Stanowisko EROD i Prezesa UODO w sprawie COVID-19

Przetwarzanie danych osobowych podczas pandemii COVID-19 stało się tematem oświadczeń Europejskiej Rady Ochrony Danych oraz Prezesa Urzędu Ochrony Danych Osobowych. Oświadczenia te podkreślają konieczność zachowania zgodności z przepisami prawa dotyczącymi ochrony danych osobowych w sytuacji nadzwyczajnej wywołanej pandemią wirusa.

Tematyka: COVID-19, RODO, ochrona danych osobowych, EROD, Prezes UODO, przetwarzanie danych w sytuacji nadzwyczajnej, zgodność z prawem

Przetwarzanie danych osobowych podczas pandemii COVID-19 stało się tematem oświadczeń wydanych
przez Europejską Radę Ochrony Danych oraz Prezesa Ochrony Danych Osobowych.
Przewodnicząca Europejskiej Rady Ochrony Danych (dalej jako: EROD) w oświadczeniu z 19.3.2020 r. zaznaczyła,
że obecna sytuacja nadzwyczajna może uzasadniać ograniczenie wolności, pod warunkiem że ograniczenia
te są proporcjonalne i ograniczone wyłącznie do okresu nadzwyczajnego. W oświadczeniu podkreślono, że
w tak wyjątkowej i bezprecedensowej sytuacji administratorzy i podmioty przetwarzające nadal podlegają przepisom
zapewniających ochronę danych osobowych. Tym samym EROD wskazał na szereg czynników gwarantujących
zgodne z prawem przetwarzanie danych osobowych w związku z pandemią wirusa.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia
dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. L Nr 119 z 2016 r., s. 1 ze zm.; dalej jako:
RODO) jest aktem prawnym, który zawiera przepisy mające zastosowanie również do przetwarzania danych
osobowych w kontekście takim jak stan nadzwyczajny wywołany pandemią wirusa COVID-19. Oznacza to, że RODO
umożliwia właściwym organom ds. zdrowia publicznego i pracodawcom przetwarzanie danych osobowych
w kontekście pandemii, które powinno odbywać się zgodnie z prawem krajowym. Gdy przetwarzanie danych jest
więc konieczne ze względu na istotny interes publiczny w dziedzinie zdrowia publicznego nie ma potrzeby, zdaniem
EROD, polegania na zgodzie osób fizycznych, jako podstawie prawnej do przetwarzania danych osobowych, o której
mowa w art. 6 RODO.
Przetwarzanie danych osobowych może być więc konieczne do wypełnienia obowiązku prawnego, któremu podlega
pracodawca, np. obowiązków związanych ze zdrowiem i bezpieczeństwem w miejscu pracy lub z interesem
publicznym, takim jak kontrola chorób i innych zagrożeń dla zdrowia. RODO przewiduje również odstępstwa od
zakazu przetwarzania określonych, szczególnych kategorii danych osobowych, takich jak dane dotyczące
zdrowia, gdy jest to konieczne ze względu na istotny interes publiczny w dziedzinie zdrowia publicznego
zgodnie z art. 9 ust. 2 lit. i RODO, na podstawie prawa Unii lub prawa państwa członkowskiego lub gdy
istnieje potrzeba ochrony żywotnych interesów osoby, której dane dotyczą w myśl art. 9 ust. 2 lit. c RODO.
Zgodnie z motywem 46 preambuły RODO przetwarzanie danych osobowych należy uznać za zgodne z prawem
również w przypadkach, gdy jest niezbędne do ochrony interesu, który ma istotne znaczenie dla życia osoby, której
dane dotyczą, lub innej osoby fizycznej. Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą
przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na
innej podstawie prawnej. W motywie tym wyraźnie podkreślono, że niektóre rodzaje przetwarzania mogą służyć
zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą, na przykład gdy
przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub
w nadzwyczajnych sytuacjach humanitarnych, w szczególności w przypadku klęsk żywiołowych i katastrof
spowodowanych przez człowieka.
Poza zagadnieniem podstaw prawnych umożliwiających przetwarzanie danych w obliczu pandemii, w oświadczeniu
EROD wskazano, że dane osobowe, które są niezbędne do osiągnięcia zamierzonych celów powinny być
przetwarzane w konkretnych i wyraźnych celach. Osoby, których dane są przetwarzane, powinny otrzymywać
przejrzyste informacje na temat prowadzonych działań w zakresie przetwarzania oraz ich głównych cech, w tym
okresu przechowywania gromadzonych danych i celów przetwarzania. Obowiązek informacyjny powinien więc
spełniać wszystkie wymogi określone odpowiednio w art. 13 i 14 RODO.
Zwrócono także uwagę na konieczność przyjęcia odpowiednich środków bezpieczeństwa przetwarzania danych
zebranych w związku z pandemią wirusa COVID-19, a także na wprowadzenie, bądź też aktualizacje postanowień
dotyczących poufności przetwarzanych danych. Środki wdrożone w celu zarządzania bieżącą sytuacją nadzwyczajną
powinny być odpowiednio udokumentowane zgodnie z obowiązującą zasadą rozliczalności, o której mowa w art. 5
ust. 2 RODO. Administratorzy oraz podmioty przetwarzające mogą zatem, z uwagi na sytuacje nadzwyczajną,
otrzymać dostęp do danych osobowych, do których w normalnych okolicznościach by nie uzyskali. Z tego względu
podmioty te powinny rozważyć czy nie zasadnym byłaby aktualizacja obecnie przyjętych środków w obliczu zbierania
nowych informacji o osobach, których dane dotyczą, ze szczególnym uwzględnieniem przetwarzania danych
szczególnej kategorii (art. 9 RODO).
Do pozyskania informacji o stanie zdrowia może dojść w ramach realizacji obowiązków nałożonych przez prawo
krajowe na pracodawcę. W takim przypadku na szczególną uwagę zasługuje konieczność realizacji zasady
propocjonalności i minimalizacji. Pracodawca może więc zostać zobowiązany do przeprowadzania badań lekarskich

na obecność wirusa. EROD podkreśla, że informacja o wynikach testu oraz o tożsamości pracownika powinna
podlegać szczególnej ochronie. W przypadkach, w których konieczne jest ujawnienie nazwiska pracownika, który jest
zarażony wirusem (a prawo krajowe na to zezwala) pracownicy, których sprawa dotyczy, powinni zostać o tym
poinformowani z wyprzedzeniem, przy zachowaniu wspomnianych zasad.
EROD w pkt. 1.3 oświadczenia wypowiedziała się także w zakresie przetwarzania danych telekomunikacyjnych,
takich jak dane dotyczące lokalizacji. Podkreślono, że dane dotyczące lokalizacji mogą być wykorzystywane przez
operatora tylko wtedy, gdy są anonimowe lub ich wykorzystywanie odbywa się za zgodą osób fizycznych oraz
zgodnie z prawem krajowym. Jednakże art. 15 dyrektywy 2002/58/WE parlamentu europejskiego i rady z dnia
12.7.2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej
(dyrektywa o prywatności i łączności elektronicznej), (Dz.Urz. L Nr 201 z 2002 r., s. 37) umożliwia państwom
członkowskim wprowadzenie środków prawnych mających na celu ochronę bezpieczeństwa publicznego.
W oświadczeniu zaznaczono jednak, że takie wyjątkowe przepisy są możliwe tylko wtedy gdy stanowią konieczny,
odpowiedni i proporcjonalny środek w ramach społeczeństwa demokratycznego. Środki te muszą pozostać bowiem
w zgodzie z Kartą Praw Podstawowych i Europejską Konwencją o Ochronie Praw Człowieka i Podstawowych
Wolności. Powyższe ponadto podlega kontroli sądowej Europejskiego Trybunału Sprawiedliwości i Europejskiego
Trybunału Praw Człowieka.
Niektóre państwa członkowskie przewidują wykorzystanie danych z sieci komórkowych dotyczących lokalizacji jako
możliwy sposób monitorowania rozprzestrzeniania się COVID-19, co oznaczałoby możliwość geolokalizacji osób lub
wysyłania wiadomości dotyczących zdrowia publicznego do osób znajdujących się na określonym obszarze za
pomocą telefonu lub wiadomości tekstowych. Organy publiczne, zdaniem EROD, powinny więc w pierwszej
kolejności przetwarzać dane dotyczące lokalizacji w sposób anonimowy (tj. przetwarzać dane zagregowane
w sposób uniemożliwiający ponowną identyfikację osób). Jeżeli jednak zostałyby wprowadzone środki umożliwiające
przetwarzanie niezanonimizowanych danych dotyczących lokalizacji, państwo członkowskie jest zobowiązane do
wprowadzenia odpowiednich zabezpieczeń, takich jak zapewnienie osobom korzystającym z usług łączności
elektronicznej prawa do środka prawnego. Geolokalizacje osób fizycznych, zdaniem EROD, można uznać za
proporcjonalne w wyjątkowych okolicznościach i w zależności od konkretnych sposobów przetwarzania. Powyższe
oznacza wzmożoną kontrolę i wprowadzenie proporcjonalnych zabezpieczeń w celu zapewnienia przestrzegania
zasad ochrony danych (proporcjonalność środka pod względem czasu trwania i zakresu, ograniczone zatrzymywanie
danych i ograniczenie celu).
Oświadczenie Prezesa Urzędu Ochrony Danych Osobowych (dalej jako: Prezes UODO) w sprawie wirusa
COVID-19 z 12.3.2020 r. wydaję się pozostawać w spójności ze stanowiskiem wyrażonym przez EROD
19.3.2020 r. Prezes UODO podkreślił, ze przepisy o ochronie danych osobowych nie mogą być stawiane jako
przeszkoda w realizacji działań w związku z walką z wirusem. Prezes UODO odwołał się do specustawy, która
daje narzędzia do podejmowania przez pracodawców określonych działań, które wynikają zarówno z zaleceń
Głównego Inspektora Sanitarnego, jak i Prezesa Rady Ministrów.
W oświadczeniu przywołano art. 17 ustawy z 2.3.2020 r. o szczególnych rozwiązaniach związanych
z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi
sytuacji kryzysowych (Dz.U. z 2020 r. poz. 374), w którym wskazano, że Główny Inspektor Sanitarny lub działający
z jego upoważnienia państwowy wojewódzki inspektor sanitarny może wydawać pracodawcom m. in. decyzje
nakładające obowiązek podjęcia określonych czynności zapobiegawczych lub kontrolnych i współdziałania z innymi
organami administracji publicznej oraz organami Państwowej Inspekcji Sanitarnej. Ponadto Prezes Rady Ministrów
na wniosek wojewody, po poinformowaniu ministra właściwego do spraw gospodarki, ma prawo do wydawania
poleceń przedsiębiorcom w związku z przeciwdziałaniem COVID-19. Polecenia te, wydawane w formie decyzji
administracyjnej, podlegają natychmiastowemu wykonaniu z chwilą ich doręczenia lub ogłoszenia oraz nie wymagają
uzasadnienia. Powyższe postanowienia odwołują się zarówno do motywu 46 preambuły RODO (przetwarzanie
danych w związku z realizacją celów humanitarnych w tym monitorowania epidemii), jak i do art. 9 ust. 2 lit iart. 6 ust.
1 lit d RODO.
Oświadczenie EROD z 19.3.2020 r., Oświadczenie Prezesa UODO z 12.3.2020 r. w sprawie COVID-19

Europejska Rada Ochrony Danych i Prezes UODO wskazują na konieczność przestrzegania przepisów prawa dotyczących ochrony danych osobowych w kontekście walki z COVID-19. Podkreślają znaczenie proporcjonalności i zgodności z prawem przy przetwarzaniu danych osobowych w celu przeciwdziałania rozprzestrzenianiu się wirusa.