Problemu nie ma, gdy akcję przeprowadza jeden pracodawca. Jeśli jednak organizuje ją wspólnie kilka podmiotów, to konieczny jest precyzyjny podział zadań w całym procesie.

Organizacja procesu szczepień w zakładzie pracy wiąże się z koniecznością przetwarzania danych osób chętnych do wzięcia udziału w akcji. Co za tym idzie, wymaga realizacji obowiązków wynikających z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1; RODO). Jednym z nich jest konieczność zapoznania osób, których dane osobowe są przetwarzane, z klauzulą informacyjną, w której są one informowane m.in. o tożsamości administratora danych. Ustalenie właściwego takiego podmiotu nie będzie powodować szczególnych problemów, gdy szczepienia organizowane są wyłącznie w ramach jednego zakładu pracy. Inaczej będzie jednak, gdy w programie wezmą udział pracownicy grupy pracodawców (np. w ramach jednego budynku, strefy przemysłowej czy grupy kapitałowej) lub też podwykonawcy zgłoszeni przez głównego wykonawcę. Tego typu współpraca powoduje konieczność ustalenia administratora danych osobowych, co może wiązać się z wątpliwościami. Dodatkowo przy okazji współpracy między odrębnymi podmiotami konieczne będzie ustalenie, czy zachodzi współadministrowanie lub powierzenie przetwarzania danych osobowych.
Wielość administratorów
Elementem decydującym o statusie danego pracodawcy w kontekście zagadnień dotyczących ochrony danych osobowych będzie rola, którą realizuje w procesie organizacji szczepień. Jeden administrator danych osobowych w ramach procesu szczepień będzie występował w przypadku, gdy jeden pracodawca odpowiada za cały proces, i tylko on zbiera dane osób chętnych do szczepienia, np. w ramach jednego budynku, niezależnie od tego, czy pracownicy zatrudnieni są przez różnych pracodawców. Pracodawca ten będzie wówczas podmiotem samodzielnie ustalającym cele i sposoby przetwarzania danych, jak też jedynym podmiotem biorącym udział w procesie przetwarzania danych. Wszelkie obowiązki, jak również odpowiedzialność wynikająca z RODO, będą ciążyły właśnie na nim. Pozostali pracodawcy będą wyłączeni z uwagi na brak jakiegokolwiek udziału w przetwarzaniu danych osobowych.
Odmiennie będzie natomiast w przypadku, gdy proces będzie zorganizowany dwuetapowo. W takim modelu poszczególni pracodawcy będą brać udział w procesie przetwarzania danych. Z taką sytuacją będziemy mieć do czynienia, gdy pracownicy oraz inne osoby uprawnione będą zgłaszać chęć zaszczepienia się u swojego pracodawcy, a ten następnie będzie przekazywać te dane do głównego podmiotu zgłaszającego osoby do szczepienia. W takim przypadku konieczne jest ustalenie ról w przetwarzaniu danych dla poszczególnych podmiotów. Należy odpowiedzieć, czy są oni osobnymi administratorami danych, czy też zachodzi relacja współadministrowania lub powierzenia przetwarzania.
Współadministrowanie występuje w sytuacji, gdy co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania. W naszej ocenie w przypadku dwuetapowego procesu organizacji szczepień to jednak nie wystąpi. Celem przetwarzania danych jest bowiem zgłoszenie do szczepień przez głównego pracodawcę organizującego szczepienie. Jest to jego samodzielny cel, przy realizacji którego przetwarza dane. W takiej sytuacji pierwszy pracodawca jest odpowiedzialny jedynie za zebranie danych, a następnie przekazanie ich podmiotowi organizującemu proces. Drugi natomiast przetwarza dane w celu nawiązania współpracy z podmiotem wykonującym działalność leczniczą oraz dokonania zgłoszenia za pośrednictwem formularza udostępnionego na stronie Rządowego Centrum Bezpieczeństwa. W związku z tym uważamy, że nie zachodzi tu ani współadministrowanie, ani występowanie kilku samodzielnych administratorów danych.
RODO (ogólne rozporządzenie o ochronie danych)
Art. 24. Obowiązki administratora
1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
(…)
Art. 26. Współadministratorzy
1. Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z niniejszego rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14, chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą.
(…)
Czy jednak powierzenie przetwarzania danych osobowych?
Alternatywną relacją, która może mieć miejsce w przypadku współpracy, jest powierzenie przetwarzania danych osobowych. Administratorem danych będzie wówczas podmiot odpowiedzialny za organizację procesu szczepień, natomiast tzw. procesorami, czyli podmiotami przetwarzającymi dane osobowe w imieniu administratora, będą poszczególni pracodawcy. Rezultatem tego będzie m.in. konieczność zawarcia odpowiedniej umowy między administratorem a procesorami. Dodatkowo konieczne będzie odpowiednie zabezpieczenie całego procesu przekazywania danych.
W naszej ocenie rozwiązanie to jest właściwsze i pozwala na odpowiednie zabezpieczenie interesu osób, których dane są przetwarzane. Jednocześnie precyzyjne określenie roli każdego z podmiotów w całym procesie pozwoli uniknąć ewentualnych błędów wynikających z nieprawidłowego przeświadczenia o swoim zakresie obowiązków. Ustalenie dodatkowych kwestii, tj. odnoszących się do ochrony danych osobowych, nie powinno również stanowić szczególnej przeszkody dla pracodawców, którzy podjęli decyzję o współpracy. Sama istota współpracy wymaga dokonania nietypowych ustaleń, w tym m.in. dotyczących kosztów szczepień. Dlatego przy określaniu roli każdego podmiotu w procesie ustalenie zasad przetwarzania danych będzie stanowić uzupełnienie pozwalające odpowiednio zabezpieczyć również interes pracodawców.
Należy też pamiętać, że podmioty odpowiedzialne za organizację akcji szczepienia nie będą otrzymywać danych bezpośrednio od osób, których dane dotyczą. W związku z tym należy pamiętać o prawidłowej realizacji obowiązku informacyjnego i o przygotowaniu właściwej treści klauzuli informacyjnej. Klauzula musi wskazywać m.in. dane administratora danych (organizatora szczepienia) oraz źródło pochodzenia danych, w związku z czym zastosowanie standardowych klauzul stosowanych w bieżącej działalności może być niewystarczające. Administrator powinien taką klauzulę informacyjną przekazać osobie, której dane są przetwarzane, w rozsądnym terminie po pozyskaniu danych, najpóźniej w ciągu miesiąca. Jednak z uwagi na specyfikę procesu oraz konieczność koordynacji niewykluczony jest również kontakt administratora z podmiotem danych. W takim wypadku należy pamiętać, że podanie klauzuli informacyjnej powinno nastąpić najpóźniej przy pierwszym kontakcie. Uzupełniając, należy również wskazać, że wspomnianym źródłem pochodzenia danych będzie pracodawca, który przekazał podmiotowi odpowiedzialnemu za organizację procesu szczepień zebrane deklaracje.