Stanowisko belgijskiego organu nadzorczego dotyczy takich kwestii, jak klasyfikacja informacji o zaszczepieniu przeciwko COVID-19, możliwe podstawy prawne przetwarzania tych danych osobowych oraz dopuszczalność przetwarzania przez pracodawców danych o zaszczepieniu (lub braku zaszczepienia) pracowników.

Dane o stanie zdrowia

Belgijski organ nadzorczy wprost wskazał, że dane o zaszczepieniu przeciwko COVID-19 należy uznać za informacje dotyczące zdrowia, a zatem jest to szczególna kategoria danych z art. 9 ust. 1 RODO[1]. Ich przetwarzanie jest co do zasady zabronione, chyba że administrator może powołać się na wyjątek z art. 9 ust. 2 RODO.

Zgoda jako wyjątek pozwalający na przetwarzanie danych o zaszczepieniu

Belgijski regulator wskazał, że w większości przypadków zgoda osoby, której dane dotyczą, nie będzie odpowiednią podstawą prawną przetwarzania danych o stanie jej zaszczepienia. Ma to związek z wymogiem dobrowolności zgody, zgodnie z którym osoba, której dane dotyczą, powinna mieć prawdziwie wolny wybór wyrażenia zgody, a jej odmowa lub cofnięcie nie może wiązać się z żadnymi negatywnymi konsekwencjami dla tej osoby.

Natomiast jeśli od faktu udowodnienia, że jest się zaszczepionym, zależy to, czy dana osoba zostanie wpuszczona do jakiegoś miejsca czy lokalizacji, to nie jest spełniony wymóg dobrowolności zgody. Zachodzi bowiem negatywna konsekwencja w postaci braku dostępu do określonego miejsca.

Przepis prawa jako wyjątek pozwalający na przetwarzanie danych o zaszczepieniu

Wyjątkiem pozwalającym na przetwarzanie danych o zaszczepieniu przeciwko COVID-19 może być przepis prawa państwa członkowskiego. Belgijski organ odnosi się w tym kontekście do dwóch wyjątków z art. 9 ust. 2 RODO:

  • „przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą” (art. 9 ust. 2 lit. b RODO);
  • „przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą” (art. 9 ust. 2 lit. g RODO).

Jeśli chodzi o pierwszy z powyższych wyjątków – belgijski regulator zwrócił uwagę, że w kontekście stosunku pracy wyjątek ten wymaga, aby przepis pozwalający na przetwarzanie szczególnych kategorii danych był wystarczająco szczegółowy.

Jeśli chodzi o drugi wyjątek – organ zaznaczył, że niejasny lub zbyt ogólny przepis prawny nie jest wystarczający, aby na jego podstawie dopuszczalne było odstąpienie od ogólnego zakazu przetwarzania szczególnych kategorii danych.

Czy pracodawca może zbierać dane o zaszczepieniu swoich pracowników przeciwko COVID-19?

Zdaniem belgijskiego organu nadzorczego pracodawca nie może zbierać informacji o zaszczepieniu swoich pracowników przeciwko COVID-19. Organ wskazał, że potencjalnym warunkiem dopuszczającym przetwarzanie tego rodzaju danych z art. 9 ust. 2 RODO mogłaby być dobrowolna i wyraźna zgoda osoby, której dane dotyczą, albo przepis prawa zgodnie z art. 9 ust. 2 lit. b lub lit. g RODO.

Jeśli chodzi o przesłankę zgody, regulator zwrócił uwagę na problem jej dobrowolności. Wymóg ten oznacza, że pracownik musi mieć możliwość rzeczywistej decyzji, czy chce, aby jego dane dotyczące zdrowia (faktu zaszczepienia) były przetwarzane przez pracodawcę. Natomiast w stosunkach między pracownikiem a pracodawcą zgoda pracownika może nie spełniać wymogu dobrowolności, ponieważ pracownik może być pod presją, aby wyrazić zgodę.

Jeśli chodzi o przesłankę przepisu prawa, to belgijski organ nadzorczy wskazał, że nie są mu znane żadne przepisy prawa (chodzi oczywiście o prawo obowiązujące w Belgii), które zezwalałyby na przetwarzanie przez pracodawców danych o zaszczepieniu pracowników.

Belgijski organ odniósł się również do kwestii dopuszczalności zbierania przez pracodawców danych o zaszczepieniu pracowników w celu wypełnienia obowiązków prawnych z zakresu bezpieczeństwa i higieny pracy. W opinii belgijskiego regulatora nie jest to dopuszczalne. Organ wskazał, że na podstawie (belgijskich) przepisów dotyczących stosunku pracy pracodawca ma prawny obowiązek zapewnienia wykonywania pracy w odpowiednich warunkach z punktu widzenia bezpieczeństwa i zdrowia swoich pracowników. Pracodawca nie może jednak na podstawie tego prawnego obowiązku pytać swoich pracowników o to, czy zostali zaszczepieni, czy nie. Regulator zwrócił też uwagę na brak odpowiednich zabezpieczeń koniecznych do zgodnego z prawem przetwarzania danych o stanie zdrowia.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).