Istotą RODO jest zapewnienie mechanizmów ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych i stworzenie ram ułatwiających swobodny przepływ tych danych. Funkcjonalne podejście do rozporządzenia nakazuje stosować przewidziane w nim mechanizmy tam, gdzie służyć one będą realizacji celów tej regulacji, czyli ochronie osób fizycznych w związku z przetwarzaniem ich danych. Potrzeba ochrony zakłada zaś istnienie stanu zagrożenia. Zadaniem administratora jest prawidłowa identyfikacja sytuacji, które stanowić mogą ryzyko dla praw i wolności osób, których dane przetwarza i podjęcie właściwych działań zapobiegawczych.
W artykule „RODO: jakie błędy wciąż popełniają pracodawcy" Rzeczpospolita z dnia 15 czerwca 2019 r. autorka Anna Hoffmann za zasadny uznaje pogląd, że pracodawca ma obowiązek zbierać oświadczenia (czyli zgody) nie tylko od pracownika, ale również od każdej osoby uprawnionej na gruncie ustawy zfśs, tj. także od członka rodziny pracownika na przetwarzanie danych osobowych pozyskiwanych w ramach działalności zfśs. Zastanawiam się, jakie niebezpieczeństwo dla małżonka pracownika uprawnionego do świadczeń z zfśs albo dzieci tegoż pracownika stanowi sytuacja, w której nie otrzymają klauzuli informacyjnej, o której mowa w art. 14 ust. 1 i 2 RODO? Czy będzie to miało wpływ na prawa i wolności tych osób? Mam przy tym nieodparte wrażenie, że mnożąc obowiązki po stronie pracodawców - administratorów danych w żaden sposób nie przyczyniamy się do realizacji celów rozporządzenia - budowy nowego, zunifikowanego modelu ochrony danych osobowych.
Konsekwencją stanowiska autorki wspomnianego artykułu jest przyjęcie, że na pracodawcy ciąży obowiązek informacyjny, o którym mowa w art. 14 ust. 1 i 2 RODO oraz uciążliwy obowiązek realizacji praw wskazanych w art. 15-22 RODO wobec członków rodziny pracownika wnioskującego o świadczenie z Funduszu. Taka koncepcja nie ma wiele wspólnego z ideami ogólnego rozporządzenia o ochronie danych osobowych, a także – jak postaram się wykazać – z literą RODO. Osobiście jestem zwolenniczką funkcjonalnego podejścia do przepisów RODO i uważam, że w sytuacjach, w których obiektywnie ocenione ryzyko naruszenia praw i wolności osób fizycznych w związku z nieudzieleniem informacji, o których mowa w art. 13 ust. 1 i 2 bądź art. 14 ust. 1 i 2 RODO jest znikome, poszukiwać należy argumentów za zwolnieniem administratorów z obowiązków wynikających z tych przepisów. Warto zatem rozważyć, czy w tym celu, pracodawca, administrujący zfśs, nie mógłby posłużyć się przesłanką zwalniającą z przekazania klauzuli informacyjnej, wskazaną w art. 14 ust. 5 lit c RODO (pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą). Artykuł 8 ust. 1 ustawy o zfśs stanowi przecież wprost o konieczności rozważenia przy udzielaniu świadczeń socjalnych m. in. sytuacji rodzinnej uprawnionego do korzystania z Funduszu. Logiczną konsekwencją obowiązku zbadania przez administratora Funduszu rodzinnej sytuacji uprawnionego, jest konieczność pozyskania danych w tym zakresie, w tym także danych osobowych. Ustawa o zfśs reguluje zatem pozyskiwanie danych osobowych członków rodziny uprawnionego pracownika, a w konsekwencji spełnia przesłankę, o której mowa w art. 14 ust. 5 lit. c RODO (pozyskiwanie jest wyraźnie uregulowane prawem państwa członkowskiego), zwalniającą administratora zfśs z obowiązku informacyjnego względem członków rodziny uprawnionego.
Interesująca i warta rozważenia jest także koncepcja potraktowania informacji dotyczących członków rodziny pracownika, pozyskiwanych przez pracodawcę w związku z działalnością Funduszu jako danych osobowych samego pracownika. Przetwarzanie danych osobowych członków rodziny uprawnionego nie jest celem samym w sobie działalności zfśs. Przetwarzanie danych osobowych członków rodziny pracownika ma poniekąd charakter wtórny, chodzi bowiem o ustalenie w jakiej sytuacji życiowej, materialnej, rodzinnej znajduje się sam pracownik. Czyż danych dotyczących dochodów małżonka pozostającego z uprawnionym we wspólnym gospodarstwie domowym nie należy traktować jako informacji dotyczących samego uprawnionego o sytuacji materialnej jego jako członka gospodarstwa domowego, na które składają się także dochody jego małżonka? Czy okoliczność wychowywania małoletnich dzieci albo opieki nad chorym członkiem rodziny nie powinna być w kontekście działalności zfśs traktowana jako informacja dotycząca sytuacji rodzinnej uprawnionego do otrzymania świadczeń z zfśs? Przedstawiane przez pracownika wnioskującego o świadczenie socjalne informacje o niepełnosprawności dziecka pozostającego z nim we wspólnym gospodarstwie domowym, powinny być w kontekście działalności zfśs traktowane jako dane osobowe tegoż pracownika. Okoliczność wychowywania chorego dziecka jest bez wątpienia daną osobową rodzica – pracownika wnioskującego o świadczenie socjalne. A jeśli są to dane osobowe samego pracownika, to obowiązek informacyjny, o którym mowa w art. 14 ust. 1 i 2 RODO wobec członków jego rodziny nie powstanie.
Z bardzo zbliżoną sytuacją i tymi samymi dylematami pracodawców, mamy do czynienia w przypadku danych osobowych, o których mowa w art. 221 § 3 pkt 2 kodeksu pracy wskazującym na obowiązek pozyskiwania przez pracodawcę danych osobowych dzieci pracownika i innych członków najbliższej rodziny pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy. Czy w związku z tym na pracodawcy spoczywa obowiązek informacyjny wobec członków rodziny pracownika w związku z przetwarzaniem ich danych osobowych w związku ze stosunkiem pracy i należnymi pracownikowi świadczeniami? W mojej ocenie nie. Zastosowanie znajduje tutaj wyłączenie obowiązku informacyjnego, o którym mowa w art. 14 ust. 5 lit. c RODO. Pracodawca nie jest zobowiązany do informowania członków rodziny pracownika, że przetwarza dane tych osób w związku z art. 221 § 3 pkt 2 kodeksu pracy, ponieważ pozyskiwanie danych jest uregulowane prawem państwa członkowskiego.
Kolejną sytuacją, którą należy rozważyć jest pozyskiwanie danych osób wskazanych przez pracowników jako osoby do kontaktu w razie wypadku. Ministerstwo Rodziny, Pracy i Polityki Społecznej wydało zaktualizowane, pomocnicze wzory kwestionariuszy osobowych. W ostatnim punkcie formularza pracownik jest proszony o wskazanie: „osoby, którą należy zawiadomić w razie wypadku, jeżeli pracownik wyrazi zgodę na podanie danych osobowych takiej osoby". Doceniam postawę Ministerstwa, które nie dało się złapać w szpony rodoabsurdu i postanowiło pozostawić w kwestionariuszu rubrykę z danymi do kontaktu w razie wypadku, pewne wątpliwości nasuwa jednak treść komentowanej rubryki. Otóż w formularzu umieszcza się dane osoby do kontaktu, „jeżeli pracownik wyrazi zgodę na podanie danych osobowych takiej osoby". Nie jest jasne, o czyją faktycznie zgodę chodzi. Jeżeli chodziłoby o zgodę pracownika na to, że wskazana przez niego osoba zostanie zawiadomiona o tym, że uległ wypadkowi w pracy, to sformułowanie o konieczności wyrażenia zgody przez pracownika w tym zakresie, byłoby zbyteczne. Wypełniając tę rubrykę kwestionariusza - podając dane osoby do kontaktu, pracownik wyraża bowiem na to zgodę. Czy autorom wzorca chodziło o to, aby wyraźnie zaznaczyć, że jest to rubryka nieobowiązkowa, nie musi być przez pracownika wypełniana? Wygląda jednak na to, że chodzi tu o zgodę pracownika wyrażoną w imieniu osoby trzeciej na przetwarzanie jej danych osobowych. Pracownik działa tu jako pełnomocnik osoby, której dane zostały przez niego podane. Tym zabiegiem, jak sądzę, w zamyśle autorów wzorów, pracodawca zwalniałby się z obowiązku uzyskania zgody na przetwarzanie danych osobowych bezpośrednio od osoby, której dane pozyskuje. Cel – zdjęcie z pracodawcy jarzma nieefektywnych, niczemu niesłużących obowiązków – ze wszech miar słuszny, ale środki do jego realizacji chybione. Podstawą przetwarzania danych osób wskazanych przez pracownika do kontaktu w razie wypadku nie jest bowiem zgoda osoby, której dane dotyczą, a tym bardziej pracownika, przekazującego te dane. Przesłanką przetwarzania danych osób wskazanych przez pracownika do kontaktu w razie wypadku jest art. 6 ust. 1 lit. d RODO, tj. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej. W takiej sytuacji, pracodawca nie musi dysponować zgodą osoby, której dane w powyższym celu przetwarza. Trudno nie zgodzić się, że zawiadamiając o wypadku wskazaną przez pracownika osobę, pracodawca chroni jego żywotne interesy, a częstokroć także interesy osoby, którą o wypadku zawiadamia. Zwykle bowiem osoby do kontaktu to osoby najbliższe, najbliżsi członkowie rodziny pracownika. Pozostaje jeszcze kwestia obowiązku informacyjnego wobec osoby wskazanej przez pracownika do kontaktu. I tu także należy wykazać się racjonalnością i celowym podejściem, zobowiązując np. pracownika do tego, aby przedstawił osobie, której dane kontaktowe przekazuje informacje, wskazane w art. 14 ust. 1 i 2 RODO. Warto zadbać przy tej okazji o realizację zasady minimalizacji danych, zgodnie z którą pozyskujemy dane osobowe tylko w takim w zakresie, w jakim jest to niezbędne do uzyskania założonego celu przetwarzania. Właściwą praktyką byłoby zatem ograniczenie zakresu pozyskiwanych danych do numeru telefonu komórkowego osoby, która zostanie zawiadomiona w razie wypadku pracownika.
Myślą przewodnią administratorów danych, nie tylko w zakresie przetwarzania związanego ze stosunkiem pracy, powinno być uczynienie klauzul informacyjnych dotyczących przetwarzania danych osobowych czytelnymi i ... krótszymi. Nie wyszukujmy sytuacji, w których wydaje się (ulubiony zwrot prawników), że obowiązek informacyjny należy spełnić. Skupmy się raczej na tym, aby wypełniać go właściwie w sytuacjach, w których bez wątpienia jest to konieczne. Brytyjski, bodaj, odpowiednik polskiego UODO, stawiany pozostałym państwom UE za wzór organu nadzorczego, przedstawił pomysł realizacji obowiązku informacyjnego w formie komiksu! Dlaczego nie skorzystać z tej koncepcji?! Wszak przepisy RODO nie narzucają formy realizacji obowiązków informacyjnych, jednoznacznie i stanowczo nakazują jednak, aby była to informacja zwięzła, przejrzysta i zrozumiała, przedstawiona jasnym i prostym językiem. Jak wiele klauzul informacyjnych RODO, skonstruowanych zgodnie z powyższymi zasadami mieli Państwo przyjemność czytać? Ja osobiście – żadnej.
Autorka jest radcą prawnym, IOD w Biurze KRRiT
