Zadania i rola inspektora ochrony danych w firmie i instytucji w czasie epidemii

Gazeta Podatkowa 27.08.2020 07:43 (aktualizacja: )

Czas epidemii zweryfikował działalność wielu firm i instytucji, takich jak urzędy, szkoły czy uczelnie. Duża ich część musiała przewartościować swoje działania i nauczyć się pracować zdalnie lub przyspieszyć proces informatyzacji. Czynności te niewątpliwie wiążą się z przetwarzaniem danych osobowych, co powoduje konieczność objęcia ich jeszcze większą ochroną. Pojawiły się również zupełnie nowe problemy, jak np. dopuszczalność mierzenia temperatury lub kierowania pracowników na badania w związku z pandemią. W tych aspektach działalność inspektora ochrony danych i jego funkcja doradcza mogą okazać się nieocenione.

Ograniczenia RODO w czasie epidemii

O ochronie danych osobowych w dobie światowej epidemii wypowiedziała się Europejska Rada Ochrony Danych Osobowych (EROD), która przypominała, że "Nawet w tych wyjątkowych czasach, ochrona danych osobowych musi być przestrzegana we wszystkich środkach nadzwyczajnych, przyczyniając się do poszanowania nadrzędnych wartości takich jak demokracja, praworządność i prawa podstawowe, na których opiera się Unia Europejska". Według EROD samo istnienie pandemii lub jakiejkolwiek innej sytuacji nadzwyczajnej nie jest wystarczającym powodem do wprowadzenia jakiegokolwiek ograniczenia praw osób, których dane dotyczą. Stan wyjątkowy, przyjęty w związku z pandemią, jest warunkiem prawnym, który może uzasadniać ograniczenia praw osób, których dane dotyczą, pod warunkiem, że ograniczenia te mają zastosowanie tylko w takim zakresie, w jakim jest to absolutnie niezbędne i proporcjonalne w celu ochrony zdrowia publicznego. W związku z tym ograniczenia muszą mieć ściśle ograniczony zakres i czas obowiązywania, ponieważ prawa osób, których dane dotyczą, można ograniczyć, ale nie zupełnie je wyłączyć. W związku z powyższym należy stwierdzić, iż pandemia nie wyłączyła w żadnym zakresie stosowania przepisów RODO. Unijne rozporządzenie nadal ma zastosowanie, a także umożliwia skuteczną odpowiedź na pandemię, chroniąc jednocześnie podstawowe prawa i wolności osób, których dane są przetwarzane. Jednocześnie umożliwia przetwarzanie danych osobowych w sytuacjach niezbędnych do walki z pandemią COVID-19.

U kogo inspektor działa obowiązkowo?

Nie wszystkie podmioty przetwarzające dane osobowe muszą obowiązkowo wyznaczać inspektora ochrony danych (IOD). Jednakże w obecnych czasach jego głos doradczy, informujący o obowiązkach obciążających administratora danych i jego pracowników, może być bardzo pomocny.

RODO przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów przetwarzających, gdy:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości, przy czym przez organy i podmioty publiczne zobowiązane do wyznaczenia IOD rozumie się w Polsce jednostki sektora finansów publicznych (np. jednostki samorządu terytorialnego, uczelnie publiczne), instytuty badawcze oraz Narodowy Bank Polski,
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę,
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO.

Zasady powoływania inspektorów ochrony danych uszczegóławia polska ustawa o ochronie danych osobowych, która stanowi, że przez organy i podmioty publiczne należy rozumieć:

  • jednostki sektora finansów publicznych, o których mowa w art. 9 ustawy o finansach publicznych,
  • instytuty badawcze, o których mowa w ustawie o instytutach badawczych,
  • Narodowy Bank Polski.

Pozostałe podmioty przetwarzające dane osobowe, niespełniające tych kryteriów, nie mają obowiązku ustanawiania inspektora, ale, do czego zachęca UODO, mogą powołać taką osobę dobrowolnie.

Główne zadania inspektora

RODO w motywie 77 wyraźnie wskazuje czyimi wskazówkami powinien kierować się administrator danych lub podmiot przetwarzający przy wdrażaniu środków ochrony danych osobowych oraz w celu wykazania przestrzegania prawa. Są to zatwierdzone kodeksy postępowania, zatwierdzone certyfikacje, wytyczne Europejskiej Rady Ochrony Danych, a także sugestie inspektora ochrony danych. Wytyczne te oraz sugestie pozwalają zminimalizować ryzyko naruszenia praw i wolności osób, których dane są przetwarzane. Umiejscowienie sugestii inspektora ochrony danych razem z wytycznymi EROD pozwala stwierdzić jak ważna jest rola inspektora w ochronie danych osobowych.

Inspektor ochrony danych powinien być wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO. Niezwykle ważna jest relacja inspektora ochrony danych z najwyższym kierownictwem jednostki, na rzecz której działa. RODO stanowi, że administrator danych musi zapewnić, aby inspektor był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. To bardzo ważny aspekt w odniesieniu do obecnej sytuacji, w której firmy i instytucje muszą działać elastycznie, np. wykorzystując nowe technologie lub wprowadzając ograniczenia (np. określona ilość interesantów w danym obiekcie). Ponadto administrator musi wspierać IOD w wypełnianiu przez niego zadań, zapewniając mu zasoby niezbędne do ich wykonania oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej. Inspektor nie może otrzymywać instrukcji dotyczących wykonywania tych zadań, nie może też zostać odwołany bądź ukarany przez administratora za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora. Może też wykonywać inne zadania i obowiązki, jednakże administrator lub podmiot przetwarzający muszą zapewnić, aby takie zadania i obowiązki nie powodowały konfliktu interesów. Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań - zgodnie z prawem Unii lub prawem krajowym. Inspektor może być pracownikiem administratora lub podmiotu przetwarzającego bądź wykonywać zadania na podstawie umowy o świadczenie usług. Priorytetem inspektora powinno być zapewnienie przestrzegania RODO.

Zakres zadań inspektora ochrony danych określa wspomniany wcześniej art. 39 ust. 1 RODO (patrz ramka).

Główne zadania inspektora ochrony danych wg RODO

»informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy rozporządzenia RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie,
»monitorowanie przestrzegania przepisów RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
»udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35,
»współpraca z organem nadzorczym,
»pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Praca zdalna a RODO

Lockdown wprowadzony w marcu br. spowodował, iż w wielu firmach i instytucjach duża część załogi przeszła w tryb pracy zdalnej i rozpoczęła świadczenie pracy z własnego miejsca zamieszkania, nierzadko pracując na własnym sprzęcie i korzystając z prywatnej poczty elektronicznej. To zaś zrodziło wiele niebezpieczeństw w zakresie ochrony danych osobowych przetwarzanych w ramach wykonywanych zdalnie obowiązków. Ustawodawca umożliwił wykonywanie pracy zdalnej we wprowadzanych tarczach antykryzysowych. Teraz trwają prace nad wprowadzeniem takiego rozwiązania na stałe do Kodeksu pracy. Szczegółowe zasady pracy zdalnej, również w aspekcie RODO, pracodawca powinien uregulować w swojej wewnętrznej dokumentacji. Dobrym rozwiązaniem jest opracowanie i wdrożenie regulaminu pracy zdalnej. Ponadto w razie potrzeby należy dostosować lub uaktualnić obowiązującą u administratora dokumentację dotyczącą ochrony danych osobowych. Eksperci wskazują, że konieczne jest też stworzenie lub aktualizacja dokumentu zawierającego wykaz zabezpieczeń stosowanych w celu ochrony danych oraz prowadzenie ewidencji urządzeń przenośnych, które mają dostęp do danych firmowych. Trzeba bowiem pamiętać, iż to na administratorze danych (spółce, jednoosobowym przedsiębiorcy, szkole, instytucji) ciąży obowiązek ewentualnego wykazania, iż przetwarza on dane osobowe zgodnie z wymaganiami RODO (zasada rozliczalności). Wszystkie te dokumenty powinny zostać opracowane właśnie w uzgodnieniu z inspektorem ochrony danych, jeżeli oczywiście działa w jednostce.

Mierzenie temperatury, informowanie o zakażeniach

Problemy, z którymi obecnie mierzą się administratorzy danych, będący pracodawcami, dotyczą możliwości mierzenia temperatury, kierowania pracowników np. wracających z zagranicznych wakacji do wykonywania badań na obecność wirusa, a także ujawniania informacji np. o zachorowaniu przez pracownika pozostałej załodze.

Co do możliwości mierzenia temperatury przez pracodawcę zdania są podzielone. UODO stwierdził przede wszystkim, iż podstawą prawną umożliwiającą mierzenie temperatury w relacji pracodawca-pracownik oraz w relacji z podmiotem publicznym nie może być zgoda osoby, której dane dotyczą (czyli osoby, której ma być dokonany pomiar). Art. 9 ust. 2 lit. a) RODO, tj. zgoda osoby, której dane dotyczą, nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych szczególnych kategorii w sytuacjach, gdy istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem. Art. 9 ust. 2 lit. i) RODO stanowi, iż szczególne kategorie danych (a do takich należą informacje o stanie zdrowia) mogą być przetwarzane, gdy jest to niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi, jeżeli wynika to z przepisów prawa. W przypadku ustawodawstwa polskiego tym przepisem jest art. 17 specustawy w sprawie COVID-19 (Dz. U. z 2020 r. poz. 374 ze zm.), który stanowi, iż Główny Inspektor Sanitarny posiada uprawnienia, aby oddziaływać na inne podmioty oraz na zmiany w obowiązujących przepisach, a także wskazywać na przyjmowanie właściwych rozwiązań. W związku z tym, jeżeli inspektor sanitarny uzna, iż niezbędne jest przyjęcie rozwiązania w postaci mierzenia temperatury pracownikom i gościom wchodzącym na teren zakładu pracy czy też pozyskiwania od pracowników oświadczeń dotyczących ich stanu zdrowia, może na dany zakład pracy nałożyć taki obowiązek. Służby sanitarne mogą również podjąć decyzję o konieczności dokonywania pomiarów temperatury ciała interesantów, którzy wchodzą do budynku w celu załatwienia sprawy.

W kwestii informowania pracowników o wystąpieniu zakażenia na terenie jednostki EROD stoi na stanowisku, iż: "Pracodawcy powinni informować pracowników o przypadkach COVID-19 i podejmować środki ochronne, ale nie powinni przekazywać więcej informacji niż jest to konieczne. W przypadkach, w których konieczne jest ujawnienie nazwiska pracownika, który zarażony jest wirusem (np. w kontekście profilaktyki), a prawo krajowe na to zezwala, pracownicy, których sprawa dotyczy, powinni zostać poinformowani z wyprzedzeniem, a ich godność i uczciwość powinny być chronione".


autor: Marta Stefanowicz - Wasilewska
Gazeta Podatkowa nr 69 (1735) z dnia 2020-08-27

Prawa i obowiązki podmiotów przetwarzających dane osobowe. Wszystko na ten temat w poradniku na GOFIN.pl

Koronawirus w PolsceRODO