Menu Zamknij

Czy można pogodzić ochronę danych osobowych i przeciwdziałanie COVID-19? Bezpieczeństwo i świadomość w pracy zdalnej

Wydarzenia ostatnich dni związane z pandemią koronawirusa wywróciły do góry nogami sposób funkcjonowania wielu firm. Wiele z nich w znacznym stopniu przeszło na tryb pracy zdalnej. Specyfika niektórych branż uniemożliwia jednak takie posunięcie. Zarówno praca zdalna, jak i praca stacjonarna w dobie rozprzestrzeniającej się choroby, wpływa na proces ochrony danych osobowych w firmie. W tym zakresie należy wskazać, że przepisy Ogólnego Rozporządzenia O Ochronie Danych (RODO)  z jednej strony nie mogą stać na przeszkodzie w walce chorobą. Z drugiej jednak strony choroba nie zwalnia z obowiązku przestrzegania przepisów.

Czy można mierzyć temperaturę pracownikowi i osobom wchodzącym na teren zakładu pracy, a także pytać o kierunki wyjazdów zagranicznych?


Aktualizacja 5 maja 2020 r.:

Urząd Ochrony Danych Osobowych w stanowisku z dnia 5 maja 2020 r. przedstawił stanowisko, w którym dopuścił pomiar temperatury pracowników. Obwarował jednak taką praktykę obowiązkiem uprzedniego uzyskania zobowiązania danego pracodawcy decyzją Generalnego Inspektora Sanitarnego. Pracodawcy, którzy chcą mierzyć temperaturę pracownikom powinni zatem zwrócić się z wnioskiem do GIS o wydanie decyzji nakazującej im rozpoczęcie takiego procesu. Podstawą wydania decyzji jest art. 17 specustawy covidowej.


Pytanie, którym żyją w ostatnim czasie zarówno firmy, jak i portale i blogi poświęcone kwestiom ochrony danych osobowych, budzi nieustające emocje. Ogromna rozpiętość poglądów w tym zakresie może wprowadzić w prawdziwą konsternację. I tak prezentowane z jednej strony są stanowiska, że sam pomiar temperatury bez jego odnotowania (rozumianego jako utrwalenie) w ogóle nie jest przetwarzaniem danych. W podobnym tonie utrzymywane są koncepcje,  zgodnie z którymi sama temperatura ciała w ogóle nie jest daną osobową, a jeśli już jest daną osobową to daną zwykłą. W konsekwencji takich ustaleń dopuszcza się pomiar temperatury ciała praktycznie bez ograniczeń.

Na przeciwnym biegunie stoją zaś stanowiska organów władzy publicznej. Zarówno za granicą, jak i Polsce (Państwowa Inspekcja Pracy – https://www.pip.gov.pl/pl/wiadomosci/108072,wyjasnienia-pip-w-zwiazku-z-koronawirusem.html) wyrażono dość rygorystyczne stanowisko, że zarówno pomiar temperatury pracowników przez pracodawcę jest wykluczony. Analogicznie, pracodawca nie miałby prawa przetwarzać danych o powrocie pracownika z regionów o dużym nasileniu występowania wirusa. Na wstępie należy zaznaczyć, że stanowisko to zostało przedstawione 26 lutego 2020 r. Przy obecnym tempie zmian mogło się już ono zdezaktualizować. W dalszej kolejności należy wskazać, że zdaje się ono nie przystawać do aktualnej sytuacji epidemiologicznej. Nie wymaga skomplikowanej analizy ustalenie, że kwestie zdrowia publicznego stoją raczej wyżej niż kwestie ochrony prywatności. Może być także sprzeczne z dość lakonicznym komunikatem Prezesa Urzędu Ochrony Danych Osobowych, zgodnie z którym przepisy o ochronie danych osobowych nie mogą być stawiane jako przeszkoda w realizacji działań w związku z walką z koronawirusem (https://uodo.gov.pl/pl/138/1456). Generalnie krytycznie przyjęto, że polski organ nadzorczy ograniczył się do tak ogólnego komunikatu. W dalszej jego części Prezes UODO wskazał, że kwestie związane z ochroną danych osobowych uregulowane są obecnie głównie w tzw. specustawie. Krytycy liberalnego podejścia wskazują, że jest to sygnał wskazujący na to, że skoro nie uchwalono uprawnienia pracodawcy do pomiaru temperatury, to jest on dalej niedopuszczalny.

Na marginesie należy zauważyć, że pomiar temperatury (niezależnie od sposobu: bezdotykowy termometr, kamery termowizyjne itp.) jest właściwie tylko potwierdzeniem zazwyczaj widocznych objawów chorobowych. Normalna, nie wskazująca na chorobę, temperatura ciała waha się w przedziale 36,1-37,3 st. Celsjusza. Przekroczenie tych wartości wiąże się zazwyczaj i tak z wystąpieniem innych objawów (np. nadmierne pocenie się, zaczerwienienie, osłabienie). Nie jest zatem tak, że powstrzymanie się od pomiaru temperatury prowadziłoby do zachowania w tajemnicy informacji o stanie zdrowia danego pracownika.

W konsekwencji powyższego należy stwierdzić, że rozpytanie na okoliczność przebywania w głównych ogniskach choroby (Włochy, Chiny, Iran) jest dopuszczalne. Podstawą prawna przetwarzania jest tutaj art. 6 ust. 1 lit. c),  d) oraz  f) RODO w zw. z art. 207 Kodeksu Pracy. Pracodawca ma bowiem obowiązek chronić zdrowie i życie pracowników przez zapewnienie bezpiecznych i higienicznych warunków pracy przy odpowiednim wykorzystaniu osiągnięć nauki i techniki. Każdy podmiot ma jednocześnie prawo jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej. Za prawnie uzasadniony interes należy przy tym uznać zapewnienie warunków, w których ryzyko rozprzestrzenienia się choroby zakaźnej w danej firmie będzie ograniczone. Z uprawnieniem pracodawcy jest tutaj zresztą skorelowany obowiązek pracownika określony w art. 211 Kodeku Pracy, zgodnie z którym pracownik ma obowiązek współdziałania z pracodawcą w wypełnianiu przez niego ustawowych obowiązków w zakresie BHP.

Analogiczne uwagi należy poczynić względem badania temperatury osobom wchodzącym na teren danego zakładu pracy. Intelektualne salta mające na celu ustalenie, że przy pomiarze temperatury nie dochodzi do przetwarzania danych osobowych nie są tu zresztą potrzebne. Nie należy pomijać, że przepisy RODO kreują generalny zakaz przetwarzania danych szczególnej kategorii (a informację o temperaturze ciała niewątpliwie należy uznać za taką daną). W art. 9 ust. 2 RODO można znaleźć jednak podstawy prawne, które zezwalałyby na taki pomiar. Tradycyjnie obowiązki pracodawcy w zakresie BHP, których realizacja wiążę się z przetwarzaniem tzw. danych wrażliwych skorelowane są uprawnieniami, o których mowa w art. 9 ust. 2 lit. b) i h) RODO. W chwili obecnej dodatkową podstawą przetwarzania może być ustalenie, że przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi (art. 9 ust. 2 lit. i) RODO).

Autor niniejszego opracowania stoi zatem na stanowisku, że pomiar temperatury osób wchodzących na teren zakładu jest dopuszczalny. Należy mieć jednak świadomość, że nie zwalnia to pracodawcy z obowiązku poszanowania słusznego prawa do prywatności i uwzględnienia zasady minimalizacji zakresu przetwarzania danych (art. 5 RODO). Wyniki pomiaru powinny być wykorzystywane wyłącznie do stwierdzenia/wykluczenia objawów choroby COVID-19. Zazwyczaj wiązało się to będzie z wykluczeniem zapisywania takich wyników. Należy zapewnić także bezpieczeństwo pomiaru osobom wykonującym go. Najlepiej, aby pracownicy samodzielnie dokonywali tej czynności.

Jak zapewnić bezpieczne i zgodne z prawem przetwarzanie danych w pracy zdalnej?


Przejście na tryb pracy zdalnej w przeważającej części przypadków nie jest niczym nowym w praktyce funkcjonowania firm. Co prawda skala tego przejścia (niekiedy więcej niż 90% pracowników) jest pewnym novum, ale płynące zewsząd sygnały prowadzą do wniosku, że firmy generalnie nieźle poradziły sobie z tym procesem. Większość z nich bowiem dopuszcza pracę zdalną i na takie zadania jest przygotowana.

Zasadniczym problemem z przetwarzaniem danych jest kwestia sprzętu IT, na którym pracownik ma wykonywać pracę. Zależnie od specyfiki zawodu oraz przyjętej polityki danej firmy dopuszcza się dwa modele: praca na dedykowanym sprzęcie pracodawcy lub na prywatnym urządzeniu pracownika (BYOD – Bring Your Own Device). Pierwsze rozwiązanie ma tę zasadniczą zaletę, że sprzęt pracodawcy jest zazwyczaj ustandaryzowany w zakresie ustawień bezpieczeństwa, zawiera normalne, używane na co dzień oprogramowanie. Zazwyczaj wystarczy podłączenie do Internetu oraz połączenie z siecią VPN, aby bezpiecznie korzystać z całości lub większości zasobów. Mało która firma posiada jednak 100% pokrycie w dedykowanym, przenośnym sprzęcie dla każdego ze swoich pracowników (redundancja). Rozwiązaniem w tym zakresie może być dopuszczenie w pracy zdalnej urządzeń wykorzystywanych z centralach na co dzień (zazwyczaj będą to komputery stacjonarne). Wiąże się to oczywiście ze zwiększonym ryzykiem utraty danych. W kontekście możliwego zatrzymania działalności firmy wydaje się jednak, że każda firma musi przynajmniej rozważyć akceptację takiego ryzyka.

Model BYOD ma z kolei tę przewagę, że zwalnia pracodawcę z obowiązku zapewnienia sprzętu. Tutaj pojawiają się jednak ryzyka związane z niestandardowymi parametrami w zakresie bezpieczeństwa, koniecznością instalowania licencjonowanego specjalistycznego oprogramowania, a także zapisywanie plików roboczych na lokalnych dyskach prywatnych komputerów. Rozwiązaniem są tutaj tzw. cyfrowe przestrzenie robocze, które pozwalają traktować prywatny komputer pracownika jako terminal do wewnętrznych zasobów informacyjnych firmy (z brakiem możliwości kopiowania, robienia zrzutów ekranu, rozwiązaniami Data Leak Protection itp.). Jeżeli rozwiązania tego typu nie zostały jednak dotychczas implementowane i przetestowane w organizacji, to szansa na ich szybkie wdrożenie jest jednak nikła.

Bezpieczeństwo w pracy zdalnej w sytuacjach wyjątkowych


To czego należy się na pewno wystrzegać w pracy zdalnej, to odstępstwa od polityki bezpieczeństwa przyjętej w danej organizacji. Należy pamiętać, że wyjątkowa sytuacja, której obecnie wszyscy jesteśmy uczestnikami nie zwalania nas z obowiązku ochrony danych osobowych. W tym zakresie należy zatem wykorzystywać wyłącznie zasoby udostępnione przez organizację (np. służbowy mail, telefon). Nie znajduje uzasadnienia korzystanie z niekomercyjnych rozwiązań (np. darmowe dyski chmurowe, poczta elektroniczna do użytku osobistego), jeżeli wiąże się to z przetwarzaniem danych osobowych (np. przesyłanie na komunikatorze z mediów społecznościowych informacji o zidentyfikowanym kliencie zazwyczaj będzie naruszeniem ochrony danych, ale już przekazanie informacji o przesłanym mailu i prośby o szybką odpowiedź takim naruszeniem zazwyczaj nie będzie).

Jeżeli nie ma możliwości skorzystania z poczty służbowej, to pamiętajmy o szyfrowaniu załączników zawierających dane osobowe. Hasło do pliku należy przesłać osobnym kanałem komunikacji (np. sms).

Świadomość pracodawcy i pracownika


Pracownicy muszą mieć świadomość, że praca poza biurem może także prowadzić do ujawnienia danych osobom nieupoważnionym. Pomimo zaufania, którym zazwyczaj darzymy członków rodziny  nie powinni oni mieć wglądu w treść dokumentów przygotowywanych na komputerze, ani wydrukowanych. Należy zapewnić także bezpieczne niszczenie wydruków (nie należy wyrzucać ich do śmieci!). Jeżeli nie mamy możliwości użycia dobrej klasy niszczarki, to z utylizacją dokumentów powinniśmy poczekać do powrotu do biura. Rozproszenie pracowników wiąże się także ze zwiększonym ryzykiem utraty nośników danych (laptopy, pendrive, dyski). Każde takie zdarzenie należy niezwłocznie zgłaszać pracodawcy.