Podstawy przetwarzania oraz stanowiska organów nadzorczych
Motyw 46 RODO stanowi, że przetwarzanie danych osobowych należy uznać za zgodne z prawem, gdy jest niezbędne do ochrony interesu, który ma istotne znaczenie dla życia osoby, której dane dotyczą, lub innej osoby fizycznej. Niektóre rodzaje przetwarzania mogą służyć, gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka. Nie ulega wątpliwości, że motyw ten znajduje zastosowanie w zaistniałych okolicznościach. Jeśli chodzi zaś o bezpośrednie podstawy przetwarzania danych – w zależności od okoliczności wybór okazuje się duży.
Od obowiązku prawnego, przez interes publiczny, profilaktykę zdrowotną i zdrowie publiczne, aż po ochronę żywotnych interesów osoby, której dane dotyczą. Do przywoływanych podstaw odnoszą się również (przynajmniej w części) europejskie organy nadzorcze oraz Europejska Rada Ochrony Danych, które opracowują wytyczne w zakresie przetwarzania danych w tych szczególnych warunkach. Mimo braku oficjalnych opinii także Prezes Urzędu Ochrony Danych Osobowych wydał kilka komunikatów i poradników poruszających kwestie bezpiecznej pracy zdalnej, uprawnień Głównego Inspektora Sanitarnego czy Państwowej Komisji Wyborczej.
Podmioty uprawnione do przetwarzania danych w związku z epidemią
Ustawa regulująca tzw. tarczę antykryzysową wprowadza szereg nowych uprawnień dla podmiotów publicznych, takich jak Państwowa Inspekcja Sanitarna, Zakład Ubezpieczeń Społecznych czy Policja. W świetle specustawy zalecenia GIS, wydane w oparciu o nią, stanowią obowiązek prawny, a równocześnie podstawę przetwarzania danych osobowych. Do istotnych zmian doszło również w Prawie telekomunikacyjnym. Na ich gruncie Minister Cyfryzacji uzyskał dostęp do danych lokalizacyjnych osób zakażonych koronawirusem bądź objętych kwarantanną, a także do zanonimizowanych danych w zakresie lokalizacji nieograniczonego kręgu użytkowników telefonów – bez wiedzy posiadacza telefonu. Więcej o zagadnieniu anonimizacji można przeczytać w artykule: „Wyzwania związane z anonimizacją danych osobowych w czasie epidemii”.
Incydenty i problemy praktyczne wynikające z walki z epidemią
Ochrona danych osobowych w czasie epidemii to nie tylko problemy teoretyczne. Ryzyko upublicznienia danych osób chorych bądź przebywających na kwarantannie, ale również pracowników służby zdrowia, stanowi realne zagrożenie dla ich komfortu, a nawet życia. Niezależnie od niezamierzonych wycieków tego typu danych w kolejnych gminach pojawiają się pomysły publicznego wskazywania osób chorych albo objętych kwarantanną, m.in. poprzez oznaczanie ich koszów na śmieci oraz domów, w których mieszkają. Intencje przedmiotowych działań z pewnością były słuszne, niemniej doniesienia medialne wskazują, że ich skutki są zgoła odmienne – groźby i szykanowanie stały się codziennością osób choćby podejrzanych o zachorowanie, a ochrona danych zyskała szczególne znaczenie.
Zatrudnienie oraz praca zdalna
Zatrudnienie to jeden z najbardziej newralgicznych obszarów, na które wpływa epidemia. Dopuszczalność mierzenia temperatury pracowników oraz organizacja pracy zdalnej to tylko niektóre z wyzwań, przed którymi stają pracodawcy. Więcej na te tematy pisaliśmy w artykułach: „Zatrudnienie w dobie koronawirusa – jak poradzić sobie z badaniami medycyny pracy, szkoleniami z RODO i upoważnieniami”, „Analiza ryzyka dla pracy zdalnej”, „Jak zorganizować bezpieczną pracę zdalną – checklista dla działów IT”, „Czy wolno mierzyć temperaturę pracownikom z uwagi na koronawirusa? Tak! Obowiązki pracodawcy i ochrona danych w obliczu wirusa”.
Zagrożenia dotyczące aplikacji mobilnych
W minionym czasie kontrowersje wzbudzał również temat proponowanych przez władze aplikacji mobilnych mających służyć do zapobiegania rozprzestrzenianiu się epidemii. Specustawa nakłada na osoby objęte kwarantanną obowiązek korzystania z aplikacji „Kwarantanna domowa”. Ale czy na pewno jest ona bezpieczna dla jej użytkowników? Pojawiają się co do tego wątpliwości. Znaleziono już bowiem w systemie luki, które mogą zdradzać pewne informacje dotyczące osób fizycznych. Ponadto warto przyjrzeć się regulaminowi aplikacji, określającemu m.in. okres przechowywania danych osobowych czy krąg ich odbiorców. Szczegółowo ten temat opisaliśmy w tekście: „Aplikacja »Kwarantanna domowa« – funkcjonalności, regulamin i przetwarzanie danych osobowych”.