Ustalenie administratora danych, gdy akcję szczepień przeprowadza jedno przedsiębiorstwo, nie jest trudne. Jeżeli jednak mamy do czynienia ze wspólną organizacją procesu dokonywaną przez kilka podmiotów, pojawiają się już problemy.

Co jest istotne w kontekście administratora danych osobowych podczas procesu szczepień organizowanych w przedsiębiorstwach?

Co do zasady organizacja procesu szczepień w zakładzie pracy wiąże się z koniecznością przetwarzania danych osób chętnych do wzięcia udziału w tej akcji. Z kolei taki fakt jest powiązany z wymaganiami realizacji rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s.1, zwana RODO).

Jednym z obowiązków wynikających z powyższych aktów prawnych jest konieczność zapoznania osób, których dane osobowe są przetwarzane, z klauzulą informacyjną, w której są one informowane między innymi o tożsamości administratora danych. I generalnie ustalenie takiego administratora danych nie będzie problemem, gdy szczepienia organizowane są wyłącznie w obrębie jednego zakładu pracy.

Jednakże inaczej będzie wówczas, gdy w programie szczepień wezmą udział grupy pracodawców bądź też podwykonawcy zgłoszeni przez głównego wykonawcę. Tego typu współpraca wiąże się z koniecznością wyłonienia administratora danych, co może powodować pewne wątpliwości. Poza tym w takiej sytuacji koniecznym będzie ustalenie, czy mamy do czynienia z współadministrowaniem czy powierzeniem przetwarzania danych osobowych.

Co będzie istotne w kontekście określenia administratora danych osobowych w takiej sytuacji?

Zasadniczo elementem decydującym o statusie danego pracodawcy jest rola, jaką będzie on realizował w procesie organizacji szczepień. Otóż jeden administrator danych osobowych w procesie szczepień będzie występował wówczas, gdy jeden pracodawca odpowiada za cały proces i tylko on zbiera dane osób chętnych do szczepienia (przykładowo w ramach jednego budynku, niezależnie od tego czy pracownicy są zatrudnieni przez różnych pracodawców). W takiej sytuacji pracodawca taki będzie podmiotem samodzielnie określającym cele i sposoby przetwarzania danych, jak też jedynym podmiotem biorącym udział w procesie przetwarzania danych. I w tym przypadku wszelkie obowiązki, jak i odpowiedzialność wynikająca z RODO, będą ciążyły właśnie na nim. Wówczas pozostali pracodawcy będą wyłączeni z uwagi na brak jakiegokolwiek udziału w przetwarzaniu danych osobowych.

Z odmienną sytuacją będziemy mieli do czynienia wówczas, gdy proces będzie zorganizowany dwuetapowo. W tym przypadku poszczególni pracodawcy będą brać czynny udział w procesie przetwarzania danych osobowych. Wówczas pracownicy oraz inne osoby uprawnione będą zgłaszać chęć zaszczepienia u swego pracodawcy, a ten następnie będzie przekazywał te dane do głównego podmiotu zgłaszającego osoby do procesu szczepień. W tej sytuacji koniecznym jest określenie ról w przetwarzaniu danych osobowych dla poszczególnych podmiotów uczestniczących w całym procesie. Należy ustalić, czy owe podmioty są w relacji współadministrowania czy też powierzenia przetwarzania.

Jakie zatem cechy mają poszczególne relacje pomiędzy podmiotami w kontekście przetwarzania danych osobowych?

Otóż współadministrowanie występuje wówczas, gdy co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania danych osobowych. Jednakże zauważyć należy, iż w przypadku dwuetapowego procesu organizacji szczepień raczej nie powinno być mowy o współadministrowaniu. Celem bowiem tego procesu jest zgłoszenie do szczepień osób przez głównego pracodawcę organizującego szczepienie. Jest to zatem proces samodzielny, podczas którego dochodzi do przetwarzania danych.

Mamy tutaj do czynienia z sytuacją, gdy pierwszy pracodawca jest odpowiedzialny jedynie za zebranie, a następnie przekazanie ich podmiotowi realizującemu cały proces. Drugi z podmiotów natomiast przetwarza dane w celu nawiązania współpracy z podmiotem leczniczym oraz dokonania zgłoszenia za pośrednictwem formularza udostępnionego na stronie Rządowego Centrum Bezpieczeństwa. Zatem w tym przypadku nie powinno być mowy o współadministrowaniu, lecz też jednocześnie nie może być też mowy o występowaniu kilku samodzielnych administratorów danych.

Jeszcze inną opcją jest powierzenie przetwarzania danych osobowych, gdzie administratorem jest podmiot odpowiedzialny za organizację procesu szczepień, a procesorami (czyli podmiotami przetwarzającymi dane osobowe w imieniu administratora) będą poszczególni pracodawcy. Rezultatem takiego stanu rzeczy będzie konieczność zawarcia odpowiedniej umowy pomiędzy administratorem, a procesorami.

Generalnie to rozwiązanie wydaje się właściwsze i pozwala na odpowiednie zabezpieczenie danych osobowych osób, których dane są przetwarzane. Poza tym precyzyjne określenie roli każdego z podmiotów w całym procesie pozwala na uniknięcie ewentualnych błędów wynikających z nieprawidłowego przeświadczenia o swoim zakresie obowiązków.

Sama istota współpracy pomiędzy pomiotami w takim przypadku wymagać będzie też określenia innych nietypowych ustaleń, jak chociażby dotyczących kosztów szczepień. Stąd też przy określaniu roli każdego podmiotu w całym procesie szczepień, dodatkowe ustalenia pozwolą odpowiednio zabezpieczyć również interes pracodawców.

Co jeszcze jest istotne w kontekście akcji szczepień prowadzonej przez grupę pracodawców?

Otóż należy pamiętać, iż podmioty odpowiedzialne za organizację akcji szczepień nie będą otrzymywać danych bezpośrednio od osób, których owe dane dotyczą. Tym samym ważna jest prawidłowa organizacja obowiązku informacyjnego, jak i przygotowanie właściwej treści klauzuli informacyjnej.

Owa klauzula powinna wskazywać między innymi:

  • dane administratora danych (czyli organizatora akcji szczepień)
  • określnie źródła pochodzenia danych

Taka klauzula powinna zostać przekazana osobie, której dane są przetwarzane, w rozsądnym terminie po pozyskaniu danych, najpóźniej w ciągu miesiąca. Jednakże z uwagi na specyfikę procesu, jak i konieczność koordynacji, niewykluczony jest również kontakt administratora z podmiotem danych. Wówczas pamiętać należy, iż podanie klauzuli informacyjnej powinno nastąpić najpóźniej przy pierwszym kontakcie. Z kolei źródłem pochodzenia danych jest pracodawca, który przekazał podmiotowi odpowiedzialnemu za organizację procesu szczepień zebrane deklaracje.

Podsumowując, organizacja procesu szczepień przez jednego pracodawcę dla swych pracowników nie wzbudza wątpliwości pod kątem administrowania i przetwarzania danych osobowych. Jeżeli jednak mamy do czynienia ze współpracą w tym zakresie kilku podmiotów, wówczas sprawa nieco się komplikuje. Rozsądnym wydaje się wówczas, by taką współpracę potraktować na takiej zasadzie, iż jeden podmiot przejmuje odpowiedzialność za organizację procesu szczepień, stając się administratorem danych osobowych, natomiast pozostałe podmioty, przekazujące dane osób zainteresowanych szczepieniami, będą wówczas procesorami (czyli podmiotami przetwarzającymi dane osobowe w imieniu administratora).

Zobacz także: https://pramed.pl/aktualnosci/strona-na-instagramie/

https://pramed.pl/aktualnosci/oddychaj-w-domu-zdrowo-dzieki-oczyszczaczom-powietrza/