EDPO

EDPO - Ochrona Danych Osobowych
Michał Cupiał 2022-02-24

Wstęp

Kolejny obowiązek nałożony przez Ministra Zdrowia rozporządzeniem z dnia 22 grudnia 2021 r. zmieniającym rozporządzenie w sprawie ogłoszenia na obszarze Rzeczypospolitej Polskiej stanu epidemii (Dz.U. z 2021, poz. 2398; dalej: rozporządzenie) i kolejne zamieszanie, bo znów nikt nie wie (albo przynajmniej nie ma pewności) po co, jak, kiedy i czy w ogóle musi coś robić.

Przepisy jakie są każdy widzi, ale spróbujmy się z nimi zmierzyć.

Pragnę wyjaśnić, że w niniejszym artykule umyślnie pominąłem problem, czy nałożenie obowiązku szczepień w drodze rozporządzenia jest konstytucyjne. Wszyscy wiemy, że nie. Zdaję sobie jednak sprawę, że pomimo tego wiele podmiotów będzie chciało przeprowadzi weryfikację szczepień swojego personelu i to głównie im chciałbym zaproponować, moim zdaniem, najrozsądniejsze rozwiązanie.

Zakres przedmiotowy i podmiotowy nowego obowiązku prawnego

Zgodnie z rozporządzeniem:

  • osoby wykonujące zawód medyczny oraz inne osoby wykonujące czynności zawodowe w podmiotach wykonujących działalność leczniczą,
  • osoby zatrudnione oraz osoby realizujące usługi farmaceutyczne, zadania zawodowe lub czynności fachowe w aptece ogólnodostępnej lub punkcie aptecznym,
  • studenci kształcący się na kierunkach przygotowujących do wykonywania zawodu medycznego,
    (dalej: osoby zobowiązane do szczepień)

do dnia 1 marca 2022 roku zobowiązane są poddać się szczepieniu ochronnemu, którego efektem będzie uzyskanie unijnego cyfrowego zaświadczenia COVID. W przypadku osób, które uzyskały pozytywny wyniku testu diagnostycznego w kierunku SARS-CoV-2 po sierpniu 2021 roku, obowiązek szczepienia powstaje w pierwszym dniu następującym po upływie 6 miesięcy od daty uzyskania wyniku. Obowiązek szczepienia nie dotyczy osób, które posiadają zdrowotne przeciwwskazania do szczepień.

W związku z tym obowiązkiem podmioty wykonujące działalność leczniczą, apteki ogólnodostępne i punkty apteczne oraz uczelnie kształcące na kierunkach medycznych (dalej: podmioty weryfikujące), jako zobowiązane do zapewnienia bezpiecznych warunków pracy lub studiowania, muszą wdrożyć rozwiązania pozwalające na weryfikację, czy osoby zobowiązane do szczepień realizują ten obowiązek.

Poza uczelniami, których obowiązek obejmuje dość jednolitą grupę właścicieli danych, podmioty weryfikujące muszą brać pod uwagę, że obowiązek dotyczyć będzie osób zatrudnionych na podstawie umów o pracę, różnego rodzaju umów o charakterze cywilnoprawnym, a nawet porozumień wolontariackich. Wygląda na to, że podstawa nawiązania współpracy nie jest tak istotna, jak fakt wykonywania czynności zawodowych lub fachowych w podmiotach weryfikujących. Oznacza to, że weryfikacja szczepień, w mojej opinii, dotyczyć będzie także osób zatrudnionych w innych podmiotach, a wykonujących czynności np. na zasadzie outsourcingu.

Zakres obowiązków wynikający RODO

Z punktu widzenia przepisów o ochronie danych osobowych podmiot weryfikujący musi ustalić podstawę prawną dla takiego przetwarzania (art. 5 ust. 1 lit. a RODO) oraz określić adekwatny zakres gromadzonych danych (art. 5 ust. 1 lit. c RODO) w kontekście celu przetwarzania (art. 5 ust. 1 lit. b RODO), jakim jest potwierdzenie spełnienia obowiązku szczepienia przez jego personel. Oczywiście musi także określić sposób zapewnienia prawidłowości gromadzonych informacji (art. 5 ust. 1 lit. d RODO) oraz ustalić ile czasu może przechowywać zgromadzone dane osobowe (art. 5 ust. 1 lit. e RODO).

Sposób i zakres gromadzonych danych

Potwierdzenie zaszczepienia i posiadania ważnego unijnego cyfrowego zaświadczenia COVID, w mojej opinii, może być realizowane wyłącznie w oparciu o oświadczenie złożone przez osobę zobowiązaną do szczepień. Rozważyłbym także dopuszczenie okazania, bez wykonywania i przechowywania kopii, ważnego unijnego cyfrowego zaświadczenia COVID.

W oświadczeniu osoby zobowiązanej do szczepień minimalny zakres gromadzonych informacji powinien objąć:

  • imię i nazwisko,
  • stanowisko,
  • datę złożenia oświadczenia,
  • podmiot zatrudniający – wyłącznie w przypadku pracowników zewnętrznych,
  • treść oświadczenia obejmującą:
    • informację o szczepieniu przed 1 marca 2022 roku i posiadaniu ważnego unijnego cyfrowego zaświadczenia COVID (tu uwaga: nie pytamy o liczbę przyjętych szczepionek), albo
    • informację o fakcie, że od ostatniego pozytywnego wyniku testu przeciw SARS-CoV-2 nie minęło 6 miesięcy, albo
    • informację o przeciwwskazaniu do szczepienia
  • adnotację o okazaniu ważnego unijnego cyfrowego zaświadczenia COVID.

Wątpliwości może budzić to, czy oświadczenie jest skutecznym potwierdzeniem szczepienia. Uważam jednak, że żaden przepis nie daje prawa ani do żądania okazania zaświadczenia potwierdzającego wykonanie szczepienia, ani do kopiowania unijnego cyfrowego zaświadczenia COVID. Uważam też, że podmiot weryfikujący nie ma prawa monitorować terminów szczepień i ważności unijnego cyfrowego zaświadczenia COVID, dlatego w zaproponowanym zakresie gromadzonych danych nie gromadzimy informacji o jego ważności. Dodać też trzeba, że „akcja weryfikacyjna” jest jednorazowa. Podmioty weryfikujące muszą zgromadzić oświadczenia dotyczące szczepienia przed 1 marca 2022 roku. Co będzie dalej, tego nie wiadomo.

Podstawa prawna przetwarzania, sposób i okres przechowywania oświadczeń

Jak wynika z zakresu danych gromadzonych w oświadczeniu,  zakres ten obejmuje zarówno dane zwykłe, jak i dane szczególne, obejmujące informacje o stanie zdrowia. Musimy zatem znaleźć odpowiedni przepis w art. 6 ust. 1 i art. 9 ust. 2 RODO, żeby te dane legalnie przetwarzać.

Chcąc „pomóc” podmiotom weryfikującym Ministerstwo Zdrowia opublikowało w dniu 21 lutego 2022 roku „wytyczne” (oczywiście niewiążące), w których wskazało, że:

„Na podstawie art. 221 § 4 ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy (Dz. U. z 2020 r. poz. 1320, z późn. zm.), pracodawca uprawniony jest do żądania podania mu przez pracownika danych osobowych innych niż określone w § 1 i 3 tej jednostki redakcyjnej Kodeksu pracy, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
Zgodnie zaś z art. 221 § 5 zdanie pierwsze ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy, udostępnienie pracodawcy danych osobowych pracownika następuje w formie oświadczenia składanego przez tę osobę.”

Niestety powyższe przepisy dotyczą tylko pracowników zatrudnionych na podstawie umowy o pracę. Choć nawet w tym przypadku wskazanie prawidłowych podstaw prawnych przetwarzania danych na potrzebę weryfikacji wykonania szczepień stanowi trudność, ze względu na brak nałożenie jakichkolwiek obowiązków i ich ram na pracodawcę.

A co z resztą osób wykonujących swoje obowiązki w podmiotach weryfikujących?

No cóż,… dużo wskazuje na to, że bezpieczną podstawą prawną przetwarzanie danych osobowych jest udzielona zgoda zarówno w zakresie danych zwykłych (art. 6 ust. 1 lit. a RODO) jak i danych szczególnych (art. 9 ust. 2 lit. a RODO). Sama zgoda jednak kłóci się z obowiązkowością szczepienia i obowiązkowością zapewnienia bezpiecznych warunków pracy lub studiowania. W takim kontekście raczej trudno mówić o dobrowolności. Ponadto przyjęcie zgody jako podstawy prawnej, spowoduje że nie wszystkie osoby zobowiązane do szczepień złożą nam oświadczenia. W efekcie spowoduje to, że podmiot weryfikujący nie będzie mógł potwierdzić, czy jego personel spełnia wymagania rozporządzenia.

Moją propozycją jest zatem przetwarzanie zgromadzonych w oświadczeniach zwykłych danych osobowych na podstawie prawnie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO), którym jest zapewnienie, aby cały personel posiadał ważne unijne cyfrowe zaświadczenie COVID, natomiast danych szczególnych w związku z koniecznością zapewnienia wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego (art. 9 ust. 2 lit. i RODO). Bo faktycznie taki jest cel rozporządzenia: dysponowanie zaszczepionym personelem w podmiotach medycznych i aptekach, w tym także studentami w ramach kształcenia praktycznego.

Zgormadzone oświadczenia powinniśmy przechowywać tyle czasu ile przechowujemy dokumentację dotyczącą zatrudnienia (niezależnie od formy prawnej) danej osoby. Oświadczenie potwierdza bowiem spełnienie wymagania prawnego w danym, określonym przepisami momencie, tzn. że na dzień 1 marca 2022 roku dana osoba była zaszczepiona, obejmował ją sześciomiesięczny okres od ostatniego pozytywnego wyniku testu na SARS-CoV-2 lub nie mogła się zaszczepić z powodu przeciwwskazań zdrowotnych. Tym samym przechowywanie oświadczeń wraz z aktami osobowymi, kontraktem lub inną umową cywilnoprawną jest zgodne z celem dla jakiego to oświadczenie zebraliśmy. Usuwając dokumentację danej osoby, usuwamy także oświadczenie dzięki czemu w mało angażujący sposób spełniamy zasadę ograniczonego przetwarzania określoną w art. 5 ust. 1 lit. e RODO.

Obowiązki dodatkowe

Na koniec wspomnę tylko, że gromadząc dane osobowe należy spełnić obowiązek informacyjny wobec osób, od których gromadzimy oświadczenia.

Warto też zaktualizować rejestr czynności przetwarzania poprzez rozszerzenie zakresu przetwarzania danych osobowych dotyczących pracowników lub osób zatrudnionych na podstawie umów cywilnoprawnych, jeżeli zdecydujemy się włączyć oświadczenia do dokumentacji pracowniczej. Natomiast przypadku gromadzenia oświadczeń w zestawach danych (np. segregatorach) należy rozważyć wyodrębnienie takiej czynności w rejestrze.

Wywiązując się z obowiązków nałożonych na administratora, nie wolno zapomnieć też o analizie ryzyka naruszenia praw i wolności związanego z przetwarzaniem danych osobowych w zebranych oświadczeniach.