Jest już projekt ustawy umożliwiającej pracodawcom pytanie pracowników o COVID-19. Czy nowe przepisy w ogóle są potrzebne?

Z informacji prasowych wynika, że zapowiadany już od dłuższego czasu projekt ujrzał wreszcie światło dzienne. Jeżeli uda się go szybko uchwalić, może dać pracodawcom, przed kolejną falą zakażeń, narzędzie efektywnego zarządzania bezpieczeństwem swoich pracowników. Tym razem nie będziemy jednak omawiać założeń nowych przepisów. Chcemy zabrać głos w dyskusji, czy te przepisy w ogóle są potrzebne, skoro część prawników twierdzi, że i bez nowej ustawy pytanie np. o zaszczepienie się pracownika jest dozwolone.

Czy faktycznie nowe przepisy były potrzebne?

To pytanie nie jest od rzeczy. Kwestia, czy już w obecnym stanie prawnym pracodawcy mogą pytać pracowników o przechorowanie COVID-19 lub zaszczepienie się, podzieliła prawników.

W mojej ocenie – dotychczasowe przepisy takie działanie pracodawców uniemożliwiają. Uważna analiza przepisów RODO i np. Kodeksu pracy prowadzi do wniosku, że nie da się działań takich zalegalizować.

Jedna ze wskazanych w RODO przesłanek zgodnego z prawem przetwarzania danych o stanie zdrowia osoby fizycznej dotyczy niezbędności przetwarzania do wypełnienia obowiązków przez administratora w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej. Problem jednak w tym, że często pomija się kolejną część przepisu RODO, w którym jest ona sformułowana –

o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą.

Tego rodzaju przepisów pozwalających pracodawcom ingerować w sferę zdrowia pracowników w kontekście trwającej pandemii nie ma. Nie wystarczy więc, zrozumiała skądinąd, potrzeba zapewnienia pracownikom bezpieczeństwa zdrowotnego i racjonalnego organizowania pracy w czasie obostrzeń sanitarnych oraz powołanie się na niezbędność przetwarzania danych np. dla celów wypełnienia obowiązków związanych z BHP. Muszą istnieć przepisy, które dają też osobom, których dane dotyczą realne gwarancje ochrony ich interesów w związku z tym przetwarzaniem. Celem RODO bowiem, co wynika już z samego jego tytułu, jest właśnie ochrona osób fizycznych w związku z przetwarzaniem ich danych.

Inny, często przywoływany przepis RODO, jako mający dawać prawo pytania pracowników np. o zaszczepienie, to ten, który usprawiedliwia przetwarzanie danych o zdrowiu niezbędnością ze względów związanych z ważnym interesem publicznym. Oczywiście, walka z pandemią to niewątpliwie ważny interes publiczny. Trzeba jednak pamiętać, że ten przepis stanowi dalej, iż przetwarzanie musi odbywać się

na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

Zastrzeżenie istnienia odpowiednich gwarancji praw i wolności osób, których dane miały być przetwarzane, zawierają także inne określone w RODO przepisy, które bywają cytowane jako uzasadniające już teraz zbieranie przez pracodawców danych dotyczących zdrowia pracowników w kontekście COVID-19.

Jak miałoby to wyglądać w praktyce?

Wyobraźmy sobie sytuację, w której pracodawca, nie czekając na uregulowanie tej kwestii przepisami, a kierując się np. względami BHP, zbiera dane o tym, kto COVID przechorował, kto się zaszczepił, kto nie. Może w ten sposób uzyskać szereg informacji sięgających do sfery prywatności pracowników. Od oczywiście samej kwestii posiadania statusu ozdrowieńca, czy osoby zaszczepionej, po wiele informacji dotyczących innych sfer życia. Pracownik mógł się nie poddać szczepieniu z wielu rozmaitych względów. Z czystego lenistwa, braku zaufania do nauki, pobudek ideologicznych, po faktyczne przeciwwskazania zdrowotne. Pytanie o szczepienie może więc pociągnąć za sobą szereg dalszych pytań ze strony pracodawcy, na które pracownik nie musi odpowiadać, nie chcąc np. żeby pracodawca wiedział, że jest dotknięty schorzeniem, które wyklucza szczepienie na COVID, czy jest w ciąży. Kolejna kwestia – czy pracodawca wierzy swoim pracownikom na słowo, czy wymaga przedstawienia dowodów statusu ozdrowieńca bądź osoby zaszczepionej? Jeżeli to drugie – to na jakiej podstawie i czy ma prawo kopie tych dokumentów np. archiwizować?

Przetwarzanie danych osobowych, które po pierwsze głęboko mogą ingerować w sferę prywatności pracownika, a po drugie – mogą powodować niekorzystne dla niego skutki, nie może odbywać się w próżni prawnej. Doświadczenie podpowiada, że stopień – nazwijmy to eufemistycznie – świadomości pracodawców ich obowiązków związanych z legalnym przetwarzaniem danych osobowych, jest rozmaity, różnie też prezentują się standardy zabezpieczenia w firmach tych danych. Także z tego też względu niezbędna jest precyzyjna regulacja, która wytyczy ramy dozwolonego, proporcjonalnego do celu, przetwarzania danych na potrzeby walki z COVID w zakładach pracy oraz da osobom, których dane te dotyczą realne gwarancje zachowania ich prywatności i bezpieczeństwa dotyczących ich danych.

Przepisy są potrzebne – właśnie po to, żeby walka z koronawirusem mogła być u pracodawców prowadzona efektywnie

Chcę być dobrze zrozumiany. Przedstawione wyżej stanowisko nie oznacza bezkrytycznego dawania prymatu prawu do prywatności nad wspólnym interesem nas wszystkich i ochroną naszego zdrowia lub życia w miejscu pracy. Nie może być tak, że pracodawcy ponoszą bezwzględną odpowiedzialność za stan BHP w firmie, nie dysponując skutecznymi narzędziami umożliwiającymi realizację tych obowiązków, także w kontekście walki z koronawirusem.

W braku reakcji ustawodawcy, mielibyśmy jednak do czynienia z wolną amerykanką, brakiem jasnych reguł, co jest dozwolone, a co nie. Ostatecznie, przepisy są potrzebne nie tylko pracownikom w celu ochrony ich praw i wolności, ale także samym pracodawcom. Dzięki nim bowiem nie będą się poruszać po polu minowym, ryzykując zapłatę astronomicznych kar za łamanie RODO, bądź odszkodowań za naruszenie prawa do prywatności lub za działania dyskryminujące pracowników. Zyskają też – miejmy nadzieję – narzędzie do skuteczniejszego zarządzania pracą w trakcie pandemii.