Na etapie zliczania chętnych do szczepienia w firmie pracodawca nie powinien wykraczać poza zebranie imion i nazwisk zatrudnionych i współpracowników oraz liczby członków ich rodzin. Nie musi natomiast zbierać oświadczeń o zgodzie na przetwarzanie ich danych.

Od 4 maja pracodawcy mogą zgłaszać chęć utworzenia punktu szczepień w firmie. Zgodnie z rządowymi wytycznymi, w zakładach pracy będą mogli szczepić się pracownicy, współpracownicy oraz członkowie ich rodzin. Pracodawca organizujący szczepienia działa na zupełnie nowym polu, na którym ogromne znaczenie mają względy praktyczne, w tym – kwestia przetwarzania danych osobowych. Nowa rola pracodawcy wcale nie oznacza, że ochrona danych powinna zejść na drugi plan. Przeciwnie – warto bezpiecznie działać od początku procesu, aby uniknąć niepotrzebnego ryzyka.

Minimum informacji

300 chętnych – co najmniej tyle osób chcących się zaszczepić musi zebrać pracodawca, aby utworzyć punkt szczepień. Może w tym celu połączyć siły z inną firmą. W formularzu zgłoszeniowym dla pracodawców podaje się wyłącznie liczbę chętnych, bez jakichkolwiek danych osobowych. Skoro zatem pracodawca nie potrzebuje dla zgłoszenia w systemie żadnych personaliów osób zainteresowanych szczepieniami, to nie ma też konkretnego celu w ich zbieraniu.

Idealną sytuacją byłoby więc przeprowadzenie anonimowej ankiety, w której zatrudnieni deklarowaliby chęć szczepienia i ewentualnie podawaliby liczbę członków rodziny, którzy też będą chcieli skorzystać z tej możliwości w firmie. W praktyce utrzymanie anonimowości może być jednak trudne; jednocześnie nie widzę przeszkód w przetwarzaniu samego imienia i nazwiska pracownika wraz z informacją o chęci zaszczepienia się (gdy pracownicy będą zgłaszali się mailowo, trudno będzie uniknąć przetwarzania tego typu danych). Jeżeli zatrudnieni będą chcieli zgłosić także członków swoich rodzin, to nie ma, moim zdaniem, potrzeby zbierania imion i nazwisk tych osób – wystarczy, gdy pracownik poda, że poza nim u pracodawcy zaszczepi się też np. dwoje członków jego rodziny. Na tej podstawie zakład pracy ustali liczbę chętnych.

Pracodawca nie potrzebuje więc realnie więcej danych na tym etapie. Zbieranie ich „na zapas" będzie rodziło zbędne ryzyko jako działanie sprzeczne z zasadą minimalizacji danych (art. 5 ust. 1 lit. c RODO). Pracodawcy nie powinni więc prosić pracowników o przesłanie dodatkowych informacji, np. numerów prywatnych telefonów czy informacji o przyjętych już dawkach szczepionek.

Autorką artykułu jest Katarzyna Kulesza, Associate w Praktyce Prawa Pracy i Ubezpieczeń Społecznych. Dalszą część artykułu przeczytają Państwo na stronie dziennika Rzeczpospolita.