Koronawirus a przetwarzanie danych osobowych
Ostatnie wydarzenia i rosnąca liczba przypadków koronawirusa w Polsce stanowią realny problem dla biznesu. Jak wyważyć z jednej strony ochronę zdrowia publicznego i przeciwdziałanie rozprzestrzenianiu się pandemii koronawirusa, a z drugiej – ochronę danych osobowych pracowników, klientów lub kontrahentów?
Co w zakresie RODO twierdzą europejskie organy ochrony danych osobowych?
Wielu przedsiębiorców boryka się z dylematem, jak mogą prosić o informacje, czy ktoś był w kraju podwyższonego ryzyka COVID-19 lub czy widział się z kimś, kto ma zdiagnozowanego koronawirusa, bo przecież zabraniają tego przepisy RODO.
Nic bardziej błędnego!
Nie zapominajmy o tym, że RODO to ogólne przepisy o ochronie danych osobowych, a gdy pewne obowiązki w zakresie danych osobowych wynikają z przepisów szczególnych, to te stosujemy w pierwszej kolejności.
Przewodnicząca Europejskiej Rady Ochrony Danych (EROD) w kontekście pandemii COVID-19 wydała oświadczenie wskazujące, że przepisy dotyczące ochrony danych osobowych, w tym RODO, w żaden sposób nie utrudniają czynności podejmowanych w związku z zaistniałą sytuacją pandemii. Należy pamiętać, że RODO zapewnia podstawy prawne umożliwiające pracodawcom i organom administracji publicznej właściwym do spraw zdrowia przetwarzanie danych osobowych w kontekście epidemii, bez konieczności uzyskania zgody osoby, której dane dotyczą. Ma to na przykład zastosowanie, gdy przetwarzanie danych osobowych jest konieczne dla pracodawców ze względu na interes publiczny w dziedzinie zdrowia publicznego. Przykładem takiego interesu jest ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi. Inną podstawą prawną do rozważenia jest przetwarzanie danych w celu ochrony żywotnych interesów osoby której dane dotyczą lub innej osoby fizycznej albo w celu spełnienia innego obowiązku prawnego (art. 6 i 9 RODO).
Co mówi nowa legislacja „antywirusowa”?
Z racji na dynamicznie zmieniającą się sytuację i rozwijającą się legislację „antywirusową” nowe uprawnienia w erze koronawirusa zyskał Główny Inspektorat Sanitarny (GIS). Może on wydawać decyzje, które podlegają natychmiastowemu wykonaniu z chwilą ich doręczenia lub ogłoszenia. GIS dysponuje także środkami w postaci zaleceń/wytycznych umieszczanych w Biuletynie Informacji Publicznej, w mediach, prasie, w środkach transportu publicznego. Jak wskazuje Prezes Urzędu Ochrony Danych Osobowych (PUODO), zalecenia GIS wydane na podstawie specustawy dotyczącej przeciwdziałania COVID-19 mogą stanowić podstawę prawną do przetwarzania danych osobowych.
Globalna walka organów ochrony danych osobowych z wirusem
Warto podkreślić, że w obliczu pandemii COVID-19 poszczególne organy ochrony danych z całego świata postanowiły się dzielić praktykami i doświadczeniami. Wymiana informacji ma na celu ułatwienie wypełniania powierzonych im obowiązków w dynamicznie zmieniającej się sytuacji. Przepływ informacji umożliwi również sprawniejsze podejmowanie działań.
Komunikaty regulatorów będą pojawiać się na specjalnie utworzonej stronie internetowej: LINK. Z kolei oświadczenie polskiego organu ochrony danych w sprawie koronawirusa dostępne jest na stronach Urzędu Ochrony Danych Osobowych.
Zalecenia PUODO w zakresie pracy zdalnej
W związku z poleceniem pracy zdalnej zawartym w przepisach antywirusowych, PUODO zwrócił uwagę na bezpieczeństwo przetwarzania danych podczas pracy poza biurem z wykorzystaniem urządzeń, maila oraz dostępu do sieci i chmury:
- urządzenia i oprogramowanie powinny posiadać wszelkie niezbędne aktualizacje konieczne do prawidłowej pracy. W razie ich braku nie należy samodzielnie instalować dodatkowych aplikacji. Miejsce wykonywania pracy powinno być odizolowane od osób postronnych a narzędzia zabezpieczone w rozwiązania do szyfrowania i każdorazowo blokowane przy odejściu od stanowiska pracy;
- korzystając z maila pracownik powinien używać wyłącznie służbowych kont email; nie wolno otwierać wiadomości od nieznanych nadawców; przesyłane treści powinny być szyfrowane, a hasła dostępu przesyłane w osobnych wiadomościach
- w przypadku dostępu do sieci i chmury pracownik powinien używać tylko zaufanego dostępu oraz przestrzegać wszelkich zasad i procedur organizacyjnych dotyczących logowania oraz udostępniania danych. Jeśli pracownik nie ma dostępu do sieci, to powinien zadbać o to, żeby dane były przechowywane i archiwizowane w bezpieczny sposób.