Stanowisko PUODO dot. sprawdzania temperatury

W dniu 5.5.2020 r. Prezes Urzędu Ochrony Danych Osobowych wydał stanowisko dotyczące sprawdzania temperatury w kontekście zapobiegania rozprzestrzeniania się COVID-19. Artykuł omawia przetwarzanie danych osobowych dotyczących zdrowia w przypadku pomiaru temperatury ciała osób oraz gromadzenia informacji o stanie zdrowia. Zgodnie z RODO, temperatura ciała znajduje się w kategorii szczególnie chronionych danych zdrowotnych.

Tematyka: PUODO, stanowisko, temperatura ciała, COVID-19, RODO, przetwarzanie danych osobowych, dane zdrowotne, zakład pracy, zgoda, ochrona danych, KoronawirusU, GIS

W dniu 5.5.2020 r. Prezes Urzędu Ochrony Danych Osobowych (dalej jako: PUODO) wydał stanowisko
w sprawie sprawdzania temperatury w celu zapobiegania rozprzestrzeniania się COVID-19. Zgodni z nim
w przypadku gdy będzie dokonywany np. pomiar temperatury ciała konkretnej osoby, czy też będą
gromadzone dane dotyczące jej stanu zdrowia, a następnie informacje te będą utrwalane, przekazywane
i gromadzone, wówczas będzie następowało przetwarzanie szczególnej kategorii danych osobowych.
Zgodnie z RODO „dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym
osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej
zdrowia. Temperatura ciała będzie się zatem mieściła w tej kategorii danych, szczególnie chronionych.
Dane dot. zdrowia
W ocenie PUODO przepisy o ochronie danych osobowych, m.in. RODO, w zakresie mierzenia temperatury
czy wdrażania kwestionariusza z objawami chorobowymi nie stoją na przeszkodzie w przetwarzaniu danych
osobowych pracowników i gości.
Zgodnie z motywem 35 RODO do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie
zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego
lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą informacje zbierane podczas
rejestracji osoby do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa
dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE; numer, symbol lub oznaczenie przypisane danej osobie
fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące
z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek
biologicznych; oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii
medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie
od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne
lub badanie diagnostyczne in vitro.
Zakaz przetwarzania danych dot. zdrowia i wyjątki
Generalną zasadą jest, że przetwarzanie szczególnych kategorii danych osobowych jest zabronione, bowiem
zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy
polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania
danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych
dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Niemniej jednak jeżeli osoba, której dane
dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych
celach, powyższy zakaz nie ma zastosowania.
Oprócz powyższego, na gruncie wyjątku w sprawach z zakresu prawa pracy przetwarzanie jest dozwolone
jeżeli jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika
do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub
zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa
Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia
i z zastrzeżeniem warunków i zabezpieczeń (por. art. 9 ust. 2 lit. h RODO).
Ponadto, PUODO powołuje się również na art. 9 ust. 2 lit. i) RODO, który wskazuje że szczególne kategorie danych
(dotyczące zdrowia) można przetwarzać, gdy jest to niezbędne ze względów związanych z interesem publicznym
w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami
zdrowotnymi, jeżeli wynika to z przepisów prawa. W zakresie możliwości badania temperatury ciała chodzi o fakt
przeciwdziałania COVID-19 czyli podejmowania wszelkich czynności związanych ze zwalczaniem zakażenia,
zapobieganiem rozprzestrzenianiu się, profilaktyką oraz zwalczaniem skutków, w tym społeczno-gospodarczych,
choroby SARS-CoV-2.
Przetwarzanie danych dot. zdrowia w zakładzie pracy
W zakresie owego przeciwdziałania przepis RODO pozostaje więc w zw. z polskimi regulacjami m.in. z art. 17 ustawy
z 2.3.2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-
19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz.U. z 2020 r. poz. 374 ze zm., dalej
jako: KoronawirusU) - Główny Inspektor Sanitarny (dalej jako: GIS) lub działający z jego upoważnienia państwowy
wojewódzki inspektor sanitarny może wydawać osobom prawnym, osobom fizycznym i jednostkom organizacyjnym

nieposiadającym osobowości prawnej decyzje nakładające m.in. obowiązek podjęcia określonych czynności
zapobiegawczych lub kontrolnychj. GIS może również wystosowywać zalecenia i wytyczne określające sposób
postępowania w trakcie realizacji zadań przeciwdziałających COVID-19. GIS może zatem nakazać
pracodawcom dokonywania pomiaru temperatury ciała swoich pracowników.
Co ważne, w ocenie PUODO art. 17 KoronawirusU „wyklucza możliwości wprowadzenia przez pracodawców,
czy przedsiębiorców ww. rozwiązań mających na celu zwalczanie COVID-19. W związku z tym, jeżeli
inspektor sanitarny uzna, że niezbędne jest przyjęcie rozwiązania w postaci mierzenia temperatury
pracownikom i tzw. gościom wchodzącym na teren zakładu pracy czy też pozyskiwania od pracowników
oświadczeń dotyczących ich stanu zdrowia, może skorzystać z właściwego dla niego środka prawnego,
w efekcie czego na zakład pracy nałożony zostanie obowiązek w postaci decyzji o dokonywaniu pomiaru
temperatury czy też zbieraniu oświadczeń pracowników dotyczących ich stanu zdrowia. Służby sanitarne
mogą również podjąć decyzję o konieczności dokonywania pomiarów temperatury ciała interesantów, którzy
wchodzą do budynku w celu załatwienia sprawy. Zatem wszelkie działania, jakie będzie podejmował inspektor
sanitarny oraz podmioty, na które będzie on oddziaływał, będą wynikały z przepisów prawa, które regulują jego
działania oraz z ww. decyzji, wytycznych oraz zaleceń – czyli uprawnień wynikających ze specustawy. Środki te będą
stanowiły podstawę prawną tych działań, w tym podstawę do przetwarzania danych osobowych dotyczących stanu
zdrowia”.
PUODO podkreśla, że w zakresie podejmowania działań związanych z przeciwdziałaniem COVID-19 w zakładzie
pracy, podstawą prawną legitymizującą przetwarzanie danych dotyczących stanu zdrowia w zatrudnieniu,
a zatem w relacji pracodawca-pracownik oraz w relacji z podmiotem publicznym, nie może być art. 9 ust. 2 lit. a)
RODO, tj. zgoda osoby, której daje dotyczą. PUODO wskazuje, że: „wynika to wprost z ogólnego rozporządzenia
o ochronie danych, które wskazuje, że zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych
osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą,
a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne,
by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach. W relacji pracodawca-
pracownik również występuje nierówność tych dwóch podmiotów. Pracodawca nie może także nakazać pracownikom
i tzw. gościom wchodzącym na teren zakładu pracy dokonywania pomiaru temperatury. W każdym przypadku musi
wykazać podstawę prawną, która dawałaby takie uprawnienie. Podkreślenia wymaga, że przepisy prawa nie regulują,
jaka wysokość temperatury daje podstawę do stwierdzenia, że pracownik jest chory bądź zarażony wirusem COVID-
19. Dlatego też to służby sanitarne, a nie pracodawca, podejmując określone działania wskazują w konkretnych
przypadkach na przyjmowanie właściwych rozwiązań”. Z powyższym pozostaje spójne to co zostało wyrażone
w art. 221a § 1 KP, który przewiduje zgodę osoby ubiegającej się o zatrudnienie lub pracownika, która może
stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione w art. 221 § 1
i 3 (zwykłych danych), z wyjątkiem danych osobowych, o których mowa w art. 10 RODO. Inną daną może
więc być np. stan zdrowia (który można pozyskać poprzez pomiar temperatury). Jednak brak zgody na
przetwarzanie danych szczególnej kategorii lub jej wycofanie nie może być podstawą niekorzystnego
traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich
jakichkolwiek negatywnych konsekwencji, np. stanowić przyczyny do niewpuszczenia do zakładu pracy,
uzasadniającej odmowę zatrudnienia, wypowiedzenia/ natychmiastowego rozwiązania umowy o pracę,
dyskryminacji.
W stanowisku z 12.3.2020 r. PUODO podkreślił, że wszelkie problemy związane ze zwalczaniem
i zapobieganiem rozprzestrzeniania się koronawirusa powinny być pierwszej kolejności zgłaszane do GIS,
który może wydawać w tym zakresie konkretne zalecenia, szczególnie że godnie z motywem 46 RODO
przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest to niezbędne
do ochrony interesu, które ma istotne znaczenie dla życia osoby której dane dotyczą np. gdy przetwarzanie jest
potrzebne do celów humanitarnych w tym monitorowania epidemii i ich rozprzestrzeniania się.
Omawiane stanowisko, jak i poprzednie jest również zgodne z oświadczeniem EROD, które w kontekście
problemu: czy w związku z COVID-19 pracodawca może wymagać od osób odwiedzających lub pracowników
dostarczenia konkretnych informacji dotyczących zdrowia - wskazuje, że zastosowanie zasady proporcjonalności
i minimalizacji danych jest tu szczególnie istotne. Pracodawca powinien wymagać informacji dotyczących
zdrowia jedynie w zakresie, w jakim zezwala na to prawo krajowe (Statement on the processing of personal data
in the context of the COVID-19 outbreak: https://edpb.europa.eu/our-work-tools/our-documents/other/statement-
processing-personal-data-context-covid-19-outbreak_en). Wg. PUODO podstawą prawną byłby zatem art. 17
KoronawirusU, w zakresie uprawnień GIS.
Administrator danych ma obowiązek w klauzuli informacyjnej przekazać osobom, których dane osobowe przetwarza
wszelkie niezbędne informacje w tym zakresie. „Klauzula może być zawarta np. w kwestionariuszu, jak również
może być dostępna w zakładzie pracy, czy w urzędzie, np. w recepcji, na tablicy ogłoszeń lub na stronie
internetowej. Niemniej jednak osoba, której dane dotyczą, powinna zostać poinformowana o podstawowych
kwestiach związanych z przetwarzaniem jej danych osobowych (dane administratora, cel przetwarzania,

podstawa prawna, zakres danych) najpóźniej w momencie zbierania danych, a następnie ewentualnie
odesłana do pełnej treści klauzuli, która znajduje się w ww. miejscach”. Zachowane powinny zostać również
kryteria z art. 5 RODO.
Stanowisko PUODO z 5.5.2020 r.

PUODO podkreśla, że przetwarzanie danych zdrowotnych pracowników w zakładach pracy w kontekście COVID-19 wymaga szczególnej uwagi i zgodności z obowiązującymi przepisami. Stanowisko PUODO jest zgodne z zasadą minimalizacji danych i koniecznością uzyskania zgody na przetwarzanie danych osobowych dotyczących zdrowia w określonych sytuacjach.