RODO w czasach kryzysu: Ochrona danych osobowych podczas pandemii

Pandemia koronawirusa wymusiła na wielu przedsiębiorstwach poważne zmiany organizacyjne. Praca zdalna, utrudniony dostęp do dokumentów i specjalne restrykcje sanitarne mogą wpłynąć jednak również na ochronę danych osobowych, w tym RODO.

Designed by rawpixel.com / Freepik

Ochrona danych oraz ich przetwarzanie zgodnie z przyjętymi przepisami prawa to jedno z najważniejszych zadań każdego przedsiębiorcy. O zachowanie najwyższych standardów nie jest łatwo w zwyczajnych okolicznościach. Jest to jeszcze trudniejsze w dobie pandemii i wprowadzanych w związku z nią specjalnych regulacji. Zapewnienie bezpieczeństwa danym osobowym oraz sprostanie wymaganiom nakładanym przez RODO dotyczy przy tym wielu obszarów działania: z jednej strony stykamy się z tym problemem, np. przestawiając firmę na pracę zdalną, co wiąże się z koniecznością wypracowania nowych modeli operowania danymi osobowymi i wdrożenia rozwiązań pozwalających na ich ochronę przy jednoczesnym niezakłócaniu realizacji obowiązków służbowych. Z drugiej strony wiele wątpliwości budzi kontrola pracowników dotycząca m.in. pomiaru temperatury czy przeprowadzania wywiadów na temat miejsc, w których przebywali, czy osób, z którymi mieli kontakt. Warto rozważyć kilka scenariuszy i podejmować decyzje, które będą zgodne z przepisami.

Poznaj program konferencji "RODO w czasach kryzysu" >>

RODO i koronawirus: kilka aspektów

Globalna pandemia, wprowadzane pospiesznie przepisy sanitarne oraz towarzyszące im załamanie gospodarki w znacznym stopniu przełożyły się na funkcjonowanie niemal wszystkich przedsiębiorstw. Nawet te firmy, które nie odczuły na sobie bezpośrednio skutków ekonomicznych kryzysu, były zmuszone do wprowadzenia wielu zmian umożliwiających im dalsze funkcjonowanie. Znaczna część z nich jest przy tym związana z segmentem ochrony danych osobowych, w tym działań zgodnych z przepisami RODO. Należą do nich w szczególności:

  • Praca zdalna: to na pracodawcy spoczywa obowiązek wyposażenia pracowników w narzędzia i procedury pozwalające na sprostanie zaleceniom RODO. Wiele firm nie posiada jednak instrumentów, które sprawdzają się w warunkach pracy zdalnej. Zaniedbania w tym aspekcie mogą okazać się sporym zagrożeniem i wiązać się z dodatkową odpowiedzialnością.
  • Gromadzenie danych związanych z przeciwdziałaniem rozwojowi pandemii: wiele organizacji musi ze względów sanitarnych zbierać informacje np. o stanie zdrowia czy kontaktach osobistych pracowników, współpracowników lub klientów. Wymaga to rzecz jasna szczególnej dbałości o poufność i wypracowania odpowiednich procedur.
  • Nowe klauzule informacyjne: w związku z nowymi danymi konieczne staje się również wykorzystanie nowych klauzul, pozwalających na dysponowanie podmiotowi danymi dotyczącymi deklaracji czy stanu zdrowia wskazanych osób.
  • Przeprowadzanie wywiadów z pracownikami: jednym z elementów walki z rozprzestrzenianiem się pandemii jest kontrolowanie przepływu ludności. W zakładach pracy często sprowadza się to m.in. do zbierania informacji o miejscach, w których spędzali urlop, lub osobach, z którymi mieli kontakt w ostatnim czasie. To budzi natomiast uzasadnione wątpliwości co do legalności działań w kontekście RODO.
  • Kontrolowanie stanu zdrowia pracowników: na podobnej zasadzie opierają się również inne działania prewencyjne, które nie ograniczają się przy tym do samych deklaracji, ale dotyczą również m.in. przeprowadzania badań na obecność wirusa w organizmie czy pomiaru temperatury ciała.
  • Przekazywanie danych służbom sanitarnym: klauzule informacyjne powinny zawierać również informacje o przekazywaniu informacji (np. o wynikach testów) Głównemu Inspektoratowi Sanitarnemu czy innym wyszczególnionym służbom państwowym.

Co może a czego nie może robić pracodawca zgodnie z RODO?

Jak widać, lista wątpliwości jest dosyć długa. Co ważne: zgłaszają je nie tylko przedsiębiorcy, ale również zatrudnieni w firmach pracownicy. Najpoważniejsze zastrzeżenia dotyczą rzecz jasna czynności kontrolnych, zwłaszcza tych, które wymagają przeprowadzenia badań wykraczających poza profil działalności firmy, a więc przede wszystkim dokonywania pomiarów temperatury ciała oraz zlecanie testów na obecność koronawirusa. Warto mieć jednak świadomość, że takie uprawnienia daje:

  • Prawo pracy: art. 207 Kodeksu Pracy stanowi, że „Pracodawca ponosi odpowiedzialność za stan bezpieczeństwa i higieny pracy w zakładzie pracy. Na zakres odpowiedzialności pracodawcy nie wpływają obowiązki pracowników w dziedzinie bezpieczeństwa i higieny pracy oraz powierzenie wykonywania zadań służby”.
  • RODO: artykuł 9 RODO wprawdzie zabrania przetwarzania danych osobowych, genetycznych czy biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub „danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby”, jednak wśród wyjątków znajdujących się w punkcie 2. ust. 1 znajdziemy zapis, zgodnie z którym jest to możliwe, jeżeli „przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego”.

Zasadniczo w takich przypadkach nie jest konieczne uzyskiwanie jednostkowych zgód od pracownika na przeprowadzenie badań. Ich wyniki powinny natomiast być chronione w taki sam sposób, jak inne dokumenty związane z medycyną pracy.

Praca zdalna a ochrona danych osobowych

Jednym z najważniejszych wyzwań dla większości przedsiębiorców jest z pewnością zadbanie o ochronę danych osobowych w kontekście coraz bardziej powszechnej pracy zdalnej. To zadanie budzi spore wątpliwości nawet w standardowej sytuacji, w której home office jest jedną z opcji i może być wdrażane zgodnie z przyjętą strategią. Firmy, które nie proponowały do tej pory takiego modelu pracy, mogą spotkać na swojej drodze zdecydowanie poważniejsze problemy. Praca zdalna wymaga nie tylko odrębnego uregulowania prawnego i zatroszczenia się o kwestie BHP, ale wiąże się również ze sporymi wyzwaniami dotyczącymi ochrony danych osobowych. Pracownicy są w takim scenariuszu narażeni na wiele nowych zagrożeń, a do zachowań niezgodnych z RODO może dojść także przypadkiem.

Zalecenia UODO dla osób pracujących zdalnie

W związku ze znacznym wzrostem liczby osób, które ze względu na sytuację epidemiczną muszą wykonywać swoje obowiązki służbowe zdalnie, zalecenia wydał również Prezes Urzędu Ochrony Danych Osobowych. Z perspektywy pracodawcy ważne jest również to, że zachowanie standardów bezpieczeństwa w znacznej mierze zależy od przyjętych w organizacji procedur i rozwiązań. Do stosowania odpowiednich narzędzi i mechanizmów obliguje go również bezpośrednio RODO w artykule 32. Należy zadbać m.in. o właściwie zabezpieczenie służbowego sprzętu komputerowego, w tym o ochronę antywirusową, szyfrowanie wrażliwych danych oraz aktualizowanie systemu. Poza tym pracownik powinien znajdować się w miejscu uniemożliwiającym osobom postronnym obserwowanie informacji podlegających ochronie. W trakcie korzystania ze sprzętu może korzystać wyłącznie ze sprawdzonych sieci, dobrą praktyką jest również korzystanie z VPN oraz wielopoziomowych zabezpieczeń, a także niewykorzystywanie urządzeń firmowych do celów prywatnych (w tym niekorzystanie z zewnętrznych prywatnych nośników czy skrzynki pocztowej). Wszystkie zalecenia, co szczególnie ważne, nie odnoszą się wyłącznie do komputerów, ale również innych urządzeń elektronicznych, w tym np. smartfonów czy tabletów. Również na nich należy więc zadbać o zastosowanie jak najnowocześniejszych zabezpieczeń i wypracowanie odpowiednich procedur bezpieczeństwa danych.

Poznaj program konferencji "RODO w czasach kryzysu" >>

Autor: Paweł Łaniewski

Dlaczego warto wziąć udział w naszych konferencjach?

14

ORGANIZUJEMY SZKOLENIA I EVENTY JUŻ OD 14 LAT

Lata doświadczenia

Dział konferencji „Pulsu Biznesu” istnieje od 2004 r. Kilkanaście lat doświadczeń i silna marka „Pulsu Biznesu”, pod którą odbywają się wydarzenia, sprawiły, że jesteśmy dziś czołowym organizatorem konferencji biznesowych skierowanych do wyższej kadry zarządzającej.

800

OD 2004 ROKU ZORGANIZOWALIŚMY PONAD 800 KONFERENCJI I WARSZTATÓW

Profesjonalizm w każdym calu

W ciągu roku kalendarzowego organizujemy ponad 50 konferencji, kongresów, warsztatów i debat, podczas których do dyskusji zapraszamy najlepszych mówców, wybitnych ekspertów i praktyków z poszczególnych branż.

20000

MOŻEMY SIĘ POCHWALIĆ TYLOMA KLIENTAMI Z PONAD 1000 FIRM

Tysiące zadowolonych klientów

Naszą ambicją jest kreowanie przedsięwzięć związanych z istotnymi, bieżącymi wydarzeniami w gospodarce, przewidywanie trendów oraz umożliwianie wymiany doświadczeń i dzielenia się wiedzą. Od 2004 roku zaufało nam już blisko 20 tys. uczestników.