Pomimo wielu optymistycznych prognoz temat szczepień zaczął budzić kontrowersje i pytania m.in. dotyczące tego, jak wyglądają zasady ochrony danych osobowych w zakresie udostępniania informacji o szczepieniach. W środowisku prawniczym od kilku miesięcy toczy się dyskusja na temat możliwości uzyskiwania przez pracodawcę informacji o tym, czy jego pracownicy zaszczepili się przeciw Covid-19. Pojawiło się sporo głosów, które – powołując się na przepisy RODO i kodeksu pracy – wykluczają możliwość gromadzenia tego typu danych.

Zakaz nie jest bezwzględny

Rozporządzenie o ochronie danych osobowych (RODO) wyraża zasadę, która co do zasady zabrania przetwarzania danych osobowych zaliczanych do kategorii wrażliwych. Zgodnie z motywem 35 RODO do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dotyczą. Nie ma wątpliwości, że definicja ta obejmuje swoim zakresem informację o szczepieniach, w tym ochronnych przeciwko Covid-19.

Zasady przetwarzania tych kategorii danych zostały uregulowane w sposób szczególny. Dane wrażliwe mogą być przetwarzane tylko na zasadzie wyjątku w przypadkach wskazanych w art. 9 ust. 2 RODO. Przepis ten nie powinien być interpretowany rozszerzająco. Wymienione w art. 9 ust. 2 RODO podstawy uprawniające do przetwarzania danych z kategorii wrażliwych mają charakter restrykcyjny (są to jedyne podstawy dopuszczające przetwarzanie danych wrażliwych), a jednocześnie samoistny, niezależny i równoważny. W związku z tym wystarczy spełnienie już tylko jednej z nich, aby przetwarzanie danych wrażliwych było dopuszczalne.

Fundamentalne znaczenie ma art. 9 ust. 2 lit h) RODO. Zgodnie z nim w sytuacji, gdy przetwarzanie danych jest niezbędne do celów profilaktyki zdrowotnej, medycyny pracy czy do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa UE lub prawa państwa członkowskiego, lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3 tego przepisu, zakaz przetwarzania danych wrażliwych nie ma zastosowania.

Zgodnie z dodatkowym zastrzeżeniem z ust. 3 dane dotyczące zdrowia mają być przetwarzane przez lub na odpowiedzialność pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na podstawie odrębnych przepisów. Sama osoba zarządzająca przedsiębiorstwem pracodawcy może nie mieć dostępu do informacji o zaszczepieniu lub nie (gdyż te dane są przetwarzane przez pracownika służby zdrowia zobowiązanego do zachowania tajemnicy), ale będzie miała dostęp do informacji pochodnej, tj. czy określona osoba spełnia wymogi do pracy na danym stanowisku.

Rozporządzenie zakazuje więc przetwarzania danych dotyczących zdrowia. Jednak, o czym niektórzy wydają się zapominać, zakaz ten nie jest bezwzględny, a RODO przewiduje szereg wyjątków. Jeden z nich legalizuje przetwarzanie tych danych m.in. do celów profilaktyki zdrowotnej, medycyny pracy etc., przy czym ma się to odbywać w warunkach określonych w RODO. Jednym z istotniejszych warunków w tym zakresie wydaje się przeprowadzenie oceny skutków dla ochrony danych, w ramach której dojdzie do jasnego określenia celów przetwarzania danych wrażliwych i sposobów ich realizacji.

Zakres przetwarzania

Zwolennicy poglądu, zgodnie z którym pracodawca nie może w obecnym stanie prawnym uzyskiwać danych o zaszczepieniu się przez pracownika, poszukują podstaw dla swej tezy także w kodeksie pracy. Pojawiają się nawet głosy, że pracodawca nie jest uprawniony do żądania od pracownika podania mu danych innych niż wskazane w art. 221 §1 i 3 k.p., a w żadnym przypadku nie może weryfikować statusu szczepień swoich pracowników. Ten ostatni pogląd jest błędny. Zgodnie z art. 221 § 4 k.p. pracodawca może żądać od pracownika podania innych niż wymienione w przepisach poprzedzających danych, jeżeli jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu. Takim obowiązkiem może być np. zapewnienie bezpiecznych i higienicznych warunków pracy oraz ochrony zdrowia i życia. Realizacja tego obowiązku mogłaby wymagać takiego rozłożenia obowiązków pracowniczych, aby w maksymalnym stopniu zmniejszyć narażenie osób z mniejszą odpornością na zachorowanie / z większym ryzykiem wystąpienia ciężkiego przebiegu choroby na kontakt czy to z innymi pracownikami, czy to z osobami trzecimi (klientami etc.).

Normy o charakterze bardziej ogólnym (których wspólnym mianownikiem jest zakaz narażania osób trzecich na szkodę) mogłyby zaś stanowić źródło obowiązku, o którym mowa w art. 221 § 4 k.p., w sytuacjach, gdy kontakt niezaszczepionego pracownika z osobą trzecią mógłby narazić tę osobę na szkodę. Wiele zależy tu od okoliczności konkretnego przypadku, które powinny być wzięte pod uwagę przez pracodawcę.

Niemniej trzeba stanowczo stwierdzić, że z przepisów k.p. wynika możliwość pozyskiwania danych w szerszym zakresie, niż przewidują to jego art. 221 § 1 i 3 k.p. Trzeba też dodać, że w tym kontekście przetwarzaniu danych o szczepieniach nie powinien stać na przeszkodzie art. 221b § 1 k.p., zgodnie z którym zgoda na przetwarzanie danych wrażliwych może być podstawą przetwarzania tylko wtedy, gdy przekazanie danych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Jednak, co zostało wskazane wcześniej, podstawą przetwarzania danych o zaszczepieniu nie musi być zgoda, lecz mogą być nią także względy profilaktyki medycznej.

Tym samym, jeżeli wyniki oceny z art. 35 RODO prowadzą do wniosku, że przetwarzanie określonej kategorii danych jest niezbędne w tych celach, problem zgody pracownika, jako podstawy przetwarzania danych, wydaje się tracić na aktualności.

Aktualnie obowiązujące prawo nie zabrania bezwzględnie zbierania danych o zaszczepieniu pracowników (na zasadach określonych w RODO), a następnie wykorzystywania wynikających z tych danych informacji o zdolności do pracy na danym stanowisku, w celu organizacji pracy w taki sposób, aby zminimalizować ryzyko zachorowania czy ciężkiego przebiegu choroby.

Tylko skomplikują

Przeprowadzenie takiej operacji przez pracodawcę wymaga spełnienia wymogów. W pierwszym rzędzie podjęcia świadomej decyzji o takim przetwarzaniu (uwzględniającej wyniki oceny z art. 35 RODO). Kolejnym może okazać się spełnienie wymogów z art. 9 ust. 2 lit. h oraz ust. 3 RODO (przetwarzanie na podstawie przepisu prawa lub umowy z pracownikiem służby zdrowia w sposób zapewniający zachowanie tajemnicy zawodowej). Wreszcie, pracodawca przetwarzający tego rodzaju dane będzie musiał zadbać o ich odpowiednie zabezpieczenie.

Czy zatem potrzebna jest interwencja ustawodawcy? W jej wyniku mogłyby zostać ustanowione ramy dla stosowania art. 9 ust. 2 lit. h oraz ust. 3 do kwestii szczepień. Z drugiej strony z taką interwencją może wiązać się problem „inflacji regulacji" i obawa, że nowe przepisy stworzą dodatkowe problemy interpretacyjne.

Mateusz Janion jest adwokatem i wspólnikiem w kancelarii Loewen Legal Hub, a Klaudia Jędrzejczyk jest tam prawniczką