W związku z podejmowaniem w całej Europie różnorodnych środków, celem ograniczenia i złagodzenia skutków pandemii COVID-19, Europejska Rada Ochrony Danych wydała oświadczenie w sprawie przetwarzania danych osobowych.
Ochrona danych osobowych nie ogranicza środków stosowanych w ramach
zwalczania pandemii koronawirusa, jednak walka z pandemią nie oznacza
zwolnienia administratora i podmiotu przetwarzającego dane osobowe z
zapewnienia ich ochrony. Regulacja RODO zezwala właściwym
organom ds. zdrowia publicznego, a także pracodawcom, na przetwarzanie
danych osobowych w kontekście epidemii COVID-19, zgodnie z prawem
krajowym i na określonych warunkach. Jeśli przetwarzanie danych jest
konieczne z uwagi na istotny interes publiczny, nie wymaga ono zgody
osoby fizycznej.
Istotne pozostaje również przetwarzanie danych telekomunikacyjnych, w tym dotyczących lokalizacji, które co do zasady mogą być przetwarzane, jeśli są anonimowe, bądź, gdy osoba fizyczna wyraziła zgodę na ich wykorzystywanie. Konieczne jest przestrzeganie w tym zakresie przepisów krajowych, które wdrażają dyrektywę o prywatności i łączności. Dyrektywa ta umożliwia państwom członkowskim wprowadzenie odpowiednich środków prawnych w celu ochrony bezpieczeństwa publicznego, z zastrzeżeniem, że środki te muszą być konieczne, odpowiednie i proporcjonalne. Wdrożenie środków powinno być ograniczone do czasu trwania sytuacji nadzwyczajnej. Aktualne pozostają podstawowe zasady przetwarzania danych osobowych. Dane osobowe powinny być przetwarzane w konkretnych i wyraźnych celach, w zakresie niezbędnym do ich osiągnięcia. Osoba, której dane dotyczą, musi być poinformowana o sposobie oraz okresie i celu przetwarzania danych. Dane powinny być odpowiednio zabezpieczone przed ujawnieniem osobom nieupoważnionym. Europejska Rada Ochrony Danych ustosunkowała się także do możliwości wykorzystywania danych osobowych związanych z telefonami komórkowymi w celu monitorowania, ograniczenia lub łagodzenia rozprzestrzeniania się COVID-19. Zgodnie ze stanowiskiem Europejskiej Rady Ochrony Danych, organy publiczne powinny w pierwszej kolejności starać się przetwarzać dane dotyczące lokalizacji w sposób anonimowy, uniemożliwiający identyfikację osób. Jeśli natomiast niemożliwe jest przetwarzanie tylko danych anonimowych, wówczas państwa członkowskie mogą wprowadzić odpowiednie środki prawne w celu ochrony bezpieczeństwa publicznego. Ich wprowadzenie wiąże się z koniecznością wprowadzenia również odpowiednich zabezpieczeń. Należy przy tym wprowadzać środki najmniej inwazyjne, umożliwiające osiągnięcie zamierzonego celu.
Jedną z najistotniejszych kwestii w dobie zagrożenia epidemicznego jest możliwość przetwarzania danych dotyczących zdrowia w relacjach pomiędzy pracodawcą i pracownikiem. Koniecznym może okazać się przetwarzanie danych osobowych przez pracodawcę, na którym ciążą obowiązki związane ze zdrowiem i bezpieczeństwem w miejscu pracy bądź z interesem publicznym. W tym kontekście RODO dopuszcza odstępstwa od zakazu przetwarzania szczególnych kategorii danych, jeśli ich przetwarzanie jest konieczne ze względu na istotny interes publiczny w dziedzinie zdrowia publicznego bądź potrzebę ochrony żywotnych interesów osoby, której dane dotyczą. Szczególnie istotną zasadą w tym zakresie jest proporcjonalność i minimalizacja danych, w związku z czym pracodawca powinien wymagać informacji dotyczących zdrowia jedynie w takim zakresie, w jakim zezwala na to prawo krajowe. Pracodawca powinien mieć dostęp do danych dotyczących zdrowia i przetwarzać je wyłącznie wówczas, gdy jest to wymagane nałożonymi na pracodawcę obowiązkami prawnymi i jest to niezbędne do zorganizowania pracy zgodnie z przepisami prawa krajowego. Z uwagi na zagrożenie epidemiologiczne istotną kwestią jest, czy pracodawca ma prawo przekazywać współpracownikom informacje dotyczące pracowników, u których stwierdzono zakażenie koronawirusem. Europejska Rada Ochrony Danych wskazała, że pracodawcy powinni informować pracowników o przypadkach zakażenia i podejmować stosowne środki ochronne, jednak informacje powinny być udzielane jedynie w takim zakresie, w jakim jest to konieczne. Gdyby z uwagi na podjęcie działań profilaktycznych konieczne było ujawnienie nazwiska zakażonego pracownika, a prawo krajowe na to zezwala, pracownik, którego sprawa dotyczy, powinien zostać o tym uprzedzony.
Oświadczenie Przewodniczącej EROD ws. przetwarzania danych podczas pandemii COVID-19 w całości do odczytania tu: https://uodo.gov.pl/pl/138/1463
Ochrona danych osobowych w dobie wirusa COVID-19
Szanowni Państwo,
W związku z podejmowaniem w całej Europie różnorodnych środków, celem ograniczenia i złagodzenia skutków pandemii COVID-19, Europejska Rada Ochrony Danych wydała oświadczenie w sprawie przetwarzania danych osobowych.
Ochrona danych osobowych nie ogranicza środków stosowanych w ramach zwalczania pandemii koronawirusa, jednak walka z pandemią nie oznacza zwolnienia administratora i podmiotu przetwarzającego dane osobowe z zapewnienia ich ochrony. Regulacja RODO zezwala właściwym organom ds. zdrowia publicznego, a także pracodawcom, na przetwarzanie danych osobowych w kontekście epidemii COVID-19, zgodnie z prawem krajowym i na określonych warunkach. Jeśli przetwarzanie danych jest konieczne z uwagi na istotny interes publiczny, nie wymaga ono zgody osoby fizycznej.
Istotne pozostaje również przetwarzanie danych telekomunikacyjnych, w tym dotyczących lokalizacji, które co do zasady mogą być przetwarzane, jeśli są anonimowe, bądź, gdy osoba fizyczna wyraziła zgodę na ich wykorzystywanie. Konieczne jest przestrzeganie w tym zakresie przepisów krajowych, które wdrażają dyrektywę o prywatności i łączności. Dyrektywa ta umożliwia państwom członkowskim wprowadzenie odpowiednich środków prawnych w celu ochrony bezpieczeństwa publicznego, z zastrzeżeniem, że środki te muszą być konieczne, odpowiednie i proporcjonalne. Wdrożenie środków powinno być ograniczone do czasu trwania sytuacji nadzwyczajnej. Aktualne pozostają podstawowe zasady przetwarzania danych osobowych. Dane osobowe powinny być przetwarzane w konkretnych i wyraźnych celach, w zakresie niezbędnym do ich osiągnięcia. Osoba, której dane dotyczą, musi być poinformowana o sposobie oraz okresie i celu przetwarzania danych. Dane powinny być odpowiednio zabezpieczone przed ujawnieniem osobom nieupoważnionym. Europejska Rada Ochrony Danych ustosunkowała się także do możliwości wykorzystywania danych osobowych związanych z telefonami komórkowymi w celu monitorowania, ograniczenia lub łagodzenia rozprzestrzeniania się COVID-19. Zgodnie ze stanowiskiem Europejskiej Rady Ochrony Danych, organy publiczne powinny w pierwszej kolejności starać się przetwarzać dane dotyczące lokalizacji w sposób anonimowy, uniemożliwiający identyfikację osób. Jeśli natomiast niemożliwe jest przetwarzanie tylko danych anonimowych, wówczas państwa członkowskie mogą wprowadzić odpowiednie środki prawne w celu ochrony bezpieczeństwa publicznego. Ich wprowadzenie wiąże się z koniecznością wprowadzenia również odpowiednich zabezpieczeń. Należy przy tym wprowadzać środki najmniej inwazyjne, umożliwiające osiągnięcie zamierzonego celu.
Jedną z najistotniejszych kwestii w dobie zagrożenia epidemicznego jest możliwość przetwarzania danych dotyczących zdrowia w relacjach pomiędzy pracodawcą i pracownikiem. Koniecznym może okazać się przetwarzanie danych osobowych przez pracodawcę, na którym ciążą obowiązki związane ze zdrowiem i bezpieczeństwem w miejscu pracy bądź z interesem publicznym. W tym kontekście RODO dopuszcza odstępstwa od zakazu przetwarzania szczególnych kategorii danych, jeśli ich przetwarzanie jest konieczne ze względu na istotny interes publiczny w dziedzinie zdrowia publicznego bądź potrzebę ochrony żywotnych interesów osoby, której dane dotyczą. Szczególnie istotną zasadą w tym zakresie jest proporcjonalność i minimalizacja danych, w związku z czym pracodawca powinien wymagać informacji dotyczących zdrowia jedynie w takim zakresie, w jakim zezwala na to prawo krajowe. Pracodawca powinien mieć dostęp do danych dotyczących zdrowia i przetwarzać je wyłącznie wówczas, gdy jest to wymagane nałożonymi na pracodawcę obowiązkami prawnymi i jest to niezbędne do zorganizowania pracy zgodnie z przepisami prawa krajowego.
Z uwagi na zagrożenie epidemiologiczne istotną kwestią jest, czy pracodawca ma prawo przekazywać współpracownikom informacje dotyczące pracowników, u których stwierdzono zakażenie koronawirusem. Europejska Rada Ochrony Danych wskazała, że pracodawcy powinni informować pracowników o przypadkach zakażenia i podejmować stosowne środki ochronne, jednak informacje powinny być udzielane jedynie w takim zakresie, w jakim jest to konieczne. Gdyby z uwagi na podjęcie działań profilaktycznych konieczne było ujawnienie nazwiska zakażonego pracownika, a prawo krajowe na to zezwala, pracownik, którego sprawa dotyczy, powinien zostać o tym uprzedzony.
Oświadczenie Przewodniczącej EROD ws. przetwarzania danych podczas pandemii COVID-19 w całości do odczytania tu: https://uodo.gov.pl/pl/138/1463
radca prawny
Andrzej Fortuna
Kategorie
Ostatnie wpisy