Ochrona danych osobowych zgodna z Rozporządzeniem RODO a pomiar temperatury ciała pracowników i/lub gości odwiedzających firmę

Ochrona danych osobowych zgodna z Rozporządzeniem RODO a pomiar temperatury ciała pracowników i/lub gości odwiedzających firmę (2020-06-12)

 

Ciąg dalszy artykułu z dnia 2020-03-19, zatytułowanego: „Rozporządzenie RODO a pomiar temperatury ciała pracowników i/lub gości odwiedzających firmę jako środek zapobiegający rozpowszechnianiu wirusa COVID-19”. Link do artykułu …


Do kontynuacji artykułu z dnia 2020-03-19 zachęciły mnie dwa istotne fakty:

  1. po pierwsze temat ten wzbudził wiele kontrowersji,

  2. po drugie od dnia opublikowania niniejszego artykułu pojawiły się nowe wytyczne i informacje w tej materii. Informacje i wytyczne, które wg mnie są jeszcze bardziej kontrowersyjn.e

W dniu 5 maja 2020 roku UODO na swojej stronie internetowej opublikował odniesienie do tematu pomiaru temperatury przez pracodawców (temat: Sprawdzanie temperatury w celu zapobiegania rozprzestrzeniania się COVID-19, źródło: https://uodo.gov.pl/pl/138/1516).


W opracowaniu tym Urząd Ochrony Danych Osobowych podtrzymał swoje podejście do tematu stwierdzając jednoznacznie, że przepisy (w tym przede wszystkim Rozporządzenie RODO) w ocenie Prezesa UODO nie sprzeciwiają się przetwarzaniu danych pracowników i gości w zakresie mierzenia temperatury, czyli przetwarzania danych osobowych szczególnej kategorii (danych o stanie zdrowia). Drugim z przywołanych w artykule przypadków było przetwarzanie danych szczególnej kategorii z wykorzystaniem do ich zbierania wśród pracowników i gości, kwestionariuszy dotyczących objawów chorobowych.


Zgodnie z wcześniejszymi informacjami jako podstawę prawną do tego przetwarzania przywołano artykuł 9 ust. 2 lit. i) Rozporządzenia RODO. Zgodnie z tym co zostało tam zapisane, przetwarzanie danych szczególnej kategorii (dotyczących w tym przypadku zdrowia) jest możliwe […], gdy jest to niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi, jeżeli wynika to z przepisów prawa [..].


Powołano również w tym zakresie powiązaną z tymi regulacjami specustawę z dnia 2 marca 2020r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz.U. z 2020 r. poz. 374). Zgodnie z tą ustawą (art. 17) GIS (czyli Główny Inspektor Sanitarny) może wskazywać na przyjmowanie właściwych rozwiązań przez pracodawców w celu przeciwdziałania rozwojowi epidemii i jej skutkom.


W rozwinięciu wskazano jednoznacznie, że jeśli Sanepid uzna, że pomiar temperatury pracowników i gości (lub inny sposób weryfikacji ich stanu zdrowia związany z przetwarzaniem należących do tych osób danych szczególnej kategorii) jest odpowiednim lub wprost niezbędnym środkiem związanym z przeciwdziałaniem rozprzestrzeniania epidemii, to może nałożyć na przedsiębiorcę wprost obowiązek wdrożenia i stosowania takich środków. W przypadku takiego wskazania lub nałożenia takiego obowiązku, staje się on, na mocy specustawy oraz art. 9 lit i rozporządzenia RODO, podstawą prawną do przetwarzania tego typu danych osobowych.


Niezbędne jest jednak określenie takich rekomendacji, zaleceń lub nakazów przez kompetentny w tym zakresie organ jakim jest w zakresie bezpieczeństwa epidemicznego: SANEPID.


Należy jednak zwrócić uwagę na drugą część niniejszego artykuły, w której UODO stwierdza, że zgoda, o której mowa w art. 9 lit a) udzielona w miejscu pracy przez pracownika na rzecz pracodawcy w żadnym wypadku nie legalizuje przetwarzania tych danych. Argumentem przemawiającym za takim podejście wg UODO jest fakt, że w relacjach pracownik–pracodawca istnieje wyraźny brak równowagi między osobą, której dane dotyczą (pracownikiem) a Administratorem (czyli pracodawcą). Z tego względu jest zagrożenie, że nie został zachowany podstawowy warunek przetwarzania danych na podstawie udzielonej zgody, mianowicie dobrowolność tej zgody. UODO wskazuje w niniejszym artykule, że dotyczy to również gości wchodzących na teren zakładu pacy.


Podkreślono dodatkowo, że przepisy nie regulują, jaka wysokość temperatury świadczy o tym, że dana osoba jest zarażona koronawirusem. Z tego względu to SANEPID a nie pracodawcy mają uprawnienia i odpowiedzialność za określenie odpowiednich środków, które mają być stosowane w celu zapobiegania rozprzestrzenianiu się epidemii.

 
ochrona danych osobowych zgodna z Rozporządzeniem RODO

Rysunek 1. Wycinek strony Urzędu Ochrony Danych Osobowych (materiał źródłowy). Kliknij aby powiększyć

 

Podsumowując, to co zostało istotnego, z punktu widzenia zgodności z przepisami prawa, poruszonego w niniejszym artykule UODO to:

  1. Pomiar temperatury i inne czynności przetwarzani danych osobowych przez pracodawców nie są sprzeczne z Rozporządzeniem RODO.

  2. Podstawą legalizującą przetwarzanie danych szczególnej kategorii może być art. 9 lit. i Rozporządzenia RODO jednak, aby można było zastosować tę podstawę przetwarzania niezbędne jest, aby obowiązek przetwarzania takich danych wynikał z przepisów prawa.

  3. W specustawie z 2 marca 2020r. wskazano w art. 17 dotyczącym zmiany ustawy z dni 14 marca 1985r. o Państwowej Inspekcji Sanitarnej, odpowiednie w przedmiotowej materii uprawnienia Głównego Inspektora Sanitarnego oraz Wojewódzkiego Inspektora Sanitarnego działającego z upoważnienia GIS.

  4. Przetwarzanie danych szczególnej kategorii pracowników (i gości jak wskazano w artykule) na podstawie zgody jest niezgodne z prawem ze względu na fakt, że taka zgoda może nie spełniać warunku dobrowolności.

Oznacza to, że można przetwarzać dane szczególnej kategorii (w tym przypadku dane medyczne) jeśli GIS /WIS wskaże takie rekomendacje, zalecenia czy też nałoży taki obowiązek na pracodawców.

 
 

Co z tego wynika?

Wynika, że przedstawione w artykule z dnia 19 marca 2020r. [link do artykułu] podejście było podejściem zgodnym z linią UODO.

 
 

Co dało mi podstawę do stwierdzenia, że obecna sytuacja jest jeszcze bardziej kontrowersyjna niż wcześniejsza?

Powodem tego jest treść opublikowanych przez Sanepid, długo wyczekiwanych rekomendacji w zakresie przeciwdziałania rozprzestrzenianiu się koronawirusa. Rekomendacje te pojawiły się w związku ze znoszeniem obostrzeń sanitarnych i „odmrażaniem gospodarki”. Główny Inspektor Sanitarny w dniu 13 maja 2020r., na swojej stronie internetowej opublikował wytyczne między innymi dla:

  1. salonów fryzjerskich [link do publikacji na stronie GIS]

  2. gabinetów świadczących usługi kosmetyczne i estetyczne [link do publikacji na stronie GIS]

W przypadku salonów fryzjerskich w części: Zapewnienie bezpieczeństwa pracownikom /osobom świadczącym usługi A. Przed wykonaniem usługi, wskazano jako zalecenie rozważenie możliwości bezdotykowego pomiaru i rejestracji temperatury ciała pracowników przed rozpoczęciem pracy.

 
 

Co w tym kontrowersyjnego?

Dokładnie w tym zapisie: NIC. Kontrowersyjny jest dopisek, że taki pomiar i rejestracja temperatury ciała pracowników przed rozpoczęciem pracy może być przeprowadzony … ZA ZGODA PRACOWNIKÓW . 😊😊😊

W ten sam sposób przedstawiono możliwość zastosowania procedur przeprowadzania i dokumentowania wywiadów w odniesieniu do braku występowania objawów chorobowych (czyli również w odniesieniu do danych szczególnej kategorii).

 
strona GIS - rekomendacje dla salonów fryzjerskich

Rysunek 2. Wycinek strony GIS (materiał źródłowy). Kliknij na rysunek aby go powiększyć.

 

Dokładnie takie same zalecenia znalazły się wśród rekomendacji określonych dla gabinetów świadczących usługi kosmetyczne i estetyczne

 
Wytyczne GIS dla gabinetów kosmetycznych

Rysunek 3. Wycinek strony GIS (materiał źródłowy). Kliknij na rysunek aby go powiększyć.


Wśród rekomendacji dla innych branż nie wprowadzono żadnych rekomendacji w odniesieniu do pomiaru temperatury ciała pracowników. Dotyczy to między innymi: zakładów pracy, sklepów, bibliotek, hoteli i miejsc noclegowych, marketów budowlanych, galerii handlowych, bazarów i targowisk, POZ itp.

Do szczegółowych wytycznych można dotrzeć korzystając z poniższych linków:

  1. Rekomendacje na stronie portalu rządowego
  2. Rekomendacje na stronie SANEPIDU


Dlaczego te zalecenia z punktu widzenia ochrony danych osobowych zgodnych z Rozporządzeniem RODO są kontrowersyjne?

Zalecenia są kontrowersyjne, ponieważ Prezes UODO powołując się na Rozporządzenie RODO wskazuje, że w zaistniałych okolicznościach związanych z potrzebą zapobiegania rozprzestrzeniania się epidemii /pandemii, pracodawca może przetwarzać dane szczególnej kategorii swoich pracowników (dane o stanie zdrowia) na podstawie art. 9 lit. i) pod warunkiem, że GIS /WIS wskaże takiemu pracodawcy odpowiednie rekomendacje lub nałożone zostaną na danego pracodawcę takie obowiązki. Prezes UODO wskazuje jednak, że kategorycznie podstawą przetwarzania nie może być udzielona zgoda przez osobą, której dane dotyczą bo zgoda taka może mieć charakter wymuszonej zgody.


Z drugiej strony SANEPID wprowadza po prawie 2 miesiącach od ogłoszenia stanu epidemii zalecenia i rekomendacje dla określonych grup przedsiębiorców, które zdawać by się mogło zalegalizują przetwarzanie danych w ramach weryfikacji stanu zdrowia pracowników firmy. Poprzez dopisanie do tych zaleceń, że przetwarzanie to może być realizowane „za zgoda pracownika” wprowadzono znacznie większa ilość znaków zapytania niż było ich do tej pory.

 

PS.

Jeśli wydawane są znaczne środki na przeciwdziałanie epidemii to może warto jednocześnie zadbać o to, aby przedsiębiorcy mieli dostęp do aktualnych zaleceń i rekomendacji, które muszą stosować. Czy to naprawdę aż taki problem, aby zapewnić dostęp zainteresowanym do najbardziej aktualnych i obowiązujących wytycznych.

Na stronie Ministerstwa Rozwoju przedstawione zostały: Zalecenia dla przedsiębiorców w związku z rozprzestrzenianiem się koronawirusa. Należy docenić, że artykuł ten opublikowany został już w dniu 11 marca 2020r. co rzeczywiście świadczy o jego rzeczywistym prewencyjnym charakterze.

Jednak w dalszym ciągu, do dnia publikacji niniejszego artykułu (tj. 12 czerwca 2020r.) informacje te widnieją jako aktualne. Pomimo tego, że w między czasie miało miejsce najpierw wprowadzanie kolejnych obostrzeń, a następnie ich odwoływanie to zmianie nie uległy rekomendacje dotyczące stosowania maseczek:

 

Rysunek 4. Wycinek strony www.gov.pl (materiał źródłowy). Kliknij na rysunek aby go powiększyć.




Rafał Malon


Zapraszamy do zapoznania z naszą ofertą dotyczącą zapewnienia i utrzymywania zgodności z Rozporządzeniem RODO i innymi przepisami dotyczącymi ochrony danych osobowych (link do informacji o Rozporządzeniu RODO oraz naszej oferty związanej z ochroną danych osobowych).




Back to Top