EROD odpowiada na najczęściej występujące wątpliwości związane z działaniami podejmowanymi w szczególności przez władz państwowe, ale także innych administratorów danych (w tym pracodawców). I tak:

1. Czy rządy państw członkowskich mogą wykorzystywać dane osobowe związane z telefonami komórkowymi osób fizycznych w swoich wysiłkach na rzecz monitorowania, ograniczania lub łagodzenia rozprzestrzeniania się COVID-19?

W niektórych państwach członkowskich rządy przewidują wykorzystanie danych z sieci komórkowych dotyczących lokalizacji jako możliwy sposób monitorowania, ograniczania lub łagodzenia skutków rozprzestrzeniania się COVID-19. Oznaczałoby to, na przykład, możliwość geolokalizacji osób lub wysyłania wiadomości dotyczących zdrowia publicznego do osób znajdujących się na określonym obszarze za pomocą telefonu lub wiadomości tekstowych. Organy publiczne powinny w pierwszej kolejności starać się przetwarzać dane dotyczące lokalizacji w sposób anonimowy (tj. przetwarzać dane zagregowane w sposób uniemożliwiający ponowną identyfikację osób), co mogłoby umożliwić generowanie raportów na temat koncentracji urządzeń przenośnych w określonej lokalizacji („kartografia”).

Zasady ochrony danych osobowych nie mają zastosowania do danych, które zostały odpowiednio zanonimizowane.

Jeżeli nie jest możliwe przetwarzanie wyłącznie danych anonimowych, dyrektywa o prywatności i łączności elektronicznej umożliwia państwom członkowskim wprowadzenie środków legislacyjnych mających na celu ochronę bezpieczeństwa publicznego (art. 15).

Jeżeli zostaną wprowadzone środki umożliwiające przetwarzanie niezanonimizowanych danych dotyczących lokalizacji, państwo członkowskie jest zobowiązane do wprowadzenia odpowiednich zabezpieczeń, takich jak zapewnienie osobom korzystającym z usług łączności elektronicznej prawa do środka prawnego.

Zastosowanie ma również zasada proporcjonalności. Zawsze należy preferować rozwiązania najmniej inwazyjne, biorąc pod uwagę konkretny cel, który ma zostać osiągnięty. Środki inwazyjne, takie jak „śledzenie” osób fizycznych (tj. przetwarzanie historycznych niezanonimizowanych danych dotyczących lokalizacji), można uznać za proporcjonalne w wyjątkowych okolicznościach i w zależności od konkretnych sposobów przetwarzania. Powinny one jednak podlegać wzmożonej kontroli i zabezpieczeniom w celu zapewnienia przestrzegania zasad ochrony danych (proporcjonalność środka pod względem czasu trwania i zakresu, ograniczone zatrzymywanie danych i ograniczenie celu).

• Czy w kontekście COVID-19 pracodawca może wymagać od osób odwiedzających lub pracowników dostarczenia konkretnych informacji dotyczących zdrowia?

Zastosowanie zasady proporcjonalności i minimalizacji danych jest tu szczególnie istotne. Pracodawca powinien wymagać informacji dotyczących zdrowia jedynie w zakresie, w jakim zezwala na to prawo krajowe.

Komentarz BDU OIN s.c.: podtrzymujemy swoją opinię zawarta w komunikacie z 13 marca 2020 w sprawie dopuszczalności prowadzenia pomiaru temperatury wśród pracowników, ewentualnie innych osób wchodzących do siedziby administratora. Wyniki pomiaru nie powinny być jednak zapisywane w formie spersonalizowanej kartoteki danej osoby!

• Czy pracodawca może przeprowadzać badania lekarskie pracowników?

Odpowiedź opiera się na przepisach krajowych dotyczących zatrudnienia lub zdrowia i bezpieczeństwa. Pracodawcy powinni mieć dostęp do danych dotyczących zdrowia i przetwarzać je tylko wtedy, gdy wymagają tego ich własne zobowiązania prawne.

Komentarz BDU OIN s.c.: brak jest podstaw do przeprowadzania lub zlecania przez pracodawców samodzielnych badań lekarskich pracowników pod kątem wykrywania symptomów zarażenia wirusem COVID-19. Wszelkie przypadki wątpliwe należy zgłaszać do jednostek Państwowej Inspekcji Sanitarnej lub najbliższego szpitala posiadającego oddział zakaźny/ obserwacyjno-zakaźny i kierować się otrzymanymi stamtąd wskazówkami.

• Czy pracodawca może ujawnić swoim współpracownikom lub innym osobom informację, że jego pracownik jest zakażony COVID-19? 

Pracodawcy powinni informować pracowników o przypadkach COVID-19 i podejmować środki ochronne, ale nie powinni przekazywać więcej informacji niż jest to konieczne. W przypadkach, w których konieczne jest ujawnienie nazwiska pracownika, który zarażony jest wirusem (np. w kontekście profilaktyki), a prawo krajowe na to zezwala, pracownicy, których sprawa dotyczy, powinni zostać poinformowani z wyprzedzeniem, a ich godność i uczciwość powinny być chronione. 

• Jakie informacje przetwarzane w kontekście COVID-19 mogą uzyskać pracodawcy?

Pracodawcy mogą uzyskać dane osobowe w celu wypełnienia swoich obowiązków i zorganizowania pracy zgodnie z prawem krajowym.

Z pełnym tekstem stanowiska EROD można zapoznać się pod tym linkiem