Rządy, organy państwowe, jednostki publiczne jak i prywatne przedsiębiorstwa podejmują wiele działań mających na celu ograniczenie rozprzestrzeniania się koronawirusa. W ramach nich dochodzi także do przetwarzania danych osobowych, w tym danych szczególnych kategorii jak m.in. o stanie zdrowia.
I. Pandemia koronawirusa COVID -19 nie zwalnia z obowiązku przestrzegania przepisów o ochronie danych osobowych (RODO)
W kwestii ochrony danych osobowych w trakcie trwania pandemii, wypowiedziała się także przewodnicząca Europejskiej Rady Ochrony Danych (EROD):
„Przepisy w zakresie ochrony danych (takie jak RODO) nie utrudniają działań podejmowanych w walce z pandemią koronawirusa. Chciałabym jednak podkreślić, że nawet w tych wyjątkowych czasach administrator musi zapewnić ochronę danych osobowych osób, których one dotyczą. W związku z tym należy wziąć pod uwagę szereg czynników, aby zagwarantować zgodne z prawem przetwarzanie danych osobowych.”
Podobne stanowisko przedstawił także Prezes Urzędu Ochrony Danych Osobowych w swoim oświadczeniu z dnia 12 marca 2020 r.:
„Przepisy o ochronie danych osobowych nie mogą być stawiane jako przeszkoda w realizacji działań w związku z walką z koronawirusem.”
Pracodawcy podejmując działania związane z przeciwdziałaniem COVID-19 powinni śledzić wytyczne oraz komunikaty Państwowej Inspekcji Sanitarnej. Są one dostępne na stronie https://gis.gov.pl/.
II. Na jakiej podstawie prawnej możemy przetwarzać dane osobowe?
Ochrona danych osobowych, zapewnienie prywatności z jednej strony nie może stanowić bariery w podejmowaniu działań związanych z przeciwdziałaniem COVID-19, z drugiej zaś strony musi odbywać się zgodnie z obowiązującymi przepisami.
Na uwagę zasługuje:
- art. 6 ust. 1 lit. d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
Zgodnie z motywem 47 do Rozporządzenia RODO: Przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest niezbędne do ochrony interesu, który ma istotne znaczenie dla życia osoby, której dane dotyczą, lub innej osoby fizycznej. Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej. Niektóre rodzaje przetwarzania mogą służyć zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą, na przykład, gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka.
- art. 6 ust. 1 lit. f) – przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią
Należy pamiętać o przeprowadzeniu testu równowagi, aby mieć pewność, iż nasze działania nie naruszą praw i wolności osób, których dane dotyczą. Jak przeprowadzić test równowagi?
- art. 9 ust. 2 lit i) – przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową.
III. Bezpieczeństwo danych a praca zdalna
8 marca 2020 r. weszła w życie Ustawa z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych.
Zgodnie z treścią art. 3 „W celu przeciwdziałania COVID-19 pracodawca może polecić pracownikowi wykonywanie, przez czas oznaczony, pracy określonej w umowie o pracę, poza miejscem jej stałego wykonywania (praca zdalna).”
Niestety ani przepisy wspomnianej ustawy, ani także Kodeks pracy nie wyjaśniają w jaki sposób należy zorganizować pracę zdalną, tak aby była ona efektywna dla przedsiębiorcy, ale także zabezpieczała powierzone dane.
Kluczowe zasady pracy zdalnej:
- Zapewniamy bezpieczeństwo powierzonych nam urządzeń mobilnych i elektronicznych nośników informacji.
- Korzystamy z bezpiecznego podłączenia do Internetu, zabezpieczonego hasłem, najlepiej VPN.
- Dbamy, aby na każdym urządzeniu były zainstalowane oprogramowania antywirusowe.
- Nie otwieramy plików, maili, SMS-ów, które otrzymaliśmy a mogą być próbą ataku, szczególnie odnośnie koronawirusa.
- Nie wchodzimy na podejrzane strony.
- Jeśli zabraliśmy ze sobą dokumenty, nośniki pamięci to zabezpieczmy je na etapie transportu oraz w domu, tak aby nie zostały zniszczone, uszkodzone, pozyskane przez nieuprawnione osoby.
- Komunikujemy się z innymi pracownikami poprzez e-mail, wewnętrzne aplikacje firmowe, telefon.
Pracodawco – uświadamiaj swoich pracowników, współpracowników o zasadach bezpieczeństwa informacji oraz ochronie danych osobowych!
Jak możesz to zrobić?
Na przykład wysyłając do nich informacje mailowe o zadach pracy zdalnej, prowadząc krótkie szkolenia e-learningowe.