14 aspektów RODO w dobie pandemii
Publikujemy poradnik dla lekarzy-pracodawców opracowany przez Agatę Kasprzak – Inspektora Ochrony Danych przygotowany we współpracy z LexDigital sp. z o.o. wraz ze wzorami opracowanymi przez Katarzynę Michalską – Inspektora Ochrony Danych Wielkopolskiej Izby Lekarskiej.
Zanim skupimy się na szczegółowych aspektach warto mieć dokument dotyczący procedur funkcjonowania w okresie epidemiologicznym związanym z zachorowaniami na COVID-19.
Procedury RODO w czasie epidemii.
1. Pomiar temperatury ciała pracowników
Pierwszym środkiem zapobiegania Covid-19 jest pomiar temperatury ciała pracowników.W zależności od sposobu jego wykonywania różne będą drogi postępowania Państwa jako pracodawcy. Przede wszystkim należy oddzielić pomiar, który dokonywany jest przez pracownika dobrowolnie od tego, którego wykonanie byłoby obowiązkowe. Biorąc pod uwagę stanowisko Prezesa Urzędu Ochrony Danych Osobowych oraz kontrowersje, które wiążą się z obowiązkowym pomiarem temperatury ciała rozsądniejsze wydaję się wprowadzenie dobrowolnego wymiaru temperatury na zasadzie zachęty. Dobrym rozwiązaniem wydaję się też wskazanie korzyści dla pracowników oraz zagrożeń, jakie mogą wiązać się z przebywaniem na jednej przestrzeni osób z podwyższoną temperaturą ciała. Rekomendują Państwo żeby przy stanowisku, w którym udostępnicie termometr pracownikom pojawiła się informacja dla personelu o tym, że pomiar temperatury ciała służy nie tylko bezpieczeństwa innych osób, ale przede wszystkim pracowników. Taki komunikat możecie Państwo przesłać drogą mailową czy też zamieścić w Internecie w zależności od drogi komunikacji wewnętrznej, którą przyjęliście. Należy pamiętać, że jeżeli pracodawcy zależeć będzie na wykonywaniu obowiązkowego pomiaru temperatury ciała może on zwrócić się do Głównego Inspektoratu Sanitarnego lub do Państwowego Woje Inspektora Sanitarnego z prośba o wydanie decyzji zobowiązującej pracodawcę do podjęcia takiego środka zapobiegawczego względem pracowników, ale także osób odwiedzających placówkę medyczną. Wówczas będzie mieć pewność, że postępuje zgodnie z prawem i w granicach tego prawa. Lekarz jako pracodawca będzie zobowiązany także do podjęcia decyzji o formie pomiaru temperatury. Może to być samo-pomiar lub pomiar przez osobę trzecią. Zdecydowanie bardziej rekomendowaną formą jest samo-pomiar. Postawi on pracownika w dużo bardziej komfortowej sytuacji w obliczu potencjalnego ostracyzmu czy też wywołania paniki.
Wzór ewidencji pomiaru temperatury.
2. Miejsce dokonywania temperatury
Kolejną kwestią, o której będzie musiała zdecydować osoba zarządzająca placówką medyczną będzie miejsce dokonywania pomiaru. Może to być pomiar dokonywany w izolacji bądź w przestrzeni wspólnej. Niezależnie od tego czy pracodawca zdecyduje się na dokonywanie pomiaru temperatury przez osoby trzecie czy będzie to samo-pomiar warto, aby odbywał się on w warunkach zapewniających intymność. Wówczas ewentualna niechęć pracowników do dokonywania pomiarów może zostać ograniczona, a pracodawca zwiększy szansę na przebadania większej liczby osób, a tym samym zwiększenie bezpieczeństwa bez wywierania na te osoby nacisku.
3. Dokumentowanie wyników pomiaru
Ewentualne dokumentowanie wyników pomiaru to kolejna kwestia, o której będzie musiała zdecydować osoba zawiadująca placówką. Pracodawca powinien mieć świadomość, że w zależności od decyzji jaką podejmie w zakresie zapisywania czy też nie wyników pomiaru musi stosować adekwatne do tej decyzji środki bezpieczeństwa.
4. Kwestionariusze osobowe
Osoby zarządzające placówkami medycznymi mogą zdecydować się na zastosowanie różnego rodzajów kwestionariuszy osobowych. Formularze te mogą zawierać pytania o objawy chorobowe, kontakt z osobami chorymi lub mogącymi być potencjalnie nosicielami wirusa, przebywanie w miejscach o zwiększonym ryzyku w związku z SARS-C oV-2. W kwestionariuszu warto wyjaśnić po co potrzebne są takie informacje. Ponadto jeżeli posługujemy się wyrażeniem „bliskiego kontaktu” to również powinniśmy wyjaśnić,co ono oznacza. Definicję bliskiego kontaktu możemy znaleźć w publikacjach przygotowanych przez Ministerstwo Zdrowia czy np. Główny Inspektorat Sanitarny. Do przesłanek, które mogą wskazywać, że ktoś przebywał z osobą zakażoną w bliskim kontakcie zaliczamy m.in. pozostawanie w bliskim kontakcie z osoba chorą lub w kontakcie w odległości mniejszej niż dwa metry przez ponad 15 minut. Co ważne,konstrukcja kwestionariuszy może przybierać różne formy. Może zawierać zestaw wielu szczegółowych pytań o objawy choroby, kontakt z innymi osobami potencjalnie zakażonymi, w tym np. uczestniczenie w imprezach jak koncerty czy wesela, czy też podróże z koniecznością podania wszystkich państw, w których pracownik przebywał w ostatnim czasie. Formularz może też przybrać formę dużo bardziej ogólną. Jeżeli Państwo jako pracodawcy zdecydujecie się wykorzystać to narzędzie powinniście ustalić harmonogram pobierania kwestionariusza od swoich pracowników. A więc,czy kwestionariusze będą wypełnione tylko raz czy np. po powrocie z pracy zdalnej, po powrocie z urlopu, po powrocie z podróży służbowej. Czy też zostanie wdrożony system na podstawie, którego regularnie takie wywiady będą przeprowadzane. Można także wdrożyć jedno i drugie rozwiązanie jednocześnie. Kwestionariusze mogą być wypełniane w formie papierowej, ale można się także zdecydować na elektroniczne przesyłanie druków osób, które będą koordynować ten proces.
Wzór kwestionariusza.
5. Stanowisko Prezesa Urzędu Ochrony Danych Osobowych z dnia 5 maja 2020 r.:
W ocenie Prezesa Urzędu Ochrony Danych Osobowych przepisy o ochronie danych osobowych nie przeciwstawiają się podejmowanym działaniom związanym z przeciwdziałaniem Covid-19. Prezes UODO p odkreśla natomiast, że podejmowane inne rozwiązania przez przedsiębiorców, pracodawców i inne podmioty będą legalne jedynie w sytuacji kiedy administrator będzie realizował je jedynie na podstawie przepisów prawa zgodnie z zasadą legalności określoną w art. 5 ust. 1 RODO. W przedmiotowej sprawie podstaw prawnych należy doszukiwać się w rozwiązaniach wyznaczonych przez Głównego Inspektora Sanitarnego. Analiza stanowiska Prezesa UODO wskazuje, że pracodawca sam na p odstawie niezależnej decyzji nie powinien podejmować takich działań jak pomiar temperatury pracowników czy też zbieranie kwestionariuszy. Według urzędu jeżeli inspektor sanitarny uzna, że niezbędne jest przyjęcie rozwiązania w postaci mierzenia temperatury pracownikom i innym osobom wchodzącym na teren zakładu pracy,czy też pozyskiwanie od pracowników oświadczeń dotyczących ich stanu zdrowia,może skorzystać z właściwego dla nich środka prawnego,w efekcie czego zostanie nałożony obowiązek w postaci decyzji o dokonywaniu pomiaru temperatury czy też zbieraniu oświadczeń pracowników dotyczących ich zdrowia. Służby sanitarne mogą podjąć decyzję o konieczności dokonywania pomiarów temperatury innych osób przebywających w placówce medycznej. Poza pacjentami i pracownikami mogą to być np. dostawcy towarów i usług czy np. serwisanci sprzętu medycznego. Według stanowiska Urzędu Ochrony Danych Osób w relacji pracodawca-pracownik występuje nierówność tych dwóch podmiotów. Pracodawca nie może nakazać pracownikom oraz gościom wchodzącym na teren placówki medycznej dokonywania pomiaru temperatury. Co do zasady pracodawca powinien uzyskać zgodę pracownika na dokonywanie pomiaru temperatury jego ciała. Podjęcie takiego profilaktycznego działania może mieć znaczenie dla przeciwdziałania dla Covid-19. Nie jest jednak ustalona przepisami prawa wysokość temperatury pozwalająca na stwierdzenie, że pracownik jest chory albo zarażony wirusem SARS-Co V-2. Takie właśnie stanowisko prezentuje Ministerstwo Rodziny, Pracy i Polityki Społecznej. Powoływanie się jednak na przepisy BHP obarczone jest ryzykiem. W jednej z publikacji prasowych Prezes Ochrony Danych Osobowych wyraził pogląd, że przepisy BHP nie mogą być podstawą do przetwarzania danych w związku z pomiarem temperatury. Istnieje więc ryzyko, że organ takie działania pracodawców zakwestionuje.
6. Dokumentowanie a zasady przetwarzania danych
Uregulowanie kwestii związanych z obowiązkami pracodawcy i pracownika w obliczu pandemii w postaci spisanych dokumentów zdecydowanie ułatwia zarządzanie przetwarzaniem danych w tym obszarze. Prawidłowo sporządzona dokumentacja nie pozostawia wątpliwości co do tego jakie podejście stosowane jest przez pracodawcę. Ponadto stanowi dowód na wykazanie dbałości o zdrowie i życie pracowników oraz reguluje wzajemne obowiązki stron w związku z wykonywaniem obowiązków w nietypowych warunkach. Jeżeli pracodawca podejmie decyzję o wprowadzeniu pomiaru temperatury, którego wyniki będą dokumentowane oraz jeśli zdecyduje się na wykorzystanie kwestionariuszy osobowych to zobligowany jest on do zapewnienia odpowiednich środków organizacyjnych do tego procesu. Wskazane by było,aby posiadał udokumentowane zasady przetwarzania danych w których powinien uwzględnić: sposób przechowywania danych, sposób ich zabezpieczenia, czas retencji, sposób niszczenia.
7. Przeszkolenie personelu
Dla zapewnienia bezpieczeństwa przetwarzania danych powinien wyznaczyć osoby odpowiedzialne za proces oraz odpowiednio je przeszkolić. Co prawda angażuje to czas i pieniądze pracodawcy, ale nieodpowiednie przeszkolenie personelu niesie za sobą ryzyko utraty, zniszczenia, nieuprawnionego dostępu czy modyfikowania danych. Ponadto pracodawca zobowiązany jest do odpowiedniego zabezpieczenia zbieranych danych czyli do przechowywania ich w sposób uniemożliwiający dostęp do nich przez osoby nieupoważnione. Administrator danych jest zobligowany także do wyznaczenia osób, które z ramienia pracodawcy będą obsługiwały ten proces. Wskazane jest również przeprowadzenie analizy ryzyka takiego procesu odpowiednie jego opisanie oraz wdrożenie odpowiednich środków ochrony. Należy mieć na uwadze, że jeżeli przeprowadzenie procesu pomiaru temperatury zostanie wprowadzone w danej placówce bez wprowadzania wyników to znacząco upraszcza to ten proces. Nie ma bowiem konieczności wdrażania procedur związanych z prawidłowym zabezpieczeniem danych zgodnie z przepisami o ochronie danych.
8. Obowiązki informacyjne
Do organizacyjnych środków bezpieczeństwa zaliczamy również obowiązki informacyjne. Należy pamiętać, że pracodawca zbierający dane na podstawie wypełnionych formularzy oraz dokonywanych pomiarów temperatury jest zobowiązany do spełnienia obowiązku informacyjnego wskazującego pracodawcę jako administratora danych osobowych. I ten administrator musi poinformować osoby, których dane przetwarza o celach przetwarzania ich danych, podstawach prawnych, ale także pracodawca w takim obowiązku przekazuje informacje o czasie zebranych przez niego danych, a także o odbiorcach tych danych. Czyli o tym,kto i na jakich zasadach może wejść w posiadanie informacji o pracownikach w związku z działaniami pracodawcy podejmowanymi w celu zapobiegania rozprzestrzeniania się wirusa SARS-Co V-2. Taka klauzula informacyjna powinna być dostępna dla osób, których dane są zbierane już w momencie ich pozyskiwania czyli np. może być zamieszczona na takim kwestionariuszu osobowym, bądź umieszczona w takim miejscu gdzie zostanie udostępniony termometr.
Wzór klauzuli informacyjnej.
9. Środki techniczne
Lekarz jako pracodawca powinien zastosować odpowiednie środki techniczne, które pozwolą na zabezpieczenie odpowiednich danych osobowych.Takie środki to: szafy zamykane na klucz, zamykane na klucz pokoje, system dostępu i przechowywania kluczy, hasła w nośnikach z dostępem do danych, programy antywirusowe. Jeżeli pracodawca podejmie decyzję o pomiarze temperatury, którego wyniki będą dokumentowane oraz jeśli zdecyduje się na wykorzystanie kwestionariuszy osobowych to zobligowany jest do wdrożenia odpowiednich środków technicznych zabezpieczających dane. Należy pamiętać, że tylko osoby upoważnione przez administratora powinny mieć dostęp do tych dokumentów. W związku z powyższym dokumenty te powinny być przechowywane w szafie zamykanej na klucz. Ponadto ,trzeba zapewnić odpowiednie środki,które pozwolą na odpowiednie zniszczenie dokumentów po upływie okresu ich przechowywania. Można w tym celu wykorzystać niszczarkę albo skorzystać z usług podmiotu zewnętrznego.Jeżeli pracodawca zdecyduję się na elektroniczną formę dokumentów to również musi je odpowiednio zabezpieczyć a po określonym czasie trwale je usunąć. Do obowiązków pracodawcy,poza wdrożeniem odpowiednich środków bezpieczeństwa,należy także reorganizacja pracy.
10. Praca zdalna
Szczególne rozwiązania dla pracodawców związane z zapobieganiem, przeciwdziałaniem i zwalczaniem Covid-19 zostały wprowadzone ustawą z dnia 2 marca 2020 r. Zaliczamy do nich m.in.:polecenie wykonywania pracy zdalnej,zmianę systemu lub rozkładu czasu pracy pracowników,polecenie pracownikom świadczenia pracy w godzinach nadliczbowych.Warto ,aby pracodawca opracował zasady pracy zdalnej. W tym celu możliwe jest zastosowanie regulaminu pracy zdalnej. Dokument ten powinien opisywać zasady komunikowania się pracodawcy z pracownikiem, pracownika z osobami trzecimi oraz zasady rozliczania czasu pracy i postępowania w przypadku wystąpienia incydentów. Zalecane jest także,aby wskazywał narzędzie, które pracownik może wykorzystywać.
Wzór regulaminu pracy zdalnej.
Wzór polecenia wykonywania pracy zdalnej.
11. Postępowanie z pracownikiem zakażonym SARS-CoV-2
W przypadku kiedy lekarz-pracodawca dowie się o zakażeniu pracownika jego podstawowym obowiązkiem będzie zapewnienie bezpiecznych i higienicznych warunków pracy pozostałym pracownikom. Należy w takiej sytuacji: niezwłocznie odsunąć od pracy zakażonego pracownika, odpowiednio zabezpieczyć miejsce pracy; poinformować o zakażeniu odpowiednie organy sanitarne; poinformować o potencjalnym zagrożeniu wirusem pozostałych pracowników, którzy mogli mieć styczność z zakażonym; przygotować listę osób, które mogły mieć styczność z taką osobą zakażoną; przeprowadzić dezynfekcję miejsca pracy pracownika i części wspólnych, ogólnodostępnych zakładu pracy.
Co ważne ,należy unikać ujawniania informacji, że osobą zarażona była osoba wymieniona z imienia i nazwiska ponieważ może to naruszać dobra osobiste takiej osoby oraz ochronę danych osobowych. Pracodawca powinien przygotować listę osób, które mogły mieć styczność z taką osobą zakażoną, ale także indywidualnie poinformować narażone osoby o ryzyku kwarantanny, potrzeby samoizolacji a także potrzeby bacznego obserwowania stanu swojego zdrowia oraz przekazać taką listę na życzenie sanepidu. Istotny jest fakt, że jeśli pracodawca nie podejmie odpowiednich kroków,a narażeni pracownicy dowiedzą się o niebezpieczeństwie to zależnie od okoliczności mogą mieć prawo do powstrzymania się od pracy. Pracownik, który stwarza zagrożenie również jest uprawniony do powstrzymania się od wykonywania pracy w sytuacji, w której pracodawca wiedząc o zakażeniu lub podejrzeniu zakażenia nie podejmuje się wymaganych działań, a przebywanie z nim grozi współpracownikom niebezpieczeństwem zakażenia.
Wzór kwestionariusza pracownika z podejrzeniem zachorowania.
12. Kwarantanna pracownika
Obowiązek poddania się kwarantannie w drodze decyzji może nałożyć Państwowy Powiatowy Inspektor Sanitarny oraz Państwowy Graniczny Inspektor Sanitarny na osobę zakażoną lub chorą, podejrzaną o zakażenie lub chorobę lub osobę, która miała styczność ze źródłem biologicznego czynnika chorobotwórczego. Kwarantanna daje jednak możliwość wykonywania pracy przez pracownika pod warunkiem, że pracodawca zadba o procedurę pracy zdalnej, wyposażenie pracownika w odpowiednie narzędzie oraz o odpowiednie przeszkolenie pracownika. Jeżeli zachodzi możliwość podjęcia pracy w czasie kwarantanny to nie ma przeszkód aby pracodawca polecił pracownikowi zadawanie pracy zdalnej w trybie art. 2 tzw. spec u stawy z dnia 2 marca 2020 r. Jeżeli miejscem wykonywania takiej pracy jest miejsce zamieszkania pracownika to wymagana jest zgoda. Może być ona dorozumiana wyrażona po przez rozpoczęcie pracy. Jednak jest ona konieczna. W przypadku pracy zdalnej rekomendowane jest stosowanie się do zasad bezpiecznej pracy zdalnej, które zostały opracowane przez Urząd Ochrony Danych Osobowych w dnia17 marca 2020 r., ale także stosowanie się do wszystkich regulaminów wewnętrznych, które zostały opracowane przez pracodawcę.
Wzór klauzuli zgody dla pracownika na kwarantannie.
13. Wykorzystanie prywatnych telefonów i adresów e-mail pracownika
Co do zasady na wykorzystywanie prywatnych telefonów komórkowych i adresów e-mail pracodawca powinien mieć zgodę pracownika. W obliczu pandemii,szczególnie na jej początku,kiedy nie było czasu na zorganizowanie się zgodnie z prawem, pracodawcy mieli dylemat jak postępować,aby z jednej strony nie naruszyć przepisów prawa,z drugiej zabezpieczyć interesy własne, ale też przede wszystkim swoich pracowników. Zasadne jednak wydaje się wykorzystanie prywatnych numerów pracownika w celu ochrony interesu publicznego, ale również samej osoby, której dane w ten sposób są przetwarzane. Po ponad pół roku od ogłoszenia pandemii pracodawcy powinni jednak uregulować te kwestię i uzgodnić z pracownikami możliwość wykorzystania ich całkowicie prywatnych danych do celów związanych z zapobieganiem rozprzestrzenianiem się wirusa.
14.Transparentność
Warto podkreślić, że kluczową kwestią jest transparentność wobec pracowników. Jako pracodawcy musicie mieć Państwo świadomość, że jakiekolwiek działania będziecie wdrażać musicie informować o tym personel oraz uświadamiać ich,jak istotną kwestią jest zabezpieczanie nie tylko ich danych osobowych, ale ich życia i zdrowia.
Wzór klauzuli zgody na wykorzystanie prywatnego telefonu.
Oprac. OKM WIL/AG, KS na podstawie materiału filmowego: