fbTrack
REKLAMA
REKLAMA

Kadry

RODO: jakie błędy wciąż popełniają pracodawcy

Adobe Stock
Wiele firm nadal narusza przepisy o ochronie danych osobowych, często nieświadomie. Dotyczy to m.in. stosowania monitoringu czy zbierania informacji dla celów przyznawania świadczeń z funduszu socjalnego.

Od wejścia w życie przepisów RODO minął już rok. Wielu przedsiębiorców wciąż ma jednak problemy z odpowiednim wdrożeniem przepisów o ochronie danych osobowych.

Trudności wynikają nie tylko z niejasnych regulacji RODO i braku wytycznych, ale przede wszystkim z tego, że polski ustawodawca długo zwlekał ze zmianą przepisów krajowych i dostosowaniem ich do unijnego rozporządzenia. Przepisy tzw. ustawy wdrażającej RODO weszły w życie dopiero na początku maja br., wprowadzając zmiany w 162 ustawach.

Czytaj też:

Kontrola wizyjna

Powszechną praktyką było i nadal jest poddawanie pracowników różnym formom monitoringu. Zaczęło się to jeszcze przed wejściem w życie RODO (tj. przed 25 maja 2018 r.). Pracodawcy często stosują monitoring wizyjny, który swoim zasięgiem obejmuje nie tylko pracowników, ale również klientów i inne osoby wchodzące w jego zasięg. Stosują także inne formy monitoringu, np. kontrolują sprzęt komputerowy powierzony pracownikom, sprawdzając, w jaki sposób korzystają oni z aplikacji czy poczty elektronicznej.

Obecne zasady monitoringu muszą być natomiast zgodne z przepisami RODO, ustawy z 10 maja 2018 r. o ochronie danych osobowych, a także ustawy wdrożeniowej (tj. ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Nie zawsze dostosowanie się do nich jest łatwe.

Inna forma monitoringu

Mimo uregulowania ww. kwestii przez ustawodawcę, pracodawcy nadal zmagają się z problemami dotyczącymi prowadzenia tzw. innych form monitoringu. Podstawowy problem stanowi kwestia określenia, czy podejmowane działania stanowią inną formę monitoringu, czy nie. Ma to zasadnicze znaczenie w zakresie ustalenia podstawy prawnej przetwarzania danych osobowych, a także obowiązków, jakie ma w związku z tym pracodawca, np. w zakresie informacyjnym (art. 13 i 14 RODO).

Inną formą monitoringu pracowniczego jest np. kontrola trzeźwości pracowników. Podstawą przetwarzania danych jest tu art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes administratora.

W tym zakresie można się jednak spotkać z przeciwnym poglądem – że badanie trzeźwości nie jest formą monitoringu, a podstawę przetwarzania danych stanowi zgoda pracownika. Co więcej, niektórzy przedstawiciele doktryny uważają, że badanie trzeźwości stanowi przetwarzanie danych wrażliwych, z czym również nie sposób się zgodzić.

Oczywiście, aby możliwe było zakwalifikowanie kontroli trzeźwości pracowników jako innej formy monitoringu, pracodawca musi podjąć wiele czynności, które wynikają nie tylko z przepisów kodeksu pracy, ale również z przepisów ustawy z 26 października 1982 r. o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi (tekst jedn. DzU z 2018 r., poz. 2137 ze zm.) oraz rozporządzenia ministra zdrowia i ministra spraw wewnętrznych i administracji z 28 grudnia 2018 r. w sprawie badań na zawartość alkoholu w organizmie (DzU poz. 2472).

Ponieważ w kwestii możliwości prowadzenia wyrywkowych kontroli trzeźwości pracowników pojawiają się sprzeczne głosy, Redakcja Rzeczpospolitej wystąpiła o zajęcie stanowiska w tej sprawie do Urzędu Ochrony Danych Osobowych. Odpowiedź opublikujemy na łamach tygodnika.

Karalność to zwykle tabu

Do czasu wejścia w życie RODO zbieranie przez firmy danych o karalności pracowników było częstą praktyką. Pracodawcy żądali przedstawienia danych o karalności już na etapie rekrutacji, w ogłoszeniach o pracę. Tymczasem przetwarzanie danych o karalności pracowników (i kandydatów) jest ograniczone wyłącznie do przypadków wprost wskazanych w przepisach. Dla przykładu operator infrastruktury krytycznej może żądać przedłożenia informacji dotyczących karalności od pracownika zatrudnionego na stanowisku umożliwiającym mu dostęp do informacji o bezpieczeństwie obiektu infrastruktury krytycznej i osoby ubiegającej się o zatrudnienie na tym stanowisku (ustawa z 26 kwietnia 2007 r. o zarządzaniu kryzysowym; tekst jedn. DzU z 2018 r., poz. 1401 i 1560). Jeżeli przepisy nie przewidują możliwości przetwarzania danych o karalności wobec wybranych grup zawodowych, pracodawca nie może żądać ich udostępnienia.

Pracodawca nie może przetwarzać danych o karalności, nawet jeśli pracownik wyrazi na to zgodę. Zgodnie bowiem z art. 221a ust. 1 kodeksu pracy, zgoda pracownika nie może stanowić podstawy przetwarzania przez pracodawcę danych osobowych, o których mowa w art. 10 RODO.

Wiedza o rodzinie

Kolejną problematyczną kwestią jest przetwarzanie danych osób uprawnionych do świadczeń z zfśs. Na potrzeby uzyskania świadczenia z funduszu socjalnego pracownicy przekazują dane osobowe członków rodziny. Zgodnie bowiem z art. 2 pkt 5 ustawy z 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych (tekst jedn. DzU z 2018 r., poz. 1316 ze zm.) przez osoby uprawnione do korzystania z funduszu rozumie się pracowników i ich rodziny, emerytów i rencistów – byłych pracowników i ich rodziny oraz inne osoby, którym pracodawca przyznał prawo korzystania ze świadczeń socjalnych finansowanych z funduszu w regulaminie zfśs.

Zmieniony ustawą wdrażającą RODO art. 8 ust. 1a ustawy o zfśs wskazuje, że udostępnienie pracodawcy danych osobowych osoby uprawnionej do korzystania z funduszu następuje w formie oświadczenia. Jednak przepisy nie precyzują, co w przypadku, gdy pracownik chce skorzystać ze świadczenia, przekazując nie tylko swoje dane osobowe, lecz również dane osobowe członków rodziny, w szczególności gdy zawierają one informacje o stanie zdrowia (tj. dane szczególnej kategorii zgodnie z art. 9 ust. 1 RODO). Odpowiedzi na to pytanie nie ma ani w uzasadnieniu do ustawy wdrażającej, ani w wytycznych organu nadzorczego.

W jaki zatem sposób przetwarzać zgodnie z RODO dane członków rodziny, szczególnie dane wrażliwe, które pracownik przekazał w celu skorzystania ze świadczeń z zfśs? Zasadny wydaje się pogląd, że pracodawca ma obowiązek zbierać oświadczenia (czyli zgody) nie tylko od pracownika, ale również od każdej osoby uprawnionej na gruncie ustawy zfśs, tj. także od członka rodziny pracownika.

Anna Hoffmann, radca prawny Kancelaria Prawna Piszcz i Wspólnicy sp.k.

Na gruncie RODO przetwarzanie danych szczególnej kategorii jest co do zasady zabronione. Podstawy przetwarzania danych wrażliwych określa art. 9 ust. 2 RODO. Skoro pracodawca w ramach funduszu socjalnego przetwarza dane szczególne członka rodziny (a nie tylko pracownika), to moim zdaniem powinien uzyskać odrębne zgody od pracownika oraz członka jego rodziny. W przeciwnym wypadku – jeżeli oświadczenie złoży wyłącznie pracownik – może dojść do naruszenia ochrony prywatności członka rodziny (przetwarzania danych szczególnej kategorii bez jego wiedzy i zgody).

Źródło: Rzeczpospolita
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA