Stanowisko Europejskiej Rady Ochrony Danych (EROD) z dnia 19 marca 2020 ws. przetwarzania danych osobowych w kontekście pandemii COVID-19.

Rada jednoznacznie wskazała w nim, że:

  • zasady ochrony danych (takie jak RODO) nie ograniczają środków podejmowanych w ramach walki z pandemią koronawirusa,
  • sytuacja nadzwyczajna jest warunkiem prawnym, który może uzasadniać ograniczenie wolności pod warunkiem, że ograniczenia te są proporcjonalne i ograniczone do okresu nadzwyczajnego,
  • nawet w tych wyjątkowych czasach administrator i podmiot przetwarzający muszą zapewnić ochronę danych osobowych osób, których dane dotyczą. Wszelkie środki podejmowane w tym kontekście muszą być zgodne z ogólnymi zasadami prawa i nie mogą być nieodwracalne.

Komentarz BDU OIN s.c.: RODO nie ogranicza podejmowania działań niezbędnych do przeciwdziałania skutkom pandemii COVID-19, nawet jeśli skutkują one przetwarzaniem danych osobowych, w tym danych szczególnej kategorii, w zakresie, w jakim normalnie to nie występuje. Działania te mają charakter nadzwyczajny i powinny opierać się o przepisy prawa (europejskiego lub poszczególnych krajów członkowskich UE), a zakres gromadzonych danych powinien zawsze być ograniczony do minimum niezbędnego do osiągnięcia celu przetwarzania. Te nadzwyczajne działania (procesy przetwarzania) powinny być ograniczone w czasie i należy ich zaprzestać po ustąpieniu zagrożenia, zaś zgromadzone w tym czasie dane powinny zostać usunięte (o ile ich dalszego przetwarzania nie nakazuje przepis prawa).

W związku z tym EROD przypomina:

  1. Zgodność przetwarzania z prawem

RODO pozwala właściwym organom ds. zdrowia publicznego i pracodawcom na przetwarzanie danych osobowych w kontekście epidemii, zgodnie z prawem krajowym i na określonych w nim warunkach. Na przykład wtedy, gdy przetwarzanie danych jest konieczne ze względu na istotny interes publiczny w dziedzinie zdrowia publicznego. W tych okolicznościach nie ma potrzeby polegania na zgodzie osób fizycznych.

Komentarz BDU OIN s.c.: podtrzymujemy nasze wcześniejsze stanowisko, że jednostki PSSE nie muszą pozyskiwać pisemnej zgody osób na przetwarzanie ich danych, w zakresie swoich działań realizowanych na podstawie przepisów szczególnych związanych z przeciwdziałaniem epidemii. 

1.1. Jeśli chodzi o przetwarzanie danych osobowych, w tym szczególnych kategorii danych przez właściwe organy publiczne (np. organy ds. zdrowia publicznego), EROD uważa, że art. 6 i art. 9 RODO umożliwiają przetwarzanie danych osobowych w szczególności, gdy wchodzą one w zakres mandatu prawnego organu publicznego przewidzianego w ustawodawstwie krajowym oraz warunków wskazanych w RODO.

1.2 W kontekście zatrudnienia przetwarzanie danych osobowych może być konieczne do wypełnienia obowiązku prawnego, któremu podlega pracodawca, np. obowiązków związanych ze zdrowiem i bezpieczeństwem w miejscu pracy lub z interesem publicznym, takim jak kontrola chorób i innych zagrożeń dla zdrowia. RODO przewiduje również odstępstwa od zakazu przetwarzania określonych szczególnych kategorii danych osobowych, takich jak dane dotyczące zdrowia, gdy jest to konieczne ze względu na istotny interes publiczny w dziedzinie zdrowia publicznego (art. 9 ust. 2 lit. i RODO), na podstawie prawa Unii lub prawa państwa członkowskiego lub gdy istnieje potrzeba ochrony żywotnych interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. c RODO), ponieważ motyw 46 wyraźnie odnosi się do kontroli epidemii.  

1.3 W odniesieniu do przetwarzania danych telekomunikacyjnych, takich jak dane dotyczące lokalizacji, należy również przestrzegać przepisów krajowych wdrażających dyrektywę o prywatności i łączności elektronicznej. Co do zasady, dane dotyczące lokalizacji mogą być wykorzystywane przez operatora tylko wtedy, gdy są anonimowe lub za zgodą osób fizycznych. Jednakże art. 15 dyrektywy o prywatności i łączności elektronicznej umożliwia państwom członkowskim wprowadzenie środków prawnych mających na celu ochronę bezpieczeństwa publicznego. Takie wyjątkowe przepisy są możliwe tylko wtedy, gdy stanowią konieczny, odpowiedni i proporcjonalny środek w ramach społeczeństwa demokratycznego. Środki te muszą być zgodne z Kartą Praw Podstawowych i Europejską Konwencją o Ochronie Praw Człowieka i Podstawowych Wolności. Ponadto podlega ono kontroli sądowej Europejskiego Trybunału Sprawiedliwości i Europejskiego Trybunału Praw Człowieka. W przypadku sytuacji nadzwyczajnej powinna ona być również ściśle ograniczona do czasu trwania danej sytuacji nadzwyczajnej.

2. Podstawowe zasady odnoszące się do przetwarzania danych osobowych

Dane osobowe, które są niezbędne do osiągnięcia zamierzonych celów, powinny być przetwarzane w konkretnych i wyraźnych celach. Ponadto osoby, których dane dotyczą, powinny otrzymywać przejrzyste informacje na temat prowadzonych działań w zakresie przetwarzania oraz ich głównych cech, w tym okresu przechowywania gromadzonych danych i celów przetwarzania. Dostarczane informacje powinny być łatwo dostępne i przedstawione jasnym i prostym językiem.

Komentarz BDU OIN s.c.: oznacza to m.in. konieczność aktualizacji klauzul informacyjnych dla pracowników i współpracowników o zapisy dotyczące możliwości przekazywania ich danych dodatkowo do Państwowej Inspekcji Sanitarnej oraz innych uprawnionych podmiotów publicznych, na podstawie ustawy z dnia 2 marca 2020 r, o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych. Może to zostać zrealizowane w formie komunikatu mailowego.

Ważne jest, aby przyjąć odpowiednie środki bezpieczeństwa i polityki poufności zapewniające, że dane osobowe nie są ujawniane nieupoważnionym stronom. Środki wdrożone w celu zarządzania bieżącą sytuacją nadzwyczajną oraz leżący u ich podstaw proces decyzyjny powinny być odpowiednio udokumentowane.

Dodaj komentarz