Jednym z najpowszechniejszych rozwiązań w zakresie walki z pandemią COVID-19 było wysłanie pracowników na tzw. „pracę zdalną”, czyli do pracy głównie z domu. Przez ostatnie tygodnie wiele przedsiębiorstw (tam oczywiście, gdzie to było możliwe) świeciło pustkami, zaś aktualnie duża część z nich planuje powrót personelu do fizycznej obecności w biurach.
Powrót taki stawia jednak sporo wyzwań wynikających głównie z tego, że – zgodnie z Kodeksem Pracy – pracodawca ma obowiązek zapewnienia bezpiecznych i higienicznych warunków pracy.
Na to wszystko nakładają się również wymogi płynące z rozporządzenia ogólnego o ochronie danych (RODO) oraz z opublikowanych przez różne organy wytycznych, jakie przedsiębiorcy muszą spełnić. Pewne obowiązki są wspólne i pojawiają się w większości wytycznych, jak chociażby w zakresie stosowania środków ochronnych, takich jak rękawiczki, płynów do dezynfekcji rąk czy zachowania odległości między stanowiskami pracy. Oprócz tego występuje jednak cała gama różnych wytycznych skierowanych do poszczególnych branż. Tu często pojawia się pytanie, jak się w tym odnaleźć?
Dla pracodawców, przed podjęciem decyzji o ponownym otwarciu biura, bardzo istotną jest kwestia wiedzy o tym, jaka jest ogólnie liczba pracowników, których może dotykać ryzyko zarażenia, jak również, czy dany pracownik znajdujący się w grupie ryzyka, może potencjalnie zarażać. Pozwala to chociażby na zastosowanie odpowiednich zabezpieczeń, rozlokowanie biurek, czy podjęcie decyzji o wysłaniu określonych osób do dalszej pracy „z domu”.
Jednak przy gromadzeniu informacji niezbędnych do podjęcia tych decyzji pojawiają się kolejne wątpliwości:
– jakie dodatkowe informacje o pracownikach czy klientach mogę zbierać zgodnie z przepisami?
– czy mogę mierzyć temperaturę pracownikom i innym odwiedzającym biura? W jaki sposób takie badania przeprowadzić? Czy dane z pomiaru temperatury to dane o stanie zdrowia, czyli tzw. szczególne kategorie danych?
– czy mogę pytać o stan zdrowia, odwiedzane kraje, czy też np. kierować pracowników na wykonanie testów na występowanie przeciwciał?
Jaka jest podstawa prawna dla takich czynności i zbierania takich danych?
Przepisy obowiązujące dotychczas, jak również te wprowadzone w związku z ogłoszeniem epidemii COVID-19, nie nakładają wprost obowiązku czy też uprawnienia do kierowania pracowników na dodatkowe badania w przypadku wystąpienia epidemii. Takie kompetencje posiada natomiast Główny Inspektor Sanitarny. W ramach tych uprawnień GIS lub upoważnieni przez niego wojewódzcy inspektorzy sanitarni mogą wydawać indywidualne decyzje (w stosunku do konkretnych podmiotów) lub bardziej ogólne zalecenia i wytyczne, w których nałożony zostanie obowiązek lub określony zostanie sposób postępowania w przypadku epidemii.
Na możliwość powołania się na te decyzje i wytyczne GIS, jako na podstawę dla przetwarzania danych o stanie zdrowia, wskazał również Prezes Urzędu Ochrony Danych Osobowych w oświadczeniu z 5 maja 2020 r. odnoszącym się do problematyki pomiaru temperatury ciała pracowników. Prezes UODO wskazał, że „przepisy o ochronie danych osobowych nie przeciwstawiają się podejmowanym działaniom związanym z przeciwdziałaniem COVID-19. Jednakże podejmowane rozwiązania przez przedsiębiorców, pracodawców i inne podmioty będą legalne, jedynie w sytuacji, jeżeli administrator będzie realizował je na podstawie przepisów prawa”. Taką podstawą wg Prezesa Urzędu mogą być przepisy, ale też wytyczne i decyzje Głównego Inspektora Sanitarnego.
Analiza stanowiska PUODO prowadzić może do jeszcze jednego ciekawego wniosku. Według niego „w sytuacji kiedy będzie dokonywany np. pomiar temperatury ciała danej osoby, czy też będą gromadzone dane dotyczące jej stanu zdrowia, a następnie informacje te będą utrwalane, przekazywane i gromadzone, wówczas będzie następowało przetwarzanie szczególnej kategorii danych osobowych”. Nie zostało to wprawdzie powiedziane wprost, ale wydaje się, że można z tego zdania wnioskować, iż w przypadku braku utrwalania, przekazywania i gromadzenia danych na temat stanu zdrowia pracowników, nie mamy do czynienia z przetwarzaniem danych osobowych. Tym samym można by uznać, że jedynie okazanie do wglądu wyniku pomiaru temperatury ciała, a nawet dalej idąc – wyników badań pracownika na obecność przeciwciał, bez późniejszego utrwalania, przekazywania i gromadzenia takich danych, nie będzie stanowiło przetwarzania danych osobowych.
Jak podeszły do tego tematu inne państwa? Ich stanowiska nie są ze sobą w pełni spójne.
Francja
Tamtejszy organ nadzorczy (CNIL) dał dość jasne wytyczne. Opierając się na przepisach podobnych do polskich, powiedział wprost – pracodawco, możesz mierzyć temperaturę ręcznym termometrem, jeżeli zadbasz, że dane nie zostaną zapisane. Nie możesz natomiast mierzyć kamerą termowizyjną.
Belgia
Belgijski organ nadzorczy wskazał dość podobnie, że w przypadku mierzenia temperatury i jej niezapisywania w jakikolwiek sposób, RODO w jego ocenie nie będzie znajdowało zastosowania. Dopiero zapisanie wyniku lub wykorzystanie bardziej wyszukanych urządzeń, jak skanery czy kamery termowizyjne, będzie uznawane za przetwarzanie danych o stanie zdrowia.
Wielka Brytania
Brytyjski organ nadzoru (ICO), wskazuje, że pracodawca może przeprowadzić badania temperatury u pracowników. Jako podstawę podaje przepisy z RODO w połączeniu z przepisami krajowymi. Przepisy prawa w UK są natomiast dość ogólne i nakładają na brytyjskich pracodawców obowiązek zapewnienia bezpiecznych i zdrowych warunków pracy, a także wskazują, że w tym celu pracodawcy mogą mieć dostęp do niezbędnych danych o stanie zdrowia. Organ ten przypomniał przy tym, że należy dodatkowo zadbać o minimalizację danych, czy o rozliczalność (czyli konieczność wykazania przez samego pracodawcę, że działa w zgodzie z prawem). Podkreślane jest również wykonanie oceny skutków, jakie zbieranie takich informacji będzie miało dla praw pracowników.