Firmy już zobowiązują pracowników do informowania o zaszczepieniu. Nie muszą obawiać się mandatu ze strony inspekcji pracy, ale nie mogą wykluczyć sankcji za naruszenie przepisów o ochronie danych osobowych.

Część pracodawców, w tym m.in. z sektora oświaty i usług (gastronomia), domaga się od zatrudnionych informacji, czy przyjęli preparat przeciwko COVID-19. Niektórzy ograniczają niezaszczepionym wstęp na teren siedziby, inni domagają się testów lub wyznaczają termin na przyjęcie szczepionki (pod groźbą zwolnienia; takie przypadki zgłaszano do inspekcji pracy m.in. w woj. małopolskim, wielkopolskim i zachodniopomorskim). Firmy decydują się na to bez jednoznacznej podstawy prawnej, która umożliwiałaby im wspomnianą weryfikację. Inspekcja poprzestaje w takich sytuacjach na pouczeniach i nie kwestionuje zachęt do szczepień (np. bonusów finansowych od pracodawcy).
Z większym ryzykiem trzeba liczyć się w razie skargi do Urzędu Ochrony Danych Osobowych (UODO). W odpowiedzi na pytania DGP podtrzymał on swoje wcześniejsze stanowisko w sprawie przetwarzania informacji o szczepieniach. Przypomniał, że nie ma podstawy do żądania takich danych od pracownika. – W sytuacji gdy dana osoba uważa, że jej dane są przetwarzane np. bez podstawy prawnej bądź z naruszaniem przepisów o ochronie danych osobowych, ma prawo do złożenia skargi do prezesa UODO, jak i do skierowania sprawy na drogę sądową – wskazał Adam Sanocki, rzecznik prasowy UODO.
O wprowadzenie przepisów, które jednoznacznie umożliwiłyby taką weryfikację, wciąż apelują pracodawcy. – Zatrudniający, którzy chcą zapewniać bezpieczeństwo w firmie, nie powinni ponosić z tego tytułu ryzyka – podkreśla Cezary Kaźmierczak, prezes Związku Przedsiębiorców i Pracodawców.
Co wolno?
Z perspektywy firm pozytywna jest interpretacja przyjęta przez Państwową Inspekcję Pracy. Podkreśla ona, że w aktualnym stanie prawnym nie ma przepisu, który zabraniałby – pod groźbą kary – kierowania żądań wobec pracowników, aby poddali się szczepieniu (a mandat można nałożyć za wykroczenie). – Zatem inspektorzy pracy, w przypadku stwierdzenia takich sytuacji, poprzestają na działaniach informacyjnych, zgodnych z aktualnym stanowiskiem PIP w sprawie szczepień – podkreślił Juliusz Głuski, rzecznik prasowy Głównego Inspektoratu Pracy (w odpowiedzi na pytania mediów w tej sprawie).
W praktyce wielu pracodawców pozyskuje też informacje o zaszczepieniu dzięki wdrożeniu zachęt, np. udzielaniu dodatkowego dnia wolnego dla szczepiących się lub przyznaniu im gratyfikacji finansowej. PIP nie sprzeciwia się takim bonusom, pod warunkiem spełnienia odpowiednich wymogów, w tym m.in. zadbania, aby to pracownik inicjował przekazywanie informacji o zaszczepieniu przez np. złożenie wniosku o wypłatę świadczenia (dobrym rozwiązaniem jest też ustalenie reguł wypłaty lub udzielanie dnia wolnego w porozumieniu ze związkami zawodowymi lub przedstawicielami pracowników).
Co zakazane?
Znacznie więcej ograniczeń i ewentualnych ryzyk dla firm wynika ze stanowiska UODO (a raczej z zaniechania ustawodawcy, który nie przyjął do tej pory odpowiednich przepisów). DGP zapytał m.in., czy pracodawca może wymagać od zatrudnionych, aby albo okazywali certyfikaty zaszczepienia, albo aktualne testy z negatywnym wynikiem (przy czym nieokazanie oznacza niewpuszczenie na teren zakładu pracy). W odpowiedzi (patrz ramka, całość jest dostępna na gazetaprawna.pl) UODO podkreślił, że może wypowiadać się wiążąco jedynie w ramach decyzji administracyjnej wydanej po przeprowadzeniu postępowania w konkretnej sprawie i zbadaniu wszystkich okoliczności. Jednocześnie nie jest odpowiedzialny za brak stosownych regulacji prawnych w zakresie włączenia pracodawców w system walki z pandemią.
Z odpowiedzi urzędu wynika, że firmy mogłyby domagać się informacji o zaszczepieniu, jeśli wprowadzono by przepisy gwarantujące odpowiednią ochronę praw pracowników w tym względzie (obecnie nie ma obowiązku udostępniania takich danych zatrudniającemu). Z kolei weryfikacja za zgodą podwładnego jest możliwa, jeśli w pełni zrealizowane są konkretne wymogi (m.in. zgoda musi być dobrowolna, świadoma, konkretna i możliwa do odwołania w każdym czasie). Jednocześnie urząd podkreślił, że istotne jest, by administratorzy, w tym przypadku pracodawcy, „wykazali, że dysponują podstawą do przetwarzania danych osobowych” (co wydaje się mieć szczególne znaczenie w kontekście ewentualnych sankcji).
– Wystarczyłby jeden przepis, który jednoznacznie uprawniałby do weryfikowania szczepień pracowników. Ale go nie ma i pracodawcy są wciąż skazani na poruszanie się w gąszczu przepisów – wskazuje prof. Jacek Męcina, doradca zarządu Konfederacji Lewiatan.
Podkreśla, że firmy mogą oczywiście powoływać się na obowiązek zapewnienia bezpiecznych i higienicznych warunków pracy. – Czyli na art. 207 k.p. Zatrudniający powinni mieć uprawnienia i instrumenty prawne, które umożliwiają im realizację wspomnianego obowiązku. W warunkach zagrożenia epidemiologicznego jedynym rozwiązaniem jest weryfikacja szczepień lub wymóg wykonania testu jako warunek dopuszczenia do pracy. Gdyby obowiązywał przepis jednoznacznie uprawniający do tego firmy, nie trzeba byłoby dokonywać takich wykładni z powoływaniem się na zasady bhp – dodaje prof. Męcina.
Pracodawcy podkreślają, że zapewnienie bezpieczeństwa sanitarnego powinno mieć jednoznaczne pierwszeństwo nad indywidualną ochroną danych osobowych. – To absurdalne, że firma nie może zapytać o zaszczepienie przeciwko chorobie zakaźnej i potencjalnie śmiertelnej. Ta wiedza nie uchroni w 100 proc. przed zagrożeniami, ale przynajmniej dzięki niej przedsiębiorstwa mogą bezpieczniej organizować swoją pracę – podsumowuje Cezary Kaźmierczak.
Fragmenty odpowiedzi UODO na pytania DGP
Informacje o zaszczepieniu stanowią szczególną kategorię danych osobowych, o której mowa w art. 9 ust. 1 RODO, a ich przetwarzanie, o ile nie odbywa się na podstawie wyraźnej zgody, możliwej do odwołania w każdym czasie (art. 7 RODO), wymaga zaistnienia przepisów zapewniających odpowiednie gwarancje dla osób, których dane te dotyczą, stworzenia konkretnych środków ochrony praw i wolności, a w niektórych przypadkach także wprowadzenia tajemnicy zawodowej (art. 9 ust. 2 lit. i RODO). Przepisy rozporządzenia Rady Ministrów z 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii (Dz.U. z 2021 r. poz. 861) nie stanowią o podstawie żądania pozyskania danych o stanie zdrowia od osób, których dane dotyczą (w tym przez pracodawców od pracowników), tj. nie regulują możliwości żądania udostępnienia od podmiotów danych informacji na temat ich szczepienia – nie określają, kto i na jakich zasadach może weryfikować i w jaki sposób ma być dokonywana weryfikacja, czy dana osoba odbyła szczepienie przeciwko COVID-19.
Aby można było pozyskiwać te dane na zasadzie obowiązku ich udostępniania pracodawcy, a nie fakultatywności, powinny zostać wdrożone przepisy gwarantujące odpowiednią ochronę praw osób, których dane dotyczą. Pozyskiwanie przez pracodawcę od pracownika informacji o zaszczepieniu się podlega natomiast przede wszystkim przepisom prawa pracy. Wyznaczają one zakres danych, jakie może pozyskiwać pracodawca od osoby ubiegającej się o zatrudnienie lub zatrudnionej, jak i tryb weryfikacji tych danych (221 k.p.). Poza danymi wymienionymi w art. 221 par. 1 i 3 k.p., pracodawca ma prawo żądać od pracownika podania tylko tych danych osobowych, w stosunku do których obowiązek ich podania wynika z odrębnych przepisów prawa (par. 4 tego artykułu). W pozostałych przypadkach pozyskanie danych odbywać się będzie na podstawie zgody (art. 221b par. 1 k.p.; zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych, o których mowa w art. 9 ust. 1 RODO, wyłącznie w przypadku gdy przekazanie ich następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika) spełniającej warunki określone w art. 7 RODO.
Z punktu widzenia UODO istotne jest, by administratorzy wykazali, że dysponują podstawą do przetwarzania danych osobowych, co wpisuje się w realizację przez nich zasady rozliczalności (art. 9 ust. 2 RODO).