W grudniu 2021 r. do Sejmu trafił poselski projekt ustawy o szczególnych rozwiązaniach zapewniających możliwość prowadzenia działalności gospodarczej w czasie epidemii COVID-19. Projekt dotyczy m.in. możliwości żądania przez pracodawcę od pracownika, a także żądania przez przedsiębiorcę od klienta, okazania informacji o posiadaniu ważnego negatywnego wyniku tekstu diagnostycznego w kierunku SARS-CoV-2, informacji o przebytej infekcji wirusa SARS-CoV-2 lub wykonaniu szczepienia przeciwko COVID-19. Jak to się ma do RODO?
AKTUALIZACJA Z DNIA 2.02.2022 R.
W związku z odrzuceniem 1 lutego 2022 roku tzw. Lex Kaczyński (tj. poselskiego projektu ustawy o szczególnych rozwiązaniach dotyczących ochrony życia i zdrowia obywateli w okresie epidemii COVID-19), który wpłynął do Sejmu w styczniu br., nie wejdą w życie zaproponowane w nim rozwiązania – w tym możliwość żądania przez pracodawcę od pracownika, w terminie wyznaczonym z wyprzedzeniem (nie krótszym niż 48 godzin), nie częściej niż raz w tygodniu, podania informacji o posiadaniu negatywnego wyniku testu diagnostycznego w kierunku SARS‑CoV‑2, wykonanego nie wcześniej niż 48 godzin przed jego okazaniem.
Obecnie procedowany jest jedynie poselski projekt ustawy z grudnia 2021 roku, który zakłada rozwiązania dla pracodawców oraz przedsiębiorców umożliwiające weryfikację negatywnego wyniku testu diagnostycznego w kierunku SARS-CoV-2, wykonanego nie wcześniej niż 48 godzin przed jego okazaniem, zaświadczenia o przebytej infekcji wirusa SARS-CoV-2 lub certyfikatu o zaszczepieniu przeciwko COVID-19, okazanego przez pracownika lub klienta. Co więcej, w poselskim projekcie ustawy wskazuje się na możliwość weryfikacji dokumentów poświadczających stan zdrowia w kontekście choroby COVID-19 za pomocą aplikacji mobilnej Skaner Certyfikatów COVID.
Z artykułu dowiesz się m.in.:
- Jakie rozwiązania prawne zostały przygotowane dla pracodawcy oraz przedsiębiorcy w poselskim projekcie ustawy.
- Jakie narzędzia będą służyły weryfikacji dokumentu poświadczającego stan zdrowia w kontekście choroby COVID-19.
- Jak przygotować się i jak przetwarzać zebrane dane osobowe pracownika lub klienta w zgodzie z RODO.
Informacja o posiadaniu negatywnego wyniku testu na COVID-19- rozwiązania dla pracodawców
Jak można przeczytać w poselskim projekcie ustawy, w okresie obowiązywania stanu zagrożenia epidemicznego albo stanu epidemii, ogłoszonego z powodu COVID-19, jeżeli będzie to niezbędne do przeciwdziałania rozprzestrzenianiu się choroby COVID-19 w zakładzie pracy lub innym miejscu wyznaczonym do wykonywania pracy, pracodawca będzie mógł żądać od pracownika lub osoby pozostającej w stosunku cywilnoprawnym z tym pracodawcą, podania informacji o posiadaniu negatywnego wyniku testu diagnostycznego w kierunku SARS-CoV-2 wykonanego nie wcześniej niż 48 godzin przed jego okazaniem.
Z obowiązku podania informacji o posiadaniu negatywnego wyniku testu diagnostycznego będzie zwolniony pracownik lub osoba pozostająca w stosunku cywilnoprawnym z pracodawcą, które przedstawią informację o przebytej infekcji wirusa SARS-CoV-2 lub o wykonaniu szczepienia przeciwko COVID-19.
Udostępnienie pracodawcy danych osobowych nastąpi na każde żądanie pracodawcy, w formie oświadczenia pracownika lub osoby pozostającej w stosunku cywilnoprawnym z tym pracodawcą. Pracodawca będzie mógł żądać udokumentowania danych osobowych w zakresie niezbędnym do ich potwierdzenia przez okazanie negatywnego wyniku testu diagnostycznego w kierunku SARS-CoV-2 wykonanego nie wcześniej niż 48 godzin przed jego okazaniem, zaświadczenia o przebytej infekcji wirusa SARS-CoV-2 lub certyfikatu o zaszczepieniu przeciwko COVID-19.
Jak pracodawca powinien przetwarzać dane osobowe pracowników dotyczące COVID-19?
- Przetwarzanie danych osobowych, będzie dopuszczalne przez okres niezbędny do realizacji celu – zapobiegania, przeciwdziałania i zwalczania wspomnianej choroby, nie dłużej jednak niż do upływu okresu obowiązywania stanu zagrożenia epidemicznego albo stanu epidemii ogłoszonego z powodu COVID-19.
- Pracodawca będzie obowiązany przechowywać dane osobowe, w sposób gwarantujący zachowanie ich poufności, integralności, kompletności oraz dostępności, w warunkach niegrożących uszkodzeniem, zniszczeniem lub ujawnieniem osobom trzecim.
- Do przetwarzania danych osobowych, będą mogły być dopuszczone wyłącznie osoby posiadające upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych będą obowiązane do zachowania ich w tajemnicy.
- Pracodawca niezwłocznie usunie dane osobowe, których dalsze przetwarzanie będzie zbędne do realizacji wspomnianego wyżej celu.
Co więcej, w styczniu 2022 r. do Sejmu trafił kolejny poselski projekt ustawy o szczególnych rozwiązaniach dotyczących ochrony życia i zdrowia obywateli w okresie epidemii COVID-19 (tutaj możesz zapoznać się z tym dokumentem). Zgodnie z nim pracodawca może żądać od pracownika, w terminie wyznaczonym z wyprzedzeniem nie krótszym niż 48 godzin, nie częściej niż raz w tygodniu, podania informacji o posiadaniu negatywnego wyniku testu diagnostycznego w kierunku SARS‑CoV‑2 wykonanego nie wcześniej niż 48 godzin przed jego okazaniem. Częstotliwość wykonania testu będzie mogła ulec zmianie z uwagi na sytuację epidemiologiczną na terytorium Polski i dostępność testów diagnostycznych w kierunku SARS-CoV-2. Tym samym zwiększenie bądź zmniejszenie przez ministra właściwego do spraw zdrowia częstotliwości wykonywania nieodpłatnych testów wpłynie również na uprawnienie pracodawcy w zakresie weryfikacji wyniku testu diagnostycznego.
Ważny fragment
Z uwagi na podobny zakres regulowanych spraw w przypadku obu wspomnianych projektów ustaw oraz ich równoległe procedowanie w polskim parlamencie, nie można przesądzić, które z proponowanych rozwiązań zostanie uchwalone i jaki będzie ostateczny kształt przepisów.
Okazanie negatywnego testu na koronawirusa – rozwiązania dla przedsiębiorców
Zgodnie z projektowanymi rozwiązaniami ustawowymi, nie będzie podlegał czasowemu ograniczeniu w prowadzeniu działalności gospodarczej (o którym mowa ustawie o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi) przedsiębiorca lub podmiot niebędący przedsiębiorcą, prowadzący działalność gospodarczą, jeżeli działalność gospodarcza będzie wykonywana na rzecz osoby posiadającej negatywny wynik testu diagnostycznego w kierunku SARS-CoV-2 wykonanego nie wcześniej niż 48 godzin przed jego okazaniem oraz na rzecz osoby, która przebyła infekcję wirusa SARS-CoV-2 lub osoby zaszczepionej przeciwko COVID-19.
Przedsiębiorca lub podmiot niebędący przedsiębiorcą, będą mogli żądać od klienta okazania negatywnego wyniku testu diagnostycznego w kierunku SARS-CoV-2 wykonanego nie wcześniej niż 48 godzin przed jego okazaniem, zaświadczenia o przebytej infekcji wirusa SARS-CoV-2 lub certyfikatu o zaszczepieniu przeciwko COVID-19.
Klient będzie musiał okazać na wezwanie przedsiębiorcy lub podmiotu niebędącego przedsiębiorcą, lub osoby przez niego upoważnionej, negatywny wynik testu diagnostycznego w kierunku SARS-CoV-2 wykonanego nie wcześniej niż 48 godzin przed jego okazaniem, zaświadczenie o przebytej infekcji wirusa SARS-CoV-2 lub certyfikat o zaszczepieniu przeciwko COVID-19.
Podobnie jak w przypadku pracodawców, projektowane rozwiązania są ograniczone do okresu niezbędnego do realizacji określonego w projekcie ustawy celu, jednak nie dłużej niż do upływu okresu obowiązywania stanu zagrożenia epidemicznego albo stanu epidemii ogłoszonego z powodu COVID-19, jeżeli jest to niezbędne do zapewnienia przeciwdziałania rozprzestrzeniania się choroby COVID-19.
Nasz ekspert Łukasz Jarecki jest do Twojej dyspozycji.
Weryfikacja certyfikatu COVID
Weryfikacja tożsamości odbywać się będzie poprzez okazanie dokumentu poświadczającego stan zdrowia w kontekście choroby COVID-19, przede wszystkim unijnego cyfrowego zaświadczenia COVID albo certyfikatu w postaci uproszczonej, tj. uproszczonego certyfikatu, wraz z wizerunkiem osoby, której dane dotyczą, czego będzie można dokonać za pomocą aplikacji mobilnej udostępnionej bezpłatnie przez Centrum e-Zdrowia.
Aplikacja o nazwie Skaner Certyfikatów COVID w wersji dedykowanej wszystkim obywatelom będzie prezentować jedynie status zdrowotny do weryfikacji (certyfikat potwierdzony lub certyfikat niepotwierdzony) na podstawie skanowania kodu QR umieszczonego w certyfikacie. Aby dokonać weryfikacji, osoba weryfikująca musi zeskanować kod QR znajdujący się na certyfikacie. Po zeskanowaniu kodu QR zostanie zaprezentowany status weryfikacji certyfikatu. Aplikacja Skaner Certyfikatów COVID nie będzie przechowywać danych z zeskanowanych kodów, które znajdują się na unijnych cyfrowych zaświadczeniach COVID. Aplikacja nie będzie przesyłać danych, które odczytała na podstawie zeskanowanego kodu QR, a tryb działania aplikacji będzie w pełni offline w zakresie weryfikacji kodów (w trybie online aplikacja będzie pobierała klucz do weryfikacji QR kodu).
Weryfikacja certyfikatów COVID – poselski projekt ustawy a RODO
Przepisy poselskiego projektu ustawy przewidują przetwarzanie danych osobowych, zwłaszcza dane osobowe dotyczące zdrowia, tj. dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia. Wspomniane dane stanowią szczególną kategorię danych osobowych i podlegają bardziej restrykcyjnemu reżimowi, niż „zwykłe” dane osobowe. Artykuł 9 RODO określa bowiem, w jakich konkretnych przypadkach można legalnie przetwarzać szczególne kategorie danych osobowych. W przypadku poselskiego projektu ustawy warto zwrócić uwagę na art. 9 ust. 2 lit. i RODO, tj. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową.
Jednak obecne brzmienie przepisów może budzić wątpliwości z uwagi na opublikowany w czerwcu komunikat na stronie Urzędu Ochrony Danych Osobowych (zapoznaj się z tym dokumentem tutaj), zgodnie z którym w przypadku przetwarzania danych dotyczących zdrowia na podstawie art. 9 ust. 2 lit i RODO przepisy prawa muszą m.in. wskazywać konkretne środki ochrony oraz określać, kto i na jakich zasadach oraz w jaki sposób może weryfikować certyfikaty COVID. Poselski projekt ustawy w zaprezentowanym kształcie nie rozwiewa wątpliwości w tym zakresie.
W związku z tym, iż w przypadku dokonywania weryfikacji negatywnego wyniku testu diagnostycznego oraz zaświadczeń i certyfikatów COVID pracodawca, jak i przedsiębiorca, są administratorami danych osobowych (tj. podmiot, który ustala cele i sposoby przetwarzania danych osobowych), muszą mieć na uwadze podstawowe zasady wynikające z RODO.
Przy przetwarzaniu danych osobowych powinni oni pamiętać, aby dane osobowe zbierać w konkretnych, wyraźnych i prawnie uzasadnionych celach (w przypadku poselskiego projektu ustawy chodzi o przeciwdziałanie rozprzestrzenianiu się choroby COVID-19). Co więcej, dane osobowe nie mogą być przetwarzane dalej w innych celach niż te, które zostały wyznaczone, co ma szczególne znaczenie przy przetwarzaniu danych osobowych dotyczących zdrowia. Poza tym przetwarzanie danych osobowych powinno być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane, a zatem pracodawca lub przedsiębiorca powinni dążyć do minimalizacji danych oraz przechowywać je jedynie przez niezbędny do tego okres.
Administratorzy muszą mieć również na uwadze, aby uwzględnić ochronę danych osobowych w fazie projektowania oraz domyślnie chronić dane osobowe zgodnie z RODO. W pierwszej kolejności administrator bowiem zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania powinien wdrożyć odpowiednie środki techniczne i organizacyjne zaprojektowane w celu skutecznej realizacji zasad ochrony danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by chronić prawa osób, których dane dotyczą (pracowników, jaki i klientów). Co więcej administrator powinien wdrażać wspomniane środki, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te powinny zapewniać, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.
W tym zakresie warto mieć na uwadze wytyczne wydane przez Europejską Radę Ochrony Danych dotyczące art. 25 RODO (zapoznaj się z tym dokumentem tutaj), które precyzują i wyjaśniają kwestie dot. privacy by design i privacy by default.
W przypadku prowadzenia rejestru czynności przetwarzania administrator powinien również pamiętać o uwzględnieniu nowego procesu we wspomnianym rejestrze. Poza tym nie należy zapominać o opracowaniu stosownych klauzul informacyjnych dot. pracowników, jak i klientów, w ramach których podmioty danych będą mogły uzyskać niezbędną wiedzę m.in. w zakresie tego, do kogo trafiają dane osobowe, w jaki sposób i przez jaki okres są przetwarzane.
Mimo iż nie wynika to z projektowanych rozwiązań, administrator może zastanowić się nad wdrożeniem stosownych procedur wewnętrznych dot. postępowania w przypadku dokonywania weryfikacji negatywnego wyniku testu diagnostycznego oraz zaświadczeń i certyfikatów COVID (co jest dobrą praktyką rynkową). Może w nich określić schemat postępowania, wyznaczyć osoby odpowiedzialne oraz określić szczegółowe zasady dot. przetwarzania danych osobowych.
W przypadku osób delegowanych do sprawdzania dokumentów poświadczających stan zdrowia w kontekście choroby COVID-19 należy pamiętać, biorąc pod uwagę poselski projekt ustawy, by były to wyłącznie osoby posiadające upoważnienie do przetwarzania takich danych. Osoby dopuszczone do przetwarzania takich danych będą również obowiązane do zachowania ich w tajemnicy.
Warto także takie osoby przeszkolić w zakresie przetwarzania danych osobowych (w tym szczególnych kategorii danych osobowych) oraz wykorzystywanych narzędzi do weryfikacji (np. aplikacja Skaner Certyfikatów COVID). Nie można również zapominać o podnoszeniu wiedzy oraz świadomości dot. ochrony danych osobowych wśród pracowników danej organizacji.
Z uwagi na specyfikę omawianych danych osobowych oraz szczególne okoliczności związane z wirusem SARS-CoV-2, należy każdorazowo ocenić, czy wdrożone rozwiązania są wystarczające. W wypełnieniu nałożonych obowiązków prawnych kluczowa rola będzie spoczywać na inspektorze ochrony danych osobowych (jeżeli został wyznaczony) albo osobie odpowiedzialnej za kwestie związane z ochroną danych osobowych w danej organizacji. Tylko dostosowanie procesów i dokonanie oceny ryzyka już na początkowym etapie projektowania i wdrażania nowych rozwiązań pozwoli zapewnić należytą ochronę i zgodność z prawem przetwarzanych danych osobowych.
Przetwarzanie danych osobowych dotyczących COVID-19: Przedsiębiorco, przygotuj się na zmiany!
Bez względu na to, kiedy i w jakim zakresie zostanie uchwalona ustawa, pracodawcy, jak i przedsiębiorcy, powinni już teraz zastanowić się, w jaki sposób będą chcieli skorzystać z projektowanych rozwiązań i przy wykorzystaniu jakich narzędzi, ponieważ jak wynika z poselskiego projektu – ustawa wejdzie w życie z dniem następującym po dniu ogłoszenia. Warto przy tym skorzystać z wiedzy ekspertów, żeby uniknąć niepotrzebnych nerwów oraz kosztów, a także ewentualnej odpowiedzialności prawnej.
Wyzwaniem we wdrażaniu omawianych rozwiązań w zakresie przetwarzanie danych osobowych będzie zapewnienie, aby dane dotyczące zdrowia pracowników oraz klientów były przetwarzane w minimalnym zakresie oraz wyłącznie w określonym celu i w niezbędnym do tego okresie.
