W dniu 25 maja 2020 roku przypadać będzie druga rocznica obowiązywania unijnego rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych* (dalej: „RODO” lub „rozporządzenie”). 

Już teraz jednak RODO musi zdać poważny egzamin związany z epidemią COVID-19: co wolno, a czego nie, czy przepisy RODO na czas trwania epidemii podlegają czasowemu zawieszeniu? 

Podkreślić należy, że prawodawca unijny nie uchylił przepisów rozporządzenia. RODO nie przewiduje także mechanizmu tymczasowego „zawieszenia” swojego obowiązywania. Z kolei, ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej: „ustawa krajowa”), obowiązująca w porządku krajowym – pomimo, że zawiera pewne wyłączenia w zakresie stosowania rozporządzenia oraz ustawy, to nie przewiduje analogicznego wyjątku w sytuacji zagrożenia epidemicznego lub stanu epidemii. „Wyłączenia”, czy też „zawieszenia” obowiązywania przepisów RODO oraz ustawy krajowej nie przewidział również jakikolwiek przepis ustawy z dnia 2 marca 2020 roku o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (dalej: „specustawa”). 

Dodatkowo, należy zaznaczyć, że szereg przepisów ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi (dalej jako: „u.z.z.z.”) – m.in. przepisy art. 27 ust. 9 u.z.z.z., art. 29 ust. 7 u.z.z.z. oraz art. 30 ust. 5 u.z.z.z. – nakazują wręcz uwzględniać konieczność ochrony danych osobowych przy zapobieganiu oraz zwalczaniu zakażeń oraz chorób zakaźnych u ludzi. Tym bardziej, nie wyłączają stosowania przepisów RODO i ustawy krajowej – rozporządzenia wydane na podstawie u.z.z.z. (m.in. rozporządzenie Ministra Zdrowia z dnia 13 marca 2020 r. oraz z dnia 20 marca 2020 r. w sprawie ogłoszenia na obszarze RP stanu zagrożenia epidemicznego – a następnie – stanu epidemii, a także rozporządzenie z dnia 24 marca 2020 roku zmieniające rozporządzenie w sprawie ogłoszenia stanu epidemii, Dz.U. 2020 poz. 433, poz. 491, poz. 522). Na datę publikacji niniejszego artykułu nie istnieje zatem jakakolwiek podstawa prawna do „wyłączenia” lub „zawieszenia” stosowania RODO lub ustawy krajowej.  

W tej sytuacji, należy zatem odwołać się do stanowiska Przewodniczącej Europejskiej Rady Ochrony danych Osobowych (dalej: „EROD”) z dnia 16 marca 2020 roku, uzupełnionego w dniu 19 marca 2020 roku przez cały skład EROD*. Przewodnicząca stwierdziła bowiem, co następuje: „Zasady ochrony danych (takie jak RODO) nie ograniczają środków podejmowanych w ramach walki z pandemią koronawirusa. (…) Sytuacja nadzwyczajna jest warunkiem prawnym, który może uzasadniać ograniczenie wolności, pod warunkiem że ograniczenia te są proporcjonalne i ograniczone do okresu nadzwyczajnego”. Podobnie, Prezes Urzędu Ochrony Danych Osobowych (dalej: „PUODO”) w oświadczeniu z dnia 12 marca 2020 roku* stwierdził, że: „Przepisy o ochronie danych osobowych nie mogą być stawiane jako przeszkoda w realizacji działań w związku z walką z koronawirusem”. 

Powyższe stwierdzenia nie tyle „sankcjonują” ograniczenie prawa do prywatności w sytuacji epidemii, co nakazują poszukiwać w rozporządzeniu podstawy prawnej do tymczasowego oraz proporcjonalnego przetwarzania danych osobowych na szerszą skalę w imię ochrony zdrowia oraz bezpieczeństwa publicznego. 

Wskazówki w tym zakresie możemy odnaleźć w preambule RODO: „Przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości” (motyw 4 preambuły) oraz „Niektóre rodzaje przetwarzania mogą służyć zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą, na przykład gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się (…)”. 

Zatem, już we wstępie RODO, a także poszczególnych przepisach tegoż Rozporządzenia prawodawca unijny przewidział szczególne podstawy, umożliwiające przetwarzanie danych osobowych na wypadek epidemii: 

• w odniesieniu do danych „zwykłych” (m.in. imię, nazwisko, m-ce zamieszkania i inne): (i) art. 6 ust. 1 lit. c RODO, tj. sytuację, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; (ii) art. 6 ust. 1 lit. d RODO, tj. ochronę żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; 
• w odniesieniu do danych „wrażliwych” (dot. m.in. zdrowia osoby fizycznej): (i) art. 9 ust. 2 lit. b RODO, tj. sytuację, gdy przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, (ii) art. 9 ust. 2 lit. c RODO, tj. sytuację, gdy przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (pod warunkiem, że osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody); (iii) art. 9 ust. 2 lit. h RODO, tj. sytuację, gdy przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej; (iv) art. 9 ust. 2 lit. i RODO, tj. sytuację, gdy przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi. 

Odnosząc powyższe na grunt problemów praktycznych, z którymi wszyscy muszą się dzisiaj mierzyć, w/w przepisy dają podstawę do: 

• przekazywania stosownych danych osobowych m.in. państwowym służbom sanitarnym, jednostkom specjalistycznym, instytutom badawczym (zarówno przez organy publiczne, jak i podmioty prywatne, w tym pracodawców), na ich żądanie – stanowi wypełnienie obowiązków prawnych ciążących na administratorze (vide: art. 5 ust. 1 pkt 4 u.z.z.z. oraz art. 30 ust. 1 u.z.z.z.); 
• analogicznie, na tej samej podstawie dozwolone jest przekazywania danych pomiędzy organami administracji publicznej (vide: art. 20a ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, dalej: „u.z.k.”), a także na podstawie ważnego interesu publicznego (vide: motyw 111 oraz 112 preambuły RODO, odnoszący się wprost m.in. do międzynarodowej wymiany danych między służbami odpowiedzialnymi za zdrowie publiczne na wypadek chorób zakaźnych); 

• pomiaru temperatury ciała pasażerów oraz wypełniania przez pasażerów tzw. „kart pasażera” oraz „kart lokalizacyjnych”, zawierających m.in. informacje o numerze lotu/przewozu, numerze telefonu i adresie pasażera, pod którym będzie przebywać w najbliższym czasie w celu kontaktu w przypadku ustalenia, że środkiem transportu poruszał się zarażony współpasażer (vide m.in.: art. 17 specustawy oraz komunikat Głównego Inspektora Sanitarnego, dalej: „GIS”, z dnia 18 lutego 2020 roku*) – pod warunkiem, że zbierane dane nie są nadmierne; 
• wysyłania przez operatorów sieci komunikatów sms Rządowego Centrum Bezpieczeństwa (tzw. alerty RCB) – operatorzy sieci zostali upoważnieni do przetwarzania danych osobowych (m.in. danych o geolokalizacji) w zakresie niezbędnym do realizacji obowiązku nieodpłatnego wysyłania komunikatów do użytkowników na określonym terytorium przez określony czas (vide: art. 21a u.z.k., art. 22 oraz art. 24 specustawy, stanowisko PUODO z dnia 28 lutego 2020 roku*, a także w/w stanowisko Przewodniczącej EROD). 

Osobnego omówienia wymaga szczególna sytuacja pracodawców w odniesieniu m.in. do możliwości pomiaru przez pracodawcę (osobę przez niego upoważnioną) temperatury ciała pracownika lub zapytania pracownika o miejsce, w którym spędził urlop – przykładowo w celu zlecenia pracownikowi pracy zdalnej po powrocie z wakacji z uwagi na bezpieczeństwo pozostałych pracowników. 

PUODO w swoim (w/w) oświadczeniu z dnia 12 marca 2020 roku zwrócił uwagę na przepisy: 

• art. 17 specustawy, zgodnie z którym Główny Inspektor Sanitarny lub działający z jego upoważnienia państwowy wojewódzki inspektor sanitarny może wydawać pracodawcom m. in. decyzje nakładające obowiązek podjęcia określonych czynności zapobiegawczych lub kontrolnych, współdziałania z innymi organami administracji publicznej oraz organami Państwowej Inspekcji Sanitarnej, czy też zalecenia i wytyczne określające sposób postępowania w trakcie realizacji zadań w przypadku stanu zagrożenia epidemicznego lub stanu epidemii; 

• art. 11 specustawy, zgodnie z którym Prezes Rady Ministrów, na wniosek wojewody, po poinformowaniu ministra właściwego do spraw gospodarki ma prawo do wydawania przedsiębiorcom poleceń w związku z przeciwdziałaniem COVID-19. Polecenia są wydawane w drodze decyzji administracyjnej, podlegają one natychmiastowemu wykonaniu z chwilą ich doręczenia lub ogłoszenia oraz nie wymagają uzasadnienia. 

Zdaniem PUODO „przepisy te korespondują z RODO, które również przewidują sytuacje związane z ochroną zdrowia i zapobieganiem rozprzestrzeniania się chorób zakaźnych (art. 9 ust. 2 lit i  art. 6 ust. 1 lit d)” – PUODO powołał się zatem na interes publiczny w dziedzinie zdrowia publicznego – w odniesieniu do tzw. „danych wrażliwych”, oraz ochronę żywotnych interesów osoby, której dane dotyczą – w odniesieniu do „danych zwykłych”. 

Na dodatkową przesłankę odstępstwa od zakazu przetwarzania tzw. „danych wrażliwych”, dotyczących zdrowia w kontekście zatrudnienia wskazuje również EROD (stanowisko Przewodniczącej z dnia 16 marca 2020 roku, uzupełnione w dniu 19 marca 2020 roku), powołując się na art. 9 ust. 2 lit. c RODO, tj. na ochronę żywotnych interesów osoby, której dane dotyczą. PUODO dopuścił zatem przesłankę „żywotnych interesów” jedynie w odniesieniu do tzw. „danych zwykłych”, a EROD również w odniesieniu do tzw. „danych wrażliwych”. 

Oprócz w/w podstaw prawnych, można wskazać także na art. 6 ust. 1 lit. c RODO oraz art. 9 ust. 2 lit. b RODO, tj. na konieczność wypełnienia ciążących na administratorze obowiązków, wynikających z prawa pracy, a mianowicie: obowiązku pracodawcy zapewnienia pracownikom bezpiecznych i higienicznych warunków pracy, a także obowiązku ochrony zdrowia i życia pracowników (art. 207 § 1 i § 2 kodeksu pracy), któremu odpowiada obowiązek pracownika do współdziałania z pracodawcą i przełożonymi w wypełnianiu obowiązków dotyczących bezpieczeństwa i higieny pracy (art. 211 pkt 7 kodeksu pracy). 

Ponadto, w kontekście ewentualnej potrzeby uzyskania informacji o miejscu, w którym przebywał pracownik w trakcie urlopu wypoczynkowego – należy rozważyć możliwość powołania się na art. 6 ust. 1 lit. f RODO, tj. na ochronę prawnie uzasadnionych interesów administratora wyrażających się w konieczności zapewnienia pozostałym pracownikom bezpiecznych i higienicznych warunków pracy. 

Należy przy tym podkreślić, że pracodawców w dalszym ciągu obowiązują zasady przetwarzania danych osobowych, określone w art. 5 RODO, tj. m.in. zasada „minimalizacji danych”, zasada „ograniczenia przechowywania”, oraz obowiązek zapewnienia „integralności i poufności” danych. 

Zatem po pierwsze, przedsiębiorca powinien zadać sobie pytanie, jakie dane są niezbędne dla zapewnienia owych bezpiecznych i higienicznych warunków pracy lub wykonania obowiązków nałożonych decyzją GIS – i ograniczyć przetwarzanie wyłącznie do takich danych osobowych. Po drugie, przedsiębiorca powinien ograniczyć okres retencji (przechowywania) danych osobowych do niezbędnego minimum. Po trzecie, należy zapewnić odpowiedni poziom zabezpieczeń w celu przetwarzania danych. 

EROD nakazuje przedsiębiorcom dodatkowo spełniać wobec osób fizycznych, których dane są przetwarzane – rozbudowany i szczegółowy obowiązek informacyjny, wynikający z art. 13 RODO. Mało tego, EROD uznaje ów obowiązek za tzw. „core principle”, tj. podstawową, tudzież fundamentalną zasadę przetwarzania danych osobowych. 

Zdaje się jednak, że powyższe nakazy wynikają z braku refleksji nad i tak już trudną sytuacją przedsiębiorców, którzy w warunkach recesji są w głównej mierze zaabsorbowani ratowaniem własnych przedsiębiorstw. 

  

Patrycja Olejnik 

(członek OIRP w Warszawie, ukończona aplikacja radcowska) 

  

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;
• Stanowisko Przewodniczącej Europejskiej Rady Ochrony Danych Osobowych z dnia 16 marca 2020 r.
• Stanowisko Prezesa Urzędu Ochrony Danych Osobowych z dnia 12 marca 2020 r.;
• Stanowisko Prezesa Urzędu Ochrony Danych Osobowych z dnia 28 lutego 2020 r.;
• Komunikat Głównego Inspektora Sanitarnego z dnia 18 lutego 2020 r.