Podsumowanie polskiej legislacji i wskazówek organów dotyczących COVID-19 w kontekście ochrony danych osobowych

Wychodząc naprzeciw Państwa pytaniom i obawom związanym z zachowaniem zasad ochrony danych osobowych w obliczu globalnej pandemii wirusa COVID-19, opracowaliśmy krótki przewodnik po najważniejszych regulacjach prawnych oraz wytycznych organów, które powinni mieć Państwo na uwadze nie tylko prowadząc działalność gospodarczą i zawodową, ale również w życiu codziennym.

  •     Ustawa o COVID-19

Decyzje, polecenia, zalecenia i wytyczne kierowane do osób prawnych i przedsiębiorców

Ustawa z 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych, która weszła w życie 8 marca 2020 r. (dalej: "Ustawa o COVID-19") przewiduje możliwość wydawania: (i) poleceń przez Prezesa Rady Ministrów w formie decyzji i podlegających natychmiastowym wykonaniu z chwilą ich doręczenia lub ogłoszenia osobom prawnym i jednostkom organizacyjnym nieposiadającym osobowości prawnej oraz przedsiębiorcom; (ii) decyzji przez Głównego Inspektora Sanitarnego lub działającego z jego upoważnienia państwowego wojewódzkiego inspektora sanitarnego nakładających na osoby prawne, osoby fizyczne i jednostki organizacyjne nieposiadające osobowości prawnej, w tym na pracodawców, między innymi, obowiązek podjęcia określonych czynności zapobiegawczych lub kontrolnych oraz żądać od nich informacji w tym zakresie, a także (iii) zaleceń i (iv) wytycznych wydawanych przez Głównego Inspektora Sanitarnego.

W kontekście ochrony danych osobowych oznacza to, że na osoby prawne, przedsiębiorców i jednostki organizacyjne, w szczególności pracodawców, mogą być nałożone szczególne obowiązki, których wykonanie może się wiązać z koniecznością gromadzenia lub ujawnienia danych osobowych, w szczególności dotyczących zdrowia, które nie powinny być gromadzone i udostępniane w sytuacji, kiedy stan zagrożenia epidemicznego nie występuje, na przykład, wykonywanie pomiaru temperatury ciała pracownika. Szerzej o obowiązkach i uprawnieniach pracodawcy mogą Państwo przeczytać w opracowanym przez nas artykule.

Zwracamy również uwagę, że trwają prace nad nowelizacją Ustawy o COVID-19. Będziemy Państwa na bieżąco informować o wszelkich istotnych zmianach.

  •     Rozporządzenie w sprawie stanu zagrożenia epidemicznego

Obowiązkowa kwarantanna i zbieranie danych osobowych przez Straż Graniczną

Rozporządzenie Ministra Zdrowia z dnia 13 marca 2020 r. w sprawie ogłoszenia na obszarze Rzeczypospolitej Polskiej stanu zagrożenia epidemicznego, zmienione rozporządzeniem z 16 marca 2020 r. wstrzymuje możliwość przemieszczania się pasażerów w transporcie kolejowym wykonywanym z przekroczeniem granicy Rzeczypospolitej Polskiej.
W związku z tym, od 15 marca 2020 r., osoba, która przekracza granicę musi odbyć obowiązkową kwarantannę trwającą 14 dni od dnia następującego po przekroczeniu granicy, a także ma obowiązek przekazania funkcjonariuszowi Straży Granicznej informacji o: (i) adresie miejsca zamieszkania lub pobytu, w którym będzie odbywać obowiązkową kwarantannę, a także o (ii) numerze telefonu do kontaktu z tą osobą. Dane osobowe pozyskane w ramach kontroli będą udostępnione przez Straż Graniczną organom Państwowej Inspekcji Sanitarnej. Obowiązku odbycia kwarantanny nie stosuje się w przypadku przekraczania granicy Polski w ramach wykonywania czynności zawodowych w państwie sąsiadującym.

  •     Oświadczenie i wytyczne Prezesa UODO w związku z zagrożeniem COVID-19

Oświadczenie o braku sprzeczności działań podejmowanych w sytuacji zagrożenia COVID-19 z zasadami ochrony danych osobowych

Prezes Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO") w oświadczeniu z 12 marca 2020 r. stwierdził, że przepisy o ochronie danych osobowych nie mogą być przeszkodą w realizacji działań w związku z walką z koronawirusem, a wszelkie uchwalane w obecnym czasie regulacje nie stoją w sprzeczności z zasadami ochrony danych wyrażonych w ogólnym rozporządzeniu o ochronie danych, czyli tzw. RODO. Prezes UODO zwrócił uwagę, że przepisy RODO przewidują sytuacje związane z ochroną zdrowia i zapobieganiem rozprzestrzeniania się chorób zakaźnych i wskazują, że przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest to niezbędne do ochrony interesu, który ma istotne znaczenie dla życia osoby, której dane dotyczą np. gdy przetwarzanie jest potrzebne do celów humanitarnych w tym monitorowania epidemii i ich rozprzestrzeniania się.

Pełna treść oświadczenia dostępna jest pod adresem: //uodo.gov.pl/pl/138/1456

  •     Wytyczne o ochronie danych osobowych podczas pracy zdalnej

17 marca 2020 r. Prezes UODO wydał krótki przewodnik, o tym, w jaki sposób chronić dane osobowe pracując zdalnie. Poniżej prezentujemy najważniejsze wskazówki:

   a) Urządzenia i oprogramowanie, które są używane podczas pracy zdalnej powinny być odpowiednio zaktualizowane i zabezpieczone system antywirusowym; nie powinno się instalować aplikacji i oprogramowania niezgodnych z przyjętymi zasadami bezpieczeństwa organizacji w danym podmiocie;
   b) Przestrzeń, w której wykonywana jest praca powinna być odpowiednio wydzielona, a sprzęt używany do pracy powinien być zabezpieczony przed nieupoważnionym dostępem osób postronnych;
  c) Służbowa korespondencja powinna być kierowana ze służbowych kont poczty elektronicznej, a jeśli nie jest to możliwe, należy zadbać o szyfrowanie treści wiadomości i załączników;
   d) Należy zwracać szczególną uwagę na adresata oraz nadawcę wiadomości, tak aby uniknąć przesłania danych osobowych nieuprawnionym osobom, jak również uchronić się przed atakiem hakerów;
   e) Należy używać zaufanego dostępu do sieci lub usług tzw. "chmury" oraz przestrzegać wszystkich zasad bezpiecznego udostępniania i archiwizowania danych.

Pełna treść poradnika dostępna jest pod adresem: //uodo.gov.pl/pl/138/1459

  •     Oświadczenie przewodniczącej EROD – Europejskiej Rady Ochrony Danych

Przewodnicząca Europejskiej Rady Ochrony Danych (dalej: "EROD") w oświadczeniu z 16 marca 2020 r. stwierdziła, podobnie jak Prezes UODO, że przepisy o ochronie danych osobowych nie utrudniają prowadzenia działań podejmowanych w związku z pandemią. Podkreśliła jednak, że administrator danych powinien zagwarantować przetwarzanie danych osobowych zgodnie z prawem. W oświadczeniu zwrócono również uwagę na możliwość, wynikającą z RODO, przetwarzania danych osobowych przez organy lub pracodawców bez konieczności uzyskiwania zgody osób, których dane dotyczą, w sytuacji gdy jest to konieczne dla pracodawców ze względu na interes publiczny w dziedzinie zdrowia publicznego lub w celu ochrony żywotnych interesów oraz w celu wypełnienia innych obowiązków prawnych. Poruszono również kwestię przetwarzania danych o lokalizacji przez organy publiczne, które to dane powinny być w pierwszej kolejności, przetwarzane w sposób anonimowy.

  •     Podsumowanie

Proporcjonalne działania podejmowane w zakresie przeciwdziałania zagrożeniu epidemicznemu są zgodne z obowiązującymi przepisami o ochronie danych osobowych. Za takie działania można, w szczególności, uznać przetwarzanie przez pracodawcę danych o stanie zdrowia pracownika, w przypadku podejrzenia lub stwierdzenia objawów COVID-19. Należy mieć jednak na uwadze zasadę minimalizacji danych, wynikającą z RODO, która nakazuje zbieranie i przetwarzanie tylko takich danych, które są adekwatne, stosowne i ograniczone do tego, co jest niezbędne do osiągnięcia celu, w tym przypadku, zapobiegania rozprzestrzenianiu się wirusa. Pracodawca powinien mieć również na względzie poszanowanie prywatności pracownika i ograniczyć ujawnianie danych o jego stanie zdrowia jedynie upoważnionemu personelowi, np. działowi HR.