Przedsiębiorca w starciu z koronawirusem okiem inspektora ochrony danych – badanie temperatury ciała pracowników

Stan epidemii i towarzyszące mu obostrzenia wpłynęły na sposób w jaki przetwarzamy dane osobowe naszych pracowników. O działaniach pracodawców mających na celu zapewnienie bezpieczeństwa zatrudnianych osób pisaliśmy już wcześniej (link), jednak postępowanie epidemii oraz zmiany prawne wprowadzone na przełomie ostatnich kilku tygodni wymagają ponownego rozważenia poruszonych  kwestii oraz dokładniejszego skupienia się na wybranych zagadnieniach.

Musimy pamiętać, że działania polegające na zapewnieniu bezpieczeństwa określonej grupie osób praktycznie zawsze wiążą się z ingerencją w ich prawo do prywatności. Przykłady takich działań to:  wprowadzenie monitoringu wizyjnego, kart dostępu, księgi wejść i wyjść, rewizje, badania trzeźwości itp. Wykonywanie każdej z nich zwiększa bezpieczeństwo pracodawcy i pracowników, jednak w zależności od ich charakteru, w różnym stopniu narusza prywatność osób podlegających tym działaniom. Obowiązkiem pracodawcy jest przeanalizowanie zagrożeń i dobranie odpowiednich środków, które nie będą naruszały prawa do prywatności zabezpieczanych osób bardziej niż jest to konieczne. Innymi słowy zabezpieczenia muszą być skrojone na miarę – nie mogą być nadmierne, ale powinny spełniać swoją funkcję.

W momencie opublikowania tego artykułu mamy w Polsce około 10 tysięcy potwierdzonych przypadków zakażeń wirusem Covid-19. Wielu pracodawców zostało zmuszonych okolicznościami do zawieszenia prowadzonej działalności lub na wysłanie pracowników na pracę zdalną. Niektórzy jednak – w tym zakłady produkcyjne, zakłady opieki zdrowotnej, firmy kurierskie, sklepy spożywcze pracują w normalnym trybie, co zmusza pracodawców do podejmowania działań związanych z zapewnieniem bezpieczeństwa pracownikom. Jak dbać o bezpieczeństwo pracowników, bez naruszenia prawa ochrony danych? W tym artykule chciałbym skupić się na od omówieniu kwestii badań temperatury ciała – czyli najprostszej metody wyselekcjonowania osób potencjalnie zakażonych wirusem.

Wiele zakładów pracy decyduje się na mierzenie temperatury pracownikom przed dopuszczeniem ich na teren zakładu. W obecnej chwili takie zachowanie może wydawać się uzasadnione, jednak w dalszym ciągu problematyczna jest kwestia ustalenia właściwej podstawy prawnej takiego działania.

W mojej opinii należy rozróżnić dwie sytuacje – mierzenie temperatury, które jest regulowane przepisami prawa ochrony danych osobowych oraz takie, które nie stanowi przetwarzania danych w rozumieniu Rozporządzenia ogólnego o ochronie danych (RODO).

W przeważającej większości przypadków mamy do czynienia z mierzeniem temperatury, które jak się wydaje, nie podlega przepisom RODO. Chodzi o takie mierzenie temperatury, z którego pracodawca nie sporządza żadnej notatki ani protokołu. Badanie ogranicza się do przyłożenia termometru do czoła osoby badanej, sprawdzeniu przez kontrolującego wskazywanej temperatury ciała i – w zależności od wyniku – dopuszczenie pracownika do wejścia na teren zakładu lub zalecenie wykonania odpowiednich badań. Przy takim modelu trudno uznać, że dane osobowe przetwarzane są w sposób zautomatyzowany lub, że stanowią one/mają stanowić część zbioru danych. Wydaje się więc, że ten rodzaj badania nie spełnia kryteriów wymienionych w art. 2 ust. 1 Rozporządzenia, a więc nie podlega przepisom RODO.

Druga sytuacja polega na mierzeniu temperatury ciała osób wchodzących na teren zakładu pracy oraz sporządzania z tego badania odpowiedniej notatki lub protokołu. W mojej ocenie odnotowywanie wyniku skutkuje utworzeniem zbioru danych – tak więc w tym modelu mamy do czynienia z przetwarzaniem danych osobowych regulowanym przepisami Rozporządzenia. Jako, że dane takie jak temperatura ciała stanowią dane dotyczące zdrowia, administrator nie może uzasadniać przetwarzania powołując się na przesłankę prawnie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO) Przeglądając katalog podstaw przetwarzania danych szczególnych kategorii, zamieszczony w art. 9 RODO, wydaje się, że administrator może przetwarzać dane dotyczące zdrowia na podstawie trzech następujących podstaw przetwarzania:

  • Wyraźnej zgody podmiotu danych (art. 9 ust. 2 lit. a RODO).
  • Obowiązku prawnego wynikającego z przepisów prawa pracy lub ochrony socjalnej (art. 9 ust. 2 lit. b RODO).
  • Niezbędności przetwarzania ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego (art 9 ust. 2 lit. i RODO).

Zgoda podmiotu danych

Przesłanka zgody podmiotu danych stwarza ryzyko zakwestionowania jej dobrowolności, która w relacji pracodawca – pracownik jest trudna do udowodnienia. Minusem powołania się na tę przesłankę jest również fakt, że pracodawca dokonując kontroli nie będzie mieć pewności, że przebadana zostanie każda osoba wchodząca na teren zakładu pracy – właśnie ze względu na dobrowolność zgody. Przebadanie tylko części pracowników podważa sens prowadzenia badania, jako skutecznego środka zabezpieczającego.

Obowiązek prawny wynikający z przepisów prawa pracy

Wydaje się, że możliwe jest wyprowadzanie podstawy prawnej badania z przepisów prawa pracy – m.in. z art. 94 ust. 4 oraz z art. 207 Kodeksu pracy nakładających na pracodawcę obowiązek zapewnienia bezpiecznych i higienicznych warunków pracy.  Problematyczność zastosowania tej przesłanki polega jednak na tym, że przepisy prawa pracy nie wskazują wprost na konkretny obowiązek sporządzania protokołów z badań pracowników przed wejściem na teren obiektu, co może być podstawą do zakwestionowania tej podstawy w przypadku badań temperatury.

Niezbędność przetwarzania ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego

Wydaje się, że można by odwołać się do tej przesłanki powołując się na ewentualną decyzję Głównego Inspektora Sanitarnego, który na mocy ustawy ma kompetencje do zobligowania pracodawcy do konkretnego działania – art. 8a ust. 5 ustawy z dnia 14 marca 1985 r. o Państwowej Inspekcji Sanitarnej (Dz. U. z 2019 r. poz. 59 oraz z 2020 r. poz. 322). Problem dotyczący tej przesłanki wynika z jej nieprecyzyjnego sformułowania, z którego można wnioskować, że odnosi się ona tylko do przetwarzania danych przez osoby zobowiązane do przestrzegania tajemnicy zawodowej np. lekarzy lub pielęgniarki.

W związku ze sporymi wątpliwościami dotyczącymi możliwości zastosowania konkretnych podstaw przetwarzania danych z art. 9 RODO przy mierzeniu temperatury pracowników niewskazane jest odnotowywanie rezultatu przeprowadzonego pomiaru. Takie zachowanie, w mojej ocenie, sprawia że nie mamy do czynienia z przetwarzaniem danych osobowych w rozumieniu przepisów RODO, a co za tym idzie nie musimy spełniać pewnych obowiązków administratora danych wynikających z tego rozporządzenia – np. obowiązku informacyjnego względem podmiotu danych oraz obowiązku uwzględnienia przetwarzania w rejestrze czynności. Jest to również rozwiązanie, które w minimalnym stopniu ingeruje w prywatność osób badanych, nie narażając ich na niebezpieczeństwo chociażby wycieku pozyskanych od nich informacji.

Autor

Paweł Sobel

Doświadczenie zdobywał pracując w uznanych krakowskich kancelariach specjalizujących się w zagadnieniach dotyczących ochrony danych osobowych, prawa własności intelektualnej, prawie medycznym oraz prawie pracy. Brał udział w tworzeniu dokumentacji oraz procedur w ramach wielu projektów wdrożenia RODO.