Ochrona danych osobowych kojarzy nam się z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) znane pod skrótową nazwą RODO.
Zasadnicze pytanie, które się pojawia to czy te dane mogą być ujawniane, a jeżeli tak to w jakich okolicznościach?
Otóż przepisy prawa odnoszące się do danych osobowych szczególnych kategorii, stwarzają warunki ich ochrony. Nie ulega wątpliwości, że informacja o byciu zakażonym koronawirusem jest informacją o stanie zdrowia. Należy nadmienić, że daną osobową o stanie zdrowia jest również sama informacja o korzystaniu z pomocy medycznej (usług medycznych). Daną osobową, zgodnie z definicją zawartą w RODO, jest każda informacja pozwalająca na identyfikację osoby fizycznej. W związku z taką definicją w jakiej sytuacji informacja o stanie zdrowia stanie się daną osobową i kiedy może nastąpić naruszenie ochrony danych osobowych?
Wyobraźmy sobie następującą sytuację: jesteśmy w przychodni w poczekalni wraz z innymi pacjentami, czekamy na wyniki badań laboratoryjnych, z gabinetu zabiegowego wychodzi pielęgniarka i na forum publicznym informuje nas o tym, że mamy podwyższony cholesterol. W takim wypadku osoby postronne czyli inny pacjenci (RODO nazywa takie osoby „NIEUPRAWNIONYMI”) dowiadują się o naszym stanie zdrowia. Jest to ewidentne naruszenie danych osobowych dokonane przez pracownika placówki medycznej.
Inna sytuacja: nasz pracodawca prowadzi ewidencję obecności w pracy w wersji tradycyjnej (papierowej). Każdy pracownik po przyjściu do pracy podpisuje listę obecności. Ewidencja jest tygodniowa, podpis każdego pracownika w odpowiedniej rubryce. Ponieważ Jan Kowalski dostarczył zwolnienie lekarskie do pracodawcy na okres 14 dni, osoba odpowiedzialna za sprawy pracownicze (dział kadr) z wygody odznaczyły na liście obecności przy Janie Kowalskim na cały tydzień literkę „Z”. Na dole listy obecności pracowników została umieszczona legenda „Z” – zwolnienie lekarskie, „U” – urlop. W takiej sytuacji pracownicy podpisujący listę obecności widzą informację o powodzie nieobecności Jana Kowalskiego co w sytuacji zwolnienia lekarskiego (informacja o stanie zdrowia) stanowi naruszenie ochrony danych osobowych.
Jeżeli jesteśmy w stanie połączyć informację o stanie zdrowia i informację o korzystaniu z usług medycznych z konkretną osobą, wówczas mówimy o tym, że mamy do czynienia z daną osobową. Jeżeli w mediach usłyszymy informację o tym, że w Krakowie jest jedna chora na koronawirusa kobieta, lat 35, nie mamy do czynienia z naruszeniem ochrony danych osobowych. Natomiast jeżeli media podadzą informację o tym, że w Krakowie jest chora kobieta lat 35 z podaniem imienia i nazwiska wówczas mówimy o naruszeniu ochrony danych osobowych.
Należy zwrócić szczególną uwagę na przekazywanie informacji o stanie zdrowia naszych pracowników lub klientów osobom trzecim, czyli nieuprawnionym. Osobą uprawnioną są Ci, którym Administrator Danych nadał upoważnienia oraz w określonych prawem sytuacjach odpowiednie organy państwowe. Trzeba pamiętać o tym, że naruszenie danych osobowych może prowadzić nie tylko do odpowiedzialności administracyjnej (kara finansowa nałożona przez organ nadzorczy), ale również do odpowiedzialności finansowej związanej z naruszeniem dóbr osobistych.
Bardzo ważną sprawą jest odróżnienie dwóch pojęć: pojęcia udostępniania i pojęcia przetwarzania.
Udostępnienie danych osobowych jest jedną z form przetwarzania danych osobowych, natomiast przetwarzanie danych osobowych jest praktycznie każdą czynnością związaną z danymi osobowymi. Przetwarzanie danych osobowych to m.in. zbieranie, utrwalanie, usuwanie, udostępnianie, wysyłanie, modyfikowanie danych. Naruszeniem danych osobowych jest, np. nieuprawnione zbieranie, utrwalanie, usuwanie, udostępnianie, wysyłanie, modyfikowanie danych.
Uprawnione przetwarzanie danych osobowych szczególnych kategorii odbywa się wówczas gdy jest spełniona któraś z przesłanek z art. 9 ust. 2 RODO, tj.:
– osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie danych osobowych w jednym lub kilku konkretnych celach;
– przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
– przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
– przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
– przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
– przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
– przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
– przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia;
– przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
– przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
Jak widać po powyższych przesłankach, przetwarzanie danych osobowych szczególnych kategorii jest możliwe i zgodne z prawem w określonych sytuacjach. W związku z powyższym w dobie pandemii koronawirusa, dla dobra społeczeństwa można przetwarzać dane osobowe osób zakażonych lub z podejrzeniem zakażenia jednak ich identyfikowanie publiczne nie powinno mieć miejsca.
W aspekcie pandemii pojawia się również pytanie: co mogą wiedzieć pracodawcy o swoich pracownikach, np. w aspekcie ich pobytu w miejscach szczególnego zagrożenia? RODO generalnie wprowadza zasadę minimalizacji danych, które są zbierane przez administratorów. Jednak są sytuacje, gdy interes administratora danych wymusza na nim posiadanie większej ilości informacji. Może on się wówczas powołać na dwie podstawy prawne, poza oczywiście zgodą osoby, której dane dotyczą.
Otóż zgodnie z RODO art. 6 ust. 1 lit. f, przetwarzanie danych osobowych jest zgodne z prawem, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Wyjątkiem są sytuacje, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Dodatkowo w RODO w art. 6 ust.1 lit. d zostało stwierdzone, że przetwarzanie jest zgodne z prawem gdy jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej. Wymienione powyżej dwie podstawy prawne są jedną z „propozycji” w dobie pandemii przetwarzania danych osobowych ponad wymagane minimum, np. przez pracodawcę.
Pozdrawiam,
Trener biznesu, Prawnik