Koronawirus a RODO

KORONAWIRUS A DANE OSOBOWE

Ostatnie wydarzenia i rosnąca liczba przypadków koronawirusa w Polsce stanowią realny problem dla biznesu. Jak wyważyć z jednej strony ochronę zdrowia publicznego i przeciwdziałanie rozprzestrzenianiu się pandemii koronawirusa, a z drugiej – ochronę danych osobowych pracowników, klientów lub kontrahentów?

  • Co w zakresie RODO twierdzą europejskie organy ochrony danych osobowych?

Wielu przedsiębiorców boryka się z dylematem, jak mogą prosić o informacje, czy ktoś był w kraju podwyższonego ryzyka COVID-19 lub czy widział się z kimś, kto ma zdiagnozowanego koronawirusa, bo przecież zabraniają tego przepisy RODO.

Nic bardziej błędnego!

Nie zapominajmy o tym, że RODO to ogólne przepisy o ochronie danych osobowych, a gdy pewne obowiązki w zakresie danych osobowych wynikają z przepisów szczególnych, to te stosujemy w pierwszej kolejności.

Przewodnicząca Europejskiej Rady Ochrony Danych (EROD) w kontekście pandemii COVID-19 wydała oświadczenie wskazujące, że przepisy dotyczące ochrony danych osobowych, w tym RODO, w żaden sposób nie utrudniają czynności podejmowanych w związku z zaistniałą sytuacją pandemii.

Należy pamiętać, że RODO zapewnia podstawy prawne umożliwiające pracodawcom i organom administracji publicznej właściwym do spraw zdrowia przetwarzanie danych osobowych w kontekście epidemii, bez konieczności uzyskania zgody osoby, której dane dotyczą.

Ma to na przykład zastosowanie, gdy przetwarzanie danych osobowych jest konieczne dla pracodawców ze względu na interes publiczny w dziedzinie zdrowia publicznego. Przykładem takiego interesu jest ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi. Inną podstawą prawną do rozważenia jest przetwarzanie danych w celu ochrony żywotnych interesów osoby której dane dotyczą lub innej osoby fizycznej albo w celu spełnienia innego obowiązku prawnego (art. 6 i 9 RODO).

  • Co mówi nowa legislacja „antywirusowa”?

Z racji na dynamicznie zmieniającą się sytuację i rozwijającą się legislację „antywirusową” nowe uprawnienia w erze koronawirusa zyskał Główny Inspektorat Sanitarny (GIS). Może on wydawać decyzje, które podlegają natychmiastowemu wykonaniu z chwilą ich doręczenia lub ogłoszenia. GIS dysponuje także środkami w postaci zaleceń/wytycznych umieszczanych w Biuletynie Informacji Publicznej, w mediach, prasie, w środkach transportu publicznego. Jak wskazuje Prezes Urzędu Ochrony Danych Osobowych (PUODO), zalecenia GIS wydane na podstawie specustawy dotyczącej przeciwdziałania COVID-19 mogą stanowić podstawę prawną do przetwarzania danych osobowych.


  • Globalna walka organów ochrony danych osobowych z wirusem

Warto podkreślić, że w obliczu pandemii COVID-19 poszczególne organy ochrony danych z całego świata postanowiły się dzielić praktykami i doświadczeniami. Wymiana informacji ma na celu ułatwienie wypełniania powierzonych im obowiązków w dynamicznie zmieniającej się sytuacji. Przepływ informacji umożliwi również sprawniejsze podejmowanie działań.

Komunikaty regulatorów będą pojawiać się na specjalnie utworzonej stronie internetowej: https://globalprivacyassembly.org/covid19/. Z kolei oświadczenie polskiego organu ochrony danych w sprawie koronawirusa dostępne jest na stronach Urzędu Ochrony Danych Osobowych: https://uodo.gov.pl/pl/138/1456

  • Zalecenia PUODO w zakresie pracy zdalnej

W związku z poleceniem pracy zdalnej zawartym w przepisach antywirusowych, PUODO zwrócił uwagę na bezpieczeństwo przetwarzania danych podczas pracy poza biurem z wykorzystaniem urządzeń, maila oraz dostępu do sieci i chmury:

- urządzenia i oprogramowanie powinny posiadać wszelkie niezbędne aktualizacje konieczne do prawidłowej pracy. W razie ich braku nie należy samodzielnie instalować dodatkowych aplikacji. Miejsce wykonywania pracy powinno być odizolowane od osób postronnych a narzędzia zabezpieczone w rozwiązania do szyfrowania i każdorazowo blokowane przy odejściu od stanowiska pracy;

- korzystając z maila pracownik powinien używać wyłącznie służbowych kont email; nie wolno otwierać wiadomości od nieznanych nadawców; przesyłane treści powinny być szyfrowane, a hasła dostępu przesyłane w osobnych wiadomościach;

- w przypadku dostępu do sieci i chmury pracownik powinien używać tylko zaufanego dostępu oraz przestrzegać wszelkich zasad i procedur organizacyjnych dotyczących logowania oraz udostępniania danych. Jeśli pracownik nie ma dostępu do sieci, to powinien zadbać o to, żeby dane były przechowywane i archiwizowane w bezpieczny sposób.

Zapraszam do kontaktu w razie jakichkolwiek pytań dotyczących przetwarzania danych.

Joanna Tomaszewska, partner

SSW Pragmatic Solutions

joanna.tomaszewska@ssw.solutions