Stan prawny na dzień: 03.06.2020 r.
Wpis na blogu nie stanowi porady prawnej. Artykuł odnosi się do ogólnej sytuacji prawnej, dlatego nie może stanowić rozwiązania dla indywidualnego problemu. Jeżeli potrzebujesz indywidualnej konsultacji, zapraszam do kontaktu.
Prawda jest taka, że koronawirus wszedł we wszystkie zakamarki naszego życia zawodowego, biznesowego i prywatnego. Większość osób już się z tą sytuacją pogodziła, część żyje jakby problem nie istniał, a inni ciągle walczą i próbują odmienić rzeczywistość. Żadnej z tych grup nie oceniam, do której należę, możesz zgadywać;) Jednak spoglądając na ten problem od mojej strony, typowo prawnej, w dzisiejszym wpisie chcę podzielić się z Tobą informacjami na temat tego, jak pandemia koronawirusa wpłynęła na pozyskiwanie dodatkowych danych osobowych. Co na to RODO? W niektórych branżach pojawił się obowiązek uzupełnienia ankiety dot. koronawirusa. Czy jest to zgodne z prawem? Odpowiedzi na te i więcej pytań, szukaj w moim dzisiejszym wpisie:)
-
Czy przedsiębiorca (administrator danych osobowych) może żądać wypełnienia ankiet o stanie zdrowia od pracowników/klientów/kontrahentów?
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 2016 Nr 119), zwane RODO wyraźnie akcentuje, że przetwarzanie danych osobowych ma być celoweoraz adekwatne do celu przetwarzania.
W przypadku ankiet o stanie zdrowia, należy zadać sobie pytania:
- Do jakiego celu administrator potrzebuje danych wynikających z ankiety?
- Przez jaki okres czasu ankiety będą przechowywane?
Jeżeli wypełnienie takiej ankiety ma mieć formę minimalizowania ryzyka naruszenia prawa do prywatności osoby, która udziela tej odpowiedzi, po jej wypełnieniu i przekazaniu osobie wyznaczonej (upoważnionej) przez administratora, taka ankieta powinna być zniszczona.
Wątpliwości budzi przechowywanie ankiet przez administratora dla celów dowodowych (w razie ewentualnego dochodzenia roszczeń, gdyby informacje o stanie zdrowia okazały się nieprawdziwe). W tym przypadku może dojść do naruszenia zasady adekwatności celu przetwarzania i legalności przetwarzania.
Lepszym rozwiązaniem jest odbieranie oświadczeń, że:
- osoba nie zaobserwowała u siebie objawów koronawirusa,
- zdaje sobie sprawę z tego, że takie oświadczenie jest odbierane od niej ze względów bezpieczeństwa innych osób, z którymi będzie się kontaktowała.
Uwaga:jeżeli pozyskujesz od swojego pracownika, klienta, kontrahenta dane dot. stanu zdrowia związane z obecną sytuacją, to masz obowiązek spełnić wobec nich obowiązek informacyjny. Wyjaśnij, dlaczego przetwarzasz te dane, w jakim celu.
-
Czy możesz żądać od klienta odpowiedzi na pytanie: czy w jego otoczeniu ktoś choruje na COVID-19 lub przebywa na kwarantannie?
Brak jest podstawy prawnej, która pozwalałaby przedsiębiorcy/ jego pracownikom do żądania udzielenia przez klienta odpowiedzi na tak postawione pytanie.
Ważne jest to, że jako administrator danych osobowych możesz poprosić o udzielenie odpowiedzi na to pytanie, a nie możesz tego zażądać. Po prostu wytłumacz klientowi, że dzięki jego szczerej odpowiedzi unikniesz sytuacji, że ktoś się tym wirusem zarazi albo będzie zarażał innych, a Ty dzięki odpowiedzi będziesz mógł wdrożyć dalej idące środki bezpieczeństwa. Zapewnij też klienta, że informacja ma charakter poufny.
-
Czy administrator danych osobowych ze względu na koronawirusa ma obowiązek wprowadzić dodatkowe klauzule informacyjne?
W sytuacji, gdy administrator będzie przetwarzał dodatkowe danetakie jak: informacje o stanie zdrowia, miejscu przebywania swojego pracownika, wiąże się to z zrealizowaniem dodatkowych obowiązków informacyjnych. W sytuacji, gdy nie ulegnie zmianie cel i podstawa prawna przewarzania takich danych, to nie ma takiego obowiązku.
-
Czy przedsiębiorca (administrator danych osobowych) przy dokonywanych pomiarach temperatury ma wywiązywać się z obowiązku informacyjnego?
Tak. Pomiar temperatury, a bardziej zapisywanie jego wyniku lub przechowywanie, tak pozyskanej informacji to przetwarzanie danych osobowych. Taka klauzula informacyjna powinna być zamieszczona w widocznym miejscu. Chodzi o to, aby każdy klient, kontrahent, pracownik miał możliwość zapoznania się z taką informacją.
-
Jakie informacje pracodawca może przekazać sanepidowi?
Odpowiedź na to pytanie znajdziesz w ustawie o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi (art. 32a).
Państwowy inspektor sanitarny lub Główny Inspektor Sanitarny, w związku z prowadzonym dochodzeniem epidemiologicznym, może żądać udzielenia informacji o:
1) osobach zakażonych lub podejrzanych o zakażenie, chorych lub podejrzanych o chorobę zakaźną, osobach zmarłych z powodu choroby zakaźnej lub osobach, wobec których istnieje takie podejrzenie,
2) osobach, które mogły mieć styczność z osobami, o których mowa w pkt 1,
3) posiadaczach zwierząt, które mogły stanowić źródło narażenia na zakażenielub chorobę zakaźną
– od każdego, kto takie dane posiada, lub jednostek administracji publicznej, które dane takie mogą ustalić.
Dane osób, o których mowa powyżej, obejmują:
1) imię i nazwisko;
2) datę urodzenia;
3) numer PESEL, a w przypadku gdy osobie nie nadano tego numeru – serię i numer paszportu albo numer identyfikacyjny innego dokumentu, na podstawie którego jest możliwe ustalenie danych osobowych;
4) płeć;
5) adres miejsca zamieszkania;
6) informacje o aktualnym miejscu pobytu;
7) numer telefonu kontaktowego oraz adres poczty elektronicznej lub innych środków komunikacji elektronicznej;
8) rozpoznanie kliniczne zakażenialub choroby zakaźnej oraz charakterystykę podstawowych objawów klinicznych i biologicznego czynnika chorobotwórczego;
9) okoliczności narażenia na zakażenie, ze szczególnym uwzględnieniem czynników ryzyka;
10) trasę podróży krajowej lub międzynarodowej oraz wykorzystywane podczas niej przez osobę chorą lub zakażoną środki transportu;
11) miejsca pobytu osoby zakażonej w okresie wylęgania choroby.
To najważniejsze wskazówki, które mam nadzieję pozwolą Ci prowadzić działalność zgodnie z prawem, przy zachowaniu wymogów RODO.
Dziękuję za przeczytanie artykułu do końca;) Zostaw swój komentarz lub napisz do mnie, jeżeli chciałbyś dowiedzieć się więcej.
*opracowanie przygotowane w oparciu o częściowe informacje zawarte w e-booku „Ważne pytania o ochronę danych osobowych podczas pandemii koronawirusa” S. Czub-Kiełczewska, Wyd. Wolters Kluwer
A co z taką sytuacją- idę z dzieckiem do lekarza, wypełniam ankietę i mam mierzona temperaturę, to okej, a co z tym, że mamy wpisać w ankietę jej wartość?
Mierzenie temperatury, czyli dokonywanie oceny stanu zdrowia, jest dopuszczalne, gdy jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi. Takie przetwarzanie (czyli sam pomiar i zapisywanie jego wyniku) musi znajdować oparcie w przepisach prawa (art. 9 ust. 2 lit. i RODO). Przepisem, który na to pozwala jest art. 11 ustawy z 2.03.2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz.U. poz. 374 ze zm.). Zgodnie z nim podstawą prawną może być polecenie wojewody, ministra zdrowia lub prezesa rady ministrów. Na podstawie poleceń poszczególnych wojewodów podmioty lecznicze dokonują pomiaru temperatury.
W Niemczech niektóre sklepy wymagają przez wejściem napisania na kartce którą poddają swoich danych imię nazwisko adres, inaczej nie chcą wpuszczać. Czy jest to zgodne z prawem? Jeśli nie co mogę zrobić
Panie Darku, pozyskanie danych zwykłych w postaci imienia, nazwiska, adresu wymaga wskazania przez administratora osobie od której dane się pozyskuje podstawy prawnej przetwarzania tych danych osobowych, w jakim celu te dane są zbierane itp.(obowiązek informacyjny – art. 13 RODO). Z drugiej strony w związku z pandemią koronawirusa poszczególne państwa (w Niemczech także poszczególne landy) wprowadzały odgórnie pewne działania np. w Niemczech Clic&Meet w celu rejestracji e-mailowo, telefonicznie klienta, który miał potem możliwość zrobienia fizycznie zakupów w sklepie odzieżowym. W przypadku Clic&Meet było to uregulowane w rozporządzeniu.