RODO VS COVID

Czym są dane osobowe?

Są to informacje, które umożliwiają identyfikację konkretnej jednostki (tzw. podmiotu danych). Należą do nich przede wszystkim imię i nazwisko, adres, numer dokumentu tożsamości, adres IP, dochody, cechy kulturowe, a także informację posiadane przez lekarza lub szpital, które identyfikuje osobę w celach medycznych. Zgodnie z RODO zakazane jest przechowywanie i przetwarzanie danych wrażliwych takich jak – poglądy religijne, polityczne, przynależność do związków zawodowych, orientacja seksualna, rasa, przynależność etniczna, dane genetyczne, biometryczne (wyjątki), stan zdrowia oraz wyroki skazujące i naruszenia prawa, chyba że prawo to dopuszcza. Administratorem danych jest podmiot, które podejmuje decyzje co do sposobów i celów przetwarzania danych osobowych, a przetwarzającym jest podmiot, który faktycznie wykonuje czynności przechowywania i przetwarzania danych dla administratora.

Wejście w życie RODO wprowadziło wiele ułatwień dla osób udostępniających swoje dane osobowe. Informacje na temat przetwarzania stały się łatwiej dostępne, zrozumiałe i przejrzyste. Użytkownicy zyskali prawo do zmieniania danych oraz prawo do zapomnienia, czyli usunięcia swoich danych. Upowszechniła się także tzw. pseudonimizacja, czyli przetwarzanie danych tak, aby niemożliwe było ustalenie do jakiej konkretnie osoby należą dane na podstawie wyłącznie tych danych. Ponadto wymagane jest informowanie osób powierzających swoje dane o zautomatyzowanych decyzjach i profilowaniu, a także o atakach hakerskich na dane osobowe. Co również istotne, administrator może przetwarzać dane wyłącznie po otrzymaniu zgody osoby, a zgoda ta musi być: dobrowolna, świadoma, konkretna oraz możliwa do wycofania w dowolnym momencie.

W Polsce niedługo przed wejściem w życie rozporządzenia wprowadzono nową ustawę o ochronie danych osobowych, która zapewnia zastosowanie RODO w polskim prawie oraz zastąpiła Głównego Inspektora Ochrony Danych Osobowych Prezesem Urzędu Ochrony Danych Osobowych. Zapewnione zostało przetwarzanie danych osobowych przy zachowaniu zasad m.in. minimalizacji danych, ograniczenia przechowania, integralności i poufności. Celem zabezpieczenia przestrzegania RODO przewidziano w nim kary dla administratorów danych oraz roszczenie o odszkodowanie dla każdego, kto poniósł szkodę w związku z naruszeniem rozporządzenia.

Niemalże od razu dostrzegalne stały się skutki rozporządzenia w życiu codziennym. Na każdej stronie internetowej pojawia się prośba o wyrażenie zgody na przetwarzanie danych związane z cookies, bez wyrażenia zgody niemożliwe jest korzystanie ze strony. Placówki medyczne, urzędy i wiele innych publicznych ośrodków nie wywołuje już osób z poczekalni po nazwisku tylko poprzez nadany numer czy pseudonim. W środkach transportu publicznego, który korzysta z monitoringu widnieją komunikaty o przetwarzaniu danych zgodnym z RODO.

Wybuch pandemii wymusił zmiany w każdym aspekcie życia, a więc i funkcjonowanie RODO w sytuacji tak wyjątkowej musimy oceniać przez pryzmat powszechnie przyjętych priorytetów. Dziś skontrastujemy ochronę danych osobowych i ochronę zdrowia publicznego. Wydaje się, że ochrona prywatności powinna ustąpić miejsca ochronie zdrowia i życia w przypadku ich zagrożenia. Starania o powstrzymanie rozprzestrzeniania się wirusa wymogły poszerzeniu zakresu legalnego przetwarzania danych osobowych. Działania te wymagają współpracy międzynarodowej, toteż wiele państw z całego świata dzieli się między sobą swoimi działaniami i doświadczeniami w zwalczaniu pandemii, do czego również konieczny jest przepływ pewnych danych. W codziennych sytuacjach zastanawiające jest czy można żądać informacji na takie tematy jak kontakt z osobami zarażonymi wirusem, pobyt za granicą, pobyt w regionach o wysokim ryzyku zakażenia, stan zdrowia czy wystąpienie szczególnych objawów covid-19.

W celu rozwiania wątpliwości już 19 marca 2020 Europejska Rada Ochrony Danych wydała oświadczenie w sprawie przetwarzania danych osobowych w kontekście pandemii. Rada podkreśla w nim, że mimo tej szczególnej sytuacji administrator danych i przetwarzający wciąć muszą gwarantować ochronę danych, oraz wyjaśnia, że RODO jako akt ogólny zawiera regulację odpowiadające na potrzeby w czasie kryzysu. Otóż RODO dozwala przetwarzanie danych przez uprawnione organy administracji publicznej oraz pracodawców na warunkach określonych przepisami wewnętrznymi kraju. Przetwarzanie danych lokalizacji, o ile zgodne z dyrektywą o prywatności i łączności elektronicznej, jest dopuszczalne. Kraje należące do UE celem zapewniania bezpieczeństwa powszechnego mogą wprowadzać takie wyjątkowe środki wyłącznie gdy jest to konieczne przy zachowaniu zasady proporcjonalności. Środki inwazyjne jak śledzenie osób powinno być silnie zabezpieczone i kontrolowane oraz w miarę możliwości zanonimizowane. Zastosowanie powyższych środków podlega kontroli Europejskiego Trybunału Sprawiedliwości i Europejskiego Trybunału Praw Człowieka. Rada zaleca przestrzeganie przez państwa członkowskie kluczowych zasad, takich jak celowość przetwarzania danych, adekwatność stosowanych środków bezpieczeństwa danych oraz udostępnianiu informacji o przetwarzaniu danych w sposób zrozumiały. Przepisy krajowe mogą nałożyć na pracodawców szczególne obowiązki związane z zasadami bhp oraz interesem publicznym, które wymagać będą przetwarzania danych pracowników oraz osób odwiedzających miejsca pracy. Pracodawcy (w szerokim tego słowa znaczeniu) mogą i powinni wymagać od pracowników i osób odwiedzających miejsce pracy udzielenia informacji dotyczących stanu zdrowia jedynie w zakresie dopuszczonym przez wewnętrzne prawo krajowe.

Jakich zatem danych osobowych mogą domagać się pracodawcy? Zgodnie z oświadczeniem Przewodniczącej Europejskiej Rady Ochrony Danych pracodawcy mogą uzyskać wszelkie informacje umożliwiające wywiązanie się z nałożonych obowiązków, z uwzględnieniem porządku krajowego. Prawo krajowe może zezwolić pracodawcom na kontrole stanu zdrowia osób zatrudnionych, lecz nie powinni oni przetwarzać pozyskanych danych poza obowiązkowym zakresem. Trudnym przypadkiem jest pytanie czy pracodawca może poinformować pracowników o zakażeniu jednego z nich. Otóż powinien ich informować o każdym przypadku zakażenia wirusem wśród pracowników, jednak powinien ograniczyć się do informacji niezbędnych, najlepiej bez ujawniania tożsamości zakażonego. Natomiast jeśli zastosowanie środków ochronnych wymagało będzie wyjawienia nazwiska i jest to dozwolone prawem krajowym, pracodawca będzie musiał szczególnie zadbać o poszanowanie godności tej osoby.

Rozporządzenie o ochronie danych osobowych zawiera przepisy na wypadek takich sytuacji jak wybuch pandemii. Artykułu 6 RODO dopuszcza przetwarzanie danych, gdy jest to niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innych osób. W artykule 9 RODO wyszczególnione zostało, przetwarzanie których danych jest zabronione - są to m.in. informacje o pochodzeniu rasowym lub etnicznym, poglądach politycznych, religijnych, a także danych genetycznych i biometrycznych czy danych dotyczących stanu zdrowia. Jednocześnie zastrzeżono wyjątek od powyższego zakazu, który przełamuje zakaz w sytuacji, gdy przetwarzanie tych danych jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową Ponadto RODO zawiera także artykuł 46, który uznaje za zgodne z prawem przetwarzanie danych, gdy jest to niezbędne do ochrony interesu istotnego dla życia osób, także w celach humanitarnych takich jak kontrolowanie przebiegu pandemii. Prezes UODO wskazuje, że zalecenia Głównego Inspektora Sanitarnego, które są wydawane na podstawie specustawy dotyczącej przeciwdziałania rozprzestrzenianiu COVID-19, stanowią podstawę prawną przetwarzania danych osobowych.

Również w polskim porządku prawnym znalazły się nowe instytucje prawne poszerzające możliwości przetwarzania danych osobowych w związku z walką z pandemią. Rządzący wydali wiele aktów prawnych, w tym rozporządzeń i specustaw. Odniósł się do nich Urząd Ochrony Danych Osobowych. W jednym z wydanych oświadczeń w sprawie koronawirusa UODO poinformował, że przetwarzanie danych dotyczących zdrowia, które jest związane z działaniami mającymi na celu zapobieganie rozprzestrzeniania się SARS-CoV-2 wywołującego chorobę COVID-19 jest uregulowane przepisami szczególnymi (m.in.. w specustawie). Prezes UODO oświadczył, że przepisy ogólne chroniące dane osobowe nie mogą uniemożliwiać realizacji działań podejmowanych w związku z przeciwdziałaniem pandemii. Do ogólnych przepisów regulujących zasady ochrony i przetwarzania danych osobowych należy rozporządzenie o ochronie danych osobowych, czyli RODO. Prezes dodał, że przepisom szczególnym przysługuje pierwszeństwo w stosowaniu przed przepisami ogólnymi. Prezes UODO wydał zalecenia co do ochrony danych osobowych w pracy zdalnej. Wskazuje środki zachowania bezpieczeństwa przechowywania i przetwarzania danych osobowych podczas pracy zdalnej przy wykorzystaniu urządzeń, maila oraz dostępu do sieci i chmury. UODO radzi m.in. przestrzegać procedur bezpieczeństwa przyjętych przez pracodawcę, stosowanie silnych haseł i uwierzytelniania wielopoziomowego oraz wydzielenie odrębnej przestrzeni do pracy, aby uniemożliwić dostęp osobom postronnym i przede wszystkim nie gubić urządzeń pracy. W zaleceniach znajduje się również używanie służbowych kont email, dokładne sprawdzanie adresatów i nadawców wiadomości oraz korzystanie wyłącznie z zaufanego dostępu do sieci lub chmury.