languageRU      languageEN      internationalInternational        phoneZadzwoń do nas: 22 276 61 80

Jesteś tutaj:Start/O RB/Doradztwo Prawne i Podatkowe RB Biuletyn/Numer 21 - Doradztwo Prawne i Podatkowe RB Biuletyn/RODO w ramach stosunku pracy – wybrane zagadnienia prawne
czwartek, 21 maj 2020 08:47

RODO w ramach stosunku pracy – wybrane zagadnienia prawne

W dniu 25 maja 2018 r. weszło w życie ogólne rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE1 (dalej: RODO, ogólne rozporządzenie o ochronie danych). W polskim prawie podstawowym aktem uzupełniającym RODO jest ustawa z 10 maja 2018 r. o ochronie danych osobowych2, niemniej jednak należy pamiętać, iż przepisy z zakresu ochrony danych osobowych zostały uregulowane także w innych aktach prawnych, w tym m.in. w ustawie z 26 czerwca 1974 r. Kodeks pracy3 (dalej k.p.). W niniejszym artykule prezentowane są wybrane zagadnienia prawne dotyczące ochrony danych osobowych w stosunku pracy wraz z oceną ich funkcjonowania.

 

1. Obowiązki w zakresie rekrutacji

Warto pamiętać, iż kandydaci na pracowników powinni zamieszczać w treści CV klauzule wyrażające zgodę na przetwarzanie danych w procesie rekrutacji. Nadto należy mieć na względzie, iż zgodnie z treścią art. 221 k.p. pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: imię (imiona) i nazwisko; datę urodzenia; dane kontaktowe wskazane przez taką osobę; wykształcenie; kwalifikacje zawodowe; przebieg dotychczasowego zatrudnienia, z tym, że pracodawca może żądać podania danych osobowych dotyczących wykształcenia, kwalifikacji zawodowych oraz przebiegu dotychczasowego zatrudnienia, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.

W ocenie autorki artykułu konstrukcja tego przepisu jest dość niefortunna, bowiem o ile żądanie od kandydatów imion i nazwisk, daty urodzenia czy danych kontaktowych nie budzi żadnych wątpliwości, to już żądanie informacji na temat wykształcenia kandydata, jego kwalifikacji zawodowych, czy przebiegu dotychczasowego zatrudnienia ustawodawca uzależnia od istnienia przesłanki w postaci niezbędności tych danych do wykonywania pracy określonego rodzaju lub na określonym stanowisku, co oczywiście jest kwestią ocenną i względną. Wedle tegoż przepisu nie każdy bowiem stosunek pracy uzasadnia przetwarzanie informacji o wykształceniu, kwalifikacjach zawodowych lub przebiegu dotychczasowego zatrudnienia osoby ubiegającej się o zatrudnienie. To rozwiązanie ma służyć realizacji zasady minimalizacji danych osobowych i o ile brak możliwości żądania od kandydatów do pracy informacji na temat ich sytuacji rodzinnej, zdrowotnej, światopoglądowej, rasowej, etnicznej, bądź innej, które w istocie stanowią osobistą kwestię kandydata jest rozwiązaniem słusznym, to informacje o wykształceniu, doświadczeniu, czy kwalifikacjach według mojej opinii stanowią podstawę dla przyszłego pracodawcy przy ocenie kandydatów do pracy. Niemniej jednak w praktyce w przypadku kandydata na stanowisko biurowe, w świetle tego przepisu wedle mojej oceny pracodawca może żądać podania danych dotyczących wykształcenia, kwalifikacji i przebiegu zatrudnienia na dotychczasowych stanowiskach biurowych, z pominięciem tych stanowisk, które nie były bezpośrednio związane ze stanowiskiem pracy, o które kandydat się ubiega.

Co istotne, pracodawcy nie mają prawa żądać od kandydatów na pracowników poddania się różnego rodzaju testom psychologicznym, kompetencyjnym czy testom na inteligencję, chyba że wymóg ten wynika z przepisów rangi ustawowej. Pracodawca nie ma prawa także żądać od tych kandydatów rekomendacji od byłego pracodawcy bądź współpracowników.

Od kobiety ubiegającej się o zatrudnienie nadal nie można żądać ani udzielenia informacji o ciąży, ani poddania się badaniu mającemu na celu ustalenie, czy jest w ciąży, za wyjątkiem sytuacji, gdy stanowisko jest objęte pracami wzbronionymi kobiecie w ciąży, zgodnie z treścią rozporządzenia Rady Ministrów z 3 kwietnia 2017 r. w sprawie wykazu prac uciążliwych, niebezpiecznych lub szkodliwych dla zdrowia kobiet w ciąży i kobiet karmiących dziecko piersią4.

Wobec powyższego katalog danych osobowych, których pracodawca może żądać od kandydata, ma charakter zamknięty; w konsekwencji rekruter co do zasady nie ma prawa domagać się od kandydata innych danych. Jednakże zgodnie z art. 221a k.p. zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione w art. 221 k.p., z wyjątkiem danych osobowych, o których mowa w art. 10 RODO, tj. przetwarzania danych osobowych dotyczących wyroków skazujących i czynów zabronionych. Natomiast brak zgody na podanie przez kandydata do pracy dodatkowych danych lub jej wycofanie nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.

Jednocześnie warto wskazać, iż przetwarzanie dodatkowych danych, na które kandydat do pracy, bądź pracownik wyraził zgodę, dotyczy danych osobowych udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika na wniosek pracodawcy lub danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika, wobec tego pracodawca nie może żądać co do zasady od kandydatów do pracy dodatkowych danych, niż te wymienione w art. 221 k.p., jednakże może o nie poprosić, a od woli kandydata zależy, czy wyrazi zgodę na przetwarzanie tych danych przez przyszłego pracodawcę. Wówczas w ogłoszeniu o pracę powinien być zapis o konieczności podpisania odrębnego oświadczenia, zawierającegp zgodę na przetwarzanie dodatkowych danych osobowych dla potrzeb procesu rekrutacji.

Z pewnością rekomendowane jest wskazywanie przez pracodawców w treści ogłoszenia informacji wskazującej, by kandydaci nie umieszczali dodatkowych danych o sobie, jeśli nie życzą sobie, by pracodawca je przetwarzał, co może nieco ułatwić zadanie rekruterom.
W przypadku przetwarzania szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, ujawniających m.in. pochodzenie rasowe lub etniczne, przekonania religijne, orientację seksualną, czy też danych biometrycznych służących do zidentyfikowania osoby (niegdyś tzw. dane wrażliwe), zgoda może stanowić podstawę do ich przetwarzania wyłącznie w przypadku, gdy przekazanie tych danych nastąpi z inicjatywy osoby ubiegającej się o zatrudnienie. Przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy ich podanie jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony. Natomiast do przetwarzania danych osobowych szczególnych kategorii mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych, wydane przez pracodawcę. Osoby te są obowiązane do zachowania takich danych w tajemnicy. Przepisy nie przesądzają o tym, w jakiej formie ma zostać udzielona zgoda, jednakże w przypadku, gdy przetwarzanie odbywa się na podstawie zgody, pracodawca powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła dobrowolną zgodę na przetwarzanie swoich danych osobowych.

2. Pozostałe formy rekrutacji

W przypadku prowadzenia rekrutacji za pośrednictwem portali internetowych, pracodawca powinien podpisać umowę powierzenia danych osobowych z portalem zamieszczającym ogłoszenie o pracę, w trybie art. 28 RODO. Portale ogłoszeniowe działając jako procesor przetwarzają dane osobowe w imieniu administratora. Umowa powierzenia danych do przetwarzania powinna być zawarta na piśmie. W sytuacji, gdy pracodawca zleca przeprowadzenie rekrutacji przez agencję zatrudnienia, możliwe są dwa warianty, tj. agencja może stać się administratorem danych osobowych kandydatów, bądź procesorem, jak w przypadku portali internetowych, które jedynie pośredniczą w procesie rekrutacji. Agencja pośrednictwa pracy staje się administratorem danych osobowych kandydatów, gdy wybiera ich z własnych baz lub we własnym imieniu wyszukuje kandydatów oraz następnie włącza ich do swoich zbiorów danych – decyduje wówczas o celach i sposobach przetwarzania danych osobowych. Jeśli agencja przetwarza dane we własnym celu, nie tylko dla celów jednej, dedykowanej rekrutacji, obowiązana jest dopełnić obowiązków związanych z przetwarzaniem danych osobowych, w tym spełnić obowiązek informacyjny. Na podstawie umowy o współpracy z potencjalnym pracodawcą, agencja wyszukuje wówczas w swoich własnych zasobach odpowiednich kandydatów do pracy, spełniających wymagania wskazane przez pracodawcę.

Przekazanie danych osobowych odpowiedniego kandydata potencjalnemu pracodawcy następuje poprzez udostępnienie tych danych na podstawie zgody wyrażonej przez kandydata. Pracodawca natomiast niezwłocznie po otrzymaniu dokumentów aplikacyjnych kandydata jako administrator, obowiązany jest „przy pierwszej komunikacji z osobą, której dane dotyczą” spełnić wobec niej obowiązek informacyjny.

Agencja rekrutacyjna staje się tzw. procesorem danych w sytuacji, gdy wyszukuje kandydatów w imieniu pracodawcy, występuje w tym przypadku jako podmiot przetwarzający, bowiem nie wykorzystuje zebranych danych osobowych do własnych celów.

Agencja pośrednictwa pracy, która w imieniu pracodawcy zamieszcza ogłoszenie, weryfikuje aplikacje kandydatów, przeprowadza rozmowy rekrutacyjne z kandydatami i staje się procesorem, natomiast pracodawca pozostaje administratorem danych; wobec tego w takim przypadku konieczne jest, aby pracodawca spełnił wobec kandydata obowiązek informacyjny z art. 13 RODO, natomiast z agencją zawarł umowę powierzenia przetwarzania danych osób ubiegających się w niej o zatrudnienie. Potencjalny pracodawca w przypadku, gdy zamierza powierzyć agencji pośrednictwa pracy także wykonanie obowiązku informacyjnego w jego imieniu w stosunku do kandydatów, powinien w umowie o współpracy z agencją zawrzeć odpowiednie postanowienie zobowiązujące ją do wykonania tegoż obowiązku w imieniu pracodawcy. Agencja, jako przetwarzający dane nie powinna w takim przypadku przetwarzać danych dla własnych celów, natomiast po zakończeniu współpracy zgodnie z dyspozycją umowy powierzenia przetwarzania danych osobowych, powinna usunąć dane osobowe kandydatów.

Wobec powyższego należy wskazać, iż od sposobu prowadzenia rekrutacji oraz celów przetwarzania danych kandydatów zależą obowiązki pracodawcy bądź podmiotu rekrutującego w zakresie informowania kandydatów o administratorze danych oraz pozostałych obowiązkach informacyjnych. Jednocześnie należy pamiętać, mając na uwadze bezwzględny obowiązek informacyjny o podmiocie przetwarzającym dane, że kandydat powinien być poinformowany o podmiocie, dla którego prowadzona jest rekrutacja.

3. Usuwanie dokumentacji po przeprowadzeniu rekrutacji

Zgodnie z brzmieniem art. 6 ust. 1 RODO przetwarzanie danych jest zgodne z prawem wyłącznie w przypadkach, gdy, i w takim zakresie, w jakim spełniony jest co najmniej jeden z warunków wskazany w tym artykule, tj. m.in. w sytuacji, gdy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, bądź gdy przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.

Zdaniem Autorki artykułu przepisy te dają możliwość przetwarzania danych w procesie rekrutacji aż do momentu jej zakończenia, chyba że kandydat wyraził zgodę na przetwarzanie danych na potrzeby przyszłych rekrutacji. W przeciwnym wypadku aplikacje kandydata powinny zostać usunięte przez administratora danych.

4. Dane pracowników

Zgodnie z brzmieniem art. 221 § 3 k.p. pracodawca żąda od pracownika podania dodatkowo poza danymi, których może żądać od kandydata na pracownika, danych osobowych obejmujących: adres zamieszkania; numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość; inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez niego ze szczególnych uprawnień przewidzianych w prawie pracy; wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie; numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych. Nadto na podstawie § 4 wskazanego artykułu pracodawca żąda podania innych danych osobowych niż określone powyżej, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.

Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której dane dotyczą. Pracodawca może żądać udokumentowania danych osobowych osób, o których mowa powyżej, w zakresie niezbędnym do ich potwierdzenia. Udostępnienie pracodawcy danych osobowych pracownika bądź kandydata do pracy następuje w formie oświadczenia osoby, której one dotyczą. Żądanie pracodawcy może zatem polegać na przedstawieniu świadectw pracy bądź dokumentów potwierdzających kwalifikacje, wykształcenie, jednakże bez prawa żądania doręczenia oryginałów dokumentów celem załączenia ich do akt pracownika. Zgodnie bowiem z treścią § 5 Rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej w sprawie dokumentacji pracowniczej z 10 grudnia 2018 r.5 pracodawca przechowuje w aktach osobowych pracownika, prowadzonych w postaci papierowej, odpisy lub kopie dokumentów przedłożonych przez osobę ubiegającą się o zatrudnienie lub pracownika, poświadczone przez pracodawcę lub osobę upoważnioną przez pracodawcę za zgodność z przedłożonym dokumentem.

W świetle przytoczonych regulacji należałoby ustosunkować się także do sankcji za udzielenie informacji nieprawdziwych lub odmowy podania informacji przez pracownika, które wedle komentatorów są uzależnione od rodzaju informacji oczekiwanych od kandydata bądź pracownika6. Wedle opinii Krzysztofa Barana, „jeśli mieszczą się one w zakresie omawianych przepisów, sankcje mogą wiązać się z naruszeniem obowiązków pracowniczych, nie wyłączając prawa do rozwiązania stosunku pracy”.
Niemniej jednak rozważając kwestię tego, czy pracodawca może żądać od pracownika udzielenia informacji niewymienionych w przepisach art. 221 k.p. lub w odrębnych przepisach na podstawie tzw. polecenia służbowego, w trybie art. 100 k.p., należy wskazać, iż w ocenie autora artykułu takie działanie pracodawcy mogłoby być uznane za obejście prawa i tym samym odmowa pracownika nie mogłaby stanowić podstawy do rozwiązania umowy o pracę umowy bez wypowiedzenia z winy pracownika w trybie art. 52 k.p.
Powyższa teza znajduje odzwierciedlenie w piśmiennictwie, zgodnie z którym „Inaczej należy ocenić przypadki żądania danych wykraczających poza dopuszczalny przez prawo zakres informacji. Kłamstwo bądź odmowa udzielenia informacji przez pracownika będzie rozpatrywana w świetle uprawnionych działań jednostki zmierzających do ochrony jej prywatności, stanowiąc sui generis obronę konieczną przed naruszeniem prawa. Osoba pytana o informacje osobiste (pracownik) może ocenić, że pracodawca narusza jego dobra osobiste (szczególnie godność – w rozumieniu art. 111 k.p.), może nawet uznać się za dyskryminowaną w rozumieniu art. 113 k.p. Zakres informacji, o którym mowa w art. 221 k.p., koresponduje z brzmieniem art. 113 i 183a k.p. w ten sposób, że okoliczności w nich wskazane, mogące stanowić przyczynę dyskryminacji (np. dotyczące sytuacji rodzinnej kandydata) zostały z niego wyeliminowane. W tej sytuacji trudno postawić zarzut naruszenia obowiązków pracowniczych w rozumieniu art. 100 k.p., skoro taki obowiązek nie miał podstaw prawnych”7.

Powyższe potwierdza także wyrok Sądu Najwyższego z 5 sierpnia 2008 r.8, w którym wskazał on, iż „polecenie pracodawcy nakładające na pracownika obowiązek udzielenia informacji (danych osobowych) niewymienionych w art. 221 § 1 i 2 k.p. lub w odrębnych przepisach (art. 221 § 4 k.p.) jest niezgodne z prawem (art. 100 § 1 k.p.) i dlatego odmowa jego wykonania nie może stanowić podstawy rozwiązania umowy o pracę w trybie art. 52 § 1 pkt 1 k.p.”.

5. Monitoring w zakładzie pracy

Zgodnie z brzmieniem art. 222 k.p., jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników, ochrony mienia, kontroli produkcji lub zachowania
w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu, czyli tzw. monitoring. Monitoring nie może obejmować pomieszczeń udostępnianych zakładowej organizacji związkowej, ani pomieszczeń sanitarnych, szatni, stołówek oraz palarni, chyba że stosowanie monitoringu w tych pomieszczeniach jest niezbędne ze względu na zapewnienie bezpieczeństwa pracowników, ochrony mienia, kontroli produkcji lub zachowania w tajemnicy informacji i nie naruszy to godności oraz innych dóbr osobistych pracownika, w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób. Monitoring pomieszczeń sanitarnych wymaga uzyskania uprzedniej zgody zakładowej organizacji związkowej, a jeżeli u pracodawcy nie działa zakładowa organizacja związkowa – uprzedniej zgody przedstawicieli pracowników wybranych w trybie przyjętym u danego pracodawcy.

Nagrania obrazu pracodawca przetwarza wyłącznie do celów, dla których zostały zebrane i przechowuje przez okres nieprzekraczający 3 miesięcy od dnia nagrania. W przypadku, w którym te nagrania stanowią dowód w postępowaniu prowadzonym na podstawie prawa lub pracodawca powziął wiadomość, iż mogą one stanowić dowód w postępowaniu, termin 3 miesięcy ulega przedłużeniu do czasu prawomocnego zakończenia postępowania. Po upływie tego okresu uzyskane w wyniku monitoringu nagrania obrazu zawierające dane osobowe podlegają zniszczeniu, o ile przepisy odrębne nie stanowią inaczej.

Cele, zakres oraz sposób zastosowania monitoringu pracodawca powinien ustalić w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. Nadto obowiązkiem pracodawcy jest poinformowanie pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy, nie później niż 2 tygodnie przed jego uruchomieniem oraz o przekazaniu takiej informacji nowemu pracownikowi przed dopuszczeniem go do pracy. Pomieszczenia i teren monitorowany powinien być oznaczony w sposób widoczny i czytelny za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem. Powyższe regulacje wprowadziły jasne reguły dotyczące możliwości wprowadzenia oraz zasad monitoringu w zakładzie pracy. Regulacje te mają za cel ochronę prawa do poszanowania życia prywatnego pracownika oraz zapobieganie wprowadzaniu przez pracodawców niejawnych form monitorowania pracowników.

Europejski Trybunał Praw Człowieka odniósł się do tej kwestii między innymi w wyroku z 9 stycznia 2018 r.9, w którym stwierdził, że „trzeba wskazać, iż niejawny monitoring wideo pracownika w miejscu pracy musi zostać uznany, jako taki, za poważną ingerencję w życie prywatne pracownika. Ingerencja ta skutkuje powstaniem zapisanej i reprodukowalnej dokumentacji zachowania osoby w miejscu pracy, czego pracownik, jako osoba zobowiązana z mocy umowy o pracę do wykonywania pracy w tym (konkretnym) miejscu, nie może uniknąć”. Trybunał wobec powyższego orzekł, iż zastosowane środki dotykały „życia prywatnego” skarżących w rozumieniu art. 8 ust. 1 Konwencji10.

6. Monitoring poczty elektronicznej pracownika

Na podstawie art. 223 k.p., jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika, jednakże monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych jego dóbr osobistych. Przepisy te stosuje się odpowiednio do innych form monitoringu niż monitoring poczty elektronicznej, jeśli ich zastosowanie jest konieczne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy.

Zgodnie z opinią Kazimierza Jaśkowskiego wyrażoną w Komentarzu do k.p.11, z treści analizowanych przepisów (art. 222 § 1 i § 2 oraz art. 223 § 1, § 2 i § 4) wynika, że ustawodawca w pierwszej kolejności przyjął następujące zasady dotyczące zakresu dopuszczalnego monitoringu pracownika:

a) zasadę niezbędności;

b) zasadę ochrony godności i dóbr osobistych pracownika;

c) zasadę wolności i niezależności związków zawodowych.

Zasady te korespondują z zasadami dotyczącymi przetwarzania danych osobowych określonymi w art. 5 w zw. z art. 6 w zw. z art. 9 RODO.

7. Okoliczności stanu epidemiologicznego a ochrona danych pracowników

Przepisy k.p. nie określają wprost żadnych wykluczeń w ich stosowaniu na wypadek zagrożenia epidemiologicznego bądź stanu epidemii, niemniej jednak art. 6 ust. 1 pkt d RODO w związku z pkt. 46 Preambuły RODO wprost przywołuje, iż przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest niezbędne do ochrony interesu, który ma istotne znaczenie dla życia osoby, której dane dotyczą, lub innej osoby fizycznej. Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej. Niektóre rodzaje przetwarzania mogą służyć zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą, na przykład gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i jej rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka. Przy interpretacji tego przepisu może pojawić się wątpliwość, jak należy rozumieć sformułowanie „żywotne interesy osoby” – czy chodzi tu o ujęcie wąskie, obejmujące interesy związane z ochroną życia, czy też należy to pojęcie rozumieć szerzej, jako interesy „istotne, ważne” dla osoby (dla jej życia).

Zgodnie z komentatorami za przyjęciem szerszego znaczenia tego pojęcia przemawia wyjaśnienie zawarte w motywie 46 Preambuły RODO, w którym zapisano, że „przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest niezbędne do ochrony interesu, który ma istotne znaczenie dla życia osoby, której dane dotyczą, lub innej osoby fizycznej”12.

Wedle Pawła Fajgielskiego, autora komentarza do RODO „w piśmiennictwie przedmiotu na gruncie u.o.d.o.199713 przyjmowano, że żywotne interesy to interesy o dużym znaczeniu (np. zdrowie, życie), jednak nie należy tu także wykluczać interesów majątkowych. Ocena, czy w danym przypadku mamy do czynienia z takimi właśnie interesami oraz czy zainteresowany nie jest w stanie sam tych interesów w inny sposób chronić, należy do administratora, jednak jego decyzje w tej mierze nie powinny mieć ani rozstrzygającego i ostatecznego charakteru, ani też nie powinny być samowolne i arbitralne, a powinny polegać na wyważaniu interesów. Zasadniczo przetwarzanie danych osobowych powinno być dopuszczone w takich przypadkach, w których racjonalnie można zakładać, że zainteresowany – gdyby istniała taka możliwość – udzieliłby zgody na przetwarzanie danych. W razie sporu wspomniane rozstrzygnięcia będą podlegać kontroli sprawowanej przez organ nadzorczy oraz kontroli sądowej (por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych..., s. 412). Jednakże warto wspomnieć o tym, że Grupa Robocza Art. 29 opowiada się za wąskim ujmowaniem pojęcia żywotnych interesów osoby, której dane dotyczą na gruncie art. 49 (por. Guidelines on Article 49 of Regulation 2016/679, Adopted on 6 February 2018, WP 262, s. 13-14)”.

„Aby można było oprzeć przetwarzanie danych na omawianej przesłance, powinno być niezbędne do ochrony żywotnych interesów osoby, tzn. nieprzetwarzanie danych mogłoby prowadzić do zagrożenia lub naruszenia żywotnych interesów tej osoby. Rozstrzygnięcie, czy przetwarzanie danych jest niezbędne, powinno być dokonywane indywidualnie, w konkretnym przypadku, z uwzględnieniem faktycznych okoliczności przetwarzania danych. Polski prawodawca w art. 23 ust. 3 u.o.d.o.1997 wymagał ponadto stwierdzenia, że uzyskanie zgody nie jest możliwe, a przesłanka ta uprawniała administratora do przetwarzania danych jedynie do czasu, gdy uzyskanie zgody stanie się możliwe. Komentowany przepis rozporządzenia nie przewiduje tego rodzaju dodatkowych wymogów”14.
Warto w tym miejscu zwrócić także uwagę na wytyczne Prezesa Urzędu Ochrony Danych Osobowych, które skłaniają ku wnioskom, iż działania polegające na przetwarzaniu danych osobowych w celu zapobiegania rozprzestrzenianiu się epidemii mają niejako nadrzędny charakter nad przepisami o ochronie danych osobowych. Należy tu także wskazać na brzmienie m.in. art. 8a ust. 5-9 ustawy z 14 marca 1985 r. o Państwowej Inspekcji Sanitarnej15, znowelizowanej art. 17 ustawy z 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych16, z którego wynika, iż Główny Inspektor Sanitarny lub działający z jego upoważnienia państwowy wojewódzki inspektor sanitarny może wydawać osobom prawnym, osobom fizycznym i jednostkom organizacyjnym nieposiadającym osobowości prawnej, w szczególności podmiotom wykonującym działalność leczniczą, pracodawcom, podmiotom prowadzącym działalność w zakresie lotnictwa cywilnego, użytkownikom statków powietrznych, użytkownikom cywilnych statków powietrznych niewpisanych do rejestru statków powietrznych oraz zarządzającym lotniskami, decyzje nakładające obowiązek między innymi podjęcia określonych czynności zapobiegawczych lub kontrolnych oraz żądać od nich informacji w tym zakresie.

Polecenia w formie decyzji administracyjnych o natychmiastowej wykonalności mogą być wydawane także przez Prezesa Rady Ministrów, zgodnie z powołaną ustawą mogą być również w nagłych przypadkach wydawane ustnie, a następnie niezwłocznie potwierdzane na piśmie. Wobec powyższego na pracodawców mogą być nakładane decyzje niekiedy nakłaniające do przetwarzania przez nich danych pracowników nie objętych przez dotąd wskazane powszechnie obowiązujące przepisy prawa. Jednocześnie, mając na względzie powyższy wywód wskazać należy, iż chroniąc dobra nadrzędne wobec dóbr służących ochronie danych osobowych, jako podstawę przetwarzania danych w związku z rozprzestrzenianiem się epidemii można także wskazać brzmienie art. 9 ust. 2 lit. i RODO, tj. przepis, który stanowi, że przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową. Pomocne jest także brzmienie art. 6 ust. 1 lit. d RODO, zgodnie z którym przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.

Mimo powyżej wskazanej podstawy prawnej zachodzą wątpliwości, jak daleko idące mogą być działania służby i pracodawców. Wedle autorki artykułu pracodawca winien przetwarzać dane pracowników tylko w zakresie niezbędnym do zapewnienia bezpieczeństwa pracowników, a zatem nie gromadzić informacji, które nie są niezbędne do wykonania obowiązków nałożonych przez służby sanitarne, bądź zaleceń służących ochronie zdrowia pracowników.

Wobec tego dopuszczalne zdaje się być na przykład mierzenie temperatury ciała pracownika, które nota bene nie jest rejestrowana w żadnym zbiorze, bądź uzyskanie od pracownika informacji, czy jego stan zdrowia nie zagraża innym pracownikom, niemniej jednak nadal pracodawca nie powinien ze zbytnią gorliwością gromadzić informacji o pracowniku, gdy nie wymaga tego zachowanie zasad bezpieczeństwa.

8. Podsumowanie

Reasumując należy wskazać, iż wprowadzenie regulacji prawnych dotyczących ochrony danych osobowych znalazło także odzwierciedlenie w przepisach k.p., które zaowocowały między innymi nowym katalogiem informacji, jakie pracodawca może uzyskać zarówno od kandydata na pracownika, jak i pracownika. W tym zakresie ustawodawca wdrożył rozwiązania zgodne z tzw. zasadą minimalizacji danych, niemniej jednak autorka artykułu odnosi się krytycznie do części wprowadzonych zmian, bowiem żądanie informacji na temat wykształcenia kandydata, jego kwalifikacji zawodowych czy przebiegu dotychczasowego zatrudnienia ustawodawca uzależnia obecnie od istnienia przesłanki w postaci niezbędności tych danych do wykonywania pracy określonego rodzaju lub na określonym stanowisku, co może budzić wątpliwości i trudności w ocenie przez przedsiębiorców zamieszczających ogłoszenia.

Wejście w życie RODO skutkowało także obostrzeniem regulacji prawnych dotyczących wypełnienia tzw. obowiązku informacyjnego zarówno przez pracodawców, jak i agencje pośrednictwa pracy, które mogą w istocie stać się administratorem danych, bądź ich procesorem. Dodatkowo wymaganym dokumentem w przypadku powierzenia wszelkich danych dotyczących pracowników bądź kandydatów na pracowników jest umowa powierzenia do przetwarzania danych, która winna być zawarta na piśmie. Ważnym aspektem wprowadzonym w k.p. jest szczegółowe uregulowanie dotyczące monitoringu wizyjnego oraz monitoringu poczty elektronicznej pracowników, co zasługuje na aprobatę, gdyż dotąd te kwestie nie były jednoznacznie i szczegółowo uregulowane, co niewątpliwie przyczyniało się do dezinformacji, natomiast obowiązujące uregulowania z pewnością ugruntują ład prawny w tej materii.

W obecnej sytuacji faktycznej zapewne o wiele częściej aktualne staje się także zagadnienie „ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej”, legitymujące przetwarzanie danych zgodnie z prawem na podstawie art. 6 ust. 1 pkt d RODO, które powinno być rozumiane jako przesłanka uzasadniająca przetwarzanie danych niekiedy wykraczających poza standardowy zakres możliwości pracodawców. Niemniej jednak mimo możliwości powołania się na tzw. „ochronę żywotnych interesów osoby” nie może ona stanowić podstawy do nadużyć tego prawa i przyczynić się do żądania nadmiernej ilości danych, które w ocenie sytuacji nie są absolutnie konieczne dla ochrony i bezpieczeństwa zakładu pracy.

Z powyższych względów należy uznać, iż mimo nielicznych niezbyt fortunnych rozwiązań wprowadzonych na tle regulacji dotyczących ochrony danych osobowych, budzących wątpliwości, autorka artykułu skłania się ku wnioskom, iż nowe regulacje wprowadziły większą pewność obrotu prawnego poprzez bardziej przejrzyste zasady ochrony danych osobowych w ramach stosunku pracy

_________________________

1 Dz.Urz. UE L nr 119, s. 1.
2 T.j. Dz.U. 2019 poz. 1781.
3 T.j. Dz.U. 2019 poz.1040.
4 Dz.U. 2017 poz. 796.
5 Dz.U. 2018 poz. 2369.
6 K. Baran (red.), Kodeks pracy. Komentarz, wyd. IV, opublikowano: WKP 2018.
7 Ibidem.
8 Sygn. akt I PK 37/08.
9 Wyrok Europejskiego Trybunału Praw Człowieka z 9 stycznia 2018 r., sygn. akt 1874/13, López Ribalda i inni v. Hiszpania.
10 Konwencja o ochronie praw człowieka i podstawowych wolności, sporządzona w Rzymie 4 listopada 1950 r., zmieniona następnie Protokołami nr 3, 5 i 8 oraz uzupełniona Protokołem nr 2; Dz.U. 1993 nr 61 poz. 284.
11 K. Jaśkowski, E. Maniewska, Komentarz aktualizowany do Kodeksu pracy, opublikowano: LEX/el. 2020.
12 P. Fajgielski, Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Opublikowano: WKP 2018.
13 Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych, Dz.U. 1997 nr 133 poz. 883.
14 Ibidem.

Anna Sulima

Radca prawny, z wieloletnim doświadczeniem w kompleksowej obsłudze podmiotów gospodarczych, głównie średnich i dużych przedsiębiorstw, legitymująca się dodatkowo dyplomem z zarządzania. Posiada doświadczenie zawodowe w zakresie obsługi korporacyjnej spółek, prawa zobowiązań oraz sporów sądowych. Absolwentka Uniwersytetu Gdańskiego, a także Szkoły Prawa Amerykańskiego we współpracy z Georgia State University College of Law, prestiżowym Emory University oraz Uniwersytetem Warszawskim.

Nasze publikacje

rbiuletyn

 

lipiec-wrzesień 2023

RB Biuletyn numer 44

pobierz magazyn

Nasze publikacje

rb restrukturyzacje             russellbedford             rbdombrokersi