Aktualizacja: 23.03.2020 r.

Obecna sytuacja nie tylko w Polsce, ale i na świecie rodzi wiele pytań, w tym pytań prawnych związanych m.in. z przestrzeganiem przepisów prawa. Od paru dni polscy pracodawcy w związku ze wzrostem liczby zakażeń koronawirusem zastanawiają się jakie działania w zakresie zapobiegania rozprzestrzeniania się choroby mogą podjąć we własnym zakładach pracy. Nie chodzi tutaj tylko o zaopatrzenie pracowników w środki czystości, tj. żele czy chusteczki antybakteryjne, lateksowe rękawiczki, ale przede wszystkim działania o charakterze prawnym. Przedsiębiorcy rozpoczęli wdrażanie różnych środków w celu ochrony przed COVID-19, m.in. zlecenie pracownikowi wykonywania pracy zdalnej, badania temperatury ciała czy uzyskiwanie oświadczeń o odbytych podróżach. W związku z tym, coraz więcej osób zastanawia się czy działania podejmowane przez pracodawców są zgodne z prawem, w tym z przepisami prawa pracy czy o ochronie danych osobowych.

PRACA ZDALNA

Ustawa z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołaniem nimi sytuacji kryzysowych (Dz. U. z 2020 r. poz. 374; dalej jako „specustawa”), która weszła w życie 8 marca 2020 r. przyznała pracodawcy, w celu przeciwdziałaniu rozprzestrzenianiu się koronawirusa, możliwość polecenia pracownikowi wykonywania pracy zdalnej, czyli pracy wykonywanej przez oznaczony czas, pracy określonej w umowie o pracę, poza miejscem jego stałego wykonywania (art. 3 specustawy).

Co to oznacza w praktyce?

Ustawodawca przyznał pracodawcy uprawnienie o charakterze ogólnym w stosunku do wszystkich pracowników. Uprawnienie do zlecenia pracy zdalnej przysługuje wyłącznie pracodawcy. Oznacza to, że pracownik nie może samodzielnie podjąć decyzji o zdalnej pracy.  W przypadku decyzji pracodawcy o zastosowaniu pracy zdalnej, pracownik zobowiązany jest do zastosowania się do polecenia.

W razie podjęcia decyzji o wdrożeniu pracy zdalnej, pracodawca nie może jednak zapominać o obowiązujących go zasadach ochrony danych osobowych. Jeżeli wykonywanie pracy związane jest z przetwarzaniem danych osobowych, to niezależnie od miejsca, w którym praca ta jest wykonywana, pracodawca, czyli administrator danych osobowych musi stosować adekwatne środki zabezpieczeń technicznych i organizacyjnych (art. 32 RODO). Dla wielu przedsiębiorców oznacza to pilne wdrożenie nowych procedur.

Decydując się na wdrożenie pracy zdalnej w swoim zakładzie pracy, pracodawca musi pamiętać o 7 podstawowych zasadach przetwarzania danych osobowych (art. 5 RODO), czyli:

  • zasada zgodności z prawem, rzetelności i przejrzystości – przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą
  • zasada ograniczenia celu – zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach
  • zasada minimalizacji danych – przetwarzanie danych musi być adekwatne, stosowne oraz niezbędne do celu
  • zasada prawidłowości – dane osobowe winny być prawidłowe i w razie potrzeby uaktualniane
  • zasada ograniczenia przechowywania – przechowywane danych osobowych przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane
  • zasada integralności i poufności – dane osobowe winne być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo
  • zasada rozliczalności – administrator jest odpowiedzialny za przestrzeganie przywołanych zasad i musi być w stanie wykazać ich przestrzeganie

Przy wdrażaniu procedur związanych z pracą zdalną największy nacisk należy położyć na zasadę integralności i poufności danych oraz zasadę rozliczalności. W przypadku pierwszej zasady, należy pamiętać o wdrożeniu procedur gwarantujących ochronę danych osobowych przed ich niedozwolonym lub niezgodnym z prawem użyciem, a także przed ich przypadkową utratą, zniszczeniem czy uszkodzeniem. W przypadku rozliczalności, w razie wprowadzenia pracy zdalnej należy upewnić się czy na podstawie wdrożonych procedur dotyczących pracy zdalnej administrator (pracodawca) będzie w stanie wykazać, że pracownik przestrzega zasad dotyczących ochrony danych osobowych wdrożonych w zakładzie pracy (ale stosowanych przy pracy zdalnej).

Na temat pracy zdalnej zob. Praca zdalna

POMIAR TEMPERATURY

Nie wszyscy przedsiębiorcy są w stanie wdrożyć w swoim zakładzie pracy tryb pracy zdalnej. Jak zatem pracodawca może spełnić obowiązek zachowania bezpieczeństwa i higieny pracy w zakładzie pracy (art. 207 Kodeksu pracy)?

Część z pracodawców zdecydowała się na pomiar temperatury ciała swoich pracowników przed dopuszczeniem do pracy oraz na teren zakładu pracy. W odpowiedzi na wdrożoną praktykę zaczęły powstawać wątpliwości czy obowiązek zapewnienia bezpieczeństwa w zakładzie pracy nie stoi w sprzeczności z przepisami o ochronie danych osobowych.

Nie ulega wątpliwości, że podejmowanie przez pracodawców działań mających na celu przeciwdziałania COVID-19, a także zapewnienia bezpieczeństwa pracowników może wiązać się z przetwarzaniem danych osobowych o stanie zdrowia, czyli szczególnej kategorii danych osobowych (art. 9 ust. 1 RODO).

Państwowa Inspekcja Pracy stanęła na stanowisku, że pracodawca nie jest uprawniony do dokonywania samodzielnie oceny stanu zdrowia pracownika. Co więcej, niedopuszczenie pracownika do pracy, ze względu na potencjalne zarażeniem wirusem może narazić pracodawcę na zarzutu o nękanie czy stosowanie mobbingu (Wyjaśnienia PIP w związku z koronawirusem z dnia 28.02.2020 r.). Prezes Urzędu Ochrony Danych Osobowych w swoim oświadczeniu w sprawie koronawirusa podkreślił, że przepisy o ochronie danych osobowych nie mogą być stawiane jako przeszkoda w realizacji działań w związku z walką z koronawirusem (Oświadczenie Prezesa UODO w sprawie koronawirusa z dnia 12.03.2020 r.). Podobne stanowisko zajęła Przewodnicząca Europejskiej Rady Ochrony Danych (EROD), która oświadczyła, że zasady ochrony danych takie jak RODO nie ograniczają środków podejmowanych w ramach walki z pandemią koronawirusa (Oświadczenie Przewodniczącej EROD ws. przetwarzania danych podczas pandemii COVID-10).

Jak to zwykle bywa, w związku z brakiem jasnych wytycznych organów, obecnie możemy spotkać się z różnymi interpretacjami i rekomendacjami dotyczącymi przetwarzania danych osobowych dotyczących pomiaru temperatury ciała. Część specjalistów, zwłaszcza z zakresu praca pracy przychyla się do stanowiska Państwowej Inspekcji Pracy, że obecne przepisy prawa pracy nie umożliwiają pracodawcom podejmowania działań takich jak pomiaru temperatury ciała czy zbieranie oświadczeń o odbytych podróżach.

W przypadku zaś ochrony danych osobowych i toczącej się dyskusji prawnej, wskazuje się na możliwość przetwarzania takich danych. Jednocześnie do najczęściej wskazywanych podstaw prawnych w postaci pomiaru temperatury ciała zalicza się:

  • zgodę osoby badanej (art. 9 ust. 2 lit. a RODO), albo
  • konieczność spełnienia obowiązków i wykonywania szczególnych praw przez administratora w dziedzinie prawa pracy i zabezpieczenia społecznego (art. 9 ust. 2 lit. b RODO w zw. z art. 207 Kodeksu pracy), o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą, albo
  • niezbędność do celów profilaktyki zdrowotnej lub medycyny pracy, na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w 9 ust. 3 RODO (art. 9 ust. 2 lit. h RODO).

Obecnie znane jest już stanowisko w sprawie przetwarzania danych podczas pandemii COVID-19 Przewodniczącej EROD z dnia 19.03.2020r. Zgodnie z oświadczeniem w kontekście zatrudnienia przetwarzanie danych osobowych może być konieczne do wypełnienia obowiązku prawnego, któremu podlega pracodawca, np. obowiązków związanych ze zdrowiem i bezpieczeństwem w miejscu pracy lub z interesem publicznym, takim jak kontrola chorób i innych zagrożeń dla zdrowia (art. 9 ust. 2 lit. b RODO). RODO przewiduje również odstępstwa od zakazu przetwarzania określonych szczególnych kategorii danych osobowych, takich jak dane dotyczące zdrowia, gdy jest to konieczne ze względu na istotny interes publiczny w dziedzinie zdrowia publicznego (art. 9 ust. 2 lit. i RODO), na podstawie prawa Unii lub prawa państwa członkowskiego lub gdy istnieje potrzeba ochrony żywotnych interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. c RODO), ponieważ motyw 46 wyraźnie odnosi się do kontroli epidemii.  

Motyw 46 RODO

Przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest niezbędne do ochrony interesu, który ma istotne znaczenie dla życia osoby, której dane dotyczą, lub innej osoby fizycznej. Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej. Niektóre rodzaje przetwarzania mogą służyć zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą, na przykład gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka.

Udzielając odpowiedzi na pytania „czy pracodawca może przeprowadzać badania lekarskie pracowników”, Przewodnicząca EROD wskazała, że odpowiedź opierać się powinna na przepisach krajowych dotyczących zatrudnienia lub zdrowia i bezpieczeństwa. Pracodawcy powinni mieć dostęp do danych dotyczących zdrowia i przetwarzać je tylko wtedy, gdy wymagają tego ich własne zobowiązania prawne.

OŚWIADCZENIA O ODBYTYCH PODRÓŻACH

Innym stosowanym sposobem na realizację obowiązku zachowania bezpieczeństwa i higieny pracy w zakładzie pracy jest odbieranie od swoich pracowników oświadczeń dotyczących ostatnio odbytych podróży. Podobnie jak w przypadku pomiaru temperatury ciała, Państwowa Inspekcja Pracy stoi na stanowisku, że pracodawca nie ma podstaw prawnych do zbierania informacji dotyczących miejsca wypoczynku pracownika, zaś pracownik nie jest zobowiązany do ujawniania miejsca spędzania urlopu wypoczynkowego (Wyjaśnienia PIP w związku z koronawirusem z dnia 28.02.2020 r., https://www.pip.gov.pl/pl/wiadomosci/108072,wyjasnienia-pip-w-zwiazku-z-koronawirusem.html, 13.03.2020 r.).

Jak już wspominałam, podobnie jak w przypadku pomiaru temperatury ciała, część specjalistów, zwłaszcza z zakresu praca pracy przychyla się do stanowiska Państwowej Inspekcji Pracy.

Z punktu widzenia jednak ochrony danych osobowych i legalizacji tych działań do najczęściej wskazywanych podstaw legalizujących zbieranie oświadczeń zalicza się:

  • prawnie uzasadniony interes pracodawcy rozumiany jako konieczność spełnienia obowiązków i wykonywania szczególnych praw przez administratora w dziedzinie prawa pracy i zabezpieczenia społecznego, w tym ochrona zdrowia pracowników oraz innych osób przebywających na terenie zakładu pracy, wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f RODO), albo
  • konieczność ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej rozumianej jako zdrowie i życie człowieka (art. 6 ust. 1 lit. d RODO), albo
  • zgoda osoby badanej (art. 9 ust. 2 lit. a RODO), albo
  • konieczność spełnienia obowiązków i wykonywania szczególnych praw przez administratora w dziedzinie prawa pracy i zabezpieczenia społecznego (art. 9 ust. 2 lit. b RODO w zw. z art. 207 Kodeksu pracy), o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą.

W przypadku skorzystania z pierwszej z wymienionych podstaw prawnych – prawnie uzasadnionego interesu administratora (pracodawcy) (art. 6 ust. 1 lit. f RODO) jesteśmy zobowiązani do przeprowadzenia dodatkowego testu. Po uprzednim ustaleniu, że występuje prawnie uzasadniony interes, który jest realizowany przez administratora lub przez stronę trzecią, w obecnej sytuacji jest nim konieczność spełnienia obowiązków i wykonywania szczególnych praw przez administratora w dziedzinie prawa pracy i zabezpieczenia społecznego, w tym ochrona zdrowia pracowników oraz innych osób przebywających na terenie zakładu pracy, należy ocenić, czy obecnie nie występują interesy lub podstawowe prawa i wolności podmiotu danych, które mają charakter nadrzędny wobec prawnie uzasadnionych interesów administratora lub strony trzeciej.

W przypadku spełnienia tego warunku nie będzie można powołać się na przepis art. 6 ust. 1 lit. f RODO jako uzasadnienie dla przetwarzania danych osobowych.

Odnośnie przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. d RODO, należy wskazać, że żywotne interesy osoby, której dane dotyczą i osoby trzeciej jako podstawa do przetwarzania danych co do zasady mogą być stosowane, gdy brak jest możliwości oparcia operacji na danych na innej przesłance legalizującej przetwarzanie danych osobowych.

Należy podkreślić, że oświadczenie Przewodniczącej EROD przywołane w kontekście możliwości dokonywania przez pracodawców badań odnosi się do całego kontekstu zatrudnienia.

Należy pamiętać, że decyzja pracodawcy w sprawie podjęcia określonych środków zapewniających bezpieczeństwo i higienę pracy w zakładzie pracy, a w związku z tym konieczność przetwarzania danych osobowych, do czasu zajęcia jednoznacznego stanowiska PUODO i PIP w zakresie konkretnych środków, obarczona jest ryzykiem prawnym. Brak precyzyjnej regulacji w tym zakresie, nie wyklucza bowiem potencjalnego ryzyka sporu z pracownikiem. Wdrażając odpowiednie środki organizacyjno – prawne należy stosować zasadę minimalizacji, a odpowiednie mechanizmy podejmować w sposób ostrożny i niedyskryminacyjny.

Źródła:

  1. Wyjaśnienia PIP w związku z koronawirusem z dnia 28.02.2020 r., https://www.pip.gov.pl/pl/wiadomosci/108072,wyjasnienia-pip-w-zwiazku-z-koronawirusem.html, 13.03.2020 r.
  2. Oświadczenie Prezesa UODO w sprawie koronawirusa z dnia 12.03.2020 r., https://uodo.gov.pl/pl/138/1456, 13.03.2020 r.
  3. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.)
  4. Ustawa o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. z 2020 r. poz. 374)
  5. Oświadczenie Przewodniczącej EROD ws. przetwarzania danych podczas pandemii COVID-19 przyjęte 19.03.2020, https://uodo.gov.pl/pl/138/1463, 23.03.2020 r.

Dodaj komentarz