Przewodnicząca Europejskiej Rady Ochrony Danych (dalej jako: EROD) w oświadczeniu z 19.3.2020 r. zaznaczyła, że obecna sytuacja nadzwyczajna może uzasadniać ograniczenie wolności, pod warunkiem że ograniczenia te są proporcjonalne i ograniczone wyłącznie do okresu nadzwyczajnego. W oświadczeniu podkreślono, że w tak wyjątkowej i bezprecedensowej sytuacji administratorzy i podmioty przetwarzające nadal podlegają przepisom zapewniających ochronę danych osobowych. Tym samym EROD wskazał na szereg czynników gwarantujących zgodne z prawem przetwarzanie danych osobowych w związku z pandemią wirusa.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. L Nr 119 z 2016 r., s. 1 ze zm.; dalej jako: RODO) jest aktem prawnym, który zawiera przepisy mające zastosowanie również do przetwarzania danych osobowych w kontekście takim jak stan nadzwyczajny wywołany pandemią wirusa COVID-19. Oznacza to, że RODO umożliwia właściwym organom ds. zdrowia publicznego i pracodawcom przetwarzanie danych osobowych w kontekście pandemii, które powinno odbywać się zgodnie z prawem krajowym. Gdy przetwarzanie danych jest więc konieczne ze względu na istotny interes publiczny w dziedzinie zdrowia publicznego nie ma potrzeby, zdaniem EROD, polegania na zgodzie osób fizycznych, jako podstawie prawnej do przetwarzania danych osobowych, o której mowa w art. 6 RODO.
Przetwarzanie danych osobowych może być więc konieczne do wypełnienia obowiązku prawnego, któremu podlega pracodawca, np. obowiązków związanych ze zdrowiem i bezpieczeństwem w miejscu pracy lub z interesem publicznym, takim jak kontrola chorób i innych zagrożeń dla zdrowia. RODO przewiduje również odstępstwa od zakazu przetwarzania określonych, szczególnych kategorii danych osobowych, takich jak dane dotyczące zdrowia, gdy jest to konieczne ze względu na istotny interes publiczny w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. i RODO, na podstawie prawa Unii lub prawa państwa członkowskiego lub gdy istnieje potrzeba ochrony żywotnych interesów osoby, której dane dotyczą w myśl art. 9 ust. 2 lit. c RODO. Zgodnie z motywem 46 preambuły RODO przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest niezbędne do ochrony interesu, który ma istotne znaczenie dla życia osoby, której dane dotyczą, lub innej osoby fizycznej. Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej. W motywie tym wyraźnie podkreślono, że niektóre rodzaje przetwarzania mogą służyć zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą, na przykład gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka.
Poza zagadnieniem podstaw prawnych umożliwiających przetwarzanie danych w obliczu pandemii, w oświadczeniu EROD wskazano, że dane osobowe, które są niezbędne do osiągnięcia zamierzonych celów powinny być przetwarzane w konkretnych i wyraźnych celach. Osoby, których dane są przetwarzane, powinny otrzymywać przejrzyste informacje na temat prowadzonych działań w zakresie przetwarzania oraz ich głównych cech, w tym okresu przechowywania gromadzonych danych i celów przetwarzania. Obowiązek informacyjny powinien więc spełniać wszystkie wymogi określone odpowiednio w art. 13 i 14 RODO.
Zwrócono także uwagę na konieczność przyjęcia odpowiednich środków bezpieczeństwa przetwarzania danych zebranych w związku z pandemią wirusa COVID-19, a także na wprowadzenie, bądź też aktualizacje postanowień dotyczących poufności przetwarzanych danych. Środki wdrożone w celu zarządzania bieżącą sytuacją nadzwyczajną powinny być odpowiednio udokumentowane zgodnie z obowiązującą zasadą rozliczalności, o której mowa w art. 5 ust. 2 RODO. Administratorzy oraz podmioty przetwarzające mogą zatem, z uwagi na sytuacje nadzwyczajną, otrzymać dostęp do danych osobowych, do których w normalnych okolicznościach by nie uzyskali. Z tego względu podmioty te powinny rozważyć czy nie zasadnym byłaby aktualizacja obecnie przyjętych środków w obliczu zbierania nowych informacji o osobach, których dane dotyczą, ze szczególnym uwzględnieniem przetwarzania danych szczególnej kategorii (art. 9 RODO).
Do pozyskania informacji o stanie zdrowia może dojść w ramach realizacji obowiązków nałożonych przez prawo krajowe na pracodawcę. W takim przypadku na szczególną uwagę zasługuje konieczność realizacji zasady propocjonalności i minimalizacji. Pracodawca może więc zostać zobowiązany do przeprowadzania badań lekarskich na obecność wirusa. EROD podkreśla, że informacja o wynikach testu oraz o tożsamości pracownika powinna podlegać szczególnej ochronie. W przypadkach, w których konieczne jest ujawnienie nazwiska pracownika, który jest zarażony wirusem (a prawo krajowe na to zezwala) pracownicy, których sprawa dotyczy, powinni zostać o tym poinformowani z wyprzedzeniem, przy zachowaniu wspomnianych zasad.
EROD w pkt. 1.3 oświadczenia wypowiedziała się także w zakresie przetwarzania danych telekomunikacyjnych, takich jak dane dotyczące lokalizacji. Podkreślono, że dane dotyczące lokalizacji mogą być wykorzystywane przez operatora tylko wtedy, gdy są anonimowe lub ich wykorzystywanie odbywa się za zgodą osób fizycznych oraz zgodnie z prawem krajowym. Jednakże art. 15 dyrektywy 2002/58/WE parlamentu europejskiego i rady z dnia 12.7.2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej), (Dz.Urz. L Nr 201 z 2002 r., s. 37) umożliwia państwom członkowskim wprowadzenie środków prawnych mających na celu ochronę bezpieczeństwa publicznego. W oświadczeniu zaznaczono jednak, że takie wyjątkowe przepisy są możliwe tylko wtedy gdy stanowią konieczny, odpowiedni i proporcjonalny środek w ramach społeczeństwa demokratycznego. Środki te muszą pozostać bowiem w zgodzie z Kartą Praw Podstawowych i Europejską Konwencją o Ochronie Praw Człowieka i Podstawowych Wolności. Powyższe ponadto podlega kontroli sądowej Europejskiego Trybunału Sprawiedliwości i Europejskiego Trybunału Praw Człowieka.
Niektóre państwa członkowskie przewidują wykorzystanie danych z sieci komórkowych dotyczących lokalizacji jako możliwy sposób monitorowania rozprzestrzeniania się COVID-19, co oznaczałoby możliwość geolokalizacji osób lub wysyłania wiadomości dotyczących zdrowia publicznego do osób znajdujących się na określonym obszarze za pomocą telefonu lub wiadomości tekstowych. Organy publiczne, zdaniem EROD, powinny więc w pierwszej kolejności przetwarzać dane dotyczące lokalizacji w sposób anonimowy (tj. przetwarzać dane zagregowane w sposób uniemożliwiający ponowną identyfikację osób). Jeżeli jednak zostałyby wprowadzone środki umożliwiające przetwarzanie niezanonimizowanych danych dotyczących lokalizacji, państwo członkowskie jest zobowiązane do wprowadzenia odpowiednich zabezpieczeń, takich jak zapewnienie osobom korzystającym z usług łączności elektronicznej prawa do środka prawnego. Geolokalizacje osób fizycznych, zdaniem EROD, można uznać za proporcjonalne w wyjątkowych okolicznościach i w zależności od konkretnych sposobów przetwarzania. Powyższe oznacza wzmożoną kontrolę i wprowadzenie proporcjonalnych zabezpieczeń w celu zapewnienia przestrzegania zasad ochrony danych (proporcjonalność środka pod względem czasu trwania i zakresu, ograniczone zatrzymywanie danych i ograniczenie celu).
Oświadczenie Prezesa Urzędu Ochrony Danych Osobowych (dalej jako: Prezes UODO ) w sprawie wirusa COVID-19 z 12.3.2020 r. wydaję się pozostawać w spójności ze stanowiskiem wyrażonym przez EROD 19.3.2020 r. Prezes UODO podkreślił, ze przepisy o ochronie danych osobowych nie mogą być stawiane jako przeszkoda w realizacji działań w związku z walką z wirusem. Prezes UODO odwołał się do specustawy, która daje narzędzia do podejmowania przez pracodawców określonych działań, które wynikają zarówno z zaleceń Głównego Inspektora Sanitarnego, jak i Prezesa Rady Ministrów.
W oświadczeniu przywołano art. 17 ustawy z 2.3.2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz.U. z 2020 r. poz. 374), w którym wskazano, że Główny Inspektor Sanitarny lub działający z jego upoważnienia państwowy wojewódzki inspektor sanitarny może wydawać pracodawcom m. in. decyzje nakładające obowiązek podjęcia określonych czynności zapobiegawczych lub kontrolnych i współdziałania z innymi organami administracji publicznej oraz organami Państwowej Inspekcji Sanitarnej. Ponadto Prezes Rady Ministrów na wniosek wojewody, po poinformowaniu ministra właściwego do spraw gospodarki, ma prawo do wydawania poleceń przedsiębiorcom w związku z przeciwdziałaniem COVID-19. Polecenia te, wydawane w formie decyzji administracyjnej, podlegają natychmiastowemu wykonaniu z chwilą ich doręczenia lub ogłoszenia oraz nie wymagają uzasadnienia. Powyższe postanowienia odwołują się zarówno do motywu 46 preambuły RODO (przetwarzanie danych w związku z realizacją celów humanitarnych w tym monitorowania epidemii), jak i do art. 9 ust. 2 lit i art. 6 ust. 1 lit d RODO.