Szczepienia w zakładach pracy

Ministerstwo zdrowia w ramach przyspieszonego Narodowego Programu Szczepień ogłosiło wytyczne dotyczące organizacji i realizacji szczepień w zakładach pracy. Do 10 maja zgłosiło się już 740 firm. Organizacja procesu szczepień w zakładzie pracy wiąże się z przetwarzaniem danych osobowych, a pracodawcy zastanawiają się w jaki sposób zorganizować szczepienia, aby nie naruszać przepisów.

Czy każdy pracodawca może zorganizować proces szczepień?

Założenia programu obejmują zakłady pracy, w których znajdzie się co najmniej 300 chętnych osób. Nie oznacza to jednak wykluczenia najmniejszych firm, ponieważ program dotyczy nie tylko pojedynczych pracodawców, ale także grupy pracodawców, np. działających w jednym budynku lub strefie przemysłowej, należących do jednej grupy kapitałowej, a także podwykonawcy pracodawcy.

Kto może się zaszczepić w ramach akcji?

Katalog podmiotów zaszczepionych przez zakład pracy jest bardzo szeroki, co wynika z celu, jaki ma być osiągnięty –  zaszczepienie jak największej liczy osób.

Zaszczepieni mogą być więc pracownicy zatrudnieni w ramach stosunku pracy, osoby zatrudnione na jakiejkolwiek innej podstawie, a także osoby współpracujące (np. prowadzące działalność gospodarczą i współpracujące z pracodawcą). Mogą to być także podwykonawcy głównego zgłaszającego pracodawcy oraz pracownicy podwykonawców.  Uprawnieni są również pełnoletni członkowie rodzin ww. osób. Oprócz granicy pełnoletniości nie przewiduje się żadnych dodatkowych regulacji związanych z wiekiem osób uprawnionych.

Kto wykonuje szczepienia?

Szczepienia będą wykonywane przez wybrany przez pracodawcę podmiot leczniczy lub osobę uprawnioną do przeprowadzenia szczepień

Przetwarzanie danych osobowych – podstawa prawna
Dane dotyczące zdrowia

Co do zasady wszystkie dokumenty i zaświadczenia związane ze szczepieniami są wydawane pracownikowi bezpośrednio przez podmioty lecznicze oraz znajdują się na internetowym koncie pacjenta. Pracodawca może jednak uzyskać informację o zaszczepieniu pracownika, po to, by prawidłowo zorganizować akcję szczepień. Wyobraźmy sobie taką sytuację, że pracowników lub członek jego rodziny zgłosił chęć szczepienia pracodawcy, jednak w międzyczasie otrzymał dawkę szczepionki z innego źródła. Pracodawca powinien zostać o tym poinformowany po to, by poinformować tym podmiot leczniczy.

Wydaje się, że najwłaściwszą podstawą prawną jest art. 9 ust. 2 lit. b RODO – czyli niezbędność do wypełnienia obowiązków i szczególnych praw w dziedzinie prawa pracy. Za tą przesłanką przemawia fakt, że ministerialny program jest skierowany właśnie do szeroko pojętych pracodawców (ich pracowników oraz osób związanych), a przetwarzanie danych będzie wynikać bezpośrednio lub pośrednio ze stosunku pracy.

Inną podstawą przetwarzania, która również może być stosowana to art. 9 ust. 2 lit. i RODO – niezbędność ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego – ponieważ wszelkie działania podejmowane przez pracodawcę są związane z Narodowym Programem Szczepień i prowadzą do jak najszybszego zaszczepienia jak największej liczby osób.

Dane zwykłe – lista chętnych na szczepienia

Same deklaracje o chęci zaszczepienia się składane przez pracownika nie będą stanowiły szczególnej kategorii danych osobowych w rozumieniu art. 9 RODO, ponieważ nie dotyczą ani stanu zdrowia, ani informacji o leczeniu. Będą to więc dane zwykłe.

Na podstawie deklaracji (pisemnej, ustnej – zależy od organizacji pracodawcy) zbiera on listę osób chętnych na szczepienia. Lista powinna zawierać tylko podstawowe dane, które umożliwią zgłoszenie – imię, nazwisko, PESEL, dane kontaktowe. Podstawą prawną przetwarzania tych danych przez pracodawcę jest art. 6 ust. 1 lit. e wykonanie zadania w interesie publicznym. Można również oprzeć się na art. 6 ust. 1 lit. c – wypełnienie obowiązków ciążących na administratorze. Przystępując do programu, pracodawca musi zgromadzić pewne dane osobowe, aby właściwie wypełnić nałożony na niego obowiązek.

Co z tą zgodą?

Oprócz listy chętnych, pracodawca musi zgromadzić oświadczenia o wyrażeniu zgody na przetwarzanie danych osobowych (tak mówią wytyczne). Gromadzenie takich oświadczeń będzie, w mojej ocenie, stanowiło sprzeczność z przepisami RODO, ponieważ zgoda ta nie będzie odznaczała się dobrowolnością. Wyrażonej zgody nie będzie można wycofać w każdym momencie, ani zażądać usunięcia danych – chyba, że wyłącznie na etapie tworzenia listy przez pracodawcę, jeszcze przed przekazaniem jej do podmiotu leczniczego.

Ponadto niewyrażenie zgody nie może  powodować negatywnych konsekwencji wobec pracownika, co będzie miało miejsce, jeśli pracownik się zgłosi na szczepienie, ale pisemnie nie wyrazi zgody.

Oprócz zgody  znajdujemy co najmniej dwie inne, niezależne podstawy prawne przetwarzania danych, które są bardziej “na miejscu”. Cóż, jeśli tak stanowią wytyczne, oświadczenia powinny być zebrane, jednak należy mieć świadomość, że nie jest to prawidłowa podstawa prawna, a działanie to może wynikać z zachowawczego podejścia ministerstwa.

Obowiązek informacyjny

Naturalnie, pracodawca gromadzi dane osobowe w innym celu niż zazwyczaj przy wykonywaniu zadań pracodawcy, jak również pojawiają nam się inni odbiorcy danych osobowych (podmiot leczniczy), w związku z tym pracodawca musi spełnić obowiązek informacyjny. W jaki sposób to zrobi – wszystko zależy od organizacji procesu (roześle na służbowe maile, przekaże wersję papierową, podłączy pod listę, wywiesi w dostępnym miejscu itp.).

Podmiot leczniczy będzie występował w tej sytuacji jako odrębny administrator danych, na którym także ciąży obowiązek informacyjny.

Kto powinien spełnić obowiązek informacyjny w przypadku współpracy kilku zakładów pracy? Jak to zwykle bywa, to zależy od relacji między tymi podmiotami (chociażby od sposobu zbierania list chętnych – przez jeden podmiot czy przez każdego oddzielnie, czy od tego, który podmiot będzie zgłaszał pracowników na szczepienia). W tej sytuacji należy przeanalizować sytuację i zawrzeć stosowne umowy powierzenia lub współadministrowania.