe obowiązki w zakresie Ochrony Danych Osobowych? W niniejszym artykule odpowiemy na najczęściej pojawiające się pytania w tym zakresie.
Czy można zobowiązać pracowników/ klientów/kontrahentów do wypełnienia ankiety o stanie zdrowia?
Zgodnie z art. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) każde przetwarzanie danych musi być celowe i adekwatne do celu przetwarzania. Jeżeli w obecnej rzeczywistości ankieta jest formą minimalizowania ryzyka naruszenia prawa do prywatności osoby udzielającej odpowiedzi, a po jej wypełnieniu i przekazaniu upoważnionej przez administratora danych osobie, jest ona niszczona, to taka ankieta może być przekazywana. W przypadku jednak, gdy administrator chciałby przechowywać ankiety do celów dowodowych (w sytuacji np. dochodzenia roszczeń od osoby, która w ankiecie wskazała dobry stan zdrowia, a okazała się chora) to powstaje wątpliwość o legalność przetwarzania danych w tym zakresie.
Rozwiązaniem tej sytuacji może być zastąpienie ankiet oświadczeniami o tym, że pracownik/ klient/kontrahent nie zaobserwował u siebie żadnych objawów zarażenia koronawirusem (listę objawów można wskazać w treści oświadczenia).
W przypadku zbierania informacji i stanie zdrowia administrator powinien jednak zrealizować obowiązek informacyjny wobec osób, których dane będzie przetwarzał. Realizacja tego obowiązku może zostać spełniona np. poprzez wywieszenie informacji w widocznym miejscu w firmie, tak aby osoby, których dotyczy przetwarzanie danych miały możliwość swobodnego zapoznania się z treścią tej informacji.
Czy można zadać pytanie pracownikowi/klientowi/kontrahentowi, czy w jego najbliższym otoczeniu jest ktoś chory na COVID-19, lub poddany kwarantannie?
Nie ma podstawy prawnej, aby zmuszać osobę, której dane dotyczą, do udzielenia wskazanej w pytaniu informacji. Przed wykonaniem usługi można poprosić o przekazanie stosownej informacji w tej kwestii, jednak należy zaznaczyć, że w obecnej sytuacji poziom ryzyka i łatwość rozprzestrzeniania się koronawirusa, każda osobę należy traktować jako potencjalnie zarażoną i zachować wszelkie środki ostrożności. Jeżeli jednak zostanie zadane takie pytanie i osoba udzieli odpowiedzi twierdzącej administrator i jego pracownicy mają obowiązek zapewnić poufność.
Czy w przypadku mierzenia temperatury osobom, które przychodzą do firmy należy spełnić obowiązek informacyjny?
Pozyskanie informacji o temperaturze ciała osoby, która przyszła do firmy administratora należy uznać za przetwarzanie danych osobowych w rozumieniu art. 4 RODO. Tym samym administrator powinien w widocznym miejscu wywiesić klauzulę informacyjną z art. 13 ust. 1 i 2 RODO.
Czy można pytać klientów/kontrahentów/ dostawców/ kurierów, czy byli w ostatnim czasie za granicą?
Zgodnie z zasadą adekwatności przetwarzania danych wyrażoną w art. 5 RODO, należy uznać, że bardziej racjonalnym, pytaniem jest to, czy w okresie ostatnich 14 dni osoba, która przyszła do siedziby firmy przebywała za granicą. Należy zaznaczyć, że uzyskiwanie takiej, informacji, wymaga udostępnienia klauzuli informacyjnej. Jednocześnie zważywszy na skalę pandemii, należy rozważyć, czy wobec wszystkich osób przybywających do siedziby przedsiębiorstwa niezależnie od ich statusu (klient/kurier/pracownik) należy zastosować jednakowe środki ostrożności i najlepiej ograniczyć kontakt z nimi do minimum.
Jakie informacje pracodawca może udostępnić sanepidowi?
Zgodnie z art. 32a ust. 1 ustawy z dnia 5 grudnia 2008 roku o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi, państwowy inspektor sanitarny lub Główny Inspektor Sanitarny, w związku z prowadzonym dochodzeniem epidemiologicznym, może żądać udzielenia informacji o:
1) osobach zakażonych lub podejrzanych o zakażenie, chorych lub podejrzanych o chorobę zakaźną, osobach zmarłych z powodu choroby zakaźnej lub osobach, wobec których istnieje takie podejrzenie,
2) osobach, które mogły mieć styczność z osobami, o których mowa w art. 32a ust. 1 pkt 1 u.z.z.z.,
3) posiadaczach zwierząt, które mogły stanowić źródło narażenia na zakażenie lub chorobę zakaźną
– od każdego, kto takie dane posiada, lub jednostek administracji publicznej, które dane takie mogą ustalić.
Dane osób, o których mowa w art. 32a ust. 1 u.z.z.z., obejmują:
1)imię i nazwisko;
2)datę urodzenia;
3)numer PESEL, a w przypadku gdy osobie nie nadano tego numeru – serię i numer paszportu albo numer identyfikacyjny innego dokumentu, na podstawie którego jest możliwe ustalenie danych osobowych;
4)płeć;
5)adres miejsca zamieszkania;
6)informacje o aktualnym miejscu pobytu;
7)numer telefonu kontaktowego oraz adres poczty elektronicznej lub innych środków komunikacji elektronicznej;
8)rozpoznanie kliniczne zakażenia lub choroby zakaźnej oraz charakterystykę podstawowych objawów klinicznych i biologicznego czynnika chorobotwórczego;
9)okoliczności narażenia na zakażenie, ze szczególnym uwzględnieniem czynników ryzyka;
10)trasę podróży krajowej lub międzynarodowej oraz wykorzystywane podczas niej przez osobę chorą lub zakażoną środki transportu;
11)miejsca pobytu osoby zakażonej w okresie wylęgania choroby.