Wyjaśnienia Prezesa UODO dotyczące ochrony danych osobowych w czasie pandemii

A A A

Prezes Urzędu Ochrony Danych Osobowych systematycznie odnosi się do problemów związanych z ochroną danych w kontekście pandemii koronawirusa. Znaczna część tych wyjaśnień i zaleceń dotyczy zasad pracy oraz stosunków między pracodawcą a pracownikiem w warunkach pandemii.


Odczuwalne obostrzenia w kontaktach międzyludzkich, a zwłaszcza w kontaktach służbowych, w związku z trwającą pandemią koronawirusa, trwają w Polsce od 12.3.2020 r. Zawieszono wtedy zajęcia w szkołach, przedszkolach i żłobkach, a wiele firm i instytucji przeszło na pracę zdalną. Prezes Urzędu Ochrony Danych Osobowych już tego samego dnia wydał oświadczenie w związku z wieloma pytaniami dotyczącymi przetwarzania danych dotyczących zdrowia na skutek działań zapobiegających rozprzestrzenianiu się wirusa COVID-19. Poinformował w nim, że kwestie związane z zasadami przetwarzania danych w czasie epidemii regulowane są w przepisach szczególnych, a zwłaszcza w tzw. specustawie dotyczącej COVID-19, a przepisy o ochronie danych osobowych nie mogą być stawiane jako przeszkoda w realizacji działań w związku z walką z koronawirusem. Jednak wraz z trwaniem wprowadzonego w Polsce stanu epidemii, pojawiają się kolejne problemy i wątpliwości dotyczące stosowania przepisów w zakresie ochrony danych osobowych w związku z pandemią. Dlatego PUODO, na stronie internetowej UODO, publikuje kolejne wyjaśnienia w tym zakresie.

Dokumentacja papierowa zawierająca dane osobowe a praca zdalna

4.5.2020 r. na opublikowano wyjaśnienia PUODO dotyczące korzystania w trakcie pracy zdalnej z dokumentacji papierowej zawierającej dane osobowe. Prezes wyjaśnia, że pracodawca w wyjątkowych sytuacjach może zezwolić pracownikom na korzystanie w pracy zdalnej z dokumentacji papierowej zawierającej dane osobowe. Wiąże się to jednak z większym ryzykiem naruszenia bezpieczeństwa danych osobowych oraz związaną z nim koniecznością ich odpowiedniego zabezpieczenia. Przypomina także, że w obowiązującym obecnie w Polsce stanie epidemii, od pracodawców wymaga się zorganizowania pracy w taki sposób, aby ograniczyć osobiste kontakty pomiędzy pracownikami, w szczególności – gdy jest to możliwe –przez polecenie im wykonywania pracy zdalnej zgodnie z art. 3 ustawy z 2.3.2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz.U. z 2020 r. poz. 374 ze zm.). Dlatego, wobec pojawiających się w związku z tym pytań dotyczących możliwości wykorzystywania przez pracowników świadczących pracę zdalną dokumentacji papierowej zawierającej dane osobowe, UODO przedstawiał podstawowe zasady, którymi należy się w takiej sytuacji kierować, czyli:

1) pracodawcy jako administratorzy danych przetwarzanych przez pracowników podczas pracy zdalnej mają obowiązek zapewnić przestrzeganie zasad przetwarzania danych, w tym zagwarantować ich bezpieczeństwo, biorąc pod uwagę większe ryzyko związane z takimi działaniami. Odnosi się to zarówno do przetwarzania danych przy wykorzystaniu środków komunikacji elektronicznej, jak i danych zawartych w dokumentach papierowych;

2) pracownicy podczas pracy zdalnej mogą przetwarzać dane osobowe tylko w celach związanych z wykonywaniem swoich obowiązków służbowych oraz muszą zapewnić ich bezpieczeństwo, przestrzegając wewnętrznych polityk oraz innych procedur przyjętych w tym zakresie przez pracodawcę. Na pracownikach spoczywa również ogólny obowiązek dbałości o dobro zakładu pracy w zakresie ochrony danych osobowych;

3) pracownicy nie mogą samowolnie wynosić dokumentacji w postaci papierowej poza określony przez pracodawcę obszar przetwarzania danych.


PUODO zwrócił również uwagę, że o ile ustawa z 26.6.1974 r. – Kodeks pracy (t.j. Dz.U. z 2019 r. poz. 1040 ze zm.) wprost reguluje niektóre kwestie dotyczące ochrony danych osobowych w ramach wykonywania telepracy, to żadne przepisy szczególne nie określają odrębnych wymogów ochrony danych osobowych podczas pracy zdalnej.


 

Ważne

Pracodawca, kierując pracownika do pracy zdalnej, musi zapewnić zgodność z ogólnymi przepisami RODO dotyczącymi ochrony i bezpieczeństwa danych osobowych. W tym celu powinien wdrożyć odpowiednie procedury oraz środki organizacyjne i techniczne tak, aby pracownicy mieli wystarczającą świadomość i narzędzia umożliwiające im przestrzeganie przepisów o ochronie danych osobowych.


Ponadto pracodawca, decydując się na umożliwienie pracownikom korzystania podczas pracy zdalnej z dokumentacji papierowej, musi podjąć działania mające na celu ograniczenie ryzyka związanego z utratą dostępności, integralności oraz poufności danych. W tym celu musi ocenić niezbędność wykorzystywania dokumentacji papierowej podczas pracy zdalnej, biorąc pod uwagę charakter danych, cele dla których są przetwarzane oraz dostępne środki.

Należy przede wszystkim ocenić, czy do wykonania danej pracy niezbędny jest dostęp do danych osobowych, czy też jest możliwe skorzystanie z dokumentów zanonimizowanych.

Zdaniem PUODO, praca na dokumentach papierowych nie będzie uzasadniona, jeżeli pracodawca:

• wdrożył elektroniczny obieg dokumentów, a pracownik ma bezpieczny dostęp do niezbędnych do pracy danych osobowych przy pomocy środków komunikacji elektronicznej;

• ma możliwość szybkiego, sprawnego i bezpiecznego wdrożenia elektronicznego obiegu dokumentacji;

• może udostępnić pracownikowi odpowiednio zabezpieczone (m.in. zaszyfrowane) elektroniczne kopie niezbędnych dokumentów.


Jeżeli nie jest możliwe zastosowanie żadnego z ww. rozwiązań, warto zastanowić się nad pracą na kopiach niezbędnych dokumentów. Minimalizuje to ryzyko naruszenia integralności danych oraz utraty ich ­dostępności.


 

Ważne

Pracownik musi chronić dane osobowe zawarte w kopiach dokumentów, tak samo jak w dokumentacji oryginalnej.


Pracodawca, decydując o możliwości wykorzystywania przez pracowników dokumentacji papierowej podczas pracy zdalnej musi:

• zapewnić ewidencjonowanie wydanych pracownikom dokumentów zawierających dane osobowe;

• zapewnić, że udostępnione dokumenty będą przechowywane przez pracownika przez okres niezbędny do wykonania określonego zadania podczas pracy zdalnej (ograniczenie przechowywania);

• ograniczyć liczbę dokumentów wynoszonych z siedziby administratora do tego, co niezbędne w stosunku do celu przetwarzania danych osobowych przez pracownika w ramach pracy zdalnej;

• zobowiązać pracownika do odpowiedniego zabezpieczenia danych osobowych podczas wynoszenia dokumentacji (np. wynoszenie dokumentów w zabezpieczonej aktówce, przenoszenie dokumentów np. w taki sposób, aby były niewidocznie dla osób trzecich);

• zobowiązać pracownika do odpowiedniego zabezpieczenia danych w miejscu wykonywania pracy zdalnej (np. przechowywanie dokumentów w zamykanych na klucz szufladach biurka lub szafach, przestrzeganie zasady czystego biurka, zabezpieczenie dokumentów przed wglądem nieuprawnionych osób trzecich, m.in. członków rodziny);

• zapewnić, że pracownik będzie wykorzystywał pozyskane dane osobowe wyłącznie w tym celu, w jakim byłyby wykorzystywane w siedzibie zakładu pracy;

• określić procedurę związaną z niszczeniem dokumentów (zakaz wyrzucania dokumentów do kosza w domu. Jeżeli pracownik nie posiada w domu niszczarki, powinien dokumenty przechowywać w bezpieczny sposób, a po zakończeniu pracy zdalnej zniszczyć je w biurze);

• zapewnić, że pracownik będzie zgłaszał pracodawcy każdy incydent bezpieczeństwa zgodnie z procedurą postępowania w sprawie naruszeń ochrony danych, tak aby administrator mógł się wywiązać z obowiązku nałożonego na mocy art. 33 ust. 1 RODO.


Pełna treść komunikatu dotyczącego wykorzystywania dokumentacji papierowej zawierającej dane osobowe podczas pracy zdalnej można znaleźć na stronie uodo.gov.pl/pl/138/1513.

Sprawdzanie temperatury w związku z COVID-19

Jednym ze sposobów, które stosują pracodawcy z walce z rozprzestrzenianiem się koronawirusa, jest mierzenie pracownikom temperatury. Prezes UODO wyjaśnił 5.5.2020 r., że w sytuacji kiedy będzie dokonywany np. pomiar temperatury ciała danej osoby, czy też będą gromadzone dane dotyczące jej stanu zdrowia, a następnie informacje te będą utrwalane, przekazywane i gromadzone, wówczas będzie następowało przetwarzanie szczególnej kategorii danych osobowych. Niemniej jednak, zdaniem PUODO, przepisy o ochronie danych osobowych nie sprzeciwiają się przetwarzaniu danych pracowników i gości w zakresie np. mierzenia temperatury czy wdrażania kwestionariusza z objawami chorobowymi.


 

Ważne

RODO w art. 9 ust. 2 lit. i wskazuje, że szczególne kategorie danych (dotyczące zdrowia) można przetwarzać, gdy jest to niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi, jeżeli wynika to z przepisów prawa.


Prezes UODO wskazuje, że przepis ten koresponduje z art. 17 specustawy, m.in. nadając Głównemu Inspektorowi Sanitarnemu prawo do oddziaływania na inne podmioty oraz na zmiany w obowiązujących przepisach, a także wskazywać na przyjmowanie właściwych rozwiązań. W ocenie Prezesa art. 17 specustawy nie wyklucza możliwości wprowadzenia przez pracodawców, czy przedsiębiorców rozwiązań mających na celu zwalczanie COVID-19. W związku z tym, jeżeli inspektor sanitarny uzna, że niezbędne jest przyjęcie rozwiązania w postaci mierzenia temperatury pracownikom i tzw. gościom wchodzącym na teren zakładu pracy, czy też pozyskiwania od pracowników oświadczeń dotyczących ich stanu zdrowia, może skorzystać z właściwego dla niego środka prawnego, w efekcie czego na zakład pracy nałożony zostanie obowiązek w postaci decyzji o dokonywaniu pomiaru temperatury, czy też zbieraniu oświadczeń pracowników dotyczących ich stanu zdrowia. Służby sanitarne mogą również podjąć decyzję o konieczności dokonywania pomiarów temperatury ciała interesantów, którzy wchodzą do budynku w celu załatwienia sprawy.

Prezes UODO przypomina, że w kwestii dotyczącej podejmowania działań związanych z przeciwdziałaniem ­COVID-19 w miejscu pracy, należy zaznaczyć, że podstawą legalizującą przetwarzanie danych dotyczących zdrowia w sektorze zatrudnienia, a zatem w relacji pracodawca-pracownik oraz w relacji z podmiotem publicznym, nie może być art. 9 ust. 2 lit. a) RODO, tj. zgoda osoby, której dane dotyczą. Pracodawca nie może więc nakazać pracownikom i tzw. gościom wchodzącym na teren zakładu pracy, dokonywania pomiaru temperatury. W każdym przypadku musi wykazać podstawę prawną, która dawałaby takie uprawnienie. Podkreślenia wymaga, że przepisy prawa nie regulują, jaka wysokość temperatury daje podstawę do stwierdzenia, że pracownik jest chory bądź zarażony wirusem COVID-19. Dlatego też to służby sanitarne a nie pracodawca, podejmując określone działania, wskazują w konkretnych przypadkach na przyjmowanie właściwych rozwiązań.

Nawiązując również do kwestii związanych z realizacją obowiązku informacyjnego należy zaznaczyć, że administrator ma obowiązek w klauzuli informacyjnej przekazać osobom, których dane osobowe przetwarza, wszelkie niezbędne informacje w tym zakresie.

Pełna treść komunikatu dotyczącego mierzenia temperatury pracownikom można znaleźć na stronie uodo.gov.pl/pl/138/1516.

Poradniki UODO

Urząd Ochrony Danych Osobowych udostępnił również kompleksowe wskazówki dotyczące ochrony danych osobowych podczas pracy zdalnej i zdalnego nauczania.

Na stronie uodo.gov.pl/pl/138/1459 można znaleźć porady dotyczące bezpieczeństwa danych osobowych podczas pracy poza biurem, a na stronie uodo.gov.pl/pl/138/1473 – poradnik UODO dla szkół dotyczący zabezpieczenia danych osobowych podczas zdalnego nau­czania.




UODO, Redakcja

Ocena artykułu:
Oceniono 0 razy
Oceniłeś już ten artykuł.
Artykuł został oceniony.
Podziel się ze znajomymi
Artykuł:
Wyjaśnienia Prezesa UODO dotyczące ochrony danych osobowych w czasie pandemii
Do:
Od:
Wiadomość:
Zaloguj się lub zarejestruj, aby dodać komentarz.
 
Wyrok V CSK 283/10
Obliczanie terminu przedawnienia roszczenia o zachowek
Zamów
 

Prenumerata

Moduł tematyczny