W wielu artykułach na łamach RODOmaniaków pisaliśmy o nieco błędnym rozumieniu podstawy prawnej pozyskiwania od pracowników niektórych informacji, w kontekście BHP i zapewnienia ochrony pracowników. Ale nie tego, który stanowi zagrożenie, a tych którym zagraża. 

Reklama

Stanowisko Prezesa Urzędu Ochrony Danych od lat jest niezmienne. Nie wolno, bo przepis nie zezwala. 

Nasze stanowisko od lat też jest niezmienne. I kształtuje się wokół kilku punktów:

  • Po pierwsze – do przetwarzania danych osobowych pracowników można stosować przesłanki z art 6 i 9 RODO, a więc dotyczące zwykłych i szczególnych kategorii danych. Wszystkie, jakie są uzasadnione do CELU przetwarzania danych osobowych i nie ma wyraźnego zakazu ich stosowania (też zgoda i uzasadniony interes administratora). Organ nadzorczy nie może subiektywnie decydować, które przepisy RODO stosować, a których nie, jeśli nie został do tego uprawniony przepisem. Tu nie został (W szkole w Gdańsku również). 
  • Po drugie – przesłanką do przetwarzania danych osobowych wskazujących na stan zdrowia (dane szczególnych kategorii) jest art 9.2.b. Tym bardziej, że przepis mówi o szczególnych PRAWACH, a więc też ochronie swojego interesu (w treści orzeczenia wskazane między innymi w podstawie rozwiązania umowy o pracę). 
  • Po trzecie Urząd Ochrony Danych Osobowych w swoich publikacjach odpowiada nie na temat. Pytanie brzmi o przesłankę dla pracodawcy, zezwalającą na przetwarzanie zgodnie z obowiązkami pracodawcy w zakresie BHP, odpowiedzi UODO dotyczą NAKAZU przetwarzania w związku z realizacją obowiązków. Zupełnie dwa inne cele przetwarzania danych osobowych. 
  • Po czwarte – ZAWSZE, ale to ZAWSZE należy ocenić równowagę (choć my idziemy dalej, wykonując pełną ocenę prawnie uzasadnionego interesu administratora. 

Linki do naszych przykładowych artykułów:

COVID19 i badanie

Alkomat:

Dalsze cytaty

W istocie więc sprawa niniejsza sprowadzała się do ustalenia, czy prawo do prywatności (choć w incydentalnym zakresie, bowiem ponownie wskazać należy, że pracodawca nie wymagał od pracownika szczegółowych informacji na temat pobytu w określonych miejscach, a jedynie samej informacji o wystąpieniu takiej okoliczności) pracownika stanowi wyższą wartość niż ochrona interesu zbiorowego w postaci zdrowia wszystkich pracowników zakładu pracy.

W ocenie Sądu Okręgowego odpowiedź na te pytanie jest jednoznaczna – priorytetem jest zdrowie i życie wszystkich pracowników zakładu pracy.

Zapis chyba nie wymaga komentarza. Ale warto dodać jeszcze jeden:

Prawo do prywatności nie przedstawia wartości wyższej od zdrowia i życia innych.

Treść orzeczenia znajdziecie na stronie:

http://orzeczenia.olsztyn.so.gov.pl/content/$N/150515000002015_IV_Pa_000079_2020_Uz_2021-01-29_003 

Podsumowując

RODO nie może być postrzegane jako bezwzględna ochrona jednostki. Jest to ogromny błąd, widoczny nie tylko w doborze przesłanki i ograniczeniach w ich stosowaniu. 

Widoczny jest często w szacowaniu i ocenie ryzyka dla ochrony danych osobowych. Wielu specjalistów skupia się na skutkach z naruszenia ochrony, a więc co się stanie w związku z ujawnieniem danych, zniekształceniem czy zniszczeniem. 

A tymczasem motyw 75 pokazuje, że powinny być też rozważane tzw. ryzyka z przetwarzania, a więc z samych czynności, w których nie zawsze podmiot danych (osoba, której dane dotyczą) wyraża zgodę na ich przetwarzanie. 

To jest istota wykonywanych analiz zarówno w ramach pełnej oceny uzasadnionego prawnie interesu administratora (nie tylko testu równowagi), ale również w zakresie analizy DPIA – oceny wpływu na ochronę danych. W obu tych działaniach rozpatrujemy sytuacje, w których podmiot danych chętnie by powiedział – NIE ZGADZAM SIĘ. Ale nie może. Bo są inne osoby, podmioty, dla których przetwarzanie danych jest niezbędne aby osiągnąć prawnie uzasadniony cel. 

Przykładów w RODO na uzasadnienie tezy, że nie jest to bezwzględna ochrona osoby można znaleźć wiele. Dobrze, że wyrok się pojawił, ja czekam z niecierpliwością na Naczelny Sąd Administracyjny w sprawie szkoła vs UODO.