Wskazówki resortu rozwoju dla zakładów przemysłowych mogą prowadzić do przetwarzania danych o stanie zdrowia pracowników bez odpowiedniej podstawy prawnej. A za to mogą grozić milionowe kary.
Stosowanie się do wytycznych Ministerstwa Rozwoju dla zakładów przemysłowych na czas epidemii, opublikowanych na stronie internetowej resortu, może wiązać się z ryzykiem naruszenia ochrony danych osobowych. Chodzi o możliwość mierzenia temperatury pracowników oraz gości w zakładzie, a także o żądanie wypełnienia przez nich kwestionariuszy o stanie zdrowia.
Potwierdzają się zatem niedawne przypuszczenia DGP, że te rozwiązania mogą być wątpliwe pod względem prawnym.
Adam Sanocki, rzecznik prasowy Urzędu Ochrony Danych Osobowych, mówi nam, że wytyczne resortu rozwoju nie były z UODO konsultowane. I że zgodnie z art. 17 specustawy z 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz.U. poz. 374) to Główny Inspektor Sanitarny (GIS) ma uprawnienia, aby oddziaływać na inne podmioty oraz zmiany w obowiązujących przepisach, a także wskazywać właściwe rozwiązania dla pracodawców. Problem w tym, że GIS nie wydał własnych wytycznych ani decyzji administracyjnych w tym zakresie. Na jego stronie zawisła za to kopia wskazówek resortu rozwoju. Jednak po dwóch dniach zniknęła.
Pole minowe
Prawnicy nie mają wątpliwości, że rządowe wskazówki mogą wsadzać przedsiębiorców na minę. Przetwarzanie danych osobowych dotyczących zdrowia jest bowiem, zgodnie z rozporządzeniem o ochronie danych osobowych (RODO), szczególnie chronione i wymaga od administratora odpowiedniej podstawy prawnej. Adam Sanocki wprost wskazuje, że mierzenie temperatury i zbieranie kwestionariuszy przez pracodawcę będzie legalne wyłącznie wtedy, gdy będzie je on realizował na podstawie przepisów prawa – w tej sytuacji wytycznych GIS.
Eksperci są zdania, że skoro ich nie ma, przedsiębiorcom stosującym się do wskazówek resortu rozwoju mogą grozić kary finansowe – nawet do 20 mln euro lub 4 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. RODO wymaga bowiem od administratorów, aby mogli wykazać legalność swoich działań przed organem nadzorczym. Potwierdza to Adam Sanocki. – To administrator danych musi być w stanie wskazać podstawę, na jakiej przetwarza dane osobowe – przypomina.
Pośpiech złym doradcą
Ja podkreśla Anna Kobylańska, adwokat i wspólnik w kancelarii Kobylańska, Lewoszewski, Mednis, przykład resortowych wytycznych pokazuje, że także w obliczu wyjątkowej sytuacji, jaką niewątpliwie jest pandemia koronawirusa, przedsiębiorcy powinni upewnić się, że mają podstawę prawną do przetwarzania danych osobowych. W zakresie tych obejmujących informacje o stanie zdrowia podstawą nie mogą być wyłącznie wskazówki rządowe.
Z kolei zdaniem Michała Kluski, adwokata z kancelarii Domański Zakrzewski Palinka, opisywana sytuacja dobitnie pokazuje, że nie warto od razu wprowadzać wszystkich zaleceń organów. Przypomina, że wytyczne resortu rozwoju od początku budziły zastrzeżenia ekspertów. Prawnik radzi, aby przedsiębiorcy dostosowywali swoje działania w zakresie przeciwdziałania rozprzestrzenianiu się koronawirusa do branży, sektora, okoliczności jego funkcjonowania i faktycznych zagrożeń. Uwzględniając przy tym zarówno zasady ochrony danych osobowych, jak i przepisów prawa pracy. Uczula przy tym pracodawców, aby wdrażając nowe rozwiązania w zakresie przetwarzania danych osobowych, zawsze myśleli nie tylko o podstawie prawnej, ale również o tym, w jaki sposób zabezpieczą te dane i jak długo będą je przechowywać.