Polskie prawo nie dopuszcza ujawnienia danych takiej osoby – twierdzi UODO, powołując się przy tym na unijne wytyczne. Jednak inne organy nadzorcze w UE dostrzegają możliwość odmiennego podejścia
DGP
Epidemia koronawirusa stanowi wyzwanie natury nie tylko zdrowotnej, lecz także prawnej. Pracodawcy, a także specjaliści z zakresu prawa pracy i ochrony danych osobowych, stanęli przed poważnym dylematem: czy można – a jeśli tak, to pod jakimi warunkami – przekazywać personelowi informację, kto spośród pracowników jest nosicielem wirusa. Innymi słowy, czy pracodawca ma prawo poinformować załogę, kto zachorował na COVID-19? Część praktyków prezentuje niezachwiane stanowisko, że takie działanie byłoby bezprawne. Pojawiają się twierdzenia, że cała Europa podziela ten pogląd, co ma wynikać ze stanowiska Europejskiej Rady Ochrony Danych (EROD), opublikowanego 17 marca br.
Idąc tym tropem, postanowiliśmy zadać organom nadzorczym pytanie, czy faktycznie RODO zawsze i bez wyjątków zabrania informowania innych o tym, kto konkretnie zaraził się wirusem. A jeśli takie sytuacje są dopuszczalne, to pod jakimi warunkami.
Okazuje się, że w znacznej mierze ich stanowiska były zbieżne z opinią EROD (co nie dziwi, biorąc pod uwagę, że Rada składa się z przedstawicieli organów nadzorczych), a przez to bardzo ostrożne i wyważone, jeśli chodzi o dopuszczanie informowania o osobach zakażonych. Nie odrzucały jednak takich działań jako absolutnie bezprawnych. Konsekwentnie odsyłały do przepisów krajowych z zakresu prawa pracy (tak jak czyni to EROD) i podkreślały, że zasadą jest unikanie ujawniania personaliów chorego. Wydaje się to rozsądne, przy uwzględnieniu, że COVID-19 nie zawiesza stosowania RODO i ustanowionych tam ogólnych zasad przetwarzania danych osobowych (m.in. minimalizacji danych, ograniczenia celu, zapewnienia bezpieczeństwa, rozliczalności).

Kodeks pracy

Problem ujawnienia tożsamości pracownika zarażonego COVID-19 jest istotny zarówno w kontekście przepisów ochrony danych osobowych, jak i prawa pracy (przy czym dziedziny te mają części wspólne). Wartości związane z prywatnością (ochroną danych) musimy w tym przypadku zderzyć z obowiązkami leżącymi po stronie pracodawcy, wynikającymi wprost z prawa pracy (zapewnienie bezpieczeństwa i higienicznych warunków) i rozstrzygnąć w konkretnej sprawie, czy prywatność może, w tej – co podkreślamy – szczególnej sytuacji, ustąpić potrzebie lub obowiązkowi zapewnienia bezpieczeństwa zatrudnionemu personelowi.
Aby dokonać takiej oceny, w pierwszej kolejności należy wyjaśnić, skąd bierze się to zobowiązanie po stronie pracodawcy i jak mocno determinuje jego działania. Przede wszystkim należy wspomnieć o art. 207 par. 2 kodeksu pracy, który ustanawia obowiązek zapewnienia bezpiecznych i higienicznych warunków pracy. Do tego dochodzą inne przepisy zobowiązujące pracodawcę do zapewnienia bezpieczeństwa i higieny pracy, odnoszące się do wszystkich sytuacji, w tym także tak szczególnych jak światowa pandemia. Biorąc pod uwagę ocenę ryzyka epidemiologicznego w kontekście wspomnianych przepisów, nie można wykluczyć (chociaż jest to wyjątek od ogólnej zasady, co chcemy jeszcze raz podkreślić), że w uzasadnionych przypadkach ujawnienie współpracownikom, czy grupie współpracowników, tożsamości osoby zakażonej COVID-19 może być koniecznym i jedynym rozwiązaniem. Z założenia ma to pozwolić na szybką identyfikację osób, które mogły mieć kontakt z chorym i podjęcie adekwatnych działań (np. skierowanie ich do pracy zdalnej). Stanowisko takie dopuszczają niektóre organy, o czym piszemy dalej.
W obszarze ochrony danych osobowych kluczowe jest zaś wspomniane stanowisko EROD z 17 marca 2020 r., gdzie wskazuje się, że: „pracodawcy powinni informować pracowników o przypadkach COVID-19 i podejmować środki ochronne, ale nie powinni przekazywać więcej informacji, niż jest to konieczne. W przypadkach, w których konieczne jest ujawnienie nazwiska pracownika, który zarażony jest wirusem (np. w kontekście profilaktyki), a prawo krajowe na to zezwala, pracownicy, których sprawa dotyczy, powinni zostać poinformowani z wyprzedzeniem, a ich godność i uczciwość powinny być chronione”. Tak więc wskazanie konkretnego pracownika zakażonego COVID-19 musiałoby mieć oparcie w przepisach prawa krajowego. Takie podejście jest wspólne dla wszystkich organów nadzorczych, co widać w treści udzielonych nam odpowiedzi. Mamy tutaj wyraźne odesłanie do regulacji krajowych. Powstaje więc pytanie: które z przepisów krajowych będą podstawą takich działań.
Mając na względzie, że informacja o zakażeniu zaliczana jest do danych dotyczących zdrowia, a więc danych szczególnej kategorii (art. 9 ust. 1 RODO), podstawy ujawnienia tożsamości chorego należałoby szukać w przesłance niezbędności do wypełnienia obowiązków i wykonywania szczególnych praw w obszarze prawa pracy (art. 9 ust. 2 lit. b RODO) w związku ze wspomnianymi przepisami tej dziedziny prawa.

Zdaniem UODO

Urząd Ochrony Danych Osobowych zdaje się szukać rozwiązań w tzw. specustawie o COVID-19, nie uznając jednocześnie za wystarczającą podstawę przepisów kodeksu pracy wprowadzających ogólny obowiązek zapewnienia bezpiecznych i higienicznych warunków pracy, czy też informowania o zagrożeniach. Zdaniem UODO „przepisy prawa pracy nie regulują celu przetwarzania danych, jakim jest zwalczanie pandemii, w odróżnieniu od przepisów dedykowanych właśnie temu konkretnemu celowi, np. ustawa z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (specustawa), która wprowadza szereg regulacji włączających również pracodawców do działań mających na celu zwalczanie pandemii”. W opinii UODO to zatem służby sanitarne, które prowadzą działania związane z zapobieganiem i zwalczaniem zakażeń, za sprawą specustawy o COVID-19 dysponują szerszymi kompetencjami w tym zakresie. Ustawa ta w art. 17 przyznaje bowiem głównemu inspektorowi sanitarnemu uprawnienie do wydawania określonym podmiotom decyzji nakładających obowiązki oraz zalecenia i wytyczne określające sposób postępowania w trakcie realizacji ich zadań. W konsekwencji wykonywanie zadań związanych z przeciwdziałaniem COVID-19 w zakładzie pracy wymaga współpracy służb sanitarnych z pracodawcami.
Powyższe skłania do refleksji, czy ograniczeni jesteśmy li tylko do tej regulacji, czy też możemy się oprzeć na innych przepisach, np. wspomnianego kodeksu pracy, w szczególności biorąc pod uwagę wydolność służb sanitarnych. Stanowiska części organów nadzorczych wydają się bardziej elastyczne, pozostając jednocześnie w zgodzie z komunikatem EROD.

Na scenę wkracza RPO

Innego zdania niż UODO jest rzecznik praw obywatelskich, który w stanowisku z 9 listopada 2020 r. podkreślił, że o ile żaden przepis rozporządzeń Rady Ministrów z 9, 23, 30 października i 3 listopada 2020 r. (w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii) nie wskazuje obowiązku pracodawcy informowania o przypadkach zachorowania na COVID-19 w firmie, o tyle taki obowiązek da się wywieść bezpośrednio z przepisów kodeksu pracy (art. 207 par. 2 k.p., w zw. z art. 304 k.p. w zw. z art. 226 pkt 1). Rzecznik wyraźnie podkreślił więc rolę prawa pracy, przy czym wydaje się, że uwzględnić tu trzeba również zasady ogólne przetwarzania danych osobowych, takie jak przywołane wcześniej rzetelność, przejrzystość czy też minimalizacja danych.
!Wskazanie konkretnego pracownika zakażonego COVID-19 musi mieć oparcie w przepisach prawa krajowego. Takie podejście jest wspólne dla wszystkich organów nadzorczych w państwach Unii Europejskiej stojących na straży danych osobowych.

Opinie organów nadzorczych w UE

Jak do tego problemu odniosły się organy nadzorujące ochronę danych osobowych w innych państwach UE? W większości były to zbieżne stanowiska w dwóch aspektach. Po pierwsze podstaw do ujawnienia należy szukać w przepisach krajowych, a po drugie ujawnienie jest wyjątkiem, a nie regułą.
Na bliskiej nam Łotwie inspektorat ustalił, że gdy organizacja jest wystarczająco duża, pracodawca może poinformować innych pracowników o przypadku zarażenia, ale nie wolno mu ujawnić nazwiska ani informacji pozwalających zidentyfikować osobę, co mogłoby skutkować niezgodnym z prawem przetwarzaniem jej danych. „Jest to jeszcze bardziej skomplikowane, gdy organizacja jest mała; wtedy takie komunikaty mogą prowadzić do identyfikacji osoby zarażonej, dlatego pracodawca musi ostrożnie ocenić przekazywane informacje”.
Z kolei organ węgierski podkreślił, że, co prawda, przepisy prawa pracy pozwalają pracodawcom, w celu zapewnienia bezpiecznych i higienicznych warunków, przetwarzać informacje o potencjalnym/faktycznym zakażeniu wirusem, ale ujawnianie takiej informacji reszcie załogi byłoby niezgodne z zasadami RODO. Co więcej, w przypadku pozytywnego wyniku testu na obecność wirusa, to służby sanitarne powinny identyfikować potencjalnych zakażonych, a „pracodawca jest uprawniony jedynie do bycia informowanym o wynikach testu i nie może przekazywać ich [informacji o wynikach – red.] osobom trzecim, np. innym pracownikom”.
Również organ rumuński podkreślił potrzebę oparcia przetwarzania takich danych w ramach przesłanek wymienionych w RODO, w szczególności w związku z ujawnieniem w przestrzeni publicznej nazwiska i stanu zdrowia osoby fizycznej. Co istotne, podkreślono jednak, że przetwarzanie (udostępnianie) tych danych może odbywać się za zgodą osoby, której one dotyczą.
Niezwykle pragmatycznie na tym tle brzmi stanowisko organu berlińskiego (Niemcy oprócz federalnego mają też inspektorów w landach, nam odpowiedział rzecznik z Berlina). Zgodnie z tym stanowiskiem w każdym przypadku należy rozważyć, z kim osoba zakażona mogła mieć kontakt – nieuniknione może być poinformowanie współpracowników, że wystąpił przypadek COVID-19. Biorąc pod uwagę, że osoba ta znajdowała się w pobliżu innych pracowników w czasie, w którym mogła rozprzestrzenić wirus, organ uważa za uzasadnione poinformowanie o zakażeniu osób, z którymi mogła mieć kontakt. Osoby odpowiedzialne powinny następnie rozważyć, czy zakażony pracownik musi być wymieniony z imienia i nazwiska, czy też wystarczy przekazać, że w danej jednostce organizacyjnej wystąpił dany przypadek i jej obsada musi działać w określony sposób.
W Niderlandach z kolei dominuje opinia, że ujawnienie tożsamości chorego pracownika nie ma uzasadnienia w RODO. Może to być jednak przewidziane w przepisach krajowych państwa członkowskiego, przy czym lokalne prawo holenderskie nie wprowadza takiego wyjątku.
Organ islandzki opracował specjalne wytyczne, w myśl których może wystąpić konieczność przekazania innym informacji o nieobecności pracownika objętego kwarantanną. Wymaga to jednak starannej oceny. Podkreślono, że należy unikać informacji o nazwisku pracownika, chyba że jest to niezbędne – a więc rozwiązanie takie nie zostało wykluczone. Organ zaleca komunikowanie tego faktu w taki sposób, aby uniknąć niepotrzebnej stygmatyzacji. Co warte podkreślenia – a może i przeniesienia na nasz grunt – urząd opracował nawet specjalny wzór komunikatu. [wzór]

wzór komunikatu o nieobecności pracownika opracowany przez organ islandzki

X będzie nieobecny przez następne dwa tygodnie z powodu nieprzewidzianych okoliczności. Jest to środek zapobiegawczy. Jeżeli wymagane będą dalsze działania, taka decyzja zostanie podjęta po konsultacji z organami epidemiologicznymi i ochrony ludności, a osoby zainteresowane zostaną o tym wyraźnie poinformowane.
Zaznaczyć przy tym należy, że w Islandii (podobnie jak w innych państwach) ujawnienie ogólnych informacji, że jeden lub więcej pracowników objętych jest kwarantanną, nie jest objęte lokalną ustawą o prywatności. W związku z tym takie dane statystyczne mogą być przekazywane pracownikom czy mediom.
Pozostając na chłodnej północy, warto odnotować, że organ norweski dopuszcza poinformowanie innych pracowników o tym, iż jeden z nich został zakażony SARC-COV-2. Zależy to jednak od konkretnej oceny każdego przypadku. Co ważne, informacje te mogą być przekazywane jedynie pozostałym pracownikom, a nie osobom trzecim. Istotne jest także, aby zostało to zorganizowane w sposób nienaruszający godności zakażonego pracownika.
Organ czeski podkreślił z kolei, że w sytuacjach takich jak zapobieganie ryzyku zakażenia COVID-19 pracodawca powinien zawsze współpracować z urzędami zdrowia publicznego. W ramach profilaktyki ma on również obowiązek informowania w odpowiedni sposób innych pracowników o ryzyku zakażenia. Może to obejmować okoliczność, że osoba zakażona jest lub była obecna w miejscu pracy. Informacja ta może być jednak przekazywana innym pracownikom tylko w zakresie niezbędnym do ochrony zdrowia, przy jednoczesnym poszanowaniu godności takiej osoby.
W ocenie urzędu hiszpańskiego pracodawca ma, podobnie jak przy innych chorobach zakaźnych, uprawnienia do informowania innych pracowników o ryzyku zakażenia COVID-19, przy czym należy wskazywać na samo ryzyko, a nie jego źródło. Nawet pracodawca nie ma kompetencji do prowadzenia postępowania w tym zakresie. W takim przypadku zasadne jest poinformowanie uprawnionego personelu pracodawcy i krajowej służby zdrowia o tożsamości zakażonych. Następnie rozpoczęta powinna być procedura leczenia zakażonych i prześledzenia kontaktów oraz profesjonalnej diagnozy i leczenia narażonych osób, wszędzie, nie tylko w pracy. Jak dalej obrazowo przedstawił to organ hiszpański – „nie ma sensu krzyczeć «koronawirus!», by każdy samodzielnie zaczął podejmować decyzje beż żadnej kontroli”. Chodzi tu także o uniknięcie stygmatyzacji zakażonej osoby. Organ przyznaje jednak, że w Hiszpanii nie udało się sprawnie rozwiązać wszystkich problemów za pomocą służb sanitarnych i pracodawcy powinni sobie z tego zdawać sprawę, podejmując wyważone działania.
Podobne stanowisko zajmują Słoweńcy i Litwini, którzy odsyłają do służb sanitarnych, jednak ci ostatni wskazują, że pracodawcy mają prawo pytać swoich pracowników lub gości, czy wykazują objawy lub czy zdiagnozowano u nich COVID-19. Informacja ta jest bowiem istotna dla pracodawcy przy ocenie, czy potrzebne są dodatkowe środki ochronne, takie jak zobowiązanie pracowników, którzy pracowali z osobą chorą wykazującą objawy lub kontaktowali się z nią, do poddania się kwarantannie, zapewnienia warunków do pracy zdalnej lub badań lekarskich itd. Należy jednak podkreślić, że prawo dostępu do tych informacji nie oznacza, że pracodawcy lub inni administratorzy danych mogą dokumentować otrzymane informacje lub uwzględniać je w zbiorach danych.

Vox populi, vox Dei

Jak widać, spośród organów, które nadesłały odpowiedzi, tylko berliński, czeski, norweski oraz po części hiszpański zdają się dopuszczać ujawnienie tożsamości zakażonego innym pracownikom. Z perspektywy pracodawców stanowisko przeciwne, podzielane również przez prezesa UODO, jest problematyczne w sytuacji, w której ujawnienie tożsamości zakażonego pracownika może być istotnym elementem przy ocenie ryzyka epidemiologicznego i doborze środków zapobiegawczych. Z naszego doświadczania wynika, że prześledzenie kontaktów konkretnej osoby w dużej organizacji wraz z częściowym (np. jedynie w stosunku do osób w danym zespole) ujawnieniem tożsamości zakażonego pozwala szybko zidentyfikować kolejnych zagrożonych, a zespoły, w których oni pracowali, skierować czasowo do pracy zdanej.
Na tym tle stanowisko UODO jawi się jako dosyć rygorystyczne, podczas gdy interpretacja przepisów prawa pracy dokonana przez RPO lepiej oddaje realne potrzeby rynku i pracodawców. Punkt widzenia RPO, który dostrzega wagę zobowiązań wynikających z kodeksu pracy, znajduje oparcie także w stanowiskach niektórych organów z innych państw UE, które dopuszczają taką możliwość, o ile ma to podstawę w przepisach krajowych i odbywa się z zachowaniem zasad ogólnych RODO. Mając zatem świadomość, że udostępnienie danych osoby zakażonej jest absolutnym wyjątkiem, nie można takiego działania z założenia wykluczać – a tak niestety uczyniła duża część prawników.
Wyjaśnienia UODO z 13 listopada 2020 r. wydane dla DGP
W odpowiedzi na Pani e-mail uprzejmie informuję, że Prezes UODO może wypowiadać się wiążąco jedynie w decyzji administracyjnej wydanej po przeprowadzeniu postępowania w indywidualnej sprawie i zbadaniu wszystkich okoliczności z nią związanych.
Pomocniczo wskazuję, że Europejska Rada Ochrony Danych Osobowych w swoim stanowisku z 17 marca 2020 r. wskazała, że „pracodawcy powinni informować pracowników o przypadkach COVID-19 i podejmować środki ochronne, ale nie powinni przekazywać więcej informacji niż jest to konieczne. W przypadkach, w których konieczne jest ujawnienie nazwiska pracownika, który zarażony jest wirusem (np. w kontekście profilaktyki), a prawo krajowe na to zezwala, pracownicy, których sprawa dotyczy, powinni zostać poinformowani z wyprzedzeniem, a ich godność i uczciwość powinny być chronione”. EROD wskazuje zatem, że wskazanie konkretnej osoby zakażonej COVID-19 musiałoby mieć oparcie w przepisach krajowych.
Należy mieć na uwadze, że przekazywanie informacji o zakażeniu wirusem jest związane z przetwarzaniem danych o zdrowiu, które należą do szczególnej kategorii danych (art. 9 ust. 1 RODO) i powinny zostać objęte szczególną ochroną.
Pracodawca, chcąc zatem przetwarzać dane osobowe pracownika w postaci danych o stanie zdrowia (w tym przekazywać takie informacje dalej), powinien wykazać się jedną z przesłanek określonych w art. 9 ust. 2 RODO dopuszczających przetwarzanie tej kategorii danych. Przepisy Kodeksu pracy precyzyjnie określają katalog danych, jakie może przetwarzać pracodawca, a także odsyłają do przepisów szczególnych, które wskazują na przetwarzanie określonych danych osobowych w konkretnych celach. Tak więc o ile Kodeks pracy dopuszcza przetwarzanie innych danych pracownika niż te określone w tym akcie prawnym, to warunkiem do tego jest dysponowanie podstawą prawną określoną w innych przepisach. Administrator musi więc być w stanie wykazać, że dysponuje podstawą prawną do przetwarzania takich danych. Przepisy prawa pracy nie regulują celu przetwarzania danych, jakim jest zwalczanie pandemii, w odróżnieniu od przepisów dedykowanych właśnie temu konkretnemu celowi, np. ustawa z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (specustawa), która wprowadza szereg regulacji włączających również pracodawców do działań mających na celu zwalczanie pandemii.
Kierunki podejmowanych działań powinny zatem wskazywać służby sanitarne. Specustawa dała bowiem uprawnienia Głównemu Inspektorowi Sanitarnemu do wydawania decyzji, w których nie tylko może zobowiązać różne podmioty do pozyskiwania danych na potrzeby walki z koronawirusem, ale i określić zasady ich przetwarzania, czyli np. jakim podmiotom dalej należy je przekazać czy jak długo powinny być te dane przetwarzane.
Pracodawca, znając zakład pracy, może przedstawić kluczowe informacje służbom sanitarnym, a z kolei służby te, posiadając odpowiednie informacje oraz mając wiedzę epidemiologiczną na temat zakażeń, będą mogły podjąć właściwe dla danego pracodawcy i bezpieczne dla jego pracowników rozwiązania.
Każdy przypadek pojawienia się zakażenia COVID w miejscu pracy niewątpliwie należy rozpatrywać indywidualnie. Jednak to służby sanitarne powinny wówczas (także na podstawie rozmowy z zakażoną osobą) zadecydować, czy np. wszyscy pracownicy powinni zostać objęci kwarantanną, czy może konieczne jest zrobienie testów na obecność COVID u części pracowników.
Podstawa prawna
•art. 9 ust. 1 i ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1; RODO)
•art. 207 par. 2, art. 226 pkt 1, art. 304 ustawy z 26 czerwca 1974 r. ‒ Kodeks pracy (t.j. Dz.U. z 2020 r. poz. 1320)
•art. 17 ustawy z 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (t.j. Dz.U. z 2020 r. poz. 1842; specustawa o COVID-19)