Wiele podmiotów w Polsce działa w międzynarodowej strukturze grup przedsiębiorstw. Nic prostszego przyjąć stosowanie tych samych polityk, zalegalizować przetwarzanie danych na tych samych podstawach prawnych, uwzględniając ten sam zakres danych, w końcu działamy w oparciu o RODO a w końcu to rozporządzenie obowiązuje wszystkie kraje Unii Europejskiej.  Jednak interpretacje i rekomendacje organów krajowych nadzorujących przestrzeganie RODO i przepisów prawa w poszczególnych krajach, nie pozostawiają złudzeń – nie ma jedności w tym obszarze. Tym samym można wpaść w pułapkę świetnie wypracowanych procedur czy pomysłów wewnętrznych regulacji spółki matki, których nie sposób zaimplementować w innych krajach gdzie spółki córki są zlokalizowane.

 

Takim przykładem rozbieżności jest podstawa prawna przetwarzania informacji o zaszczepieniu przeciwko COVID-19 pracownika. Porównanie dotyczy Niemiec i Polski.

 

NIEMCY. Konferencja Ochrony Danych (DSK), organ zrzeszający landowe urzędy ochrony danych osobowych w Niemczech, w uchwale z dnia 29 marca 2021 r. wskazała, że nie ma regulacji ustawowej, m.in. w zakresie dokumentowania przez pracodawcę negatywnego wyniku testu COVID-19 w celu dopuszczenia pracowników do pracy w sektorze prywatnym. W ocenie DSK w sytuacji, gdyby pracodawca chciałby pozyskać taką informację to m.in. pracownicy musieliby wyrazić zgodę na okazanie dokumentu szczepienia w celu poświadczenia swojej deklaracji. I tu podobieństwo między niemieckim a polskim podejściem się kończy, bo DSK wskazuje furtkę w postaci uszczegółowienia tej kwestii w przepisach prawa lokalnego, wdrożonego przez poszczególne federalne kraje Niemiec (landy).

 

Są już landy, gdzie uszczegółowiono procedurę dokumentowania szczepień przez pracowników w rozporządzeniach dotyczących ochrony przed koronawirusem.

 

W Nadrenii Północnej-Westfalii, jak i w Saksonii wprowadzono regulację, zgodnie z którą pracownicy, którzy przez pięć dni roboczych z rzędu przebywali na urlopie lub nie pracowali z innego powodu, muszą przed ponownym podjęciem pracy przedstawić pracodawcy negatywny wynik testu COVID-19 lub przeprowadzić udokumentowany test pod nadzorem pracodawcy. Alternatywnie można przedstawić inny dowód pełnej ochrony poszczepiennej np. dokument wskazujący że się COVID-19 przeszło. Również Berlin przewiduje możliwość samokontroli tylko pod nadzorem pracodawcy, przynajmniej w przypadku pracowników, którzy podczas pracy mają kontakt fizyczny z klientami.

 

W Niemczech mamy jeszcze zapisy Ustawy o ochronie danych osobowych, które uszczegóławiają zasady przetwarzania danych osobowych w szczególnych sytuacjach. Paragraf 26 ust. 3 wprost wskazuje, że w drodze odstępstwa od art. 9 ust. 1 rozporządzenia (UE) 2016/679 przetwarzanie szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia (UE) 2016/679, do celów związanych z zatrudnieniem jest dozwolone, jeżeli jest to niezbędne do wykonywania praw lub wypełniania obowiązków prawnych wynikających z prawa pracy, zabezpieczenia społecznego i ochrony socjalnej oraz nie ma podstaw do uznania, że osoba, której dane dotyczą, ma nadrzędny uzasadniony interes w nieprzetwarzaniu tych danych.

 

Oznacza to, że po przeprowadzeniu oceny prawnie uzasadnionego interesu i wykazaniu nadrzędności interesu pracodawcy, nad interesem pracownika, można by podjąć się przetwarzania informacji o szczepieniu.

 

POLSKA. Niestety ani aktualne przepisy prawa a już tym bardziej uzasadniony interes administratora danych nie mogą być przesłanką do przetwarzania informacji o szczepieniu pracownika. Nie mamy takich szczególnych uregulowań w polskiej Ustawie o ochronie danych osobowych, a zasady przetwarzania danych pracowników ujęte w Kodeksie Pracy nie pozostawia żadnych złudzeń:

 

„art. 22^1b §1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika.”

 

Co więcej brak tej zgody lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.

 

Konkluzja jest jedna: póki przepisy prawa w Polsce w randze ustawowej nie zalegalizują przetwarzania informacji o zaszczepieniu, to stosowanie procedur, zapożyczonych, czy wręcz narzuconych przez spółkę-matkę jest nieuzasadnione i może nieść konsekwencje w postaci kary finansowej ze strony PUODO oraz skarg i roszczeń ze strony pracowników.

 

źródło:

strona internetowa kancelarii Piltz Rechtsanwälte PartGmbB Berlin [ piltz.legal ]

ustawie z dnia 26 czerwca 1974 r. – Kodeks pracy (Dz. U. z 2018 r. poz. 917, z późn. zm.)

Federalna ustawa o ochronie danych z dnia 30 czerwca 2017 roku (BGBl. I s. 2097), zmieniona art. 10 ustawy z dnia 23 czerwca 2021 roku (BGBl. I s. 1858).”