Czy należy odbierać zgodę na przetwarzanie od osób będących na kwarantannie?

Czy w związku z wymaganiami Głównego Inspektora Sanitarnego rzeczywiście należy odbierać zgody od osób na przekazywanie ich danych osobowych ośrodkom pomocy społecznej oraz innym podmiotom uczestniczącym w udzielaniu pomocy? Chodzi o zapewnienie pomocy osobom w podeszłym wieku, samotnym, niepełnosprawnym, na które nakładana jest decyzja o kwarantannie w momencie wydawania decyzji o objęciu kwarantanną. Jak wyjaśnia GIS, pozyskanie zgody umożliwi Państwowym Powiatowym Inspektorom Sanitarnym, w razie potrzeby, przekazanie danych osobowych osoby kwarantannowej ośrodkowi pomocy społecznej w celu udzielenia jej pomocy – posiłki, leki i wsparcie w realizacji innych potrzeb.

Odnosząc się do przedstawionych wątpliwości wskazać należy, że na stronie internetowej UODO 12 marca 2020 r. zostało zamieszczone (poniżej: Oświadczenie Prezesa Urzędu Ochrony Danych Osobowych w sprawie kornawirusa”, zaś 20 marca  2020 r. oświadczenie Europejskiej Rady Ochrony Danych (EROD) w sprawie przetwarzania danych w kontekście pandemii COVID-19).

Jeśli chodzi o zasady ogólne i oświadczenie Prezesa UODO, to wskazał on w nim m.in., że przepisy o ochronie danych osobowych nie mogą być stawiane jako przeszkoda w realizacji działań w związku z walką z koronawirusem. Natomiast  Europejska Rada Ochrony Danych Osobowych w powołanym wyżej oświadczeniu, wskazała że RODO jest obszernym aktem prawnym, który zawiera przepisy mające zastosowanie również do przetwarzania danych osobowych w kontekście takim, jak ten dotyczący COVID-19. RODO pozwala właściwym organom ds. zdrowia publicznego i pracodawcom na przetwarzanie danych osobowych w kontekście epidemii, zgodnie z prawem krajowym i na określonych w nim warunkach. Na przykład, gdy przetwarzanie danych jest konieczne ze względu na istotny interes publiczny w dziedzinie zdrowia publicznego. W tych okolicznościach nie ma potrzeby polegania na zgodzie osób fizycznych. Odnosząc się zaś do przetwarzania danych osobowych, w tym szczególnych kategorii danych przez właściwe organy publiczne (np. organy ds. zdrowia publicznego), Rada wskazała, że art. 6 i art. 9 RODO umożliwiają przetwarzanie danych osobowych, w szczególności gdy wchodzą one w zakres mandatu prawnego organu publicznego przewidzianego w ustawodawstwie krajowym oraz warunków wskazanych w RODO.

Biorąc powyższe pod uwagę, pozyskiwanie zgody od osób, których dane dotyczą, w przedstawionej sytuacji, może budzić uzasadnione wątpliwości. Właściwymi podstawami powinny być raczej przesłanki określone w art. 6 ust. 1 lit. c lub lit. e RODO, w połączeniu z właściwymi przepisami szczególnymi określającymi zadania konkretnych organów i instytucji, np. ustawie z dnia 5 grudnia 2008 r. o zapobieganiu i zwalczania zakażeń i chorób zakaźnych u ludzi, ustawie z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, ustawie z dnia 12 marca 2004 r. o pomocy społecznej czy ustawach określających zadania poszczególnych podmiotów, w tym przede wszystkim w tzw. specustawie o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (z uwzględnieniem jej ostatnich zmian), która określa uprawnienia właściwych organów (tj. Główny Inspektor Sanitarny, Prezes Rady Ministrów) do wydawania zaleceń i decyzji co do działań, jakie należy podejmować. Konieczne jest zatem śledzenie na bieżąco wydawanych przepisów prawa.

W kontekście zadanego pytania warto zwłaszcza zwrócić uwagę na § 2 ust. 7 rozporządzenia Rady Ministrów z dnia 31 marca 2020 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii (wejście w życie 31 marca 2020 r). Zgodnie z tym przepisem, organy Państwowej Inspekcji Sanitarnej udostępniają dane, o których mowa w ust. 3 i 4, dotyczące osób poddanych obowiązkowej kwarantannie lub izolacji w warunkach domowych właściwym ze względu na miejsce zamieszkania lub pobytu tych osób, ośrodkom pomocy społecznej, na ich wniosek.

Natomiast dopiero w sytuacji, gdy przesłanki z art. 6 ust. 1 lit. c lub lit. e nie mogłyby być zastosowane lub okazałyby się niewystarczające, a konieczne jest prowadzenie pilnych i niezbędnych działań mających na celu ratowanie zdrowia i zapobieganie rozprzestrzenianiu się epidemii, można rozważyć powołanie się na przesłankę określoną w art. 6 ust. 1 lit. d RODO, którą wskazuje również Prezes UODO w ww. oświadczeniu. Na możliwość jej zastosowania wskazuje również motyw 46 RODO, zgodnie z którym przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest to niezbędne do ochrony interesu, które ma istotne znaczenie dla życia osoby, której dane dotyczą, np. gdy przetwarzanie jest potrzebne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się.

Oświadczenie Prezesa UODO w sprawie koronawirusa

W związku z wieloma pytaniami dotyczącymi przetwarzania danych dotyczących zdrowia na skutek działań zapobiegających rozprzestrzenianiu się wirusa COVID-19, Prezes UODO informuje, że kwestie z tym związane regulowane są w przepisach szczególnych, w tym przede wszystkim w tzw. specustawie. Przepisy o ochronie danych osobowych nie mogą być stawiane jako przeszkoda w realizacji działań w związku z walką z koronawirusem – twierdzi Prezes UODO.

Wskazane przepisy nie stoją w sprzeczności z zasadami przetwarzania danych i nie naruszają RODO.

Dają one narzędzia do podejmowania przez pracodawców określonych działań, które wynikają zarówno z zaleceń Głównego Inspektora Sanitarnego, jak i Prezesa Rady Ministrów.

Artykuł 17 specustawy dotyczącej przeciwdziałania COVID-19 wskazuje, że Główny Inspektor Sanitarny lub działający z jego upoważnienia państwowy wojewódzki inspektor sanitarny może wydawać pracodawcom m. in. decyzje nakładające obowiązek podjęcia określonych czynności zapobiegawczych lub kontrolnych i współdziałania z innymi organami administracji publicznej oraz organami Państwowej Inspekcji Sanitarnej. W zakresie podejmowanych przez pracodawców działań należy przede wszystkim śledzić na bieżąco komunikaty Państwowej Inspekcji Sanitarnej.

Prezes Rady Ministrów na wniosek wojewody, po poinformowaniu ministra właściwego do spraw gospodarki, ma prawo do wydawania poleceń przedsiębiorcom w związku z przeciwdziałaniem COVID-19. Polecenia te, wydawane w formie decyzji administracyjnej, podlegają natychmiastowemu wykonaniu z chwilą ich doręczenia lub ogłoszenia oraz nie wymagają uzasadnienia.

Przepisy te korespondują z RODO, które również przewidują sytuacje związane z ochroną zdrowia i zapobieganiem rozprzestrzeniania się chorób zakaźnych (art. 9 ust. 2 lit i  art. 6 ust. 1 lit d).

Zgodnie z motywem 46 RODO przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest to niezbędne do ochrony interesu, które ma istotne znaczenie dla życia osoby której dane dotyczą np. gdy przetwarzanie jest potrzebne do celów humanitarnych w tym monitorowania epidemii i ich rozprzestrzeniania się.

Prezes UODO mając na uwadze powagę sytuacji przypomina, że wszelkie problemy związane ze zwalczaniem i zapobieganiem rozprzestrzeniania się koronawirusa powinny być w świetle powyższych unormowań w pierwszej kolejności zgłaszane do GIS.

Dlatego też organ nadzorczy zwraca się do wszystkich zainteresowanych szczegółami realizacji działań związanych z walką z koronawirusem, aby zwracali się do Głównego Inspektora Sanitarnego, jako organu właściwego w tej sprawie.





Oświadczenie Przewodniczącej EROD ws. przetwarzania danych podczas pandemii COVID-19

Oświadczenie
w sprawie przetwarzania danych osobowych
w kontekście pandemii COVID-19
przyjęte w dniu 19 marca 2020 r.

Europejska Rada Ochrony Danych przyjmuje następujące oświadczenie:

Rządy, organizacje publiczne i prywatne w całej Europie podejmują środki mające na celu ograniczenie i złagodzenie skutków pandemii COVID-19. Może się to wiązać z przetwarzaniem różnego rodzaju danych osobowych. 
Zasady ochrony danych (takie jak RODO) nie ograniczają środków podejmowanych w ramach walki z pandemią koronawirusa. Walka z chorobami zakaźnymi jest wspólnym celem dla wszystkich narodów i dlatego powinna być wspierana w najlepszy możliwy sposób. W interesie ludzkości leży ograniczenie rozprzestrzeniania się chorób i wykorzystanie nowoczesnych technik w walce z plagami dotykającymi znaczną część świata. Mimo to EROD chciałaby podkreślić, że nawet w tych wyjątkowych czasach administrator i podmiot przetwarzający muszą zapewnić ochronę danych osobowych osób, których dane dotyczą. W związku z tym należy wziąć pod uwagę szereg czynników gwarantujących zgodne z prawem przetwarzanie danych osobowych i we wszystkich przypadkach należy przypomnieć, że wszelkie środki podejmowane w tym kontekście muszą być zgodne z ogólnymi zasadami prawa i nie mogą być nieodwracalne. Sytuacja nadzwyczajna jest warunkiem prawnym, który może uzasadniać ograniczenie wolności, pod warunkiem że ograniczenia te są proporcjonalne i ograniczone do okresu nadzwyczajnego.

1. Zgodność przetwarzania  z prawem

RODO jest obszernym aktem prawnym, który zawiera przepisy mające zastosowanie również do przetwarzania danych osobowych w kontekście takim jak ten dotyczący COVID-19. RODO pozwala właściwym organom ds. zdrowia publicznego i pracodawcom na przetwarzanie danych osobowych w kontekście epidemii, zgodnie z prawem krajowym i na określonych w nim warunkach. Na przykład, gdy przetwarzanie danych jest konieczne ze względu na istotny interes publiczny w dziedzinie zdrowia publicznego. W tych okolicznościach nie ma potrzeby polegania na zgodzie osób fizycznych.

1.1. Jeśli chodzi o przetwarzanie danych osobowych, w tym szczególnych kategorii danych przez właściwe organy publiczne (np. organy ds. zdrowia publicznego), EROD uważa, że art. 6 i art. 9 RODO umożliwiają przetwarzanie danych osobowych, w szczególności gdy wchodzą one w zakres mandatu prawnego organu publicznego przewidzianego w ustawodawstwie krajowym oraz warunków wskazanych w RODO.

1.2 W kontekście zatrudnienia przetwarzanie danych osobowych może być konieczne do wypełnienia obowiązku prawnego, któremu podlega pracodawca, np. obowiązków związanych ze zdrowiem i bezpieczeństwem w miejscu pracy lub z interesem publicznym, takim jak kontrola chorób i innych zagrożeń dla zdrowia. RODO przewiduje również odstępstwa od zakazu przetwarzania określonych szczególnych kategorii danych osobowych, takich jak dane dotyczące zdrowia, gdy jest to konieczne ze względu na istotny interes publiczny w dziedzinie zdrowia publicznego (art. 9 ust. 2 lit. i RODO), na podstawie prawa Unii lub prawa państwa członkowskiego lub gdy istnieje potrzeba ochrony żywotnych interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. c RODO), ponieważ motyw 46 wyraźnie odnosi się do kontroli epidemii.  

1.3 W odniesieniu do przetwarzania danych telekomunikacyjnych, takich jak dane dotyczące lokalizacji, należy również przestrzegać przepisów krajowych wdrażających dyrektywę o prywatności i łączności elektronicznej. Co do zasady, dane dotyczące lokalizacji mogą być wykorzystywane przez operatora tylko wtedy, gdy są anonimowe lub za zgodą osób fizycznych. Jednakże art. 15 dyrektywy o prywatności i łączności elektronicznej umożliwia państwom członkowskim wprowadzenie środków prawnych mających na celu ochronę bezpieczeństwa publicznego. Takie wyjątkowe przepisy są możliwe tylko wtedy gdy stanowią konieczny, odpowiedni i proporcjonalny środek w ramach społeczeństwa demokratycznego. Środki te muszą być zgodne z Kartą Praw Podstawowych i Europejską Konwencją o Ochronie Praw Człowieka i Podstawowych Wolności. Ponadto podlega ono kontroli sądowej Europejskiego Trybunału Sprawiedliwości i Europejskiego Trybunału Praw Człowieka. W przypadku sytuacji nadzwyczajnej powinna ona być również ściśle ograniczona do czasu trwania danej sytuacji nadzwyczajnej.

2. Podstawowe zasady odnoszące się do przetwarzania danych osobowych

Dane osobowe, które są niezbędne do osiągnięcia zamierzonych celów, powinny być przetwarzane w konkretnych i wyraźnych celach.

Ponadto osoby, których dane dotyczą, powinny otrzymywać przejrzyste informacje na temat prowadzonych działań w zakresie przetwarzania oraz ich głównych cech, w tym okresu przechowywania gromadzonych danych i celów przetwarzania. Dostarczane informacje powinny być łatwo dostępne i przedstawione jasnym i prostym językiem.

Ważne jest, aby przyjąć odpowiednie środki bezpieczeństwa i polityki poufności zapewniające, że dane osobowe nie są ujawniane nieupoważnionym stronom. Środki wdrożone w celu zarządzania bieżącą sytuacją nadzwyczajną oraz leżący u ich podstaw proces decyzyjny powinny być odpowiednio udokumentowane.

3. Wykorzystywanie danych z sieci komórkowych dotyczących lokalizacji

• Czy rządy państw członkowskich mogą wykorzystywać dane osobowe związane z telefonami komórkowymi osób fizycznych w swoich wysiłkach na rzecz monitorowania, ograniczania lub łagodzenia rozprzestrzeniania się COVID-19?

W niektórych państwach członkowskich rządy przewidują wykorzystanie danych z sieci komórkowych dotyczących lokalizacji jako możliwy sposób monitorowania, ograniczania lub łagodzenia skutków rozprzestrzeniania się COVID-19. Oznaczałoby to, na przykład, możliwość geolokalizacji osób lub wysyłania wiadomości dotyczących zdrowia publicznego do osób znajdujących się na określonym obszarze za pomocą telefonu lub wiadomości tekstowych. Organy publiczne powinny w pierwszej kolejności starać się przetwarzać dane dotyczące lokalizacji w sposób anonimowy (tj. przetwarzać dane zagregowane w sposób uniemożliwiający ponowną identyfikację osób), co mogłoby umożliwić generowanie raportów na temat koncentracji urządzeń przenośnych w określonej lokalizacji ("kartografia").

Zasady ochrony danych osobowych nie mają zastosowania do danych, które zostały odpowiednio zanonimizowane.

Jeżeli nie jest możliwe przetwarzanie wyłącznie danych anonimowych, dyrektywa o prywatności i łączności elektronicznej umożliwia państwom członkowskim wprowadzenie środków legislacyjnych mających na celu ochronę bezpieczeństwa publicznego (art. 15).

Jeżeli zostaną wprowadzone środki umożliwiające przetwarzanie niezanonimizowanych danych dotyczących lokalizacji, państwo członkowskie jest zobowiązane do wprowadzenia odpowiednich zabezpieczeń, takich jak zapewnienie osobom korzystającym z usług łączności elektronicznej prawa do środka prawnego.

Zastosowanie ma również zasada proporcjonalności. Zawsze należy preferować rozwiązania najmniej inwazyjne, biorąc pod uwagę konkretny cel, który ma zostać osiągnięty. Środki inwazyjne, takie jak "śledzenie" osób fizycznych (tj. przetwarzanie historycznych niezanonimizowanych danych dotyczących lokalizacji), można uznać za proporcjonalne w wyjątkowych okolicznościach i w zależności od konkretnych sposobów przetwarzania. Powinny one jednak podlegać wzmożonej kontroli i zabezpieczeniom w celu zapewnienia przestrzegania zasad ochrony danych (proporcjonalność środka pod względem czasu trwania i zakresu, ograniczone zatrzymywanie danych i ograniczenie celu).

4. Zatrudnienie   

• Czy w kontekście COVID-19 pracodawca może wymagać od osób odwiedzających lub pracowników dostarczenia konkretnych informacji dotyczących zdrowia?

Zastosowanie zasady proporcjonalności i minimalizacji danych jest tu szczególnie istotne. Pracodawca powinien wymagać informacji dotyczących zdrowia jedynie w zakresie, w jakim zezwala na to prawo krajowe.

• Czy pracodawca może przeprowadzać badania lekarskie pracowników?

Odpowiedź opiera się na przepisach krajowych dotyczących zatrudnienia lub zdrowia i bezpieczeństwa. Pracodawcy powinni mieć dostęp do danych dotyczących zdrowia i przetwarzać je tylko wtedy, gdy wymagają tego ich własne zobowiązania prawne.

• Czy pracodawca może ujawnić swoim współpracownikom lub innym osobom informację, że jego pracownik jest zakażony COVID-19? 

Pracodawcy powinni informować pracowników o przypadkach COVID-19 i podejmować środki ochronne, ale nie powinni przekazywać więcej informacji niż jest to konieczne. W przypadkach, w których konieczne jest ujawnienie nazwiska pracownika, który zarażony jest wirusem (np. w kontekście profilaktyki), a prawo krajowe na to zezwala, pracownicy, których sprawa dotyczy, powinni zostać poinformowani z wyprzedzeniem, a ich godność i uczciwość powinny być chronione. 

• Jakie informacje przetwarzane w kontekście COVID-19 mogą uzyskać pracodawcy?

Pracodawcy mogą uzyskać dane osobowe w celu wypełnienia swoich obowiązków i zorganizowania pracy zgodnie z prawem krajowym.

 W imieniu Europejskiej Rady Ochrony Danych Przewodnicząca Andrea Jelinek