Jak nie złamać przepisów RODO i zaszczepić pracowników?

2021-05-13

- Zgoda w swojej istocie opiera się na pełnej dobrowolności i możliwości odwołania w dowolnym momencie. Te dwie cechy w zasadzie dyskwalifikują zgodę jako odpowiednią podstawę do przetwarzania danych osobowych w większości przypadków w stosunkach służbowych – tłumaczy Monika Niedźwiecka, Senior Associate w JP Weber i radca prawny.

Zgodnie z literą prawa pracodawca nie potrzebuje zgody pracownika na przetwarzanie danych dla celów szczepienia. Aby zrozumieć dobrze tę kwestię warto w pierwszej kolejności odpowiedzieć na pytanie, czy dane dotyczące szczepienia należą do szczególnych kategorii danych osobowych – innymi słowy, czy są to dane dotyczące stanu zdrowia. Niewątpliwie dane osób, które deklarują chęć zaszczepienia nie są danymi o stanie zdrowia, a są to tzw. dane zwykłe.

Jednak, zupełnie inaczej przedstawia się sytuacja w przypadku danych osób już zaszczepionych - W mojej ocenie tego rodzaju dane mogą zostać uznane za dane dotyczące stanu zdrowia – podkreśla Monika Niedźwiecka.

Warto zwrócić uwagę, że pracownicy, którzy deklarują chęć zaszczepienia się w zakładzie pracy podają swoje dane osobowe pracodawcy (imię i nazwisko, numer PESEL
i nr telefonu), aby ten przekazał je podmiotowi leczniczemu przeprowadzającemu szczepienia. Są to więc dane osobowe pacjentów przychodni będących administratorami tych danych, które mają własne podstawy i własne cele do ich przetwarzania. Cele te to przede wszystkim udzielanie świadczeń w ramach działalności medycznej - w tym przypadku głównym celem jest przeprowadzenie szczepień przeciwko COVID-19. Podstawą zaś nie jest zgoda pacjenta, lecz niezbędność danych do wykonania obowiązków podmiotu leczniczego wynikających z ustawy o prawach pacjenta i aktach wykonawczych.

- W przypadku firm, które chcą dołączyć do Narodowego Programu Szczepień należy więc rozważyć zawarcie z podmiotem leczniczym umowy powierzenia przetwarzania danych osobowych, gdzie pracodawca będzie podmiotem przetwarzającym – radzi Monika Niedźwiecka. - Niezależnie od powyższego, w mojej ocenie, z uwagi na szczególną sytuację związaną z epidemią koronawirusa, pracodawcy mogą posiadać również własne cele i własne podstawy do przetwarzania danych pracowników zaszczepionych.Należy jednak wskazać, że również w tym przypadku zgoda nie jest odpowiednią podstawą legalizującą przetwarzanie tych danych. Zgoda jest jednostronnym, dobrowolnym oświadczeniem woli, które w każdej chwili może być cofnięte. Konsekwencje wycofania zgody pracowniczej mogą być w tym przypadku daleko idące. Dodatkowo zgoda nie powinna być stosowana jako przesłanka do przetwarzania danych w przypadku braku równowagi stron, a stosunek podległości służbowej niewątpliwie nie należy do sytuacji, w której obie strony są równe.

Biorąc pod uwagę wyjątkową sytuację, jaką jest stan epidemii pracodawcy mają zamiar wykorzystywać dane o pracownikach zaszczepionych na COVID-19 w celu np. zapewnienia bezpiecznych i higienicznych warunków pracy czy ograniczenia i prewencji  rozprzestrzeniania się choroby zakaźnej na terenie zakładu pracy. Warto podkreślić, że zgodnie z przepisami pracodawca ponosi odpowiedzialność za stan bezpieczeństwa i higieny pracy w zakładzie pracy. W związku z tym należy rozważyć, czy dane dotyczące szczepień wśród pracowników nie są ważnym elementem zapewnienia bezpiecznej pracy w czasie epidemii. Niestety, na dziś brak jest konkretnych wytycznych w tym zakresie. Niewątpliwie dane dotyczące osób zaszczepionych mogą stanowić istotną podstawę do planowania pracy w trybie tzw. hybrydowym, do podjęciu decyzji o konieczności pracy zdalnej i innych działań zabezpieczających przed rozprzestrzenianiem się koronawirusa w zakładzie pracy. W związku z tym pracodawcy powinni mieć możliwość wykorzystywania danych o osobach zaszczepionych.

Oczywiście, działania podejmowane w wyniku uzyskania tych danych nie mogą mieć charakteru dyskryminującego, takich jak na przykład premiowanie pracowników zaszczepionych. Samo przetwarzanie danych osób zaszczepionych powinno być oparte na właściwej podstawie z art. 9 RODO, który reguluje przesłanki przetwarzania danych tzw. „wrażliwych”.  

Można przyjąć, że pracodawcy działają w celu wypełnienia ciążących na nich obowiązków wynikających z przepisów kodeku pracy, przy czym z uwagi na to, że przepis art. 207 kodeksu pracy jest dość ogólny, warto przeprowadzić konsultacje i analizy BHP w celu uzasadnienia możliwości przetwarzania tych danych. Ponadto w związku z nadzwyczajną sytuacją, jaką jest stan epidemii, można przyjąć że pracodawcy realizują interes publiczny w zakresie zapobiegania rozprzestrzenianiu się choroby zakaźnej – wówczas odpowiednią przesłanką będzie art. 9 ust.2  lit. i RODO.

Warto również pamiętać, że szczepienia w zakładach pracy są bardzo ważnym elementem w walce o powrót do „normalności” i przywrócenia gospodarki na właściwe tory. Prawo do prywatności jest niezwykle istotne, pozostaje jednak tak samo ważne jak inne prawa – w tym w szczególności prawo do pracy w bezpiecznych warunkach. Ponadto powodzenie akcji przeprowadzania szczepień w zakładach pracy nie powinno być uzależnione od tego, czy pracodawcy uda się zebrać zgody RODO.  

Państwa osoba kontaktowa

Monika Niedwiecka 2 Monika Niedźwiecka Associate, Compliance Officer, Radca Prawny Tel.: +48 71 36 99 543