Przewodnicząca w swoim stanowisku stwierdziła, że przepisy RODO nie stanowią przeszkody w podejmowaniu działań w ramach walki z pandemią koronawirusa. Jednocześnie podkreśliła jednak, że nawet w tych wyjątkowych czasach administrator musi zapewnić odpowiedni poziom ochrony danych osobowych i zagwarantować, by ich przetwarzanie pozostawało zgodne z prawem.
RODO stanowi szerokie uregulowanie prawne, uwzględniające odpowiednie zasady, które mają zastosowanie w sytuacjach takich jak zagrożenie COVID-19. Przewodnicząca EROD wskazała, że rozporządzenie unijne zawiera podstawy prawne, które umożliwiają przetwarzanie danych osobowych (pracodawcom i właściwym organom ochrony zdrowia), bez konieczności uzyskania zgody osoby, której dane dotyczą.
Z treści opublikowanego stanowiska wynika, że pracodawcy mogą powołać następujące podstawy prawne przetwarzania danych osobowych w związku z epidemią koronawirusa:
- przetwarzanie danych szczególnych, w tym dotyczących stanu zdrowia, jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego (art. 9 ust. 2 lit. i RODO);
- przetwarzanie danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (art. 6 ust. 1 lit. d oraz art. 9 ust. 2 lit. c RODO), przy czym w odniesieniu do przetwarzania danych szczególnych, oparcie przetwarzania na tej podstawie jest dopuszczalne wyłącznie, gdy osoba której dane dotyczą, jest niezdolna do udzielenia zgody;
- przetwarzanie danych jest niezbędne do wypełnienia obowiązków ciążących na administratorze (art. 6 ust. 1 lit. c oraz art. 9 ust. 2 lit. b RODO) – w tym kontekście możliwe jest wskazanie obowiązku udostępniania danych i informacji względem służb sanitarnych, wynikającego z art. 5 ust. 1 pkt 4 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi (tj. Dz. U. z 2019 r. poz. 1239, ze zm.).
Wydaje się, że stanowisko przewodniczącej EROD dotyczące podstaw prawnych przetwarzania danych osobowych wskazuje szerszy zakres dopuszczalnego prawem przetwarzania niż wynikający ze stanowiska, które zajął Prezes UODO. Polski organ nadzorczy powołał bowiem wyłącznie podstawy wskazane w art. 9 ust. 2 lit. i oraz art. 6 ust. 1 lit. d RODO.
Przypominamy, że wskazanie właściwej podstawy przetwarzania może zależeć od kontekstu konkretnej sytuacji, dlatego każdy przypadek powinien być analizowany indywidualnie. Pod warunkiem odpowiedniego uzasadnienia, podstawą prawną przetwarzania może być również art. 9 ust. 2 pkt g RODO (ważny interes publiczny).
W dalszej części stanowiska przewodnicząca EROD przypomniała dodatkowe zasady dotyczące przetwarzania dotyczących komunikacji elektronicznej w związku z epidemią, w tym danych dotyczących lokalizacji w urządzeniach przenośnych, wskazując na pierwszeństwo przetwarzania danych anonimowych.