fbpx

GrantThornton

Treść artykułu

W ostatnim czasie coraz więcej dyskusji narasta wokół tematu związanego z uprawnieniem pracodawcy do przetwarzania danych osobowych dotyczących szczepień pracowników. Wątpliwości rodzi także np. organizacja imprez okolicznościowych w zakładach pracy, co jest przedmiotem dyskusji szczególnie w okresie przedświątecznym.

Informacje o zaszczepieniu są danymi osobowymi dotyczącymi zdrowia, a w związku z tym stanowią szczególną kategorię danych osobowych, o której mowa w art. 9 ust. 1 RODO. Zostało to jednoznacznie potwierdzone w stanowisku UODO z dnia 23 czerwca 2021 roku. Przetwarzanie danych dotyczących stanu zdrowia jest objęte ściślejszą ochroną i jest ono dopuszczalne oraz legalne po spełnieniu przynajmniej jednej z przesłanek wskazanych w art. 9 ust. 2 RODO, w tym m.in.:

  • wyraźna zgoda na przetwarzanie tych danych osobowych,
  • niezbędność przetwarzania do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy,
  • niezbędność przetwarzania do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego,
  • niezbędność przetwarzania do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy,
  • niezbędność przetwarzania ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową.

Sprawdź Ochrona danych osobowych (RODO) Grant Thornton

Kodeksowe uprawnienia pracodawcy do przetwarzania danych osobowych

Pamiętajmy również, że zakres danych osobowych przetwarzanych przez pracodawcę jest regulowany Kodeksem pracy. Co prawda, zgodnie z art. 221 § 4 KP, pracodawca może żądać podania innych danych osobowych, niż określone katalogiem zawartym w art. 221 § 1 i 2 KP, ale może to mieć miejsce tylko, jeżeli obowiązek podania dodatkowych danych wynika z odrębnych przepisów. Reasumując, co prawda np. Państwowa Inspekcja Pracy zachęca pracodawców do propagowania szczepień, ale do tej pory nie ma przepisów, które nakładałyby na pracodawcę taki obowiązek.

Przetwarzanie na podstawie zgody ma natomiast tę cechę, że musi być działaniem dobrowolnym, a w przypadku odmowy wyrażenia zgody, pracownik nie może ponieść negatywnych konsekwencji. Powyższe ma potwierdzenie w art. 221a Kodeksu pracy. Co więcej, przetwarzanie dodatkowego katalogu danych na podstawie zgody musi nastąpić z inicjatywy pracownika. Zatem także tutaj pracodawcy nie powinni się dopatrywać legalizowania przetwarzania tego typu informacji i także tutaj nie istnieją przepisy uprawniające, czy też nakładające taki obowiązek na pracodawcę. Organy państwowe również unikają jednoznacznych zaleceń odnośnie obowiązkowych czynności wobec pracowników. Warto wspomnieć w tym miejscu wytyczne Głównego Inspektora Sanitarnego opracowane m.in. dla salonów fryzjerskich, które zezwalały na pomiar temperatury pracowników, o ile wyrażą oni na to zgodę.

Reasumując –  obecnie nie istnieją przepisy, które pozwalałyby pracodawcy na przetwarzanie danych osobowych dotyczących szczepień pracowników, czy też przepisy, które nakładałyby na pracodawcę taki obowiązek. Można doszukiwać się takich podstaw w art. 15 KP, czy też w art. 207 § 2 KP, ale jest to różnie oceniane i należy się liczyć z ewentualnymi uwagami organu nadzorczego. Wydaje się, że w najbliższych miesiącach, w związku z zapowiedziami obowiązkowych szczepień dla trzech grup zawodowych, powinny ukazać się przepisy, które uregulują poruszane kwestie. Obecnie jednak takich przepisów nie ma.

Świąteczne imprezy dla pracowników a weryfikacja szczepień

Przyczynkiem do napisania tego artykułu stało się pytanie jednego z klientów, który próbował zorganizować bożonarodzeniowe spotkanie dla pracowników. Liczba uczestników powodowała przekroczenie dopuszczalnej liczby osób niezaszczepionych i powstała wątpliwość co do weryfikacji osób zaszczepionych. Jak zatem zachować się powinien pracodawca w przypadku czynności tak prozaicznej, jak organizacja imprezy okolicznościowej dla pracowników?

Odpowiedź na postawione pytanie jest w jakiejś części sformułowana w ramach pierwszego fragmentu niniejszego artykułu. Poniżej prezentujemy inne wątpliwości.

Ważny fragment

Jednym z rozwiązań mogłoby być przeprowadzenie anonimowej ankiety nt. szczepień przeciw COVID-19, tj. ankiety niewymagających podania danych osobowych i uniemożliwiającej w jakikolwiek sposób zidentyfikowanie określonej osoby, a zatem nie wymagających przetwarzania jakichkolwiek danych osobowych.

Jednakże pamiętajmy, że ciężko wówczas uzyskać rozliczalność względem przepisów wprowadzających obostrzenia sanitarne, które musimy brać pod uwagę, gdy przekroczymy określony limit osób. Chcąc wykazać udział osób zaszczepionych, dane osobowe finalnie musiałyby być przetwarzane.

Scedowanie organizacji imprezy okolicznościowe na podmiot trzeci wydaje się jakimś wyjściem dla pracodawców. Jednak wówczas również należałoby weryfikować które z osób uczestniczących były zaszczepione, a zgodnie z komunikatem UODOD nawet w sytuacji, gdy osoba, której dane dotyczą, zdecyduje się na dobrowolne okazanie certyfikatu szczepienia, to wystarczające jest, że administrator się z nim zapozna i wpuści tę osobę poza limitem. Nie może zaś tej informacji dalej przechowywać, co w jakiś sposób neguje czynności przetwarzania danych osobowych.

Zatem jak widać, nie jest to jednak takie proste, bo wprowadzając limity osobowe z wykluczeniem osób zaszczepionych, nikt nie pomyślał o tym, jak te informacje pozyskać. Ponownie stajemy przed koniecznością weryfikacji certyfikatu, a czynności tej nie możemy udokumentować.

Sprawdź Ochrona danych osobowych (RODO) Grant Thornton

Wątpliwości z zakresu RODO dotyczące meczu piłkarskiego Polska – Węgry

Zwróćmy uwagę na przykład nieco innej imprezy masowej z ostatnich tygodni, tj. mecz piłkarski Polska – Węgry. Organizator sprzedał limit biletów dla niezaszczepionych i zaczął pozyskiwać dobrowolną informację od pozostałych chętnych, by nie wliczać ich w limit osób niezaszczepionych. Jednak o tej praktyce zawiadomiono Rzecznika Praw Obywatelskich i Urząd Ochrony Danych Osobowych. Oficjalny komunikat RPO opiera się m.in. na przepisach Konstytucji. i brzmi:

„Zgodnie bowiem z art. 51 ust. 1 Konstytucji nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby (...)”, czy fragment: „W obecnym stanie prawnym tworzenie różnego rodzaju wydarzeń, które umożliwiają udział jedynie osobom zaszczepionym lub ograniczają dostęp osób niezaszczepionych może prowadzić do naruszenia praw podstawowych i wolności obywateli. Kryterium ewentualnych ograniczeń może być co najwyżej zagrożenie dla zdrowia publicznego powodowane przez daną osobę."

Pozyskanie informacji o szczepieniach pracowników – światełko w tunelu?

Możemy pokusić się o stwierdzenie, że powstał kolejny absurd, który nakazuje limitować osoby na podstawie faktu zaszczepienia lub nie, ale nie ma narzędzia do zalegalizowania pozyskania tych informacji, jak i ich późniejszego udokumentowania.

Jak widać problem ten nie dotyczy tylko stosunku pracy, ale pojawia się także w innych branżach. Przykład PZPN uczy, że nawet dobrowolna deklaracja jest dyskusyjna, ponieważ kolejne organy państwowe, oprócz RODO, przywołują także zapisy Konstytucji. Zatem nawet podmiot trzeci, który imprezę okolicznościową dla pracodawcy zorganizuje, może się spotkać z takimi zarzutami, z jakimi spotkał się PZPN.

Projekt ustawy dającej pracodawcy zielone światło na pozyskanie informacji o szczepieniach ma się dopiero pojawić. Jest to jednak jedynie doniesienie medialne, które odnosi się do pracodawców. Pozostałe branże nadal nie mogą liczyć nawet na światełko w tunelu.

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.

Inne artykuły z kategorii: Ochrona danych osobowych (RODO) Zobacz wszystkie

Usługi Grant Thornton z obszaru: Ochrona danych osobowych (RODO)

Skorzystaj z wiedzy naszych ekspertów

Najczęściej czytane