Prawo do prywatności pracownika obowiązuje także w pandemii

W ostatnich miesiącach trwa intensywna dyskusja dotycząca możliwości i zakresu przetwarzania poszerzonego zakresu danych pracowników i współpracowników, w związku z przeciwdziałaniem skutkom pandemii. Praktyczne aspekty tej kwestii są niezwykle istotne, dotyczą bowiem dopuszczalności skierowania pracownika na testy, żądania ujawnienia ich wyników czy informowania zespołu o stanie zdrowia konkretnego pracownika. Zastosowanie się do zbyt liberalnych interpretacji może narazić pracodawcę na liczne ryzyka.

Czy mogę poinformować zespół o zakażeniu konkretnej osoby?

Klienci coraz częściej zadają nam podobne pytania. Odpowiedź nie jest jednoznaczna nawet dla samych prawników specjalizujących się w ochronie danych osobowych. W internecie czy prasie dostępnych jest szereg publikacji, z których płyną sprzeczne wytyczne dla pracodawców. Największe kontrowersje budzi to, czy mogą oni poinformować cały zespół lub jego część o pozytywnym wyniku testu konkretnego pracownika w celu ograniczenia rozprzestrzeniania się zakażeń.

Bezsprzeczne jest to, że informacje o stanie zdrowia pracownika stanowią szczególną kategorią danych osobowych w rozumieniu art. 9 RODO (tzw. „dane wrażliwe”). Dane te objęte są szczególną ochroną i specjalnymi przesłankami legalizującymi ich przetwarzanie. Jedną z nich (art. 9 ust. 2 lit. i RODO) jest sytuacja, w której przetwarzanie danych osobowych jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi.

Warunkiem powołania się jednak na tę przesłankę jest to, aby konkretne przepisy krajowe zapewniały odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową. Pracodawca musi ponadto przestrzegać zasady minimalizacji danych (art. 5 ust. 1 lit. c RODO) – czyli przetwarzać dane w minimalnym możliwym zakresie, niezbędnym do osiągnięcia założonych celów.

Zobacz również:

Pandemia nie wyłącza prawa do prywatności

W tym kontekście, pojawiające się liberalne wytyczne, wskazujące na bezwarunkową i szeroką możliwość podania do wiadomość pozostałych pracowników informacji o zakażeniu konkretnej osoby wydają się zbyt daleko idące. Upublicznienie takiej informacji może spowodować stygmatyzowanie pracownika i w dużym stopniu narazić na uszczerbek jego prawa i wolności. Pracodawcę może zaś narazić na ryzyka związane z odpowiedzialnością wynikającą nie tylko z RODO, ale także Kodeksu pracy.

W praktyce bowiem, w konkretnych okolicznościach i specyfice firmy, osiągnięcie celu jakim jest ograniczenie rozprzestrzeniania się zakażeń może być osiągnięte bez publikacji danych konkretnego pracownika. Tak może być w szczególności w przypadku, gdy znacząca część pracowników pracuje zdalnie, gdy w firmie obowiązuje praca zmianowa, czy w inny sposób można określić precyzyjny krąg osób, które powinny być wyłączone z kontaktu z resztą zespołu. Informacja o zakażeniu konkretnej osoby nie musi więc wyjść poza niewielki krąg osób zarządzających firmą i odpowiedzialnych za obszar kadrowy.

Należy mieć tu na uwadze wytyczne Europejskiej Rady Ochrony Danych. Wskazała ona, że gdy konieczne jest ujawnienie nazwiska pracownika, który zarażony jest wirusem (np. w kontekście profilaktyki) pracownicy, których sprawa dotyczy, powinni zostać poinformowani z wyprzedzeniem, a ich godność i uczciwość powinny być chronione. Co więcej, dopuszczalność takiego upublicznienia zawsze musi wynikać wprost z przepisów prawa krajowego.

W Polsce dotychczasowa legislacja nie przesądza wprost dopuszczalności takiego upublicznienia danych o zakażeniu konkretnego pracownika. Interpretacje istniejących przepisów wydawane przez Prezesa Urzędu Ochrony Danych Osobowych w większości uzależniają jednak dopuszczalność działań pracodawców obejmujących przetwarzanie dodatkowych danych o stanie zdrowia pracowników (w tym testowania i żądania ujawnienia wyników testów) od decyzji wydawanych w konkretnej sprawie przez Głównego Inspektora Sanitarnego. Samodzielne działania pracodawców są w tym zakresie wykluczone.

Konkretne doświadczenia, jakie obserwujemy w RK RODO wskazują, że możliwości w poszczególnych firmach jest wiele. Pracodawca każdorazowo jest jednak zobowiązany do przeprowadzenia wnikliwej analizy konkretnej sytuacji. Jeżeli prowadzi ona do decyzji o upublicznieniu danych konkretnych pracowników, zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO) analiza powinna zostać udokumentowana, a upublicznienie poprzedzone przekazaniem pracownikom stosownych klauzul informacyjnych (art. 13-15 RODO). Osiągnięcie kompromisu między ochroną prywatności a przeciwdziałaniem jest możliwe, ale wymaga racjonalnej i przemyślanej decyzji, podjętej z poszanowaniem praw i godności pracownika.

Nowe zagrożenia i stare obowiązki

Obecna sytuacja epidemiologiczna w kraju wskazuje, że jeszcze przez dłuższy czas wiele firm będzie zmuszonych do pracy zdalnej oraz tworzenia nowych kanałów komunikacji i kontaktu z klientem. Wszystko to rodzi nowe ryzyka dla systemu ochrony danych osobowych. Nowe rozwiązania powinny gwarantować nie tylko odpowiednie zabezpieczenia danych, w szczególności przetwarzanych w systemach teleinformatycznych. Powinny także m.in. uwzględniać zasady ochrony danych domyślnej i w fazie projektowania (art. 25 RODO) oraz analizę ryzyk w kierunku potencjalnej konieczności przeprowadzenia oceny skutków dla ochrony danych (art. 35 RODO).

Pracodawca nie powinien także zapominać o „starych” obowiązkach związanych z ochroną danych. W tym kontekście pomocne będą cykliczne audyty zgodności procesów przetwarzania z przepisami prawa i wewnętrznymi procedurami czy aktualizacja wymaganych przepisami rejestrów i ewidencji. Niezwykle istotne są regularne szkolenia dla pracowników, obejmujące zarówno kwestie związane z ochroną danych, jak i praktyczne zasady i wskazówki dotyczące ze sprzętów mobilnych umożliwiających pracę zdalną.

Podejmując niełatwe decyzje dotyczące bezpieczeństwa danych w czasach pandemii przedsiębiorcy powinni pamiętać o podstawowych zasadach wynikających z przepisów RODO. Obecna sytuacja nie może być traktowana bezrefleksyjnie jako podstawa do podejmowania działań naruszających prawo do prywatności osób fizycznych, w tym pracowników. Racjonalne decyzje zarządów, świadomość po stronie pracowników oraz odpowiednia wiedza osób odpowiedzialnych za ochronę danych i bezpieczeństwo teleinformatyczne umożliwi znaczące zmniejszenie ryzyk związanych z przetwarzaniem danych, w tym ewentualnych sankcji ze strony organów nadzorczych.

adw. dr Jan Prasałek, RK RODO, RK Legal

Polecamy: Monitor prawa pracy i ubezpieczeń

Serwis Kadry