Czy pracodawca może żądać od pracownika informacji o szczepieniu przeciw Covid-19?

Pandemia wirusa Covid-19 od ponad roku stawia przed społeczeństwem i ustawodawcą nowe wyzwania m.in. w zakresie ochrony zdrowia i życia. Wprowadzona do obiegu szczepionka, która była przez (niemal) wszystkich wyczekiwana z nadzieją miała nie tylko zapobiec rozprzestrzenianiu się wirusa, ale i ułatwić funkcjonowanie gospodarki.

Pomimo wielu optymistycznych prognoz temat szczepień zaczął budzić kontrowersje i pytania m.in. dotyczące tego, jak wyglądają zasady ochrony danych osobowych w zakresie udostępniania informacji o szczepieniach. W środowisku prawniczym od kilku miesięcy toczy się dyskusja na temat możliwości uzyskiwania przez pracodawcę informacji o tym, czy jego pracownicy zaszczepili się przeciw Covid-19. Pojawiło się sporo głosów, które – powołując się na przepisy RODO i Kodeksu pracy – wykluczają możliwość gromadzenia tego typu danych.

Spróbujmy uporządkować, jak to wygląda na gruncie przepisów prawnych.

Zakaz przetwarzania danych wrażliwych wynikający z RODO nie jest bezwzględny

Rozporządzenie o ochronie danych osobowych (RODO) wyraża generalną zasadę, która co do zasady zabrania przetwarzania danych osobowych zaliczanych do kategorii wrażliwych. Należą do nich: dane osobowe ujawniające:

• pochodzenie rasowe lub etniczne,
• poglądy polityczne,
• przekonania religijne lub światopoglądowe,
• przynależność do związków zawodowych

oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Zgodnie z motywem 35 RODO do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą.

Raczej nie ma wątpliwości, że ta definicja obejmuje swoim zakresem informację o szczepieniach profilaktycznych, w tym szczepieniach ochronnych przeciwko Covid-19.

Zasady przetwarzania tych kategorii danych zostały uregulowane w sposób szczególny. Dane wrażliwe mogą być przetwarzane tylko na zasadzie wyjątku w przypadkach wskazanych w art. 9 ust. 2 RODO. Artykuł ten ma charakter wyjątkowy i nie powinien być interpretowany rozszerzająco. Wymienione w art. 9 ust. 2 RODO podstawy uprawniające do przetwarzania danych z kategorii wrażliwych mają charakter restrykcyjny (są to jedyne podstawy dopuszczające przetwarzanie danych wrażliwych), a jednocześnie samoistny, niezależny i równoważny. W związku z tym wystarczy spełnienie już tylko jednej z nich, aby przetwarzanie danych wrażliwych było dopuszczalne.

Fundamentalne znaczenie w aspekcie omawianego tematu ma art. 9 ust. 2 lit h) RODO, zgodnie z którym, w sytuacji gdy przetwarzanie danych jest niezbędne do celów profilaktyki zdrowotnej, medycyny pracy czy do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii Europejskiej lub prawa państwa członkowskiego, lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3 tego przepisu, zakaz przetwarzania danych wrażliwych nie ma zastosowania.

Zgodnie z dodatkowym zastrzeżeniem z ust. 3 dane dotyczące zdrowia mają być przetwarzane przez lub na odpowiedzialność pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na podstawie odrębnych przepisów.

Wymóg ten jest o tyle istotny praktycznie, że sama osoba zarządzająca przedsiębiorstwem pracodawcy może nie mieć dostępu do informacji o zaszczepieniu lub nie (gdyż te dane są przetwarzane przez pracownika służby zdrowia zobowiązanego do zachowania tajemnicy), ale będzie ona miała dostęp do informacji pochodnej – tj. informacji, czy określona osoba spełnia wymogi do pracy na danym stanowisku. 

Co do zasady rozporządzenie zakazuje więc przetwarzania danych dotyczących zdrowia.  Jednakże, o czym niektórzy wydają się zapominać, zakaz ten nie jest bezwzględny, a RODO przewiduje szereg wyjątków od niego. Jednym z nich jest wyjątek legalizujący przetwarzanie tych danych m.in. do celów profilaktyki zdrowotnej, medycyny pracy etc., przy czym ma się to odbywać w warunkach określonych w RODO. Jednym z istotniejszych warunków w tym zakresie wydaje się przeprowadzenie oceny skutków dla ochrony danych (art. 35 RODO), w ramach której dojdzie do jasnego określenia celów przetwarzania danych wrażliwych i sposobów ich realizacji.

Zakres danych możliwych do przetwarzania przez pracodawcę

Zwolennicy poglądu, zgodnie z którym pracodawca nie może w obecnym stanie prawnym uzyskiwać danych o zaszczepieniu się przez pracownika poszukują podstaw dla swojej tezy także w Kodeksie pracy. Pojawiają się nawet głosy, że pracodawca nie jest uprawniony do żądania od pracownika podania mu danych innych niż wskazane w art. 22¹ §1 i 3 k.p., a w żadnym przypadku nie może weryfikować statusu szczepień swoich pracowników.

Ten ostatni pogląd jest błędny – zgodnie bowiem z art. 22¹ § 4 k.p. pracodawca może żądać od pracownika podania innych niż wymienione w przepisach poprzedzających danych, jeżeli jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.

Takim obowiązkiem może być np. wyrażony w art. 207 § 2 k.p. obowiązek zapewnienia bezpiecznych i higienicznych warunków pracy oraz ochrony zdrowia i życia. Realizacja tego obowiązku mogłaby wymagać takiego rozłożenia obowiązków pracowniczych, aby w maksymalnym stopniu zmniejszyć narażenie osób z mniejszą odpornością na zachorowanie / z większym ryzykiem wystąpienia ciężkiego przebiegu choroby (osób niezaszczepionych) na kontakt czy to z innymi pracownikami, czy to z osobami trzecimi (klientami, dostawcami, etc.).

Normy o charakterze bardziej ogólnym (których wspólnym mianownikiem jest zakaz narażania osób trzecich na szkodę) mogłyby zaś stanowić źródło obowiązku, o którym mowa w art. 22¹ § 4 k.p., w sytuacjach, gdy kontakt niezaszczepionego pracownika z osobą trzecią mógłby narazić tę osobę trzecią na szkodę. Wiele zależy tu od okoliczności konkretnego przypadku, które powinny być wzięte pod uwagę przez pracodawcę planującego operacje przetwarzania danych wrażliwych w trakcie oceny skutków dla ochrony danych, o której mowa w art. 35 RODO.

Niemniej jednak trzeba stanowczo stwierdzić, że z przepisów k.p. wynika możliwość pozyskiwania danych w szerszym zakresie niż przewidują to jego art. 22¹ § 1 i 3 k.p.

Trzeba również dodać, że w powyższym kontekście przetwarzaniu danych o szczepieniach nie powinien stać na przeszkodzie art. 22^1b § 1 k.p., zgodnie z którym zgoda na przetwarzanie danych wrażliwych może być podstawą przetwarzania tylko wtedy gdy przekazanie danych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Jednakże, co zostało wskazane powyżej w części dotyczącej art. 9 RODO, podstawą przetwarzania danych o zaszczepieniu nie musi być zgoda (art. 9 ust. 2 lit. a RODO), lecz mogą być nią także względy profilaktyki medycznej, medycyny pracy etc. (art. 9 ust. 2 lit. h RODO).

Tym samym, jeżeli wyniki oceny z art. 35 RODO prowadzą do wniosku, że przetwarzanie określonej kategorii danych jest niezbędne w tych celach, problem zgody pracownika czy też osoby ubiegającej się o przyjęcie do pracy, jako podstawy przetwarzania danych, wydaje się tracić na aktualności.

Aspekt praktyczny

Aktualnie obowiązujące prawo nie zabrania bezwzględnie zbierania danych o zaszczepieniu pracowników (na zasadach określonych w RODO), a następnie wykorzystywania wynikających z tych danych informacji o zdolności do pracy na danym stanowisku, w celu organizacji pracy w taki sposób, aby zminimalizować ryzyko zachorowania czy ciężkiego przebiegu choroby u jak największej liczby osób.

Trzeba sobie jednak zdawać sprawę, że przeprowadzenie takiej operacji przez pracodawcę wymaga spełnienia szczególnych wymogów.

• W pierwszym rzędzie trzeba tu wskazać wymóg podjęcia świadomej decyzji o takim przetwarzaniu (uwzględniającej wyniki oceny z art. 35 RODO).
• Kolejnym, niełatwym do praktycznego przezwyciężenia problemem może okazać się spełnienie wymogów z art. 9 ust. 2 lit. h oraz ust. 3 RODO (przetwarzanie na podstawie przepisu prawa lub umowy z pracownikiem służby zdrowia w sposób zapewniający zachowanie tajemnicy zawodowej).
• Wreszcie, pracodawca przetwarzający tego rodzaju dane będzie musiał zadbać o ich odpowiednie zabezpieczenie. 

Czy zatem potrzebna jest interwencja ustawodawcy? Z pewnością w jej wyniku mogłyby zostać ustanowione ramy dla stosowania art. 9 ust. 2 lit. h oraz ust. 3 do kwestii szczepień (przepisy ustawy mogłyby stanowić rozwinięcie i doprecyzowanie tych wymogów).

Z drugiej strony z taką interwencją może wiązać się problem „inflacji regulacji” i obawa, że nowe przepisy stworzą dodatkowe problemy interpretacyjne lub okażą się niespójne z dotychczasowymi regulacjami lub praktyką ich stosowania.

Autorem opinii adw. Mateusz Janion, wspólnik w kancelarii Loewen Legal Hub oraz Klaudia Jędrzejczyk, prawniczka z Loewen Legal Hub