Zgodnie z rządowymi wytycznymi jednym z obowiązków spoczywających na pracodawcy w procesie organizacji szczepienia jest zbieranie zgód na przetwarzanie danych osobowych. W rezultacie firmy rozpoczęły masową dystrybucję odpowiednich formularzy wśród pracowników. Należy jednak pamiętać, że zgoda nie jest odpowiednią przesłanką do przetwarzania danych dotyczących szczepienia.
– Zgoda w swojej istocie opiera się na pełnej dobrowolności i możliwości odwołania w dowolnym momencie. Te dwie cechy w zasadzie dyskwalifikują zgodę jako odpowiednią podstawę do przetwarzania danych osobowych w większości przypadków w stosunkach służbowych – tłumaczy Monika Niedźwiecka, Senior Associate w JP Weber i radca prawny.
Zgodnie z literą prawa pracodawca nie potrzebuje zgody pracownika na przetwarzanie danych dla celów szczepienia. Aby zrozumieć dobrze tę kwestię warto w pierwszej kolejności odpowiedzieć na pytanie, czy dane dotyczące szczepienia należą do szczególnych kategorii danych osobowych – innymi słowy, czy są to dane dotyczące stanu zdrowia. Niewątpliwie dane osób, które deklarują chęć zaszczepienia nie są danymi o stanie zdrowia, a są to tzw. dane zwykłe.
Jednak, zupełnie inaczej przedstawia się sytuacja w przypadku danych osób już zaszczepionych – W mojej ocenie tego rodzaju dane mogą zostać uznane za dane dotyczące stanu zdrowia – podkreśla Monika Niedźwiecka.
Warto zwrócić uwagę, że pracownicy, którzy deklarują chęć zaszczepienia się w zakładzie pracy podają swoje dane osobowe pracodawcy (imię i nazwisko, numer PESEL
i nr telefonu), aby ten przekazał je podmiotowi leczniczemu przeprowadzającemu szczepienia. Są to więc dane osobowe pacjentów przychodni będących administratorami tych danych, które mają własne podstawy i własne cele do ich przetwarzania. Cele te to przede wszystkim udzielanie świadczeń w ramach działalności medycznej – w tym przypadku głównym celem jest przeprowadzenie szczepień przeciwko COVID-19. Podstawą zaś nie jest zgoda pacjenta, lecz niezbędność danych do wykonania obowiązków podmiotu leczniczego wynikających z ustawy o prawach pacjenta i aktach wykonawczych.
– W przypadku firm, które chcą dołączyć do Narodowego Programu Szczepień należy więc rozważyć zawarcie z podmiotem leczniczym umowy powierzenia przetwarzania danych osobowych, gdzie pracodawca będzie podmiotem przetwarzającym – radzi Monika Niedźwiecka. – Niezależnie od powyższego, w mojej ocenie, z uwagi na szczególną sytuację związaną z epidemią koronawirusa, pracodawcy mogą posiadać również własne cele i własne podstawy do przetwarzania danych pracowników zaszczepionych. Należy jednak wskazać, że również w tym przypadku zgoda nie jest odpowiednią podstawą legalizującą przetwarzanie tych danych. Zgoda jest jednostronnym, dobrowolnym oświadczeniem woli, które w każdej chwili może być cofnięte. Konsekwencje wycofania zgody pracowniczej mogą być w tym przypadku daleko idące. Dodatkowo zgoda nie powinna być stosowana jako przesłanka do przetwarzania danych w przypadku braku równowagi stron, a stosunek podległości służbowej niewątpliwie nie należy do sytuacji, w której obie strony są równe.
Biorąc pod uwagę wyjątkową sytuację, jaką jest stan epidemii pracodawcy mają zamiar wykorzystywać dane o pracownikach zaszczepionych na COVID-19 w celu np. zapewnienia bezpiecznych i higienicznych warunków pracy czy ograniczenia i prewencji rozprzestrzeniania się choroby zakaźnej na terenie zakładu pracy. Warto podkreślić, że zgodnie z przepisami pracodawca ponosi odpowiedzialność za stan bezpieczeństwa i higieny pracy w zakładzie pracy. W związku z tym należy rozważyć, czy dane dotyczące szczepień wśród pracowników nie są ważnym elementem zapewnienia bezpiecznej pracy w czasie epidemii. Niestety, na dziś brak jest konkretnych wytycznych w tym zakresie. Niewątpliwie dane dotyczące osób zaszczepionych mogą stanowić istotną podstawę do planowania pracy w trybie tzw. hybrydowym, do podjęciu decyzji o konieczności pracy zdalnej i innych działań zabezpieczających przed rozprzestrzenianiem się koronawirusa w zakładzie pracy. W związku z tym pracodawcy powinni mieć możliwość wykorzystywania danych o osobach zaszczepionych.
Oczywiście, działania podejmowane w wyniku uzyskania tych danych nie mogą mieć charakteru dyskryminującego, takich jak na przykład premiowanie pracowników zaszczepionych. Samo przetwarzanie danych osób zaszczepionych powinno być oparte na właściwej podstawie z art. 9 RODO, który reguluje przesłanki przetwarzania danych tzw. „wrażliwych”.
Można przyjąć, że pracodawcy działają w celu wypełnienia ciążących na nich obowiązków wynikających z przepisów kodeku pracy, przy czym z uwagi na to, że przepis art. 207 kodeksu pracy jest dość ogólny, warto przeprowadzić konsultacje i analizy BHP w celu uzasadnienia możliwości przetwarzania tych danych. Ponadto w związku z nadzwyczajną sytuacją, jaką jest stan epidemii, można przyjąć że pracodawcy realizują interes publiczny w zakresie zapobiegania rozprzestrzenianiu się choroby zakaźnej – wówczas odpowiednią przesłanką będzie art. 9 ust.2 lit. i RODO.
Warto również pamiętać, że szczepienia w zakładach pracy są bardzo ważnym elementem w walce o powrót do „normalności” i przywrócenia gospodarki na właściwe tory. Prawo do prywatności jest niezwykle istotne, pozostaje jednak tak samo ważne jak inne prawa – w tym w szczególności prawo do pracy w bezpiecznych warunkach. Ponadto powodzenie akcji przeprowadzania szczepień w zakładach pracy nie powinno być uzależnione od tego, czy pracodawcy uda się zebrać zgody RODO.