fbTrack
REKLAMA
REKLAMA

Firma

Plan kontroli Prezesa UODO a monitoring w firmie

123RF
Zatwierdzony plan kontroli Prezesa Urzędu Ochrony Danych Osobowych na 2019 r. przewiduje weryfikację stosowania monitoringu wizyjnego i przetwarzania danych osobowych kandydatów do pracy.

Prezes UODO opublikował ten plan w ostatnich dniach. Dla pracodawców oznacza to, że powinni sami się zastanowić, czy prawidłowo przetwarzają dane osobowe w związku ze stosowaniem monitoringu wizyjnego i prowadzeniem procesów rekrutacyjnych.

Monitoring – w zgodzie z RODO i kodeksem pracy

Punktem wyjścia w przypadku monitoringu wizyjnego jest ustalenie, na jakiej podstawie prawnej pracodawca go stosuje. Nie zawsze bowiem trzeba go prowadzić na podstawie przepisów kodeksu pracy i nie zawsze przepisy te znajdą zastosowanie.

Czytaj także: RODO: kamery mają chronić pracowników, a nie śledzić

Realizacja obowiązku prawnego

W niektórych sytuacjach podstawą stosowania monitoringu jest obowiązek prawny ustalony na podstawie odrębnych przepisów. Przykładem jest monitoring wizyjny stosowany w szkołach na podstawie prawa oświatowego czy w bankach – w związku z objęciem ich obowiązkową ochroną osób i mienia. Nie mają wówczas zastosowania wymogi określone w k.p., w tym obowiązek wprowadzenia regulacji dotyczących monitoringu do regulaminu pracy lub układu zbiorowego pracy. Podstawą stosowania monitoringu jest bowiem obowiązek prawny ciążący na pracodawcy jako administratorze danych (z mocy odrębnych przepisów), a nie jego prawnie uzasadniony interes, wyrażający się w szczególności w realizacji celów wymienionych w przepisach k.p.

Prawnie uzasadniony interes

Jeżeli natomiast pracodawca zdecydował się na wprowadzenie monitoringu wizyjnego w jednym z celów wskazanych w k.p., tj. dla:

- zapewnienia bezpieczeństwa pracowników,

- ochrony mienia,

- kontroli produkcji,

- zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę,

to podstawą jego stosowania jest prawnie uzasadniony interes pracodawcy, wyrażający się w realizacji tych celów. W takiej sytuacji wszystkie wymogi określone w art. 222 k.p. powinny być zachowane, w tym obowiązek ustalenia celów, zakresu oraz sposobu jego stosowania w regulaminie lub w układzie zbiorowym pracy.

RODO pozwala na przetwarzanie danych osobowych, jeżeli jest to niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora (chyba że interesy lub podstawowe prawa i wolności podmiotu danych mają nadrzędny charakter wobec interesów administratora, np. gdy osoba, której dane dotyczą, jest dzieckiem).

Uprzednia ocena ryzyka

Warunkiem prawidłowości powołania się przez administratora (w tym przypadku przez pracodawcę) na przesłankę niezbędności do celu wynikającego z jego prawnie uzasadnionych interesów, jest spełnienie łączne następujących wymogów:

a) wskazanie prawnie uzasadnionego interesu,

b) zweryfikowanie, czy przetwarzanie danych osobowych jest niezbędne dla realizacji celu wynikającego z prawnie uzasadnionego interesu,

c) zweryfikowanie, czy w danej sytuacji nie występują interesy lub podstawowe prawa i wolności podmiotów danych (w tym przypadku monitorowanych osób, w tym pracowników), które mają charakter nadrzędny wobec prawnie uzasadnionych interesów administratora (pracodawcy).

W praktyce oznacza to, że podejmując decyzję o wprowadzeniu monitoringu wizyjnego pracodawca powinien:

1) podjąć środki zapewniające równowagę między swoim interesem, na który się powołuje, stosując monitoring, a prawami i wolnościami monitorowanych pracowników (i ewentualnie innych osób). Do takich środków można zaliczyć np. stosowanie monitoringu jedynie w wybranych miejscach bądź w określonych porach.

2) przeprowadzić ocenę skutków wprowadzenia monitoringu dla ochrony danych. Taka ocena powinna zawierać:

a) opis planowanych operacji przetwarzania i celów przetwarzania danych, w tym prawnie uzasadnionych interesów realizowanych przez administratora,

b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów,

c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, oraz

d) środki planowane mające na celu zapobieganie ryzyku naruszenia tych praw i wolności, w tym środki i mechanizmy bezpieczeństwa, mające zapewnić ochronę danych osobowych i wykazać przestrzeganie przepisów RODO.

Firmowe regulacje

Dopiero po pozytywnym zweryfikowaniu, że stosowanie monitoringu wizyjnego jest niezbędne do realizacji celów, dla których zostaje on wprowadzony, pracodawca powinien przystąpić do uzgodnienia stosowanych postanowień regulaminu pracy lub układu zbiorowego. Jeżeli pracodawca nie jest objęty układem i nie ma obowiązku wydania regulaminu, stosowne informacje powinny znaleźć się w obwieszczeniu podawanym do wiadomości pracowników.

Sprawdzenie pomieszczeń

W związku z planowanymi kontrolami, warto zweryfikować, czy pomieszczenia, w których jest prowadzony monitoring, zostały prawidłowo oznaczone, a jednocześnie – czy kamery nie są zamontowane w miejscach, gdzie monitorowanie nie służy bezpieczeństwu, kontroli produkcji lub innym prawnie dopuszczalnym celom.

W szczególności należy sprawdzić, czy monitoring nie jest stosowany w miejscach, w których jest to co do zasady zakazane. Do takich miejsc należą pomieszczenia sanitarne, szatnie, stołówki, palarnie oraz pomieszczenia udostępniane zakładowej organizacji związkowej. Można je monitorować jedynie wtedy, gdy jest to niezbędne i nie narusza godności oraz innych dóbr osobistych pracownika, a w przypadku pomieszczenia związkowego – także zasady wolności i niezależności związków zawodowych.

Dostęp do obrazu

Kontrolujący mogą weryfikować również dostęp do danych z monitoringu. W tym kontekście istotne jest, aby zadbać o odpowiednie upoważnienia.

Nie wszystkie osoby, które mają podgląd obrazu z kamer monitoringu, powinny zostać upoważnione do przetwarzania danych z tego monitoringu. Zdarzają się sytuacje, w których obraz w czasie rzeczywistym (np. z hali produkcyjnej) jest wyświetlany na monitorach w miejscach, w których przebywają pracownicy. Tych pracowników nie powinno się upoważniać do przetwarzania danych.

W przypadku nadawania upoważnień, ich treść powinna być powiązana z poleceniem wykonywania określonych czynności przetwarzania danych.

Równie ważne jest odpowiednie zabezpieczenie nagrań z monitoringu przed nieuprawnionym dostępem oraz przypadkowym zniszczeniem.

Obowiązki informacyjne

Na gruncie przepisów pracodawca jest zobowiązany:

1) dopełnić obowiązku informacyjnego z art. 13 RODO,

2) poinformować pracowników na dwa tygodnie przed uruchomieniem monitoringu o jego wprowadzeniu,

3) przekazać pracownikowi przed dopuszczeniem go do pracy pisemną informację o celach, zakresie oraz sposobie stosowania monitoringu,

4) prowadzić dokumentację pracowniczą według nowych zasad, tj. w części B akt osobowych przechowywać oświadczenia pracownika o zapoznaniu się z informacją o monitoringu.

Mając to na uwadze, należy zadbać o przekazanie pracownikom odpowiednich informacji oraz udokumentowanie tego faktu.

Dane kandydatów – co, po co i jak długo

Drugim obszarem objętym planem kontroli na 2019 r. są dane osobowe przetwarzane przez pracodawców w trakcie procesu rekrutacji.

Wydaje się, że przedmiotem takiej kontroli mogą być w szczególności podstawy prawne przetwarzania danych otrzymanych w związku z prowadzeniem procesu rekrutacyjnego.

Zakres danych, jakich pracodawca może żądać od kandydata do pracy, został wskazany wprost w art. 221 § 1 k.p. Katalog ten jest ograniczony do podstawowych danych o kandydacie, takich jak:

- imię i nazwisko,

- imiona rodziców,

- data urodzenia,

- miejsce zamieszkania lub adres do korespondencji,

- wykształcenie,

- przebieg dotychczasowego zatrudnienia.

Przetwarzanie innych danych jest możliwe jedynie w sytuacji, gdy istnieje inna podstawa ich przetwarzania. W praktyce najczęściej jest to zgoda osoby ubiegającej się o zatrudnienie.

Jeśli jednak kandydat cofnie zgodę, to dalsze przechowywanie danych w celu ewentualnych przyszłych rekrutacji jest niezgodne z obowiązującymi zasadami.

Trzymać czy zniszczyć

Istnieją wątpliwości, czy pracodawca może przechowywać CV i inne dane kandydatów uzyskane w toku rekrutacji po jej zakończeniu. Jesteśmy zdania, że takie działanie może być uznane za wykonywanie obowiązku prawnego, zgodnie z którym pracodawca ma obowiązek przeciwdziałać dyskryminacji w zatrudnieniu. W przypadku roszczeń wynikających z dyskryminacji, to na kandydacie spoczywa obowiązek przedstawienia faktów, z których wynika domniemanie nierównego traktowania. Aby móc to zrobić, niezbędne wydaje się uzyskanie od pracodawcy informacji na temat przebiegu procesu rekrutacyjnego. Aby ten mógł ich udzielić, musi mieć dostęp do CV kandydata wysuwającego roszczenia, jak również pozostałych kandydatów, którzy zostali zakwalifikowani do dalszego etapu rekrutacji. Dozwolone przechowywanie dokumentacji rekrutacyjnej nie jest jednak nieograniczone i nie powinno wynosić więcej niż maksymalny 3-letni okres przedawnienia roszczeń.

Urząd Ochrony Danych Osobowych stoi na stanowisku, że pracodawcy co do zasady nie powinni przechowywać CV kandydatów po zakończeniu rekrutacji. Tymczasem Ministerstwo Cyfryzacji w wydanych objaśnieniach wyraziło odmienny pogląd, wskazując, że pracodawca ma prawo przechowywać dokumentację zawierającą dane osobowe osób, które nie zostały zatrudnione, w celach obrony przed ewentualnymi roszczeniami mogącymi pojawić się w związku z prowadzoną rekrutacją.

W związku z powyższym warto zweryfikować, czy w firmie nie są przechowywane dane kandydatów zgormadzone wiele lat temu, co do których nie ma zgody na ich przetwarzanie w celach kolejnych rekrutacji oraz czy ich dalsze przechowywanie jest w jakikolwiek sposób uzasadnione.

Wyroki w zapomnienie

Co do zasady nie jest dozwolone – nawet za zgodą – żądanie i przechowywanie danych dotyczących wyroków skazujących kandydatów do pracy (poza wyjątkami wskazanymi przez przepisy szczególne). Jeżeli zatem rekrutacja nie jest lub nie była prowadzona na stanowisko, co do którego prawo pozwala lub nakazuje uzyskanie takich danych, ich żądanie lub przechowywanie jest niedozwolone i naraża pracodawców na zarzut przetwarzania danych bez podstawy prawnej.

Planowane zmiany

W Sejmie jest procedowany projekt zmian do przepisów kodeksu pracy, który zakłada m.in., że dane kandydatów wykraczające poza zakres wskazany w kodeksie pracy będzie można przetwarzać na podstawie zgody. Brak jej wyrażenia nie będzie mógł powodować wobec kandydata jakichkolwiek negatywnych konsekwencji, w tym stanowić przyczyny uzasadniającej odmowę zatrudnienia.

Zgodnie z tym projektem, pracodawca będzie musiał w każdym przypadku rozważyć, czy uzyskanie informacji na temat wykształcenia, kwalifikacji zawodowych oraz przebiegu dotychczasowego zatrudnienia kandydata jest rzeczywiście niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.

Zgodnie z projektem, zmianie ma ulec również zakres danych osobowych, których pracodawca będzie mógł żądać od osoby ubiegającej się o zatrudnienie.

Bez czarnych list

Zgodnie ze stanowiskiem Urzędu Ochrony Danych Osobowych przedstawionym w „Poradniku dla pracodawców" nie jest dozwolone wykorzystywanie danych kandydatów do tworzenia tzw. czarnych list. Dlatego pracodawca powinien zweryfikować, czy w jego firmie takie praktyki nie są stosowane, a jeżeli tak – bezwzględnie z nich zrezygnować.

Zdaniem autora

Robert Stępień, radca prawny w kancelarii Raczkowski Paruch w Krakowie

Wspomniany projekt zmian do przepisów kodeksu pracy dotyczy również monitoringu wizyjnego. Przewiduje w szczególności wyraźne wyłączenie możliwości stosowania tego monitoringu w pomieszczeniach udostępnianych związkom zawodowym. Natomiast w pomieszczeniach sanitarnych dopuszcza możliwość zamontowania kamer wyłącznie po uzyskaniu zgody związków zawodowych bądź przedstawicieli pracowników. Jeżeli projektowane przepisy wejdą w życie, pracodawcy ponownie staną przed koniecznością dostosowania wewnętrznych regulacji oraz praktyki stosowania monitoringu.

W kontekście toczącego się procesu legislacyjnego pojawia się wątpliwość, czy pracodawcy, którzy już wprowadzili postanowienia dotyczące stosowania monitoringu w pomieszczeniach sanitarnych w uzgodnieniu ze związkami zawodowymi, będą musieli uzyskać dodatkową zgodę związków w tym zakresie, czy też wcześniejsze ustalenia zostaną uznane za wystarczające.

Zdaniem autora

Paweł Sych, radca prawny w kancelarii Raczkowski Paruch w Katowicach

Mając na uwadze, że kontrole na podstawie zatwierdzonego planu będą dotyczyć wszystkich pracodawców, powinni oni możliwie jak najszybciej dokonać weryfikacji poszczególnych obszarów przetwarzania danych, w szczególności w zakresie monitoringu i prowadzonych procesów rekrutacyjnych. Tym bardziej, że kontrole mogą być niezapowiedziane, a sankcje za naruszenia bardzo dotkliwe. Przy okazji warto też zadbać o wszelkie pozostałe obszary, w których dane osobowe są przetwarzane.

Źródło: Rzeczpospolita
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA