Biometria w pracy wydaje się przesądzona, ale dobrowolna zgoda może okazać się fikcją

Kontrowersyjny projekt i na dodatek z błędami

14 września br. pojawił się długo wyczekiwany projekt ustawy o ochronie danych osobowych. Wraz z nim Ministerstwo Cyfryzacji (MC) przedstawiło projekt ustawy - przepisy wprowadzające ustawę o ochronie danych osobowych (dalej: ustawa wprowadzająca u.o.d.o.). Łącznie mają one dostosować rodzime akty prawne do rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: ogólne rozporządzenie oochronie danych osobowych albo RODO; Dz.Urz. UE L 199 s. 1). Przy czym duże zainteresowanie wzbudziła nowelizacja kodeksu pracy przewidziana w projekcie ustawy wprowadzającej u.o.d.o. Chodzi przede wszystkim o możliwość wykorzystywania danych biometrycznych - czyli np. obrazu linii papilarnych palców czy tęczówki - w zatrudnieniu na podstawie dobrowolnej zgody pracownika. W projekcie dodano, że muszą one dotyczyć stosunku pracy. Eksperci mają jednak wątpliwości co do takiej konstrukcji przepisu. Nie mniejsze dotyczą samej zgody, a dokładnie - jej dobrowolności. W relacji pracownik - pracodawca stworzenie warunków do dobrowolności zgody może być bardzo trudne. A to niejedyne problemy, na jakie wskazują eksperci.

DUŻE RYZYKO PRZYMUSU

Projekt ustawy wprowadzającej u.o.d.o. zakłada dodanie do kodeksu pracy m.in. art. 22² par. 2 w brzmieniu: "Przetwarzanie przez pracodawcę danych biometrycznych obejmuje tylko dane osobowe pracownika, jeśli dotyczą one stosunku pracy i pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej". Zgodnie z zaproponowaną regulacją dane biometryczne będą mogły być pobierane tylko od pracowników (a nie - co wynika wyłącznie z uzasadnienia projektu - kandydatów do pracy). Kluczowa jest tu jednak zgoda zatrudnionego na przetwarzanie danych.

RAMKA 1

Na papierze? A może jednak pisemnie?

W projektowanym art. 222 par. 2 k.p. znalazło się pewne niefortunne stwierdzenie. Chodzi o możliwość wyrażenia zgody w oświadczeniu "w postaci papierowej". Jak zauważa mecenas Aleksandra Błaszczyńska z Kancelarii Prawnej Chałas i Wspólnicy, zastosowanie takiej formy wyrażenia zgody jest nieprawidłowe. Jest ona obca polskiemu prawu, które zna wyłącznie formę "pisemną". Ta ostatnia zaś implikuje wyłącznie obecność własnoręcznego podpisu.

- Nie wiadomo zatem, czym jest wspomniana w projekcie forma papierowa. Skoro nie jest to forma pisemna, to a contrario nie wymaga podpisu. Jak zatem zweryfikować tożsamość osoby składającej oświadczenie? Może przez grafologa, który stwierdzi, od kogo pochodzi pismo bez podpisu? Niestety na to pytanie nie ma odpowiedzi - stwierdza mec. Błaszczyńska. ⒸⓅ

Zgodnie z RODO musi być ona dobrowolna. Obowiązek ten MC chce zrealizować, proponując wprowadzenie art. 22² par. 3 k.p., zgodnie z którym brak zgody na przetwarzanie danych osobowych nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenia stosunku pracy lub jego rozwiązania bez wypowiedzenia przez pracodawcę.

Wielu ekspertów uważa jednak, że to nie wystarczy, by móc zagwarantować, iż uzyskana od pracownika zgoda rzeczywiście będzie dobrowolna. Problem dotyka samej istoty stosunku pracy. Jedną z jego immanentnych cech jest bowiem świadczenie pracy pod kierownictwem pracodawcy, czyli podporządkowanie pracownika. W związku z tym dotychczas zarówno sądy - jak i generalny inspektor ochrony danych osobowych (GIODO) uznawali, że nie da się mówić o dobrowolnej zgodzie w relacji pracodawca - pracownik. Ten pierwszy występuje bowiem z naturalnej pozycji siły. Tak uznał chociażby Naczelny Sąd Administracyjny w wyroku z 1 grudnia 2009 r. (sygn. akt I OSK 249/09).

RAMKA 2

Wyrok NSA, sygn. akt I OSK 249/09 (fragment)

@RY1@i02/2017/184/i02.2017.184.183000200.101(c).gif@RY2@

"Brak równowagi w relacji pracodawca - pracownik stawia pod znakiem zapytania dobrowolność wyrażenia zgody na pobieranie i przetworzenie danych osobowych (biometrycznych). Z tego względu ustawodawca ograniczył przepisem art. 221 kodeksu pracy katalog danych, których pracodawca może żądać od pracownika. Uznanie faktu wyrażenia zgody na podstawie art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych jako okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 221 kodeksu pracy stanowiłoby obejście tego przepisu".

Ponadto samo RODO nie odnosi się wprost do pracowników i w efekcie nie rozstrzyga, czy zgoda może być podstawą przetwarzania danych osobowych takich osób. - Warto jednak zaznaczyć, że Grupa Robocza Art. 29 w swojej czerwcowej opinii 2/2017 potwierdziła, że zgoda pracownika nie może być uznana za w pełni dobrowolną. Pracownik zawsze będzie bowiem podlegał pracodawcy. Ten ostatni musi więc polegać na czymś więcej niż tylko takiej zgodzie zatrudnionego, przykładowo na relacji przetwarzania danych w związku ze stosunkiem pracy, istotnego dla kontraktu celu bądź dobra samego pracownika - mówi prof. Paolo Balboni, założyciel ICT Legal Consulting oraz wykładowca na Uniwersytecie w Maastricht (Holandia), zajmujący się tematyką prywatności i cyberbezpieczeństwa.

Jednak faktem jest, że w pierwotnej wersji projektu RODO, w motywie 34 preambuły wskazywano, że "zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w sytuacji wyraźnego braku równowagi między podmiotem danych a administratorem. Dotyczy to w szczególności przypadku, gdy między podmiotem danych a administratorem istnieje stosunek zależności, między innymi wtedy, gdy dane osobowe pracowników są przetwarzane przez pracodawcę w kontekście zatrudnienia". Usunięcie tego fragmentu preambuły z jednoczesnym dodaniem do niej motywu 155, w myśl którego w prawie krajowym można przewidzieć warunki, na których dane osobowe można przetwarzać w związku z zatrudnieniem za zgodą pracownika, świadczy o tym, że wolą prawodawcy wspólnotowego było jednak dopuszczenie przetwarzania danych osobowych pracowników (kandydatów do pracy) przez pracodawcę na podstawie zgody. I m.in. tego argumentu używa w rozmowie z nami dr Maciej Kawecki z Ministerstwa Cyfryzacji. Ta przesłanka nie przekonuje jednak GIODO.

OPINIE EKSPERTÓW

Wierzę w poszanowanie prawa i racjonalność przedsiębiorców

@RY1@i02/2017/184/i02.2017.184.183000200.801.jpg@RY2@

Dr Maciej Kawecki koordynator prac nad krajową reformą ochrony danych osobowych w Ministerstwie Cyfryzacji

Oczywiście znamy wyroki polskich sądów, w których podkreślały one trudności z uznaniem zgody udzielonej w stosunkach pracowniczych za w pełni dobrowolną. Należy jednak wskazać, że stanowiska takiego nie podzielił ustawodawca unijny w przepisach RODO - które przecież wdrażamy. Proszę spojrzeć na treść motywu 155 preambuły RODO, który mówi wyraźnie, że w prawie państwa członkowskiego mogą być przewidziane przepisy szczegółowe o przetwarzaniu danych osobowych pracowników w związku z zatrudnieniem, w szczególności warunki, na których dane osobowe w związku z zatrudnieniem można przetwarzać za zgodą pracownika. Oczywiście zgoda musi odpowiadać wymogom wynikającym z RODO, a więc być w pełni dobrowolna. My wzmocniliśmy ten wymóg, przewidując, że odmowa nie może wpłynąć na trwałość stosunku pracy. A więc o dopuszczalności takiej zgody decydował będzie ogół okoliczności jej udzielenia. Podam przykład. Otóż jako pracodawca wprowadzam biometryczną weryfikację tożsamości na bramkach w recepcji. Każdy pracownik po odebraniu jego danych biometrycznych i skutecznej autoryzacji może wejść do siedziby firmy. Szybki, wygodny i skuteczny sposób. Działanie takie będzie w pełni możliwe, ale tylko gdy pracownik udzieli zgody. Gdy nie chce tego zrobić, musi mieć możliwość skorzystania z wejścia przewidującego tradycyjną weryfikację tożsamości. W tym przypadku o skuteczności zgody będzie więc decydowało wprowadzenie przez pracodawcę dwóch bramek. Zdecydowanie wierzę w racjonalność przedsiębiorców i w to, że będą korzystać z nowego uprawnienia z poszanowaniem jego granic, czyli pełnej dobrowolności zgody. ⒸⓅ

ROZMOWA

Biometria w zatrudnieniu to niewolnictwo na miarę XXI wieku

DR EDYTA BIELAK-JOMAA: Statyczne myślenie o bezpieczeństwie infrastruktury informatycznej jest złudne. Nie ma bowiem możliwości, by w stu procentach zabezpieczyć dane

@RY1@i02/2017/184/i02.2017.184.183000200.802.jpg@RY2@

fot. Borys Skrzyński

dr Edyta Bielak-Jomaa generalny inspektor ochrony danych osobowych

Jak ocenia pani projektowane zmiany kodeksu pracy zezwalające na przetwarzanie danych biometrycznych przez pracodawców?

Budzą one mój niepokój co do zgodności z RODO. Po pierwsze w odniesieniu do wyrażania zgody przez pracownika, a po drugie - skoro kwestie te uregulowane są w przepisach kodeksu pracy, to będą dotyczyły jedynie pracowników, czyli osób zatrudnionych na podstawie umowy o pracę, powołania, wyboru, mianowania lub spółdzielczej umowy o pracę. Rodzi się więc pytanie, jaka byłaby podstawa prawna przetwarzania danych biometrycznych pozostałych osób, które pracują dla danego podmiotu.

Zgodnie z projektem dane biometryczne będą mogły być przetwarzane, jeśli będą dotyczyć stosunku pracy. Jak taki związek ustalić?

Nie będzie to łatwe. Dane biometryczne nie zostały bowiem skatalogowane na potrzeby stosunku pracy. Również RODO nie wymienia wszystkich rodzajów takich danych. Natomiast zgodnie z projektem nowelizacji kodeksu pracy pracodawca będzie mógł przetwarzać wybrane przez siebie rodzaje danych biometrycznych, a zatem będzie miał tutaj dosyć dużą dowolność, podczas gdy RODO podwyższa wymogi dotyczące ochrony danych biometrycznych, zaliczając je do szczególnych kategorii danych.

I ciężar odpowiedzialności za udowodnienie zgodności z RODO będzie ciążył właśnie na pracodawcy?

Tak, ale wynika to z treści rozporządzenia unijnego i idei reformy danych osobowych, czyli przeniesienia ciężaru odpowiedzialności za przetwarzanie danych na ich administratorów - w tym przypadku pracodawców. Zastrzegam, że nawet jeśli z formalnego punktu widzenia zgoda pracownika będzie podstawą prawną do przetwarzania danych biometrycznych, to zgodnie z RODO musi mieć ona charakter oświadczenia dobrowolnego.

A czy dobrowolność w stosunkach pracy jest w ogóle możliwa?

Zgodnie z utrwalonym poglądem wyrażanym zarówno przez GIODO, jak i NSA - rzeczywista dobrowolność jest wyjątkiem. Wynika to z charakteru prawnego stosunku pracy, w którym pracownik jest jego słabszą stroną. Tymczasem w RODO wyraźnie wskazuje się obowiązek udzielenia dobrowolnej zgody. Ministerstwo Cyfryzacji skupia się na tym, że dane biometryczne będą odpowiednio zabezpieczone. Zapomina jednak o jednej z podstawowych zasad - minimalizacji danych. Zgodnie z nią, jeśli da się osiągnąć ten sam cel, mniej ingerując w dane osobowe i prywatność pracownika, to ten cel powinniśmy osiągnąć przy użyciu takich właśnie, mniej inwazyjnych środków. I dlatego np. ewidencja czasu pracy przy użyciu biometrii nie powinna być dozwolona. Przepisy szczególne powinny zakładać wzmocnienie pozycji pracownika w zakresie przetwarzania danych biometrycznych, dając mu świadomość, że ingerencja w jego dane osobowe nie będzie nadmierna. Nie było przecież celem ustawodawcy europejskiego, żeby ułatwiać życie pracodawcom kosztem pracowników.

W moim odczuciu zaproponowane przepisy dotyczące przetwarzania danych biometrycznych na podstawie zgody będą kolidować z RODO. Bo projekt ustawy, zakładając rozszerzenie katalogu danych osobowych w kodeksie pracy, nie zmienia przecież charakteru stosunku pracy, którego jednym z głównych elementów jest podporządkowanie pracownika.

Pracodawca nie będzie jednak aż tak silny, skoro zgoda będzie mogła być cofnięta?

Teoretycznie to prawda, gdyż cofnięcie tej zgody nie może być podstawą do ukarania pracownika lub rozwiązania z nim umowy. Z góry zakłada się też, że zatrudniony nie musi wyrazić zgody, a zatem pracodawca, który zdecyduje się, by np. dostęp do miejsca pracy odbywał się na podstawie danych biometrycznych, będzie musiał utrzymywać równolegle dwa systemy: ten z użyciem biometrii oraz tradycyjny.

Czy projekt rzeczywiście osłabia pozycję pracownika?

Według mnie tak. Idzie trochę w kierunku umożliwienia niewolnictwa na miarę XXI wieku. Jeżeli zaś mowa o bezpieczeństwie, to pracodawcy będą stosować taką biometrię, która będzie z ich perspektywy najwygodniejsza i najtańsza. A przecież dane biometryczne są nie do odtworzenia. Raz stracone, funkcjonują i można się nimi posługiwać, ale nie da się ich już zablokować ani zmienić tak jak karty z chipem. Ciążąca na pracodawcy odpowiedzialność za ochronę danych będzie więc olbrzymia. Zaś kradzież tożsamości staje się niestety chlebem powszednim.

Jak zatem w lepszy sposób uregulować kwestię danych biometrycznych pracowników?

Katalog otwarty zawsze powoduje chęć zgromadzenia danych na zapas, więcej niż tak naprawdę potrzeba. Korzystniejsze byłoby zatem stworzenie katalogu zamkniętego. Musiałby on być oczywiście bardzo dobrze przemyślany.

Minister Streżyńska zastrzega, że wszystkie dane biometryczne będą szyfrowane. I nawet jeśli wypłyną, to będą bezużyteczne.

I na dziś do pewnego stopnia mnie to przekonuje. Jednak może się to okazać prawdą tylko do pierwszego wypłynięcia danych biometrycznych. W obliczu postępu technologicznego nie mamy bowiem gwarancji, że za 5-10 lat odczytanie tych danych będzie nadal niemożliwe. Przy czym RODO nie nakazuje, żeby pracodawcy korzystali z nowinek technicznych, tylko aby stosowali rozwiązania, które są najlepsze i najbezpieczniejsze.

Ale łatwiej jest zgubić kartę z chipem niż wykraść dane z zabezpieczonego serwera, zdołać je odszyfrować i wykorzystać.

Takie statyczne myślenie o bezpieczeństwie infrastruktury informatycznej jest złudne, bowiem pojawiające się zagrożenia mają charakter dynamiczny. Co więcej, nie zawsze radzą sobie z nimi nawet te podmioty, które mają znaczne środki oraz dużą wiedzę w tym zakresie. Nie ma bowiem możliwości, by w stu procentach zabezpieczyć dane. A w odróżnieniu od zgubienia pojedynczej karty, wyciek danych z serwerów zazwyczaj ma masowy charakter i jego skutki dotykają wielu osób. Poza tym nie chodzi tylko o to, czy danymi biometrycznymi będzie posługiwał się złodziej, ale także o sytuacje, w których będzie nimi rozporządzał podmiot uprawniony, lecz w nieuprawniony sposób.

Rozmawiał Jakub Styczyński

- Zgoda, jako podstawa przetwarzania, została wprost dopuszczona przez unijne przepisy - potwierdza prof. Mariusz Krzysztofek, radca prawny, director/privacy counsel/ EMEA w Herbalife oraz prezes Instytutu Ochrony Danych Osobowych. - Przestrzegam jednak przed traktowaniem jej jako w pełni wystarczającej podstawy w oderwaniu od zasady proporcjonalności danych do celu przetwarzania - dodaje.

W podobnym duchu wypowiadają się dr Arwid Mednis, partner w Kancelarii Prawnej Wierzbowski Eversheds Sutherland, oraz dr Paweł Litwiński, adwokat z Instytutu Allerhanda, partner w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów. Ich zdaniem samo wyrażenie zgody jest niewystarczające, a nowa regulacja dotycząca pracowników powinna dodatkowo przewidywać zamknięty katalog danych biometrycznych i celów ich przetwarzania.

Jak wskazuje dr Mednis, problem jest bowiem w tym, że w zasadzie nie da się udowodnić, iż zgoda została wyrażona dobrowolnie. Dlatego jego zdaniem swoboda pracodawcy w pozyskiwaniu danych biometrycznych powinna być ograniczona rodzajami danych i celami ich przetwarzania.

Jednak nie wszyscy eksperci kwestionują - już z zasady - dobrowolność zgody pracownika. Michał Kluska, adwokat, associate w kancelarii Domański Zakrzewski Palinka, twierdzi, że sankcje związane z nieprzestrzeganiem RODO powinny skutecznie wymusić gwarancję dobrowolności zgody.

OPINIA EKSPERTA

Nowoczesne systemy biometryczne mają sens, ale tylko wtedy, gdy są powszechne

@RY1@i02/2017/184/i02.2017.184.183000200.803.jpg@RY2@

Aleksandra Błaszczyńska radca prawny w Kancelarii Prawnej Chałas i Wspólnicy

Dotychczasowe orzecznictwo wskazujące, że pracownik nie może skutecznie wyrazić zgody na przetwarzanie danych osobowych biometrycznych wobec pracodawcy, bowiem z założenia brak jest swobody jej wyrażenia, budzi wątpliwości już na gruncie obecnej ustawy o ochronie danych osobowych. Co do zasady, dane osobowe, nawet sensytywne (przy czym obecnie dane biometryczne się do nich nie zaliczają), mogą zawsze być przetwarzane na podstawie zgody, jeśli jest ona dobrowolna, niewymuszona. Nie można zatem z góry zakładać, że pracodawca nigdy nie stworzy pracownikom warunków swobody wyrażenia zgody. Będą mieli możliwość jej swobodnego wyrażenia, jeśli zostaną poinformowani, że zgoda jest absolutnie dobrowolna i za jej brak nie spotkają ich żadne negatywne konsekwencje. Mimo wszystko kwestia istnienia presji psychicznej w tym zakresie będzie jednak nieweryfikowalna.

Powszechność odmów ze strony pracowników może prowadzić do pozbawienia sensu inwestowania przez pracodawcę np. w biometryczny system rejestrowania czasu pracy, gdyż spełnia on swoją funkcję tylko wtedy, gdy jest powszechny. Stąd zapewne tak stanowcze stanowisko sądów w tej materii, że racjonalnie oceniając, pracodawca będzie chciał zgodę tak, czy inaczej wymusić. Co do zasady, RODO nie zmienia powyższych warunków przetwarzania danych osobowych na podstawie zgody, ale czyni dane biometryczne danymi "szczególnej kategorii", a wyrażenie zgody na ich przetwarzanie musi być "wyraźne", a nie domniemane. RODO ponadto wskazuje, że państwa członkowskie mogą wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych szczególnej kategorii. Polski ustawodawca planuje skorzystać z tej możliwości w przypadku pracowników, stwierdzając, że dane muszą dotyczyć stosunku pracy, a zgoda musi być wyrażona w formie papierowej lub elektronicznej.

UZNANIOWO PRZY ZATRUDNIENIU

Kolejna wątpliwość związana z projektowanym art. 22² par. 2 k.p. odnosi się do tego, jakie dane biometryczne dotyczą stosunku pracy i kto tak naprawdę będzie to oceniał.

- Odpowiedzi na to pytanie nie znajdziemy ani w RODO, ani w kodeksie pracy, ani w samej ustawie wprowadzającej u.o.d.o. - przyznaje mecenas Michał Kluska. Jego zdaniem sformułowanie, że dane muszą dotyczyć stosunku pracy, potencjalnie bardzo rozszerza zakres sytuacji, w których administrator danych osobowych (pracodawca) będzie mógł prosić pracownika o dobrowolną zgodę na przetwarzanie danych biometrycznych. Prawnik zaznacza, że ciężar udowodnienia zgodności w tym zakresie z RODO leży jednak po stronie pracodawcy. Oceniającym będzie zaś nowy Urząd Ochrony Danych Osobowych, który zastąpi GIODO.

Z kolei mec. Aleksandra Błaszczyńska uważa wręcz, że nieprawidłowa jest cała przyjęta przez projekt konstrukcja, w ramach której przetwarzanie danych biometrycznych odnoszone jest do ich korelacji ze stosunkiem pracy. Co do zasady, dane osobowe są bowiem przetwarzane na podstawie zgody (lub innej przesłanki), gdy są niezbędne do uzyskania celu wynikającego z tej przesłanki.

- Przykładowo oczywiste jest, że do celów wykonania umowy o pracę pracodawca musi przetwarzać dane osobowe pracownika w postaci jego imienia i nazwiska oraz żądać od niego dowodu tożsamości celem potwierdzenia ich autentyczności. Natomiast były wątpliwości w orzecznictwie, czy np. przetwarzanie danych biometrycznych do rejestracji czasu pracy jest niezbędne do tego celu. Orzecznictwo wskazywało, że nie, bo tę kwestię można załatwić podpisem na liście obecności. Ułatwienie nie oznacza więc niezbędności. A wobec tego w zasadzie nie wiadomo, jak interpretować zwrot "gdy dotyczą stosunku pracy". To pojęcie wydaje się puste - wskazuje mec. Błaszczyńska.

Podkreśla też, że żadne dane nie "dotyczą" stosunku pracy, co najwyżej ich przetwarzanie jest niezbędne w przypadku relacji pracownik - pracodawca. - Gdyby jednak chodziło o niezbędność, to nie potrzeba byłoby zgody pracownika. Czym innym jest z kolei doniosłość biometrycznej weryfikacji pracownika, np. w przypadku instytucji finansowych. Powyższe sformułowanie nie daje jednak takich możliwości interpretacji, jest zbyt wieloznaczne. Jeśli ustawa wejdzie w życie w projektowanym obecnie kształcie, to ryzyko błędnej interpretacji będzie obciążać pracodawcę - dodaje mec. Błaszczyńska.

OPINIE EKSPERTÓW

Jest potrzeba regulacji, ale są też wątpliwości

@RY1@i02/2017/184/i02.2017.184.183000200.804.jpg@RY2@

Edyta Jagiełło radca prawny, starszy prawnik w Kancelarii Raczkowski Paruch

Tematyka wykorzystywania danych biometrycznych pracowników była dotąd bardzo kontrowersyjna. Brakowało w tym zakresie regulacji prawnych, a jedynymi wyznacznikami prawidłowego postępowania z takimi danymi były orzeczenia sądów i stanowiska GIODO. Dlatego też samą propozycję regulacji w tym obszarze należy ocenić pozytywnie. Pozostawia ona jednak wiele wątpliwości.

Jedną z podstaw umożliwiających przetwarzanie danych wrażliwych na podstawie obecnej ustawy jest zgoda pracownika. W praktyce nie dawała ona jednak pracodawcy możliwości przetwarzania danych biometrycznych pracowników, w tym np. na potrzeby kontroli ich czasu pracy. Przyjmowano jednak, że np. pozyskiwanie i przetwarzanie takich danych jest uzasadnione w przypadku wykorzystania ich celem dostępu do bankowego skarbca czy pomieszczenia, w którym przechowywane są tajne informacje, czyli miejsc szczególnie chronionych, do których podobny system wstępu dotyczyłby zarówno pracowników danego przedsiębiorstwa, jak i innych osób - kontrolerów czy serwisantów.

Przesłanki zezwalające na przetwarzanie danych wrażliwych na gruncie RODO wprowadzają niewiele zmian. Rozporządzenie to również wskazuje zgodę pracownika jako jedną z podstaw do przetwarzania jego wrażliwych danych osobowych. Daje ono jednak państwom członkowskim prawo do bardziej szczegółowego uregulowania przetwarzania danych wrażliwych. Wskazuje mianowicie, że mogą one np. wprowadzić dalsze warunki, w tym ograniczenia, w odniesieniu do przetwarzania danych genetycznych, biometrycznych lub dotyczących zdrowia. Polski ustawodawca skorzystał z tej możliwości w odniesieniu do danych biometrycznych. Projektowana zmiana przewiduje, że chodzi wyłącznie o pozyskiwanie takich danych, które dotyczą stosunku pracy. Jednak tak niejasne określenie - idące w parze z brakiem dalszych zakazów - rodzi wątpliwości, w jakich okolicznościach dane te będą mogły być przetwarzane. Niewykluczone, że pracodawcy będą je wykorzystywać do celów rejestracji czasu pracy, czyli w tych sytuacjach, co do których i sądy, i GIODO zabraniały pozyskiwania i przetwarzania danych biometrycznych pracowników. Projekt wprost nie zakazuje bowiem wykorzystywania danych biometrycznych w celu kontroli pracowników, tak jak np. ma to miejsce w przypadku projektowanych przepisów o monitoringu (gdzie wprost wskazano, że nie może on stanowić środka kontroli wykonywania pracy).

Współpraca Paulina Szymczak-Kamińska

Prawnik

Współpraca Marta Zalewska

młodszy prawnik w Kancelarii Raczkowski Paruch

Wieloznaczność projektowanego art. 22² par. 2 k.p. zauważa również prof. Mariusz Krzysztofek. Jego zdaniem interpretacja przepisu może być zależna od podejścia Urzędu Ochrony Danych Osobowych oraz będzie ulegać ewolucji wynikającej z postępu technologicznego, także w kontekście akceptacji nowych praktyk w stosunkach pracy.

- O ile akceptowalne będzie np. zabezpieczanie dostępu do krytycznych systemów i pomieszczeń przez autoryzację z wykorzystaniem danych biometrycznych, to z pewnością już nie do monitorowania jakości pracy biurowej. Byłoby to bowiem środkiem nadmiernie ingerującym w prywatność, skoro ten cel można osiągnąć stosując środki mniej inwazyjne - zauważa prof. Krzysztofek.

PRZYKŁAD

Bezpieczeństwo, nie kontrola

Obowiązkiem pracownika jest dbałość o serwery danych, w tym poufnych, skatalogowanych w formie elektronicznej. W razie ich utraty lub niekontrolowanego dostępu do nich przedsiębiorca mógłby być pociągnięty przez organ ochrony danych osobowych do odpowiedzialności cywilnej lub administracyjnej, a w określonych przypadkach także karnej. Aby więc dane były odpowiednio zabezpieczone, pracodawca zainstalował czytniki biometryczne na odcisk palca, umożliwiające dostęp do serwerowni jedynie dla konkretnych osób. Przetwarzanie tych danych jest związane ze stosunkiem pracy zatrudnionego oraz jest niezbędne dla celów odpowiedniego zabezpieczenia informacji zawartych na serwerach. Dane z czytnika dotyczące liczby wejść i wyjść pracownika z pomieszczenia nie mogą być jednak wykorzystane dla potrzeb ewaluacji zaangażowania w pracę określonego zatrudnionego.

RAMKA 3

Ewidencja czasu pracy a zasada minimalizacji pobierania danych

Problem adekwatności środka do osiągnięcia celu dotyczy zwłaszcza wykorzystania biometrii dla potrzeb ewidencji czasu pracy. - Trzeba pamiętać, że RODO nakazuje określać cel przetwarzania danych biometrycznych oraz kierować się zasadą minimalizacji pobierania danych. Ta w skrócie oznacza tyle, że za każdym razem przedsiębiorca będzie musiał odpowiedzieć sobie na pytanie, czy zbierane dane są niezbędne do osiągnięcia danego celu. Według mnie przetwarzanie danych biometrycznych dla potrzeb ewidencji czasu pracy może być trudne do uzasadnienia - tłumaczy dr Paweł Litwiński.

Prowadzenie ewidencji czasu pracy na podstawie zgody było oceniane przez NSA w wyroku z 6 września 2011 r. (sygn. akt I OSK 1476/10). Sąd ten podważył wówczas taką podstawę przetwarzania danych biometrycznych pracownika. Uznał wykorzystywanie odcisków palców do kontroli czasu pracy zatrudnionych za nieproporcjonalne do tego celu, a zgoda, nawet jeżeli w konkretnym przypadku była dobrowolna, co pracodawca mógł wykazać, nie unieważnia zasady adekwatności.

Zdaniem ekspertów niejasności w interpretacji art. 22² par. 2 k.p. mogłyby być łatwo rozwiązane dzięki wprowadzeniu wspomnianego już zamkniętego katalogu danych i celów ich przetwarzania. Przepis ten powinien więc wyraźnie określać, jakich konkretnie danych można używać oraz do jakich celów.

- W pewnym momencie był nawet taki pomysł resortu cyfryzacji, lecz ostatecznie został porzucony. Rozumiem obawy ministerstwa przed przedstawieniem zamkniętego katalogu, ale prawda jest taka, że zaproponowany obecnie przepis jest nieostry. A jego błędna interpretacja uderzy zarówno w pracowników, jak i pracodawców - stwierdza dr Mednis.

Zauważa przy tym, że celów przetwarzania danych biometrycznych nie byłoby przecież aż tak dużo. - Głównie dotyczyłyby bezpieczeństwa, kontroli dostępu lub ewentualnie kontroli czasu pracy - uważa dr Mednis.

NIEETATOWCY W GORSZEJ SYTUACJI

Pracodawcy, którzy zatrudniają w swojej firmie zarówno osoby objęte stosunkiem pracy, jak i pracowników na umowach-zleceniach, o dzieło lub samozatrudnionych, będą musieli utrzymywać dwa mechanizmy otrzymywania zgody. Projektowany art. 22² par. 2 k.p. odnosi się bowiem jedynie do pracowników objętych kodeksem pracy.

- W przypadku innych zatrudnionych obowiązywałyby wyłącznie zasady wynikające z RODO i ustawy o ochronie danych osobowych - zauważa mec. Kluska.

- Oznacza to, że dane biometryczne nie musiałyby, tak jak w przypadku stosunku pracy, dotyczyć danego stosunku prawnego, np. na podstawie umowy o dzieło lub kontraktu menedżerskiego, a zgoda tych osób na przetwarzanie danych biometrycznych musi być jedynie wyraźna - nie musi być wyrażona w formie papierowej ani elektronicznej. Zatrudniający na umowę o pracę i na podstawie umów cywilnoprawnych będzie więc musiał utrzymywać dwa systemy pozyskiwania zgody - wyjaśnia z kolei mec. Błaszczyńska. O tę kwestię zapytaliśmy również dra Kaweckiego. Jego zdaniem w przypadku nieetatowców nie ma problemu z wyrażeniem zgody na przetwarzanie danych.

- Z uwagi na brak stosunku podległości służbowej taka zgoda może być udzielana zawsze. Jeżeli więc pozyskanie danych biometrycznych takich osób nie jest konieczne w celu wykonania umowy bądź obowiązek nie wynika z przepisu prawa, to już teraz ich zbieranie jest możliwe na podstawie udzielonej zgody - mówi dr Kawecki. Jednak nawet w przypadku przetwarzania danych biometrycznych tych osób trzeba też trzymać się, zgodnie z art. 9 ust. 2 RODO, zasady minimalizacji danych.

Czy jednak nierówne traktowanie różnych grup zatrudnionych przemawia za tym, aby resort poprawił dopiero co zaproponowane regulacje? Co do tego eksperci są podzieleni.

- Nie sądzę, aby taki dualizm niósł ze sobą większe ryzyka prawne. Operacyjne zapewne tak, chyba że w procesie wdrożenia RODO administrator (pracodawca) prawidłowo zinwentaryzuje procesy zawierania umów o pracę oraz innych umów cywilnoprawnych i pod nowe przepisy przygotuje odpowiedni zestaw dokumentów - ocenia mec. Kluska.

Z kolei dr Litwiński jest bardziej sceptyczny. Mówi, że to bardzo nierówne traktowanie osób fizycznych. - Nie widzę żadnego argumentu ani kryterium, które pozwalałoby na mniejszą ochronę danych biometrycznych zatrudnionych, które zostały pozyskane od pracowników objętych stosunkiem prawnym. Przy nieetatowcach nie będzie ograniczeń odnoszących się tylko do pracowników, w tym celu przetwarzania. To bardzo niebezpieczne zróżnicowanie takich podmiotów - uważa dr Litwiński.

Jego argumenty są poniekąd zgodne z opinią Grupy Roboczej Art. 29, która w swojej publikacji podkreślała, iż jej rekomendacje odnoszą się do pracowników, w rozumieniu nie ograniczonym jednak tylko do osób podlegających kodeksowi pracy. "Przez kilka ostatnich dekad, w wielu nowych modelach biznesowych powstały bowiem różne rodzaje zatrudnienia, popularne stały się tzw. wolne zawody. Opinia odnosi się zatem do wszelkich relacji pracodawcy z zatrudnionymi, niezależnie od tego jaki jest stosunek prawny między nimi dwoma" - czytamy w opinii.

RECEPTA DLA PRACODAWCÓW

Gdyby dziś stosować zaproponowane regulacje, trzeba by odpowiedzieć sobie na następujące, dosyć złożone pytanie: kiedy dane biometryczne pracownika dotyczą stosunku pracy, a korzystanie z nich jest proporcjonalne i nie nadmiernie inwazyjne oraz nie narusza prawa do prywatności i godności pracownika?

Jak podkreśla prof. Krzysztofek, ocena ta zawsze będzie zindywidualizowana - musi odnosić się do konkretnych okoliczności. Co więcej, zasada pozostanie stała, jednak jej interpretacja będzie ulegać ewolucji wynikającej z postępu technologicznego, także w kontekście społecznej akceptacji nowych praktyk w stosunkach pracy. Ponadto należy wziąć pod uwagę cel i jego wagę. Przykładowo elektroniczny monitoring temperatury ciała czy częstotliwości mrużenia oczu mogą zapobiegać wypadkom spowodowanym zmęczeniem, więc zyskają aprobatę społeczną, gdy zostaną zastosowane w transporcie publicznym. Ale technologie tego rodzaju mogą stać się też narzędziem inwigilacji, gdy zaczną służyć np. automatycznej analizie aktywności pracowników biurowych. - Potwierdzeniem takiego podejścia do adekwatności danych w związku z zatrudnieniem jest również, przez analogię, projekt nowego przepisu prawa bankowego, tj. art. 13c ust. 2. Pozwala on bankom żądać od pracowników danych biometrycznych, w szczególności odcisków palców, głosu, obrazu rogówki i sieci żył palców, jeżeli podanie takich danych jest konieczne ze względu na kontrolę dostępu do informacji przetwarzanych przez bank i pomieszczeń.

- Ważna więc będzie treść próśb o zgodę, klarowne poinformowanie pracownika m.in. o celu zgody i jej dobrowolności. Równie istotna będzie treść klauzul zgody. Ale przede wszystkim sfera faktyczna - wykazanie, że sama odmowa zgody na stosowanie biometrii nie spowodowała np. dyskryminacji w ustalaniu rocznych premii czy w zakresie zadań pracownika. Przy czym całkowity brak negatywnych skutków odmowy zgody może okazać się iluzoryczny, jeżeli będzie wynikał z braku możliwości objęcia pracownika udogodnieniami, które zależały od jego zgody. Przykładowo gdy celem pracodawcy będzie skrócenie czasu oczekiwania pracowników na wejście i wyjście z firmy poprzez np. wprowadzenie bramek otwierających się po przyłożeniu palca. Pracownicy którzy nie zostaną objęci tym systemem mogą być narażeni na opóźnienia wynikające np. z szukania w teczce karty magnetycznej przez osobę stojącą przed nimi w kolejce. To praktyczny problem w instytucjach, które zatrudniają 300 osób rozpoczynających i kończących pracę o tej samej porze - przekonuje prof. Krzysztofek.

CHROŃ PRYWATNOŚĆ I PONOŚ KOSZTY

Projekt zakłada również dodanie art. 22² par. 6, zgodnie z którym minister cyfryzacji określi, w drodze rozporządzenia, sposób gromadzenia danych biometrycznych, uwzględniając zapewnienie ochrony przetwarzanych danych biometrycznych odpowiedniej do zagrożeń. - To typowy i często stosowany zabieg ustawodawczy. Kwestie techniczne, wysoce specjalistyczne i zmienne w czasie z uwagi na rozwój technologii zazwyczaj są pozostawiane do uregulowania w rozporządzeniach przez wyspecjalizowane ministerstwa. Jest to zgodne z techniką legislacyjną. Podobnie jest w przypadku dotychczasowej ustawy o ochronie danych osobowych, która pozostawia do uregulowania rozporządzeniem kwestię technicznych i organizacyjnych środków ochrony danych osobowych - wyjaśnia mec. Błaszczyńska.

Powstaje jednak pytanie, jak często resort będzie nowelizował przepisy wykonawcze w związku z rozwojem technologicznym i ile będzie kosztowało ich wdrożenie. Zwłaszcza że - jak podkreśla dr Litwiński - takie zmiany powinny być częste.

- Wiadomo, że ich wdrażanie będzie wiązało się z kosztami. To stanowi zaś prosty komunikat dla przedsiębiorców - wykorzystujesz biometrię? To chroń prywatność i ponoś koszty - mówi stanowczo dr Litwiński.

Zresztą koszty generować będą nie tylko zmiany przepisów, ale też... zmiana zdania pracownika. Będzie on bowiem mógł w każdym momencie cofnąć zgodę na wykorzystanie danych biometrycznych, nawet jeśli pracodawca wdroży już w firmie nowoczesne systemy biometryczne. Zgodnie z prawem pracodawca nie będzie mógł zwolnić niepokornego pracownika, więc powinien zaproponować mu alternatywny system, np. kontroli dostępu do firmy, bez użycia danych biometrycznych. A to wiąże się z dodatkowymi kosztami.

@RY1@i02/2017/184/i02.2017.184.183000200.805.jpg@RY2@

Jakub Styczyński

jakub.styczynski@infor.pl

@JakubStyczynski

Ochrona danych osobowych pracowników po nowemu

Przedstawiony przez resort cyfryzacji projekt ustawy - przepisy wprowadzające ustawę o ochronie danych osobowych oprócz kwestii dotyczących używania danych biometrycznych zawiera także inne propozycje zmian w kodeksie pracy. Dotyczą one nie tylko dostępnych pracodawcom rodzajów danych osobowych pracowników, ale również samej podstawy ich przetwarzania

Artykuł 88 RODO daje państwom członkowskim swobodę decyzji odnośnie zawarcia w przepisach krajowych lub porozumieniach zbiorowych szczegółowych regulacji zapewniających ochronę praw i wolności w przypadku przetwarzania danych pracowników bądź kandydatów do pracy. Z możliwości tej skorzystało Ministerstwo Cyfryzacji, proponując - w projekcie przepisów wprowadzających nową ustawę o ochronie danych osobowych - nowelizację kodeksu pracy (k.p.). Poza regulacją wykorzystywania danych biometrycznych zawiera ona także propozycje zmian:

● w katalogu informacji, których pracodawca może żądać od pracowników i kandydatów do pracy;

● w zakresie podstaw przetwarzania danych osobowych pracownika i kandydata do pracy, w tym ich zgody;

● dotyczących monitoringu w miejscu pracy.

ROZSZERZENIE KATALOGU

W art. 22¹ k.p. znajduje się katalog danych, których pracodawca może żądać od kandydatów do pracy i pracowników (a następnie przetwarzać). Chodzi o: imię (imiona) i nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie oraz przebieg dotychczasowego zatrudnienia. Ponadto pracodawca może jeszcze żądać od pracowników imion i nazwisk oraz daty urodzenia ich dzieci, jeżeli ich podanie jest konieczne ze względu na korzystanie ze szczególnych uprawnień przewidzianych w prawie pracy, jak również numeru PESEL.

Projektowane zmiany dotyczą właśnie tego katalogu danych, który obecnie nastręcza pracodawcom wielu trudności. Co prawda, mogą oni żądać od kandydatów do pracy innych danych, jeżeli obowiązek ich podania chociażby pośrednio wynika z odrębnych przepisów (art. 22¹ par. 4 k.p.). Przykładowo przedsiębiorca może zapytać kandydatkę do pracy o to, czy jest w ciąży, jeśli oferuje jej pracę wzbronioną kobietom w tym stanie. Jednak nadal katalog danych, których przetwarzanie przez pracodawców jest dozwolone, jest zbyt wąski i nie przystaje do rzeczywistości.

Projekt wychodzi temu naprzeciw i rozszerza katalog - w odniesieniu do kandydatów do pracy - o adres poczty elektronicznej albo numer telefonu. Przy czym jeśli pracodawca chciałby przetwarzać te dane już po nawiązaniu stosunku pracy, to będzie mógł to robić tylko wtedy, gdy pracownik wyrazi na to zgodę.

Ponadto usunięta ma zostać regulacja mówiąca o możliwości żądania innych danych, jeżeli obowiązek ich podania wynika z odrębnych przepisów, gdyż podstawą ich przetwarzania będzie mogła być zgoda pracownika bądź kandydata do pracy.

TYLKO OBOWIĄZEK

Projektowane zmiany dotyczą także samej podstawy prawnej przetwarzania danych kandydatów do pracy i pracowników wskazanych w powyższym katalogu. Pod rządami obecnie obowiązującej ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922, dalej: ustawa) podstawą taką jest nie tylko spełnienie obowiązku wynikającego z przepisu prawa, ale również zrealizowanie uprawnienia. I to właśnie ta podstawa wskazana jest obecnie w art. 22¹ k.p., gdzie pracodawca "ma prawo żądać" określonych danych.

W RODO zrezygnowano jednak z legalizacji przetwarzania danych na podstawie uprawnienia wynikającego z przepisu prawa i zawężono tę podstawę wyłącznie do obowiązku prawnego. W praktyce mogłoby to oznaczać, że w każdym przypadku, w którym obecnie administrator opiera przetwarzanie danych osobowych o przepis prawa dający mu taką możliwość (uprawnienie), tę podstawę utraci po 25 maja 2018 r. Tak też mogłoby być z podstawą z art. 22¹ k.p. Stąd projektowana zmiana, która zakłada, że pracodawca nie "ma prawa żądać", ale "żąda" określonych danych od pracowników i osób ubiegających się o zatrudnienie.

ZGODA JAKO PODSTAWA PRZETWARZANIA

Zgoda osoby, której dane dotyczą, została wskazana w RODO jako jedna z podstaw przetwarzania jej danych osobowych. Podobnie jest zresztą w obecnie obowiązującej ustawie. Podstawa ta dotychczas była jednak sporna w odniesieniu do przetwarzania danych osobowych pracowników i kandydatów do pracy z uwagi na nierówność stron stosunku pracy i możliwość wymuszenia zgody na pracowniku przez pracodawcę (jako silniejszą jego stronę). [Szerzej była już o tym mowa w kontekście wykorzystywania na tej podstawie danych biometrycznych, a powołane przy tym zastrzeżenia GIODO i NSA co do dobrowolności zgody odnoszą się nie tylko do uzyskiwania tych szczególnych danych, lecz także danych osobowych w ogólności - red.]

Trudno jednak z góry zakładać, że zgoda pracownika udzielona w relacji z pracodawcą będzie wymuszona w każdej sytuacji. Kodeks pracy już dziś posługuje się przecież instytucją zgody pracownika, tym samym dopuszczając jej udzielenie w stosunkach pracy - np. zgoda na potrącenie należności z wynagrodzenia pracownika (art. 91 k.p.) czy też zgoda pracownicy w ciąży na pracę w określonych systemach czasu pracy (art. 178 par. 1 k.p.). Ostatecznie w orzecznictwie, obok wyroków kwestionujących dobrowolność zgody udzielanej w relacji pomiędzy pracodawcą a pracownikiem, pojawiały się też takie, wedle których przedsiębiorca może powołać się na zgodę pracownika (kandydata do pracy) jako podstawę przetwarzania jego danych - ale tylko wtedy, gdy zatrudniony ma całkowitą swobodę jej udzielenia i możliwość odmowy bez żadnych negatywnych konsekwencji (tak m.in. wyrok WSA w Warszawie z 20 czerwca 2011 r., sygn. akt SA/Wa 719/11).

Zaproponowana przez resort cyfryzacji zmiana w k.p. ostatecznie rozstrzygnie problem dobrowolności zgody i utnie dyskusję co do możliwości posłużenia się nią przez pracodawcę jako podstawę przetwarzania danych. Zdezaktualizuje także dotychczasowy dorobek orzeczniczy oceniających tę kwestię sądów. Zakłada ona bowiem dodanie do k.p. odrębnego przepisu, który wprost dopuszcza przetwarzanie przez pracodawcę innych danych niż wymienionych w katalogu z art. 22¹ k.p., właśnie na podstawie zgody pracownika lub osoby ubiegającej się o zatrudnienie. Przy czym dane te, podobnie jak w projektowanej regulacji dotyczącej danych biometrycznych, mają dotyczyć stosunku pracy. A zatem pracodawcy nie będą mogli pozyskiwać dowolnych, jakichkolwiek informacji o pracowniku (kandydacie do pracy). Choć i w tym przypadku ustalenie związku ze stosunkiem pracy będzie zapewne nastręczało pracodawcom problemów.

Ramka 4

Jakie oświadczenie

Oświadczenie pracownika (kandydata do pracy) wyrażające zgodę na przetwarzanie danych osobowych powinno zostać złożone w formie papierowej bądź elektronicznej. Projektowane zmiany nie regulują szerzej tej formy oraz treści takiego oświadczenia. Pewne wskazówki w tym zakresie zawiera jednak RODO. Zgodnie z nim klauzula zgody musi być jednoznaczna, sformułowana jasnym i prostym językiem. Co istotne, zgoda taka nie może być blankietowa. Oświadczenie o jej wyrażeniu powinno wskazywać podmiot przetwarzający, a także obejmować cel, dla którego dane mają być przetwarzane, oraz zakres tych danych. Zgoda nie może też dotyczyć ogólnie wszystkich danych, których zażąda pracodawca - muszą być one skonkretyzowane.

Projektowana nowelizacja [o czym była już mowa szerzej przy okazji danych biometrycznych - red.] zakłada również wprowadzenie regulacji - od dawna postulowanej w orzecznictwie oraz przez GIODO - która ma zapewnić dobrowolność zgody udzielanej w stosunkach pracy, a tym samym wyeliminować zarzuty o jej wymuszeniu. Temu ma służyć przepis, zgodnie z którym brak zgody pracownika (kandydata do pracy) nie może powodować wobec niego jakichkolwiek negatywnych konsekwencji, np. uzasadniać odmowę zatrudnienia czy wypowiedzenie stosunku pracy bądź też jego rozwiązanie przez pracodawcę bez wypowiedzenia.

WAŻNE

Trudno z góry zakładać, że w każdej sytuacji zgoda pracownika udzielona w relacji z pracodawcą będzie wymuszona, a nie dobrowolna. Kodeks pracy już dziś posługuje się przecież instytucją zgody pracownika, tym samym dopuszczając jej udzielenie w stosunkach pracy. Przykładowo: zgoda na potrącenie należności z wynagrodzenia pracownika (art. 91 k.p.) czy zgoda pracownicy w ciąży na pracę w określonych systemach czasu pracy (art. 178 par. 1 k.p.).

W projekcie zaproponowano również regulację, zgodnie z którą przetwarzanie danych osobowych pracowników (kandydatów do pracy) na podstawie ich zgody dotyczy zarówno danych udostępnianych na wniosek pracodawcy, jak i tych przekazywanych mu przez pracownika (kandydata do pracy) z własnej inicjatywy. Dotychczas bowiem, mimo braku wyraźnej regulacji, przyjmowano, że pracodawca może przetwarzać dane wykraczające poza katalog wskazany w art. 22¹ k.p., jeśli pracownik (kandydat do pracy) sam, z własnej woli, nieproszony przez pracodawcę, je przedstawi (przykładowo zdjęcie dołączane do CV). Podstawą przetwarzania tych danych była wówczas właśnie zgoda. Przy czym brak sugestii ze strony pracodawcy o przedstawienie tych danych uznawano za jej niewymuszenie i udzielenie jej w pełni dobrowolnie. Przedstawiona regulacja w pewnym sensie usankcjonuje możliwość przetwarzania takich danych przez pracodawcę.

Art. 22 2 par. 1-5 kodeksu pracy w projektowanym brzmieniu:

Par. 1. Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 22 ¹ par. 1 i 2 jest dopuszczalne tylko wtedy, gdy dotyczą one stosunku pracy i osoba ubiegająca się o zatrudnienie lub pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej.

Par. 2. Przetwarzanie przez pracodawcę danych biometrycznych obejmuje tylko dane osobowe pracownika, jeśli dotyczą one stosunku pracy i pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej.

Par. 3. Brak zgody, o której mowa w par. 1 i 2, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenia stosunku pracy lub jego rozwiązania bez wypowiedzenia przez pracodawcę.

Par. 4. Przetwarzanie, o którym mowa w par. 1 i 2, dotyczy danych osobowych udostępnianych na wniosek pracodawcy lub danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika.

Par. 5. Przetwarzanie danych osobowych obejmujących dane:

1) o nałogach;

2) o stanie zdrowia;

3) o życiu seksualnym lub orientacji seksualnej

- nie jest możliwe nawet za zgodą, o której mowa w par. 1.

INNE DANE WRAŻLIWE

Projektowane zmiany odnoszą się również do innych kategorii danych wrażliwych. Zgodnie z proponowanym brzmieniem art. 22² par. 5 k.p. informacje o nałogach, stanie zdrowia oraz życiu seksualnym lub orientacji seksualnej pracownika (kandydata do pracy) nie będą mogły być przetwarzane przez pracodawców nawet na podstawie zgody. Pozyskiwanie i przetwarzanie ich będzie możliwe tylko wtedy, gdy obowiązek ich podania wynika z odrębnych przepisów lub jest to konieczne dla wypełnienia obowiązku pracodawcy wynikającego z przepisu prawa.

Proponowana regulacja jest spójna z aktualną praktyką i poglądami piśmiennictwa ograniczającymi pracodawcom możliwość pozyskiwania i przetwarzania takich szczególnych kategorii danych wrażliwych. Należy jednak zaznaczyć, że w dalszym ciągu przedsiębiorca będzie miał prawo do otrzymywania informacji o braku lub występowaniu przeciwwskazań zdrowotnych do zajmowania przez pracownika określonego stanowiska, które pozyskuje w związku ze skierowaniem go na badania wstępne, kontrolne czy okresowe.

Ramka 5

Badania lekarskie

Projektowana regulacja zakłada również pewne zmiany "techniczne" w art. 229 k.p., dotyczącym badań lekarskich. Ich celem jest dostosowanie kodeksu pracy do wymogów RODO. Zgodnie z tym ostatnim pracodawca będzie mógł przetwarzać te dane, co do których pozyskania i przetwarzania ma obowiązek prawny. Ustawodawca przewidział więc, że pracodawca żąda (a więc ma obowiązek prawny) od osoby pracującej u innego pracodawcy, która podejmuje kolejne zatrudnienie w ciągu 30 dni po rozwiązaniu lub wygaśnięciu poprzedniego stosunku pracy, zaświadczenia o braku przeciwwskazań do zajmowania określonego stanowiska (wystawione u poprzednika, jeżeli warunki u niego odpowiadają tym u nowego pracodawcy) i skierowania, na podstawie którego zaświadczenie to było wydane. Wedle dotychczasowej regulacji pracownik sam przedstawia takie zaświadczenie.

Zmianie ma ulec też regulacja przechowywania zaświadczenia i skierowania otrzymanego od pracownika. Jeżeli warunki w nim wskazane odpowiadają aktualnemu stanowisku, pracodawca ma obowiązek ich przechowywania, a gdy okażą się odmienne - będzie on zobowiązany do zwrotu pracownikowi tych dokumentów.

MONITORING WIZYJNY W MIEJSCU PRACY

Najbardziej powszechnymi sposobami monitorowania pracowników przez pracodawcę są monitoring wizyjny, monitorowanie stron przeglądanych w internecie czy też monitoring służbowych skrzynek mailowych. Dotychczas kwestie te nie były uregulowane w przepisach. Monitoring uznaje się jednak za dopuszczalny przy spełnieniu określonych warunków:

● pracodawca musi mieć usprawiedliwiony cel, któremu ten monitoring służy,

● zastosowane przez niego środki kontroli muszą być odpowiednie do założonego celu oraz muszą prowadzić do pozyskiwania informacji w takim zakresie, jaki jest niezbędny do osiągnięcia tego celu,

● pracownicy muszą mieć świadomość, że są poddawani monitoringowi,

● przy stosowaniu monitoringu nie mogą zostać naruszone prawa i wolności pracownika czy też jego dobra osobiste.

Projektowane zmiany wprowadzają regulację monitoringu wizyjnego do samego k.p. Będzie on dopuszczalny, ale tylko w celu zapewnienia bezpieczeństwa pracowników lub ochrony mienia bądź zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Monitoring ma polegać na wprowadzeniu szczególnego nadzoru nad miejscem pracy lub terenem wokół zakładu pracy w postaci środków technicznych, umożliwiających rejestrację obrazu. Nie będzie on mógł obejmować pomieszczeń, które nie są przeznaczone do wykonywania pracy, a więc toalet, szatni, stołówek czy palarni. Co ważne, pracodawca musi poinformować pracowników o wprowadzeniu monitoringu nie później niż 14 dni przed jego uruchomieniem. Projektowane zmiany nie regulują tej kwestii, ale wydaje się, że właściwym dokumentem do ustalenia materii związanych z monitoringiem jest regulamin pracy, statut, układ zbiorowy czy wewnętrzne zarządzenie pracodawcy. Dokument opisujący zasady monitoringu musi przede wszystkim zostać ogłoszony pracownikom poddanym monitoringowi oraz być dla nich łatwo dostępny.

Biorąc pod uwagę, że dotychczas monitoring wizyjny był już dopuszczalny, oczywiście przy spełnieniu określonych przesłanek, proponowanych zmian nie można uznać za rewolucyjne. Poza jedną kwestią. Projekt wskazuje wprost, że monitoring nie może stanowić środka kontroli wykonywania pracy przez pracownika, czemu dotychczas najczęściej monitoring służył. Z punktu widzenia pracodawców wydaje się, że właśnie to postanowienie ma największe znaczenie praktyczne

@RY1@i02/2017/184/i02.2017.184.183000200.101(c).jpg@RY2@

Edyta Jagiełło

radca prawny, starszy prawnik w Kancelarii Raczkowski Paruch

@RY1@i02/2017/184/i02.2017.184.183000200.102(c).jpg@RY2@

Paulina Szymczak-Kamińska

aplikant adwokacki, prawnik w Kancelarii Raczkowski Paruch

@RY1@i02/2017/184/i02.2017.184.183000200.103(c).jpg@RY2@

Marta Zalewska

aplikant adwokacki, młodszy prawnik w Kancelarii Raczkowski Paruch