Spółka miejska z Krakowa zbiera informacje o szczepieniach? Po co i dlaczego - nie chcą ujawnić. Tajemnica
Do sieci trafił formularz, jaki prawdopodobnie mają wypełnić pracownicy Wodociągów Miasta Krakowa. Prawdopodobnie, bo zapytaliśmy o to spółkę, ale zasłoniła się tajemnicą. A jeśli to robią, to czy mają do tego prawo? Zapytaliśmy o to ekspertów.
W sieci pojawił się formularz – zapewne zamieszczony przez niezadowolonego pracownika – jaki ma funkcjonować w Wodociągach Miasta Krakowa. Pracownicy odpowiadają na pytanie czy zaszczepili się przeciwko Covid-19 (osoby proszone są o podanie dat przyjęcia pierwszej i drugiej dawki szczepionki). Formularze nie są anonimowe – zawierają rubrykę na imię i nazwisko.
Zwróciliśmy się do miejskiego przedsiębiorstwa z pytaniami, czy faktycznie jest to formularz funkcjonujący w spółce, czy wszyscy są zobowiązani do wypełnienia go, oraz w jakich celach wodociągi zbierają takie dane od pracowników.
Spółka odpowiada, ale...
Rzecznik Prasowy Wodociągów Miasta Krakowa S. A. Robert Żurek odmówił nam odpowiedzi.
„Zakres Pańskich pytań dotyczy wewnętrznych spraw Spółki, związany jest wyłącznie z organizacją pracy oraz wewnętrznym funkcjonowaniem Spółki – nie jest informacją publiczną”
– podał Żurek.
Rzecznik Prasowy zaznaczył też, że zgodnie z utrwalonym orzecznictwem sądów administracyjnych - ustawa o dostępie do informacji publicznej nie służy do występowania z wnioskiem o udzielenie każdej informacji.
W związku z tym informacje dotyczące szczepień przeciwko Covid-19 w Wodociągach Miasta Krakowa S.A. nie mają związku z wykonywaniem zadań publicznych czy gospodarowaniem mieniem publicznym przez Spółkę
– dodał.
Powinni ujawnić cel
Michał Drewnicki, rzecznik prasowy Klubu radnych Prawa i Sprawiedliwości w Krakowie pytany przez nas o tę kwestię przyznał, że jeżeli takie informacje są zbierane przez Wodociągi, to spółka powinna podać, w jakim celu to robi.
Spółka realizuje cele publiczne i powinna na te pytania odpowiedzieć, rozwiać te wątpliwości. Zaraz zaczną się domysły. Jeżeli faktycznie takie informacje zbiera, a potrafię zrozumieć, że w pewnym obszarze mogą zbierać, ze względu na to, że jest to jednak infrastruktura krytyczna – to kwestia wody pitnej m.in. dla Krakowa, więc w jakiejś mierze może być to uzasadnione. Być może obawiają się zarzutów z jednej bądź drugiej strony
– powiedział nam radny Michał Drewnicki.
„Jeśli taka sytuacja ma miejsce, to chciałbym poznać uzasadnienie” – stwierdził. Radny dodał, że ogólnie rzecz biorąc jest przeciwnikiem zbierania tego typu informacji.
Co mówią przepisy?
Skontaktowaliśmy się z Urzędem Ochrony Danych Osobowych z zapytaniem, czy pracodawca może przeprowadzać tego typu ankietę o stanie zdrowia pracownika oraz, czy może gromadzić i przetwarzać informacje na ten temat.
Adam Sanocki, Rzecznik prasowy UODO powiedział nam, że jeżeli pracodawca chce przetwarzać dane o stanie zdrowia pracowników – a taką jest informacja o poddaniu się szczepieniu przeciw Covid-19 – powinien wykazać się jedną z przesłanek określonych w art. 9 ust. 2 RODO dopuszczających przetwarzanie tej kategorii danych.
– Jedną z ww. przesłanek jest zgoda osoby, której dane dotyczą (art. 9 ust. 2 lit. a). Zgoda ta nie powinna jednak stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, ponieważ jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach (motyw 43 RODO)
– odpowiedział Sanocki.
Wątpliwości w ocenie UODO budzi zatem uznanie zgody za podstawę legalizującą przetwarzanie danych dotyczących zdrowia w sektorze zatrudnienia, a zatem w relacji pracodawca-pracownik, w której występuje nierówność tych podmiotów.
„Należy mieć na uwadze również warunki wyrażenia zgody określone w ogólnym rozporządzeniu o ochronie danych. Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Zgoda powinna również dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele” – tłumaczy rzecznik UODO.
Interes publiczny
Jak się dowiedzieliśmy, „RODO dopuszcza przetwarzanie danych o zdrowiu m.in. gdy jest to niezbędne w interesie publicznym lub ze względu zdrowia publicznego o ile jest to oparte na podstawie prawnej określonej w krajowych lub unijnych regulacjach”.
Zakres danych osobowych, jakie pracodawca może pozyskiwać w związku z zatrudnieniem został określony w art. 221 Kodeksu pracy. Zgodnie z § 1 tego artykułu, pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: imię (imiona), nazwisko, datę urodzenia, dane kontaktowe wskazane przez taką osobę, wykształcenie oraz przebieg dotychczasowego zatrudnienia. Zakres danych osobowych, jakie pracodawca może pozyskiwać od pracownika jest szerszy. Został on określony w § 3 powołanego przepisu i obejmuje, poza danymi, o których mowa w § 1, również inne dane osobowe pracownika, jak: adres zamieszkania, a także imiona i nazwiska oraz daty urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy, numer PESEL oraz numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych. Jednocześnie z przepisów prawa pracy wynika, iż poza danymi wymienionymi w art. 221 § 1 i 3 Kodeksu pracy, pracodawca ma prawo żądać od pracownika podania tylko tych danych osobowych, w stosunku do których obowiązek ich podania wynika z odrębnych przepisów prawa (§ 4 tego artykułu)
– podaje nam Adam Sanocki.
Dodaje, że w niektórych sytuacjach, bywa, że to sam pracownik przekazuje dane na temat swojego zdrowia np. w celu skorzystania ze świadczeń przysługujących mu w ramach Zakładowego Funduszu świadczeń Socjalnych. RODO dopuszcza zaś przetwarzanie danych o zdrowiu w przypadku, gdy osoba, której dane dotyczą sama upubliczniła taką informację (art. 9 ust. 2 lit. e).
– Pracodawca chcąc przetwarzać dane osobowe pracownika w postaci danych o stanie zdrowia, powinien wykazać się jedną z przesłanek określonych w art. 9 ust. 2 RODO dopuszczających przetwarzanie tej kategorii danych
– podkreśla rzecznik UODO.
1. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
2. Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:
a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
d) przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
e) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
g) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;
i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
j) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
3. Dane osobowe, o których mowa w ust. 1, mogą być przetwarzane do celów, o których mowa w ust. 2 lit. h), jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe.
4. Państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia.
Szczególne uprawnienia
Rzecznik Urzędu Ochrony Danych osobowych zwraca uwagę, że ustawa o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych dała uprawnienia Głównemu Inspektorowi Sanitarnemu do wdawania decyzji, w których nie tylko może zobowiązać różne podmioty do pozyskiwania danych na potrzeby walki z koronawirusem, ale i określić zasady pozyskiwania tych danych, wskazać jakim podmiotom dalej należy je przekazać oraz określić jak długo te dane powinny być przetwarzane.
„Z punktu widzenia UODO istotne jest, by administratorzy dysponowali podstawą do przetwarzania danych osobowych. Warto podkreślić, że rola administratora ma kluczowe znaczenie w stosowaniu przepisów RODO, ponieważ to on jest adresatem szeregu obowiązków wynikających z tego aktu prawnego. Odpowiada on m.in. za zgodność przetwarzania z zasadami określonymi tymi przepisami, w tym ww. art. 5 RODO; za realizację praw osób, których dane dotyczą, wynikających z przepisów art. 13 i 14, 15–22 RODO, a także jest obciążony pełną odpowiedzialnością za zgodne z prawem przetwarzanie danych, które prowadzi samodzielnie, lub które prowadzone jest w jego imieniu (motyw 74)” – tłumaczy Sanocki.
Wątpliwości co do naszych danych osobowych
W przypadku, gdy mamy wątpliwości, czy administrator właściwie postępuje z naszymi danymi, w tym przestrzega naszych praw, mamy prawo zwrócić się do niego z określonym żądaniem np. zaprzestania naruszania praw, jakie daje nam RODO. Możemy również złożyć skargę do Prezesa UODO.
Gdy uważamy, że nasze dane osobowe są przetwarzane niezgodnie z prawem, to możemy również dochodzić swoich praw przed sądem powszechnym (art. 79 RODO).
A jeżeli uznamy, że w wyniku naruszenia przepisów RODO ponieśliśmy szkodę majątkową lub niemajątkową, mamy też prawo żądać od administratora lub podmiotu przetwarzającego odszkodowania, do czego uprawnia nas art. 82 RODO
– podaje rzecznik UODO.
Źródło: niezalezna.pl
