Federalny pełnomocnik ds. ochrony danych osobowych Ulrich Kelber przedstawił właśnie swoje sprawozdanie z działalności za rok 2021. W szczególności ostrzegł przed zbyt łatwym obchodzeniem się z danymi zdrowotnymi w związku z rozwojem pandemii Corona.

Regulacja prawna dotycząca przetwarzania danych dotyczących zdrowia, takich jak status szczepień

Przede wszystkim Federalny Pełnomocnik ds. Ochrony Danych stwierdza, że w związku z pandemią Corony konieczne jest ustanowienie regulacji prawnych w zakresie przetwarzania danych dotyczących zdrowia, takich jak status szczepień i rekonwalescencji czy wyniki badań. Wytyczną jest tu art. 9 II DSGVO. Wymagania GDPR muszą być spełnione również w sektorze prywatnym.

Jeśli nie ma takiej podstawy prawnej, za uzasadnienie przetwarzania tych danych można uznać jedynie zgodę osoby, której dane dotyczą. Szczególnie w stosunkach pracy pojawiają się w tym kontekście problemy z uwagi na brak równowagi sił w odniesieniu do dobrowolności. Regulacje prawne stworzyłyby tu jasność prawną, pewność prawa i jednolitość.

Federalny pełnomocnik ds. ochrony danych osobowych, Ulrich Kelber, zamierza nadal doradzać zaangażowanym w ten cel ministerstwom federalnym i pracować nad regulacją prawną.

Dane dotyczące zdrowia nie mogą stać się biletami

Wiele środków kontroli pandemii spowodowało, że dane dotyczące zdrowia stały się quasi biletami wstępu. Kontrola danych zdrowotnych, takich jak status szczepień i rekonwalescencji lub wyniki badań, stanowi przetwarzanie danych zdrowotnych i jest dopuszczalna tylko w szczególnych warunkach i przy zastosowaniu specjalnych środków ochrony osób, których dane dotyczą, zgodnie z art. 9 GDPR.

Federalny pełnomocnik ds. ochrony danych krytykuje w szczególności, że nie był zaangażowany w decyzje dotyczące odpowiednich rozporządzeń. Ponadto w uzasadnieniu do projektów nie odniesiono się do art. 9 GDPR. Po stronie pozytywów podkreśla jednak, że cyfrowe rozwiązania w zakresie dowodu częściowo łagodzą ryzyko. Postuluje, że należało wprowadzić dodatkowy "wymóg flankujący zapewnienie poufności przez administratorów danych".

Nawet jeśli sytuacja pandemii jako taka mogłaby stanowić wyjątkową sytuację w rozumieniu art. 9 II GDPR, brakowało odniesienia do niej. Ponadto istniało niebezpieczeństwo, że w rezultacie łatwe posługiwanie się danymi dotyczącymi zdrowia stanie się częstsze.

Postępowanie z danymi dotyczącymi zdrowia w ośrodkach badawczych

Postęp pandemii spowodował również, że w wielu miejscach konieczne badania nie są już przeprowadzane wyłącznie przez lekarzy lub przynajmniej pod ich nadzorem. Jeżeli dane dotyczące zdrowia są przetwarzane przez ośrodki badawcze należące do osób trzecich, to osoby te początkowo nie były już chronione tajemnicą zawodową. Federalny pełnomocnik ds. ochrony danych dostrzegł tu lukę, którą należało wypełnić. W końcu podmioty przeprowadzające testy nie tylko przetwarzają nazwisko, adres i dane dotyczące zdrowia uzyskane w wyniku testu, ale w przypadku pozytywnego wyniku testu istnieje również obowiązek powiadomienia właściwego urzędu ds. zdrowia. Nie wiadomo, w jakim stopniu wszystkie ośrodki testowe działają również w sposób zgodny z ochroną danych, zwłaszcza że doszło już do pewnych wpadek.

Dopiero gdy w listopadzie 2021 r. zwrócił na to uwagę federalny komisarz ds. ochrony danych osobowych, okazało się, że centra testowe również zostały zobowiązane do zachowania poufności.

Przegląd danych dotyczących zdrowia w miejscu pracy

Przepisy takie jak 3G w miejscu pracy zostały również wprowadzone częściowo w celu zwalczania pandemii. Również w tym przypadku dane dotyczące zdrowia były przetwarzane na dużą skalę. Pracodawcy mieli nagle duże i odpowiedzialne zadanie. Muszą dokładnie sprawdzić, jakie gromadzenie danych jest konieczne i kiedy, a także jak ma wyglądać ich przetwarzanie i przechowywanie. Należy przestrzegać wielu podstawowych zasad prawa ochrony danych osobowych. Na przykład w przypadku kontroli wzrokowej przed wejściem do miejsca pracy zwykle nie jest konieczne przechowywanie danych. W przeciwnym razie również te dane muszą zostać usunięte, gdy tylko ustanie ich cel, co niekoniecznie musi nastąpić dopiero po upływie maksymalnego okresu przechowywania wynoszącego sześć miesięcy (§ 28b III 9 IfSG).

Tutaj też zderzono się z problemem, że świadectwa szczepień, które nigdy nie były projektowane jako odporne na fałszowanie dowody osobiste, nagle przyjęły właśnie taką funkcję i dlatego szybko doszło do fałszerstw.

Wniosek

Nawet jeśli przetwarzanie danych osobowych w postaci danych zdrowotnych jest wyraźnie konieczne częściej w pandemii, federalny pełnomocnik ds. ochrony danych osobowych apeluje o ostrożność. Zbyt łatwe posługiwanie się danymi zdrowotnymi byłoby sprzeczne z podstawową ideą GDPR. W szczególności domaga się on, aby dane zdrowotne nie stały się na dłuższą metę "biletem wstępu".

Masz pytania dotyczące ochrony danych osobowych w Twojej firmie? Nasz zespół ekspertów chętnie Ci pomoże!

pl_PLPolski