01.09.2020

RODO a powroty do biura z „pracy zdalnej” – problemy praktyczne

Michał Czuryło

Jednym z najpowszechniejszych rozwiązań w zakresie walki z pandemią COVID-19 było wysłanie pracowników na tzw. „pracę zdalną”, czyli do pracy głównie z domu. Przez ostatnie tygodnie wiele przedsiębiorstw (tam oczywiście, gdzie to było możliwe) świeciło pustkami, zaś aktualnie duża część z nich planuje powrót personelu do fizycznej obecności w biurach.

Powrót taki stawia jednak sporo wyzwań wynikających głównie z tego, że – zgodnie z Kodeksem Pracy – pracodawca ma obowiązek zapewnienia bezpiecznych i higienicznych warunków pracy.

Na to wszystko nakładają się również wymogi płynące z rozporządzenia ogólnego o ochronie danych (RODO) oraz z opublikowanych przez różne organy wytycznych, jakie przedsiębiorcy muszą spełnić. Pewne obowiązki są wspólne i pojawiają się w większości wytycznych, jak chociażby w zakresie stosowania środków ochronnych, takich jak rękawiczki, płynów do dezynfekcji rąk czy zachowania odległości między stanowiskami pracy. Oprócz tego występuje jednak cała gama różnych wytycznych skierowanych do poszczególnych branż. Tu często pojawia się pytanie, jak się w tym odnaleźć?

Dla pracodawców, przed podjęciem decyzji o ponownym otwarciu biura, bardzo istotną jest kwestia wiedzy o tym, jaka jest ogólnie liczba pracowników, których może dotykać ryzyko zarażenia, jak również, czy dany pracownik znajdujący się w grupie ryzyka, może potencjalnie zarażać. Pozwala to chociażby na zastosowanie odpowiednich zabezpieczeń, rozlokowanie biurek, czy podjęcie decyzji o wysłaniu określonych osób do dalszej pracy „z domu”.

Jednak przy gromadzeniu informacji niezbędnych do podjęcia tych decyzji pojawiają się kolejne wątpliwości:

– jakie dodatkowe informacje o pracownikach czy klientach mogę zbierać zgodnie z przepisami?

– czy mogę mierzyć temperaturę pracownikom i innym odwiedzającym biura? W jaki sposób takie badania przeprowadzić? Czy dane z pomiaru temperatury to dane o stanie zdrowia, czyli tzw. szczególne kategorie danych?

– czy mogę pytać o stan zdrowia, odwiedzane kraje, czy też np. kierować pracowników na wykonanie testów na występowanie przeciwciał?

Jaka jest podstawa prawna dla takich czynności i zbierania takich danych?

Przepisy obowiązujące dotychczas, jak również te wprowadzone w związku z ogłoszeniem epidemii COVID-19, nie nakładają wprost obowiązku czy też uprawnienia do kierowania pracowników na dodatkowe badania w przypadku wystąpienia epidemii. Takie kompetencje posiada natomiast Główny Inspektor Sanitarny. W ramach tych uprawnień GIS lub upoważnieni przez niego wojewódzcy inspektorzy sanitarni mogą wydawać indywidualne decyzje (w stosunku do konkretnych podmiotów) lub bardziej ogólne zalecenia i wytyczne, w których nałożony zostanie obowiązek lub określony zostanie sposób postępowania w przypadku epidemii.

Na możliwość powołania się na te decyzje i wytyczne GIS, jako na podstawę dla przetwarzania danych o stanie zdrowia, wskazał również Prezes Urzędu Ochrony Danych Osobowych w oświadczeniu z 5 maja 2020 r. odnoszącym się do problematyki pomiaru temperatury ciała pracowników. Prezes UODO wskazał, że „przepisy o ochronie danych osobowych nie przeciwstawiają się podejmowanym działaniom związanym z przeciwdziałaniem COVID-19. Jednakże podejmowane rozwiązania przez przedsiębiorców, pracodawców i inne podmioty będą legalne, jedynie w sytuacji, jeżeli administrator będzie realizował je na podstawie przepisów prawa”. Taką podstawą wg Prezesa Urzędu mogą być przepisy, ale też wytyczne i decyzje Głównego Inspektora Sanitarnego.

Analiza stanowiska PUODO prowadzić może do jeszcze jednego ciekawego wniosku. Według niego „w sytuacji kiedy będzie dokonywany np. pomiar temperatury ciała danej osoby, czy też będą gromadzone dane dotyczące jej stanu zdrowia, a następnie informacje te będą utrwalane, przekazywane i gromadzone, wówczas będzie następowało przetwarzanie szczególnej kategorii danych osobowych”. Nie zostało to wprawdzie powiedziane wprost, ale wydaje się, że można z tego zdania wnioskować, iż w przypadku braku utrwalania, przekazywania i gromadzenia danych na temat stanu zdrowia pracowników, nie mamy do czynienia z przetwarzaniem danych osobowych. Tym samym można by uznać, że jedynie okazanie do wglądu wyniku pomiaru temperatury ciała, a nawet dalej idąc – wyników badań pracownika na obecność przeciwciał, bez późniejszego utrwalania, przekazywania i gromadzenia takich danych, nie będzie stanowiło przetwarzania danych osobowych.

Jak podeszły do tego tematu inne państwa? Ich stanowiska nie są ze sobą w pełni spójne.

Francja

Tamtejszy organ nadzorczy (CNIL) dał dość jasne wytyczne. Opierając się na przepisach podobnych do polskich, powiedział wprost – pracodawco, możesz mierzyć temperaturę ręcznym termometrem, jeżeli zadbasz, że dane nie zostaną zapisane. Nie możesz natomiast mierzyć kamerą termowizyjną.

Belgia

Belgijski organ nadzorczy wskazał dość podobnie, że w przypadku mierzenia temperatury i jej niezapisywania w jakikolwiek sposób, RODO w jego ocenie nie będzie znajdowało zastosowania. Dopiero zapisanie wyniku lub wykorzystanie bardziej wyszukanych urządzeń, jak skanery czy kamery termowizyjne, będzie uznawane za przetwarzanie danych o stanie zdrowia.

Wielka Brytania

Brytyjski organ nadzoru (ICO), wskazuje, że pracodawca może przeprowadzić badania temperatury u pracowników. Jako podstawę podaje przepisy z RODO w połączeniu z przepisami krajowymi. Przepisy prawa w UK są natomiast dość ogólne i nakładają na brytyjskich pracodawców obowiązek zapewnienia bezpiecznych i zdrowych warunków pracy, a także wskazują, że w tym celu pracodawcy mogą mieć dostęp do niezbędnych danych o stanie zdrowia.  Organ ten przypomniał przy tym, że należy dodatkowo zadbać o minimalizację danych, czy o rozliczalność (czyli konieczność wykazania przez samego pracodawcę, że działa w zgodzie z prawem). Podkreślane jest również wykonanie oceny skutków, jakie zbieranie takich informacji będzie miało dla praw pracowników.

Kontakt

Konieczny, Wierzbicki
Kancelaria Radców Prawnych sp.p.
Warszawa

ul. Piękna 15 lok. 34

+48 12 3957161

kancelaria@kwkr.pl

    Strona jest chroniona przez Google reCAPTCHA v3. Więcej informacji o Google reCAPTCHA znajduje się w polityce prywatności i warunkach świadczenia usług.

    Administratorem Twoich danych osobowych jest Konieczny, Wierzbicki Kancelaria Radców Prawnych Sp. p. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków.
    NIP: 9452181482 REGON: 123240424
    Przetwarzamy Twoje dane wyłącznie w celu udzielenia odpowiedzi na wiadomość przesłaną przez formularz kontaktowy i dalszej komunikacji (co stanowi nasz prawnie uzasadniony interes) – przez czas nie dłuższy niż konieczny do udzielenia Ci odpowiedzi, a potem przez okres przedawnienia ewentualnych roszczeń. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.
    mackrell Autoryzowany Doradca New Connect Invest in Poland british polish chamber of commerce Laureat Rankingu Kancelarii Prawniczych Rzeczpospolitej 2018 CATALYST Autoryzowany Doradca Irish polish chamber of commerce restrukturyzacja.pl