Zgodnie z art. 5 ust. 1 lit. a-c Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego również RODO: dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą; zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Chociaż zasady te były znane już na kanwie poprzednio obowiązującej ustawy o ochronie danych osobowych, to jednak dzięki rozpoczęciu stosowania od 25 maja 2018 r. RODO, administratorzy dokonali ponownych gruntownych przeglądów swoich procedur, regulaminów i polityk pod kątem respektowania wspomnianych zasad. Znacząco wzrosła od tego czasu świadomość administratorów, ale i osób, których dane dotyczą w zakresie rodzaju danych, które można przetwarzać, podstaw ich przetwarzania, czy też długości okresu przetwarzania danych, jak również w zakresie praw przysługujących osobie, której dane dotyczą.
Z drugiej strony globalna epidemia COVID-19 wymusiła ogłoszenie Ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem CIVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych, która wprowadziła m.in. szczególne zasady kontroli bezpieczeństwa personelu medycznego na lotniskach; nadała Głównemu Inspektorowi Sanitarnemu lub działającemu z jego upoważnienia państwowemu wojewódzkiemu inspektorowi sanitarnemu możliwość wydawania osobom prawnym, fizycznym i jednostkom organizacyjnym nieposiadającym osobowości prawnej, decyzji nakładających obowiązek podjęcia określonych czynności zapobiegawczych lub kontrolnych oraz żądać od nich informacji w tym zakresie; uwzględniła dodatkowy cel przetwarzania przez operatorów danych osobowych użytkowników końcowych jakim jest realizacja obowiązków, o których mowa w art. 21a ustawy o zarządzaniu kryzysowym, poprzez np. przesyłanie komunikatów do określonej grupy użytkowników, przebywających na określonym obszarze; objęła obowiązkiem hospitalizacji lub nadzorowi epidemiologicznemu osoby cierpiące na chorobę zakaźną albo podejrzane o zachorowanie na nią. Ponadto Prezes Rady Ministrów na wniosek wojewody, po poinformowaniu ministra właściwego do spraw gospodarki, uzyskał prawo do wydawania poleceń przedsiębiorcom w związku z przeciwdziałaniem COVID-19, które to polecenia (wydawane w formie decyzji administracyjnej), podlegają natychmiastowemu wykonaniu z chwilą ich doręczenia lub ogłoszenia oraz nie wymagają uzasadnienia.
Każde z tych rozwiązań rodzi oczywiście konieczność pozyskiwania bez naszej zgody danych, których zbieranie z uwagi na ich kategorię było dotąd co do zasady wyłączone, albo konieczność przetwarzania ich w celach innych, niż te, dla których zostały pierwotnie zebrane. Administratorzy uzyskali bowiem obecnie, w przypadkach opisanych w specustawie, dostęp przede wszystkim do szczególnej kategorii danych związanych z naszym stanem zdrowia, ale również danych o naszej lokalizacji, a nawet danych o mających z nami kontakt osobach trzecich. Pojawia się więc pytanie, czy w sytuacjach kryzysowych tak daleka ingerencja w sferę naszej prywatności jest dozwolona z punktu widzenia regulacji zawartych w RODO, a jeśli tak, to czy uchyla ona obowiązki administratorów wynikające z przetwarzania danych w tych wyjątkowych okolicznościach, w których głównym celem jest ograniczenie rozprzestrzeniania się wirusa?
Częściowo odpowiedź na to pytanie znajdziemy w jednoznacznym oświadczeniu Prezesa UODO w sprawie koronawirusa z dnia 12 marca 2020 r., w którym czytamy, że „Przepisy o ochronie danych osobowych nie mogą być stawiane jako przeszkoda w realizacji działań w związku z walką z koronawirusem. Wskazane przepisy nie stoją w sprzeczności z zasadami przetwarzania danych i nie naruszają RODO. Dają one narzędzia do podejmowania przez pracodawców określonych działań, które wynikają zarówno z zaleceń Głównego Inspektora Sanitarnego, jak i Prezesa Rady Ministrów.” Oznacza to więc, że w kontekście COVID-19 i specustawy, pracodawca może od nas żądać informacji na temat naszego zdrowia, może również informować innych pracowników o przypadkach COVID-19.
Stanowisko to w pełni koresponduje z opinią Przewodniczącej Europejskiej Rady Ochrony Danych z dnia 19 marca 2020 r.: „Zasady ochrony danych (takie jak RODO) nie ograniczają środków podejmowanych w ramach walki z pandemią koronawirusa. Walka z chorobami zakaźnymi jest wspólnym celem dla wszystkich narodów i dlatego powinna być wspierana w najlepszy możliwy sposób. W interesie ludzkości leży ograniczenie rozprzestrzeniania się chorób i wykorzystanie nowoczesnych technik w walce z plagami dotykającymi znaczną część świata.”
Pamiętajmy również, że zgodnie z motywem 4 RODO: „Prawo do ochrony danych osobowych nie jest prawem bezwzględnym; należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności.” Zgodnie natomiast z motywem 46 RODO przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest to niezbędne do ochrony interesu, który ma istotne znaczenie dla życia osoby, której dane dotyczą np. gdy przetwarzanie jest potrzebne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się.
Niewątpliwie więc przepisy specustawy korespondują z RODO, ale czy ograniczają jego stosowanie? Analiza tego zagadnienia prowadzi do wniosku, że przeciwdziałanie skutkom pandemii COVID-19 nie uchyla stosowania RODO. Przede wszystkim brak konieczności uzyskania zgody osoby, której dane dotyczą nie świadczy samo w sobie o ograniczeniu stosowania RODO. Wręcz przeciwnie – to RODO zapewnia podstawy prawne umożliwiające administratorom przetwarzanie danych osobowych w czasie epidemii, bez konieczności uzyskania zgody. RODO przewiduje bowiem sytuacje wymagające przetwarzania danych związane z ochroną zdrowia i zapobieganiem rozprzestrzeniania się chorób zakaźnych (art. 9 ust. 2 lit. h i lit. i oraz art. 6 ust. 1 lit. d RODO). Nie zwalnia to jednak administratora przetwarzającego takie dane (tutaj np. pracodawcy) z obowiązku ich ochrony, w tym: zapewnienia, aby dostęp do nich mieli wyłącznie pracownicy podlegający obowiązkowi zachowania tajemnicy zawodowej. Administratorzy nawet w tych szczególnych okolicznościach przeciwdziałania skutkom koronawirusa nie powinni zapomnieć o aktualizacji klauzul informacyjnych, aby osoby, których dane dotyczą otrzymywały przejrzyste informacje na temat prowadzonych działań w zakresie przetwarzania, w tym celów przetwarzania danych i okresu ich przechowywania. Nie ulega bowiem wątpliwości, że przetwarzanie danych w sytuacji nadzwyczajnej powinno być ściśle ograniczone do czasu jej trwania. Jak słusznie określiła to Przewodnicząca EROD w oświadczeniu z dnia 19 marca 2020 r.: „Sytuacja nadzwyczajna jest warunkiem prawnym, który może uzasadniać ograniczenie wolności, pod warunkiem, że ograniczenia te są proporcjonalne i ograniczone do okresu nadzwyczajnego.” Niezwykle istotnym jest również przyjęcie przez administartorów odpowiednich środków bezpieczeństwa i polityki poufności zapewniających, że dane osobowe w okresie pandemii będą poddawane wzmożonej kontroli pod względem ich zabezpieczeń oraz że nie będą ujawniane w zakresie większym niż zezwala na to prawo krajowe, ani nieupoważnionym podmiotom.
Powyższe oznacza, że RODO nie stoi na przeszkodzie realizacji mechanizmów wdrożonych do walki z koronawirusem, co jednak nie wyłącza ochrony przetwarzanych w tych okolicznościach danych, a tym samym nie pozbawia osób, których te dane dotyczą gwarancji dochodzenia swych praw w sytuacji, gdyby okazało się, że dane te były zbierane w sposób nadmierny i nieuzasadniony.
Joanna Ryszkowska
radca prawny
