Europejska Rada Ochrony Danych przyjmuje następujące oświadczenie:

Rządy, organizacje publiczne i prywatne w całej Europie podejmują środki mające na celu ograniczenie i złagodzenie skutków pandemii COVID-19. Może się to wiązać z przetwarzaniem różnego rodzaju danych osobowych. Zasady ochrony danych (takie jak RODO) nie ograniczają środków podejmowanych w ramach walki z pandemią koronawirusa. Walka z chorobami zakaźnymi jest wspólnym celem dla wszystkich narodów i dlatego powinna być wspierana w najlepszy możliwy sposób. W interesie ludzkości leży ograniczenie rozprzestrzeniania się chorób i wykorzystanie nowoczesnych technik w walce z plagami dotykającymi znaczną część świata. Mimo to EROD chciałaby podkreślić, że nawet w tych wyjątkowych czasach administrator i podmiot przetwarzający muszą zapewnić ochronę danych osobowych osób, których dane dotyczą. W związku z tym należy wziąć pod uwagę szereg czynników gwarantujących zgodne z prawem przetwarzanie danych osobowych i we wszystkich przypadkach należy przypomnieć, że wszelkie środki podejmowane w tym kontekście muszą być zgodne z ogólnymi zasadami prawa i nie mogą być nieodwracalne. Sytuacja nadzwyczajna jest warunkiem prawnym, który może uzasadniać ograniczenie wolności, pod warunkiem że ograniczenia te są proporcjonalne i ograniczone do okresu nadzwyczajnego.

Zgodność przetwarzania  z prawem

RODO jest obszernym aktem prawnym, który zawiera przepisy mające zastosowanie również do przetwarzania danych osobowych w kontekście takim jak ten dotyczący COVID-19. RODO pozwala właściwym organom ds. zdrowia publicznego i pracodawcom na przetwarzanie danych osobowych w kontekście epidemii, zgodnie z prawem krajowym i na określonych w nim warunkach. Na przykład, gdy przetwarzanie danych jest konieczne ze względu na istotny interes publiczny w dziedzinie zdrowia publicznego. W tych okolicznościach nie ma potrzeby polegania na zgodzie osób fizycznych.

1.1. Jeśli chodzi o przetwarzanie danych osobowych, w tym szczególnych kategorii danych przez właściwe organy publiczne (np. organy ds. zdrowia publicznego), EROD uważa, że art. 6 i art. 9 RODO umożliwiają przetwarzanie danych osobowych, w szczególności gdy wchodzą one w zakres mandatu prawnego organu publicznego przewidzianego w ustawodawstwie krajowym oraz warunków wskazanych w RODO.

1.2 W kontekście zatrudnienia przetwarzanie danych osobowych może być konieczne do wypełnienia obowiązku prawnego, któremu podlega pracodawca, np. obowiązków związanych ze zdrowiem i bezpieczeństwem w miejscu pracy lub z interesem publicznym, takim jak kontrola chorób i innych zagrożeń dla zdrowia. RODO przewiduje również odstępstwa od zakazu przetwarzania określonych szczególnych kategorii danych osobowych, takich jak dane dotyczące zdrowia, gdy jest to konieczne ze względu na istotny interes publiczny w dziedzinie zdrowia publicznego (art. 9 ust. 2 lit. i RODO), na podstawie prawa Unii lub prawa państwa członkowskiego lub gdy istnieje potrzeba ochrony żywotnych interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. c RODO), ponieważ motyw 46 wyraźnie odnosi się do kontroli epidemii.

1.3 W odniesieniu do przetwarzania danych telekomunikacyjnych, takich jak dane dotyczące lokalizacji, należy również przestrzegać przepisów krajowych wdrażających dyrektywę o prywatności i łączności elektronicznej. Co do zasady, dane dotyczące lokalizacji mogą być wykorzystywane przez operatora tylko wtedy, gdy są anonimowe lub za zgodą osób fizycznych. Jednakże art. 15 dyrektywy o prywatności i łączności elektronicznej umożliwia państwom członkowskim wprowadzenie środków prawnych mających na celu ochronę bezpieczeństwa publicznego. Takie wyjątkowe przepisy są możliwe tylko wtedy gdy stanowią konieczny, odpowiedni i proporcjonalny środek w ramach społeczeństwa demokratycznego. Środki te muszą być zgodne z Kartą Praw Podstawowych i Europejską Konwencją o Ochronie Praw Człowieka i Podstawowych Wolności. Ponadto podlega ono kontroli sądowej Europejskiego Trybunału Sprawiedliwości i Europejskiego Trybunału Praw Człowieka. W przypadku sytuacji nadzwyczajnej powinna ona być również ściśle ograniczona do czasu trwania danej sytuacji nadzwyczajnej.

Podstawowe zasady odnoszące się do przetwarzania danych osobowych

Dane osobowe, które są niezbędne do osiągnięcia zamierzonych celów, powinny być przetwarzane w konkretnych i wyraźnych celach.
Ponadto osoby, których dane dotyczą, powinny otrzymywać przejrzyste informacje na temat prowadzonych działań w zakresie przetwarzania oraz ich głównych cech, w tym okresu przechowywania gromadzonych danych i celów przetwarzania. Dostarczane informacje powinny być łatwo dostępne i przedstawione jasnym i prostym językiem.
Ważne jest, aby przyjąć odpowiednie środki bezpieczeństwa i polityki poufności zapewniające, że dane osobowe nie są ujawniane nieupoważnionym stronom. Środki wdrożone w celu zarządzania bieżącą sytuacją nadzwyczajną oraz leżący u ich podstaw proces decyzyjny powinny być odpowiednio udokumentowane.

Wykorzystywanie danych z sieci komórkowych dotyczących lokalizacji

  • Czy rządy państw członkowskich mogą wykorzystywać dane osobowe związane z telefonami komórkowymi osób fizycznych w swoich wysiłkach na rzecz monitorowania, ograniczania lub łagodzenia rozprzestrzeniania się COVID-19? 

W niektórych państwach członkowskich rządy przewidują wykorzystanie danych z sieci komórkowych dotyczących lokalizacji jako możliwy sposób monitorowania, ograniczania lub łagodzenia skutków rozprzestrzeniania się COVID-19. Oznaczałoby to, na przykład, możliwość geolokalizacji osób lub wysyłania wiadomości dotyczących zdrowia publicznego do osób znajdujących się na określonym obszarze za pomocą telefonu lub wiadomości tekstowych. Organy publiczne powinny w pierwszej kolejności starać się przetwarzać dane dotyczące lokalizacji w sposób anonimowy (tj. przetwarzać dane zagregowane w sposób uniemożliwiający ponowną identyfikację osób), co mogłoby umożliwić generowanie raportów na temat koncentracji urządzeń przenośnych w określonej lokalizacji („kartografia”).
Zasady ochrony danych osobowych nie mają zastosowania do danych, które zostały odpowiednio zanonimizowane.
Jeżeli nie jest możliwe przetwarzanie wyłącznie danych anonimowych, dyrektywa o prywatności i łączności elektronicznej umożliwia państwom członkowskim wprowadzenie środków legislacyjnych mających na celu ochronę bezpieczeństwa publicznego (art. 15).
Jeżeli zostaną wprowadzone środki umożliwiające przetwarzanie niezanonimizowanych danych dotyczących lokalizacji, państwo członkowskie jest zobowiązane do wprowadzenia odpowiednich zabezpieczeń, takich jak zapewnienie osobom korzystającym z usług łączności elektronicznej prawa do środka prawnego.
Zastosowanie ma również zasada proporcjonalności. Zawsze należy preferować rozwiązania najmniej inwazyjne, biorąc pod uwagę konkretny cel, który ma zostać osiągnięty. Środki inwazyjne, takie jak „śledzenie” osób fizycznych (tj. przetwarzanie historycznych niezanonimizowanych danych dotyczących lokalizacji), można uznać za proporcjonalne w wyjątkowych okolicznościach i w zależności od konkretnych sposobów przetwarzania. Powinny one jednak podlegać wzmożonej kontroli i zabezpieczeniom w celu zapewnienia przestrzegania zasad ochrony danych (proporcjonalność środka pod względem czasu trwania i zakresu, ograniczone zatrzymywanie danych i ograniczenie celu).

Zatrudnienie  

  • Czy w kontekście COVID-19 pracodawca może wymagać od osób odwiedzających lub pracowników dostarczenia konkretnych informacji dotyczących zdrowia? 

Zastosowanie zasady proporcjonalności i minimalizacji danych jest tu szczególnie istotne. Pracodawca powinien wymagać informacji dotyczących zdrowia jedynie w zakresie, w jakim zezwala na to prawo krajowe.

  • Czy pracodawca może przeprowadzać badania lekarskie pracowników?

Odpowiedź opiera się na przepisach krajowych dotyczących zatrudnienia lub zdrowia i bezpieczeństwa. Pracodawcy powinni mieć dostęp do danych dotyczących zdrowia i przetwarzać je tylko wtedy, gdy wymagają tego ich własne zobowiązania prawne.

  • Czy pracodawca może ujawnić swoim współpracownikom lub innym osobom informację, że jego pracownik jest zakażony COVID-19?  

Pracodawcy powinni informować pracowników o przypadkach COVID-19 i podejmować środki ochronne, ale nie powinni przekazywać więcej informacji niż jest to konieczne. W przypadkach, w których konieczne jest ujawnienie nazwiska pracownika, który zarażony jest wirusem (np. w kontekście profilaktyki), a prawo krajowe na to zezwala, pracownicy, których sprawa dotyczy, powinni zostać poinformowani z wyprzedzeniem, a ich godność i uczciwość powinny być chronione.

  • Jakie informacje przetwarzane w kontekście COVID-19 mogą uzyskać pracodawcy? 

Pracodawcy mogą uzyskać dane osobowe w celu wypełnienia swoich obowiązków i zorganizowania pracy zgodnie z prawem krajowym.

W imieniu Europejskiej Rady Ochrony Danych Przewodnicząca Andrea Jelinek

Angielska wersja oświadczenia:
https://edpb.europa.eu/our-work-tools/our-documents/other/statement-processing-personal-data-context-covid-19-outbreak_en

Źródło: https://uodo.gov.pl/pl/138/1463