Gromadzenie informacji o stanie zdrowia klientów a RODO

Mierzenie klientom temperatury, prośba o wypełnianie oświadczeń o braku kontaktu z osobami chorymi lub braku objawów koronawirusa może stanowić naruszenie przepisów RODO. Zgodnie z obowiązującymi przepisami oraz stanowiskiem Urzędu Ochrony Danych Osobowych (UODO), podstawę mierzenia i rejestrowania temperatury, a także zbierania informacji o stanie zdrowia klientów, czyli przetwarzania danych wrażliwych, mogłoby stanowić wyłącznie skierowane do danego przedsiębiorcy działania służb sanitarnych, np. decyzja indywidualna lub ogólne wytyczne. Samodzielnie zbieranie tych danych przez przedsiębiorcę może zostać uznane za naruszające zasady ochrony danych osobowych.

Powyższe wynika z faktu, że zbieranie od klientów informacji na temat ogólnego samopoczucia, odczuwanych objawów i temperatury ciała jest przetwarzaniem danych szczególnego rodzaju – danych o stanie zdrowia, należących do kategorii tzw. danych wrażliwych. Przetwarzanie danych wrażliwych, ze względu na ich charakter, wymaga zachowania szczególnych środków ostrożności. Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO), wprowadza generalny zakaz przetwarzania danych wrażliwych, chyba że wystąpią szczególne przesłanki legalizujące zbieranie tych danych, określone w art. 9 ust. 2 RODO.

Ze stanowiska UODO wynika, że przepisy o ochronie danych osobowych nie sprzeciwiają się przetwarzaniu danych osobowych pracowników i klientów np. w zakresie mierzenia temperatury czy wdrażania kwestionariusza z objawami chorobowymi. Zgodnie z tą opinią, przetwarzanie danych klientów można oprzeć na art 9 ust. 2 lit. i) RODO, który wskazuje, że szczególne kategorie danych zdrowotnych można przetwarzać, gdy jest to niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi, jeżeli wynika to z przepisów prawa. W opinii UODO, podstawę zbierania takich danych może stanowić art. 17 ustawy z 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych – tzw. specustawy. Zgodnie z tym przepisem, Główny Inspektor Sanitarny (GIS) posiada uprawnienia, aby oddziaływać na inne podmioty oraz na zmiany w obowiązujących przepisach, a także wskazywać na przyjmowanie właściwych rozwiązań w celu zwalczania epidemii.

Tym samym, jeżeli inspektor sanitarny uzna, że niezbędne jest przyjęcie rozwiązania w postaci mierzenia temperatury klientom i pozyskiwania od nich oświadczeń o stanie zdrowia, może skorzystać z właściwego dla niego środka prawnego i nałożyć na przedsiębiorcę decyzję wprowadzającą obowiązek pomiaru temperatury i zbierania oświadczeń dotyczących zdrowia klientów. Taka indywidualna decyzja (wydana również na wniosek przedsiębiorcy) stanowić będzie upoważnienie do przetwarzania danych osobowych o stanie zdrowia klienta. W ocenie UODO, podstawę przetwarzania danych dotyczących stanu zdrowia mogłyby stanowić również wytyczne wydawane przez GIS w związku z etapowym znoszeniem obostrzeń nałożonych w efekcie ogłoszonego stanu epidemicznego.

Wątpliwe jest jednak przetwarzanie danych wrażliwych klientów na podstawie wyrażonej przez nich zgody (art. 9 ust. 2 lit. a). RODO wprowadza zasadę, że zgoda na przetwarzanie danych osobowych – jeżeli ma stanowić podstawę ich przetwarzania, musi być wyrażona przez osobę, której dane dotyczą dobrowolnie. W myśl art. 7 ust. 4 RODO, oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy m.in. od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi. Jeżeli zatem przedsiębiorca uzależni wykonanie usługi od wyrażenia zgody na zarejestrowanie temperatury klienta i wypełnienia przez niego oświadczenia o stanie zdrowia, to uznanie takiej zgody za podstawę przetwarzania danych o stanie zdrowia może być dyskusyjne. W rezultacie, nawet dysponując oświadczeniem klienta o wyrażeniu zgody na gromadzenie danych o stanie jego zdrowia, przedsiębiorca będzie przetwarzać te dane bez wymaganej przez RODO podstawy prawnej.

H.Sz.