RODO w pracy - przetwarzanie danych w miejscu pracy.
Niniejszy artykuł uwzględnia zmiany wynikające z postanowień ogólnego rozporządzenia o ochronie danych (RODO) oraz nowelizacji Kodeksu pracy wprowadzonej ustawą z 10 maja 2018 r. o ochronie danych osobowych.
Rozporządzenie 2016/679 dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) stanowić ma istotny krok na drodze do umacniania praw podstawowych obywateli UE w erze cyfrowej i ułatwiania działalności gospodarczej poprzez uproszczenie i ujednolicenie zasad dla administratorów rynku wspólnotowego.
Ile, po wejściu w życie RODO, pracodawca może wiedzieć o pracowniku?
RODO i nowe polskie regulacje to ogromna reforma podejścia do ochrony naszej prywatności. Powodują zmiany również w sektorze zatrudnienia - nowe przepisy bardziej precyzyjnie regulują ten obszar, a także kwestię monitoringu miejsca pracy. Zmianie uległy więc zasady gromadzenia danych osobowych pracowników - poprzez przyznanie im uprawnienia do udzielania zgody na przetwarzanie ich danych i wskazanie zasad korzystania z monitoringu wizyjnego w miejscu pracy. W skrócie: po wejściu w życie nowych przepisów pracodawca nie może pozyskać innych danych na temat pracownika niż te, na których wykorzystanie pracownik się zgodził się. Pracodawca może zatem wiedzieć o pracowniku tylko tyle, ile jest mu niezbędne i ile sam pracownik będzie chciał mu powiedzieć.
Np. przetwarzanie przez pracodawcę danych biometrycznych obejmować może tylko dane osobowe pracownika, jeśli dotyczą one stosunku pracy i pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej.
Pracownik musi wiedzieć
Nowe przepisy dotyczą m.in. szukania informacji o pracownikach, np. na portalach społecznościowych. RODO to pierwsza regulacja, która dotyczy tej kwestii.
Efektem rozpoczęcia stosowania RODO jest także zmiana wielu polskich przepisów - w tym Kodeksu pracy. W związku ze zmianami w nim pracodawca będzie miał obowiązek poinformowania pracowników o takich działaniach. Niezgodne z prawem będą tego rodzaju aktywności, prowadzone bez zgody pracownika, a także wykorzystanie pozyskanych w ten sposób, niekorzystnych informacji o zatrudnionych.
Stosunek pracy
Stosunkiem pracy nazywamy sytuację, w której pracownik w zamian za wynagrodzenie zobowiązuje się do wykonywania na rzecz pracodawcy pracy określonego rodzaju, pod jego kierownictwem oraz w miejscu i czasie przez niego wyznaczonym. Charakteryzuje się on więc co najmniej podporządkowaniem służbowym oraz odpłatnym charakterem pracy, która dodatkowo wykonywana jest na ryzyko pracodawcy. Z zatrudnianiem na podstawie stosunku pracy wiążą się liczne uprawnienia i obowiązki zarówno po stronie pracownika, jak i pracodawcy. Jego główną ideą jest tzw. zasada uprzywilejowania pracownika. Ustawodawca wyszedł bowiem z założenia, że ze względu na nierówność stron takiej umowy, pewne określone (minimalne) prawa pracownika powinny być wyraźnie wskazane w przepisach prawa, a postanowienia kształtujące stosunek pracy nie mogą być od nich mniej korzystne.
RODO - Jakie dane pracownika pracodawca może przetwarzać w okresie zatrudnienia?
W ramach stosunku pracy istnieje nieustanna potrzeba wymiany informacji, w tym o pracowniku. Jej konieczność może wynikać z obowiązków pracodawcy wynikających z przepisów prawa, z charakteru wykonywanej przez pracownika pracy, bądź też z uwagi na interes pracodawcy lub samego pracownika. Ochrona danych osobowych pracownika nie jest absolutna i nie zawsze zależy od jego zgody. Jednocześnie fakt, czy to przetwarzanie jest zgodne z prawem, należy oceniać w każdym konkretnym przypadku.
Wraz z powstaniem stosunku pracy powstają określone prawa oraz obowiązki pracodawcy i pracownika, których realizacja w sposób oczywisty wiąże się z koniecznością przetwarzania danych pracownika.
Zgodnie z art. 22[1] § 2 i 4 Kodeksu pracy, pracodawca ma prawo żądać od pracownika, którego zdecydował się zatrudnić, podania, niezależnie od danych osobowych, które mógł od niego pozyskać w toku rekrutacji, także:
- innych jego danych osobowych, a także imion i nazwisk oraz dat urodzenia jego dzieci, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez niego ze szczególnych uprawnień przewidzianych w prawie pracy;
- jego numeru PESEL,
- innych danych osobowych niż pozyskane w procesie rekrutacji i wskazane wyżej, jeżeli obowiązek ich podania wynika z odrębnych przepisów.
Zawarcie umowy o pracę i akta osobowe pracownika a RODO
Powstanie stosunku pracy generuje po stronie pracodawcy szereg obowiązków związanych z dokumentowaniem przebiegu pracy pracownika, w tym przede wszystkim prowadzenie akt osobowych. Np. według art. 94 pkt 9a Kodeksu pracy, pracodawca jest obowiązany prowadzić dokumentację w sprawach związanych ze stosunkiem pracy oraz akta osobowe pracowników, a zakres prowadzenia przez pracodawców tej dokumentacji oraz sposób prowadzenia akt osobowych regulują przepisy rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (t.j. Dz.U. z 2017 r., poz. 894).
RODO - Czy pracodawca może wykonać kserokopię dokumentu tożsamości pracownika, którego zatrudnia?
Zazwyczaj nie istnieje prawnie uzasadniona potrzeba wykonywania kopii tego typu dokumentu. Co więcej, posiadanie jej będzie prowadziło do gromadzenia nadmiarowych danych niezwiązanych z wykonywaną przez pracownika pracą.
Czy pracodawca może przechowywać informacje związane z życiem osobistym pracowników w ich aktach osobowych?
Nie zawsze będzie tak, że w aktach osobowych pracownika znajdować się będą wyłącznie informacje związane z jego stosunkiem pracy. Zazwyczaj, żeby pracownik mógł skorzystać z określonych uprawnień, będzie musiał udostępnić pracodawcy informacje dotyczące jego życia osobistego. Przykładem może być urlop związany z realizacją jego zobowiązań cywilnych, publicznych itp. (jak zawarcie małżeństwa, śmierć krewnego, oddanie krwi, wezwanie do sądu itd.).
Czy w przypadku zatrudnienia pracownika pracodawca musi ponownie spełnić wobec niego obowiązek informacyjny?
Ponieważ dane pracownika już zatrudnionego pracodawca będzie przetwarzał w innym celu aniżeli kandydata oraz zmieni się krąg odbiorców tych danych, pracownik powinien otrzymać informacje w tym zakresie.
Pracodawca może spełnić ten obowiązek informacyjny, umieszczając powyższe informacje w ramach klauzuli informacyjnej przekazywanej kandydatom w toku rekrutacji (poprzez uzupełnienie jej o informacje dotyczące celu przetwarzania danych i wskazanie odbiorców danych w razie zatrudnienia kandydata), lub też poprzez uzupełnienie tych informacji już po zatrudnieniu pracownika.
Ujawnianie i dostęp do danych osobowych w czasie zatrudnienia
Dane pracownika są poufne i nie mogą być ujawniane bez jego zgody lub innej podstawy prawnej.
Jakie informacje o pracowniku można umieścić na liście obecności pracowników?
Przepisy prawa nie precyzują sposobu potwierdzania obecności pracownika w pracy. Często spotykanym rozwiązaniem jest złożenie podpisu na liście obecności. W wielu sytuacjach na owych listach, dostępnych dla wszystkich pracowników, można było znaleźć informację o tym, że dany pracownik jest chory lub korzysta z urlopu „na żądanie”. Taka praktyka jest niewłaściwa, a informacje m.in. o zwolnieniach lekarskich czy urlopie „na żądanie”, a więc o szczególnych rodzajach nieobecności, powinny znaleźć się w ewidencji czasu pracy, do którego dostęp - oprócz samego pracownika, którego karta dotyczy - mogą mieć jeszcze osoby odpowiedzialne za sprawy kadrowe i osoba reprezentująca pracodawcę (bezpośredni przełożony, osoby zarządzające zakładem pracy).
Reasumując, symbol absencji nie powinien być zamieszczony na liście obecności. Wystarczy wskazanie, czy dany pracownik jest obecny, czy też nie.
W przeciwnym razie może to naruszać zasady minimalizacji oraz poufności danych osobowych. Czas pracy jest jednym z kluczowych elementów pracy, zarówno dla pracownika, jak i pracodawcy.
To, jak kwestia potwierdzania obecności w pracy przez pracownika będzie zorganizowana, określać powinien regulamin lub inny wewnętrzny dokument. Niezależnie, czy będzie to lista obecności, czy system kart zbliżeniowych - to wewnętrzna sprawa samego pracodawcy - ważne jest, aby przy tych czynnościach nie naruszano praw i wolności pracowników.
Czy pracodawca może umieścić zdjęcia pracowników na identyfikatorach?
Ponieważ wizerunku pracownika nie ma wśród danych wskazanych w Kodeksie pracy, to żeby pracodawca mógł pozyskać zdjęcia i umieścić je np. na identyfikatorze, musi legitymować się zgodą pracownika. Zgoda taka musi być udzielona dobrowolnie, a zatem pracodawca powinien pozyskiwać zgodę pracownika w taki sposób, który zapewnia, iż pracownik będzie miał możliwość odmowy jej udzielenia i nie spotkają go z tego powodu żadne negatywne konsekwencje.
Zgoda może być odwołana w każdym czasie. Istnieją jednak sytuacje wyjątkowe, kiedy wizerunek pracownika jest ściśle związany z wykonywanym przez niego zawodem lub charakterem pracy i wskazywanie wizerunku pracownika przewidują wprost przepisy prawa.
Przykład:
Jako przykład podać można pracowników ochrony, co do których – ze względów bezpieczeństwa – powinna być zapewniona możliwość ich identyfikacji. W ich przypadku pracodawca nie jest zobowiązany do pozyskiwania zgody w tym właśnie celu. Art. 9 a ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (t.j. Dz.U. z 2017 r., poz. 2213) stanowi bowiem , że legitymacja kwalifikowanego pracownika ochrony fizycznej lub kwalifikowanego pracownika zabezpieczenia technicznego zawiera m.in. jego aktualne zdjęcie.
Czy pracodawca może umieścić na swojej stronie internetowej takie dane osobowe pracowników, takie jak ich imiona i nazwiska, stanowiska, numery telefonów i adresy e-mail?
Informacje o pracowniku, takie jak np. jego imię i nazwisko, czy też służbowy adres e-mail są ściśle związane z życiem zawodowym pracownika oraz z wykonywaniem przez niego obowiązków służbowych. Dane te mogą być wykorzystywane (np. udostępniane) przez pracodawcę nawet bez zgody pracownika, którego one dotyczą.
Pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników zajmujących określone stanowiska w ramach instytucji i pozostających w kontakcie z podmiotami zewnętrznymi – kontrahentami, klientami.
Przeciwne stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw pracownika.
Z uwagi na powyższe za dopuszczalne uznać także należy umieszczanie imion i nazwisk pracowników na drzwiach w zakładach pracy, na pieczątkach imiennych, pismach sporządzanych w związku z pracą oraz prezentowanie w informatorach o instytucjach oraz przedsiębiorstwach.
Kwestie tego typu uregulowane powinny zostać w regulaminach pracy, a pracownik powinien być świadomy tego przed nawiązaniem stosunku pracy.
Czy pracodawca może umieścić na swojej stronie internetowej, wraz z danymi kontaktowymi, wizerunek pracownika?
Nie może. Publikacja wizerunku pracownika na stronie internetowej będzie wymagała uzyskania jego dobrowolnej zgody.
Czy pracodawca może umieszczać zdjęcia pracowników w Intranecie?
Sytuacja umieszczania zdjęć pracownika w Intranecie jest sytuacją szczególną, gdyż dostęp do tego wewnętrznego systemu ma ściśle określony krąg osób, tzn. pracownicy, którzy znają się nawzajem, oraz z uwagi na cel, jaki przyświeca tego typu działaniom pracodawcy, jakim jest usprawnienie procesu zarządzania i wewnętrznej komunikacji w firmie.
Jeżeli pracodawca jest podmiotem z sektora prywatnego, można więc się zastanowić, czy takie działanie nie będzie się mieściło w granicach jego usprawiedliwionego celu, zgodnie z art. 6 ust. 1 lit. f RODO. W niektórych sytuacjach może wystąpić nawet konieczność umożliwienia wizualnej identyfikacji pracownika, wynikająca np. z zakresu jego obowiązków, charakteru wykonywanej pracy czy potrzeb pracodawcy związanych z konkretnym stanowiskiem pracy. O ile zatem umieszczenie zdjęć w Intranecie służy jedynie polepszeniu i usprawnieniu zarządzania firmą, a dostępu do nich nie mają osoby z zewnątrz, to można przyjąć to za dopuszczalne.
Gdyby jednak w ocenie pracownika wspomniana praktyka godziła w jego dobro, może on skorzystać z unormowań art. 21 ust. 1 RODO regulującego prawo do sprzeciwu z przyczyn związanych ze szczególną sytuacją takiej osoby.
Czy pracodawca może wykorzystać służbowy adresu e-mail po byłym pracowniku?
W związku z dynamicznym rozwojem nowych technologii, jednym z podstawowych sposobów komunikacji w relacjach pomiędzy firmami i instytucjami jest poczta elektroniczna. Powszechną praktyką jest nadawanie pracownikom adresów e-mailowych, składających się z imienia i nazwiska, pierwszej litery imienia i nazwiska lub - w niektórych przypadkach - z pseudonimu. Zarówno taki adres mailowy, jak też pozbawiony imienia i nazwiska, lecz powiązany z konkretną osobą, stanowią dane osobowe związane z zatrudnieniem.
Problem pojawia się w sytuacji ustania stosunku pracy. Jeżeli adres e-mail byłego pracownika stanowi dane osobowe, wtedy taki adres powinien zostać usunięty z chwilą zakończenia stosunku pracy, a przed usunięciem konta wszystkie dane związane z wykonywaną pracą powinny zostać przekazane pracodawcy.
Pracodawca może zobowiązać pracownika do skontaktowania się z osobami, z którymi pracownik pozostawał w służbowych relacjach, celem poinformowania ich o usunięciu adresu e-mail.
Po zakończeniu współpracy pracodawca może też tak skonfigurować serwer poczty, aby korespondencja była przekierowana na inny adres, a także żeby nadawca otrzymywał zwrotną wiadomość informującą, że nie ma takiego użytkownika.
Przetwarzanie danych na potrzeby przyznawania świadczeń z Zakładowego Funduszu Świadczeń Socjalnych (ZFŚS)
Czy i jakie dane pracownika można pozyskać, aby zweryfikować, czy przysługuje mu prawo do pozyskania świadczenia z Funduszu?
Chociaż funkcjonowanie Zakładowego Funduszu Świadczeń Socjalnych (ZFŚS) określają przepisy prawa (tj. ustawa z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych, Dz.U. z 2017 r., poz. 2191, ze zm), a zasady i warunki korzystania z usług i świadczeń z niego finansowanych oraz zasady przeznaczania środków ZFŚS określa pracodawca w regulaminie, to nieuregulowana jest kwestia gromadzenia danych, które mają świadczyć o sytuacji materialnej pracownika uprawniającej go do skorzystania z finansowanych z Funduszu świadczeń.
Przyznanie świadczeń, a także ich wysokość uzależnione są od spełnienia przez osobę ubiegającą się o to świadczenie określonych kryteriów socjalnych. Prawo uzależnia bowiem przyznawanie ulgowych usług i świadczeń oraz wysokość dopłat z Funduszu od określonych kryteriów, tj. sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej.
Kryterium dotyczące sytuacji rodzinnej i materialnej pracownika oznacza, że przy ustalaniu wysokości świadczenia znaczenie ma sytuacja życiowa i materialna wszystkich członków jego rodziny, z którymi prowadzi wspólne gospodarstwo domowe. Jeśli zatem przyznawanie świadczeń jest uzależnione od kryterium socjalnego, to sytuacja pracownika lub innej osoby uprawnionej do korzystania z Funduszu wymaga każdorazowo jej określenia, czyli przetwarzania danych osobowych pracownika i członków jego rodziny. Przetwarzanie tych danych nie może jednak prowadzić do gromadzenia ich w zakresie szerszym, niż jest to konieczne dla realizacji celu, w jakim dane są pozyskiwane, bowiem adekwatność danych w stosunku do celu ich przetwarzania powinna być rozumiana jako równowaga między uprawnieniem osoby do dysponowania swymi danymi a interesem administratora danych (pracodawcy).
Czy można żądać od pracownika przedłożenia rocznego zeznania podatkowego (PIT) w celu wykazania wysokości dochodu, na potrzeby Zakładowego Funduszu Świadczeń Socjalnych?
Uprawnienie pracodawcy do żądania podania stosownych informacji oraz przedłożenia odpowiednich dokumentów uzasadniających przyznanie świadczenia z Funduszu powinno znajdować uzasadnienie we wspomnianym regulaminie, który powinien precyzować zasady i warunki korzystania z usług i świadczeń finansowanych z Funduszu oraz tryb rozpatrywania wniosków o ich przyznanie.
Zakazane jest przy tym zbieranie danych niemających znaczenia, jak i danych o większym, niż konieczny stopniu szczegółowości, jak też danych zbieranych „na przyszłość”.
Stąd konieczność weryfikacji sytuacji materialnej osoby ubiegającej się o środki z Zakładowego Funduszu Świadczeń Socjalnych może być dokona w inny sposób niż pozyskiwanie przez pracodawcę np. kopii zeznania podatkowego (PIT) osoby będącej członkiem rodziny pracownika.
Przedstawienie takiego dokumentu tylko do wglądu pracodawcy będzie - w celu dokonania takiej weryfikacji - w pełni wystarczające.
Warto również rozważyć przyjęcie rozwiązań polegających na respektowaniu oświadczeń o wysokości dochodu przypadającego na jednego członka rodziny ze wskazaniem, ile osób i w jakim wieku składa się na rodzinę pracownika. Forma oświadczenia wskazuje na dobrowolność jego złożenia. Pracownik, który będzie chciał skorzystać z przysługującego mu uprawnienia, np. dofinansowania do wypoczynku, będzie w takim przypadku obowiązany wypełnić oświadczenie. Jeśli nie będzie on chciał złożyć stosownego oświadczenia, to pracodawca nie będzie miał podstaw do wypłacenia danego świadczenia, ponieważ przyznawanie ulgowych usług i świadczeń oraz wysokość dopłat z Funduszu jest uzależniona od określonych w ustawie kryteriów.
Przez jaki czas można przetwarzać dane pracownika udostępnione na potrzeby rozpatrzenia jego wniosku przez ZFSŚ?
Dane osobowe powinny być przechowywane przez pracodawcę przez okres nie dłuższy niż jest to niezbędne do przyznania ulgowej usługi i świadczenia oraz dopłaty z Funduszu oraz ustalenia ich wysokości, a także przez okres dochodzenia do nich praw lub roszczeń.
Pracodawca powinien także dokonywać systematycznego, np. raz w roku, przeglądu danych osobowych w celu ustalenia, które dane osobowe są niezbędne do ich dalszego przechowywania, oraz usuwać te dane, których dalsze przechowywanie jest zbędne.
Przykładowo, jeżeli pracodawca w ramach ZFŚS wspiera pracownika poprzez dofinansowanie wypoczynku, tzw. wczasy pod gruszą, to winien on usunąć dane z ubiegłych lat.
Zgodnie bowiem z zasadą minimalizacji danych, pracodawca nie ma podstaw do tego, żeby zbierać dane osobowe „na przyszłość” oraz dane niepotrzebne do wypłacenia należnego świadczenia. W związku z tym oświadczenie pracownika o wysokości dochodu przypadającego na jednego członka rodziny ze wskazaniem, ile osób i w jakim wieku składa się na rodzinę pracownika, wydaje się być w pełni wystarczające oraz zgodne z zasadami celowości, minimalizacji danych, przejrzystości i rozliczalności.
Dane te pracodawca może przetwarzać w zakresie niezbędnym, do czasu wykonania koniecznych rozliczeń i sprawozdawczości (w przypadku np. jednostek publicznych).
Udostępnianie danych pracowników podmiotom zewnętrznym
W czasie trwania stosunku pracy pracodawca niejednokrotnie zmuszony jest udostępnić dane pracowników innym podmiotom w celu realizacji przez nie ich uprawnień lub w związku z oferowaniem przez nie na rzecz pracodawcy bądź jego pracowników pewnych usług. W każdej takiej sytuacji pracodawca musi mieć podstawę prawną zarówno do udostępnienia danych pracownika, jak i żądania ich od innego podmiotu.
Przetwarzanie danych osobowych pracowników w ramach relacji pracodawcy z organizacją związkową
Kwestie dotyczące uprawnień związków zawodowych oraz wzajemnych relacji między nimi a pracodawcą, które w sposób oczywisty wiążą się z przetwarzaniem danych pracowników, określają przepisy prawa. Kwestie związane z funkcjonowaniem związków zawodowych uregulowane zostały w ustawie z dnia 23 maja 1991 r. o związkach zawodowych (t.j. Dz.U. z 2015 r., poz. 1881, ze zm.).
Wydaje się jednak, że przeisy te nie regulują w sposób wyczerpujący sposobu udostępnienia i zakresu danych, które te podmioty mogą między sobą wymieniać.
Przepisy prawa pracy przewidują współdziałanie pracodawcy z zakładową organizacją związkową w indywidualnych sprawach ze stosunku pracy. Pracodawca ma obowiązek współdziałać w takich sprawach z zakładową organizacją związkową reprezentującą pracownika z tytułu jego członkostwa w związku zawodowym albo wyrażenia zgody na obronę praw pracownika niezrzeszonego w związku - zgodnie z ustawą o związkach zawodowych.
Jednakże przepisy te nie mogą stanowić podstawy do pozyskiwania przez pracodawcę od związku zawodowego wszystkich danych osobowych pracowników korzystających z ochrony tego związku. Odnoszą się one bowiem do ochrony stosunku pracy indywidualnego pracownika, w stosunku do którego pracodawca chce np. wypowiedzieć umowę o pracę.
Oznacza to, że pozyskiwanie informacji o przynależności związkowej pracownika w toku konsultacji ze związkami zawodowymi jest uzasadnione w razie zamiaru rozwiązania umowy o pracę z konkretnym pracownikiem.
Jednakże brak jest podstaw do pozyskiwania przez pracodawcę od związku zawodowego danych osobowych w odniesieniu do wszystkich pracowników korzystających z ochrony danego związku zawodowego w sytuacji, gdy pracodawca nie ma zamiaru ich zwolnić z pracy. Tak więc pracodawca nie ma prawa zażądać od organizacji związkowej przedstawienia pełnej listy osób pozostających pod jej ochroną, gdy nie zamierza zwolnić ich z pracy.
Przetwarzanie danych pracowników w ramach realizacji zadań z zakresu medycyny pracy
Kierowanie pracowników na badania lekarskie
Kodeks pracy zobowiązuje pracodawcę do kierowania pracowników na wstępne, okresowe i kontrolne badania lekarskie (zwane łącznie badaniami profilaktycznymi) i przechowywania orzeczeń wydanych na ich podstawie.
Z kolei kwestię sposobu kierowania pracownika na te badania regulują przepisy ustawy z dnia 27 czerwca 1997 r. o służbie medycyny pracy (t.j. Dz.U .z 2018 r., poz. 1155), które stanowią, że badania wstępne, okresowe i kontrolne pracowników oraz inne świadczenia zdrowotne są wykonywane na podstawie pisemnej umowy zawartej przez podmiot obowiązany do ich zapewnienia (pracodawcę) z podstawową jednostką służby medycyny pracy (podmioty wykonujące działalność leczniczą w celu sprawowania profilaktycznej opieki zdrowotnej nad pracującymi).
Czy, kierując pracowników na badania profilaktyczne, pracodawca musi zawrzeć z jednostką służby medycyny pracy umowę powierzenia?
Nie musi. Pracodawca oraz podstawowa jednostka służby medycyny pracy, zawierając umowę, o której mowa powyżej, działają niezależnie od siebie (tj. każdy z nich samodzielnie ustala cele i środki przetwarzania danych osobowych). Są więc oddzielnymi administratorami danych.
Czy pracodawca może przetwarzać dane pracowników związane z przeprowadzonymi wobec nich badaniami profilaktycznymi?
Po przeprowadzonym badaniu profilaktycznym lekarz przeprowadzający badanie profilaktyczne dokonuje w dokumentacji medycznej pracownika opisu badania oraz wpisu treści orzeczenia, a potem wydaje orzeczenie lekarskie osobie badanej i pracodawcy.
Do przechowywania dokumentacji badań profilaktycznych stosuje się odpowiednio ogólnie obowiązujące przepisy o dokumentacji medycznej. Dane zawarte w dokumentacji medycznej oraz dane zawarte w dokumentacji badań i orzeczeń psychologicznych, są objęte tajemnicą zawodową i służbową. Dane te mogą być udostępniane wyłącznie podmiotom określonym w odrębnych przepisach i na zasadach określonych w tych przepisach.
Przetwarzanie danych pracowników w ramach organizowanych przez pracodawców szkoleń
Szkolenia
Każdy pracodawca dąży do podnoszenia kwalifikacji swoich pracowników, np. kierując ich na różnego rodzaju szkolenia. Oprócz szkoleń, do których przeprowadzenia pracodawca zobowiązany jest na podstawie przepisów prawa, np. z zakresu bhp, pracodawcy mogą zaoferować pracownikom szkolenia podnoszące ich kwalifikacje zawodowe (np. regulowane postanowieniami układów zbiorowych pracy, porozumień zbiorowych, regulaminów pracy, statutów pracy, umów o pracę).
Ze względu na podmiot, który szkolenie organizuje, wyróżnić możemy szkolenia:
- wewnętrzne – organizowane u pracodawcy i przez pracodawcę przy pomocy własnych pracowników lub osób najętych (z zewnątrz) lub
- zewnętrzne - organizowane przez firmy szkoleniowe lub inne instytucje.
Skierowanie pracownika na szkolenie wiąże się w sposób oczywisty z przetwarzaniem jego danych.
Czy osoby szkolące z zakresu bhp mogą przetwarzać dane pracowników szkolonych?
Szkolenia z zakresu bhp mogą być przeprowadzone przez pracownika pracodawcy wyznaczonego np. ds. bhp lub podmiot zewnętrzny (osobę fizyczną bądź firmę).
Pracownik ds. bhp lub podmiot zewnętrzny będący osobą fizyczną powinni posiadać upoważnienie do przetwarzania danych osób biorących udział w szkoleniu.
Natomiast firma zewnętrzna będzie musiała zawrzeć z pracodawcą umowę powierzenia przetwarzania danych osobowych.
Jeżeli pracodawca chce zaoferować pracownikom szkolenia podnoszące ich kwalifikacje zawodowe, to jak się to ma do przetwarzania ich danych osobowych przez podmioty szkolące?
Podobnie jak w przypadku szkoleń z zakresu bhp, jeżeli szkolenie prowadzi pracownik pracodawcy wyznaczony do przeprowadzania takich szkoleń, może szkolić pracowników. Jeśli zewnętrzna firma szkoleniowa prześle do pracodawcy ofertę szkoleń i pracownicy pracodawcy zdecydują się na skorzystanie z tych szkoleń, a następnie firma ta przekaże za pośrednictwem pracodawcy formularze (zgłoszenia) do wypełnienia przez pracowników (poprzez wpisanie ich danych osobowych), wtedy firma taka będzie administratorem ich danych osobowych.
W tym przypadku firma szkoleniowa może przetwarzać dane osobowe pracownika na podstawie jego zgody. Natomiast, jeżeli pracodawca zajmie się rozdysponowaniem ww. formularzy do pracowników i następnie uzupełnione formularze odbierze od nich (aby je przekazać firmie szkoleniowej), wówczas firma szkoleniowa będzie musiała zawrzeć z tym pracodawcą umowę powierzenia przetwarzania danych osobowych pracowników.
Jakie obowiązki wobec pracowników będzie miał pracodawca w przypadku zlecenia ich przeszkolenia firmie zewnętrznej?
Jeśli szkolenie odbywa się w taki sposób, że pracownik bierze udział w szkoleniu, na które sam się zapisał w firmie zewnętrznej, zaś pracodawca tylko finansuje udział tego pracownika w szkoleniu, to firma zewnętrzna, jako odrębny administrator, przetwarza dane osobowe pracownika oraz będzie musiała wykonywać w stosunku do niego obowiązki informacyjne i pozostałe zadania określone w RODO.
Jeżeli firma szkoleniowa zewnętrzna będzie podmiotem, któremu pracodawca powierzy przetwarzanie danych osobowych, wtedy będzie musiała spełnić obowiązki spoczywające na takim podmiocie oraz zawarte w umowie powierzenia.
Jakie dane pracowników może przetwarzać podmiot zewnętrzny prowadzący szkolenie?
Może onprzetwarzać jedynie dane adekwatne do celu pozyskania, czyli np.: imię, nazwisko, stanowisko służbowe, miejsce pracy. Dane takie mogą być niezbędne np. do sporządzenia listy obecności, jej sprawdzenia bądź wydania zaświadczenia ze szkolenia.
Tzw. dane służbowe pracownika to też dane osobowe.
Zlecenie przeszkolenia pracowników nie zawsze będzie wiązało się z koniecznością przetwarzania ich danych. Jeżeli to niego nie dojdzie, np. firma zewnętrzna jedynie przeszkoli pracowników bez uzyskiwania jakichkolwiek informacji o nich (np. w postaci list obecności, innych dokumentów), to pracodawca nie musi zawierać z nią umowy powierzenia ani w inny sposób regulować kwestii przetwarzania danych.
W jaki sposób można przekazać dane pracowników zewnętrznemu podmiotowi w celu ich przeszkolenia?
Dane pracowników mogą być przekazane w formie listy pracowników. Przekazanie może nastąpić także w formularzach firmy zewnętrznej, wypełnionych przez pracowników.
Czy pracodawca może zgłosić pracownika na szkolenie bez jego zgody i w związku z tym też bez jego zgody przekazać jego dane osobowe?
Tak, może, ale pod pewnymi warunkami. Jeśli pracodawca prowadzi szkolenie wewnętrzne bądź zawiera umowę powierzenia przetwarzania danych z firmą zewnętrzną, to jest on uprawniony do udostępnienia danych osobowych pracownika w tym celu również do firmy zewnętrznej.
Powierzenie przetwarzania danych osobowych nie zmienia podstawy przetwarzania danych osobowych, skutkując jedynie tym, że przetwarza je podmiot trzeci na polecenie pracodawcy.
Przekazywanie danych w związku z oferowanymi przez pracodawcę dodatkowymi świadczeniami pracowniczymi
Kto jest administratorem danych?
Często pracodawcy, żeby zachęcić pracowników do podjęcia pracy w ich przedsiębiorstwach, oferują różnego rodzaju udogodnienia, np. karnety na siłownię, prywatną opiekę zdrowotną, czy też dodatkowe ubezpieczenia pracownicze. Ponieważ korzystanie z tych udogodnień jest w pełni dobrowolne, pracodawca nie może udostępnić danych osobowych pracowników bez ich wiedzy i zgody na rzecz podmiotów świadczących te usługi.
Udostępnienie danych osobowych przez pracodawcę odbywa się na podstawie zgody wyrażonej przez pracownika. Przetwarzanie przez podmioty świadczące tego typu usługi danych osobowych pracowników lub innych osób zgłoszonych do programu odbywa się więc na podstawie uprzednio wyrażonej przez nich zgody, tzn. na podstawie art. 6 ust. 1 lit. a RODO. Podmioty te stają się administratorami danych osobowych osób korzystających z ich usług, niemniej jednak wszelkie roszczenia z tytułu zawartych umów przysługują im względem pracodawców, a nie pracowników będących beneficjentami usług.
Konsekwencją uznania takiego podmiotu za administratora danych osobowych jest konieczność stwierdzenia, że takie podmioty są zobowiązane do informowania osób, których dane dotyczą, o okolicznościach wskazanych w art. 13 RODO, np. w deklaracji przystąpienia.
Nie ma tu zastosowania instytucja powierzenia przetwarzania danych osobowych. Istotą powierzenia przetwarzania danych osobowych jest bowiem m.in. brak wymogu uzyskania zgody osoby, której dane dotyczą, na powierzenie jej danych.
Czy należy zawrzeć umowę powierzenia z podmiotem oferującym benefity?
Zasadniczą kwestią decydującą o uznaniu, czy podmiot przetwarzający dane osobowe jest ich administratorem jest stwierdzenie, czy decyduje on o celach oraz środkach przetwarzania. Pracodawca przetwarza dane osobowe pracowników w zakresie i celu niezbędnym dla wykonania ciążących na nim obowiązków wynikających ze stosunku pracy.
Z kolei usługodawcy przetwarzają dane osobowe pracowników w celu i zakresie świadczonych przez nich usług.
Mamy tu zatem do czynienia z dwoma odrębnymi zbiorami danych osobowych prowadzonymi przez odrębnych administratorów danych. Pracodawca nie może więc zażądać od podmiotów medycznych lub ubezpieczycieli, z którymi ma podpisaną umowę na świadczenie usług wobec swoich pracowników, przekazania danych osobowych np. na temat ich zdrowia.
Jakie dane pracowników pracodawca może udostępnić?
Zakres danych osobowych udostępnianych przez pracodawcę jest ograniczony oraz ściśle związany z przedmiotem działalności podmiotu świadczącego usługę. Musi on być niezbędny do realizacji danej usługi.
Jeżeli przekazane dane obejmują szczególne kategorie danych, o których mowa w art. 9 ust. 1 RODO, to niezbędne jest uzyskanie odrębnej zgody pracownika (art. 9 ust. 2 pkt a RODO).
Przekazywanie informacji o pracownikach pomiędzy spółkami grupy przedsiębiorstw (np. do jakiegoś projektu, zadań albo pracy)
Grupa przedsiębiorstw według RODO
Według art. 4 pkt 19 RODO, grupę przedsiębiorstw tworzą przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane.
Zgodnie zaś z motywem 37 preambuły do RODO, "przedsiębiorstwo sprawujące kontrolę" to przedsiębiorstwo, które może wywierać dominujący wpływ na pozostałe przedsiębiorstwa ze względu na przykład na strukturę właścicielską, udział finansowy lub przepisy regulujące jego działalność, lub też uprawnienia do nakazywania wdrożenia przepisów o ochronie danych osobowych.
Z kolei za "grupę przedsiębiorstw" uznaje się przedsiębiorstwo kontrolujące przetwarzanie danych osobowych w przedsiębiorstwach powiązanych z nim, wraz z tymi przedsiębiorstwami.
Pojęcie "kontroli" zawarte w przepisach RODO nie jest tym samym, co kontrola właścicielska, ale należy ją rozumieć jako kontrolę definiowaną przez przetwarzanie danych osobowych.
Nie tylko zatem spółka dominująca (w rozumieniu przepisów Kodeksu spółek handlowych) może sprawować kontrolę, lecz również odpowiadać za to może inna dowolna spółka należąca do grupy przedsiębiorstw.
Czy można przekazywać dane pracowników w ramach grupy przedsiębiorstw, do której należy pracodawca?
Administratorzy, którzy są częścią grupy przedsiębiorstw bądź instytucji powiązanych z podmiotem centralnym, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy także przetwarzania danych osobowych klientów czy pracowników (zob. motyw 48 przeambuły do RODO). Oznacza to, że przekazywanie w ramach grupy przedsiębiorstw danych osobowych pracowników poszczególnych podmiotów z grupy (np. w związku z centralizacją określonych procesów w zakresie kadr i płac) może znajdować oparcie w prawnie uzasadnionym interesie pracodawcy (zob. art. 6 ust. 1 lit. f RODO).
Na czym polegają cele administracyjne, dla których można przetwarzać dane pracowników w ramach grupy przedsiębiorstw?
Poprzez "cele administracyjne" należy rozumieć wszelkie czynności bezpośrednio związane ze stosunkiem pracy, jak np. przekazanie pracownika do innego miejsca, w tym delegowanie go na jakiś czas do pracy w innej spółce w ramach grupy, działania związane z rozwojem pracownika - organizacja szkoleń, zatwierdzanie wysokości wynagrodzenia, czy też prowadzenie statystyk dotyczących zatrudnienia w grupie, jak też rekrutacja pracowników (spółka córka utworzona na potrzeby rekrutacji).
Jedynym ograniczeniem są sytuacje, w których nadrzędny charakter wobec prawnie uzasadnionego interesu pracodawcy mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.
Jakie są obowiązki administratora danych pracowników przetwarzanych w ramach grupy przedsiębiorstw?
Administratorzy będący częścią grupy przedsiębiorstw powinni rozważyć współpracę w zakresie administrowania danymi osobowymi. Specyfika relacji współadministrowania polega przede wszystkim na tym, że administratorzy wspólnie ustalają cele oraz sposoby przetwarzania, a także wspólnie realizują obowiązki wynikające z przepisów i podejmują procesy przetwarzania. Tym samym nie dochodzi między tymi podmiotami do powierzenia ani udostępnienia danych, gdyż przetwarzają dane wspólnie, w ramach ustalonych celów.
Współadministratorzy w drodze wspólnych uzgodnień w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków informacyjnych, chyba że przypadające im obowiązki oraz ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają.
Zasadnicza treść uzgodnień powinna być udostępniana podmiotom, których dane dotyczą – aby był zachowany wymóg transparentnego i przejrzystego komunikowania osobie, której dane dotyczą, kluczowych informacji dotyczących przetwarzania jej danych.
W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą. Można np. powierzyć tę funkcję inspektorowi ochrony danych. Osoby te mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych i wykonywaniem ich praw. Nie ma żadnych przeszkód, aby inspektor udzielał także informacji w zakresie uzgodnień między współadministratorami.
Osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z RODO wobec każdego z administratorów, niezależnie od uzgodnień między współadministratorami.
Wykorzystanie wewnętrznych zasobów telekomunikacyjnych do kontrolowania pracowników
Nowe możliwości techniczne - nowoczesne technologie ujarzmione przez RODO
W wyniku postępu technicznego zamieniliśmy maszyny do pisania na klawiatury komputerów, a druki papierowe coraz częściej zastępują dokumenty elektroniczne. Nowe technologie pozwalają także pracodawcy na wykorzystywanie wewnętrznych zasobów telekomunikacyjnych do monitorowania pracowników. Jednak nie ma on prawa do naruszania prywatności pracownika w miejscu pracy (na przykład poprzez monitorowanie rozmów telefonicznych, śledzenie korespondencji e-mail lub sprawdzanie przesyłek adresowanych do pracownika) bez poważnego powodu związanego z charakterem jego pracy.
Korzystanie przez pracodawców z nowoczesnych technologii musi odbywać się z poszanowaniem przepisów z zakresu ochrony danych osobowych. Np. szczególnej troski o dane osobowe wymaga wykorzystywanie nowoczesnych rozwiązań technicznych do ewidencji czasu pracy, kontrolowania poczty elektronicznej oraz monitorowania aktywności zatrudnionych.
Zob. też: RODO a monitoring? Wskazówki dotyczące monitoringu wizyjnego
Monitoring poczty elektronicznej pracownika
Na jakiej podstawie?
Pracodawca może monitorować pocztę elektroniczną swoich pracowników, ale musi pamiętać, że uprawnienie to dotyczy tylko służbowej poczty elektronicznej. Ma takie prawo, jeśli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. Takie uprawnienie pracodawcy zostało przewidziane w art. 22[3] Kodeksu pracy.
Czy pracodawca może kontrolować służbową pocztę elektroniczną pracownika?
Tak, może. Pracodawca może kontrolować aktywność swoich pracowników w trakcie pozostawania ich do jego dyspozycji w miejscu pracy, tj. może sprawdzać, czy pracownicy nie korzystają ze stron zabronionych, czy też z innych witryn, które nie służą wykonywaniu przez nich obowiązków służbowych. Pracodawcy zależy przecież na tym, żeby pracownicy jak najpełniej wykorzystali czas pracy na wykonywanie swoich obowiązków, a także aby prawidłowo korzystali z udostępnionych im w tym celu narzędzi.
Taka kontrola nie może jednak naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. Kontrola taka ma służyć zapewnieniu, aby pracownik nie był zbytnio obciążony pracą oraz wykorzystywał powierzone mu narzędzia do celów zawodowych.
Czy pracodawca może kontrolować prywatną skrzynkę pocztową swojego pracownika?
Pracodawca nie może kontrolować prywatnej korespondencji swoich pracowników, jest to wręcz zabronione.
Takie zachowanie naruszałoby konstytucyjne prawo do prywatności. Monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika.
Jakie obowiązki spoczywają na pracodawcy względem pracowników w zakresie monitoringu ich poczty elektronicznej?
Przede wszystkim pracodawca musi ustalić cel, zakres i sposób zastosowania monitoringu poczty elektronicznej w układzie zbiorowym pracy lub regulaminie pracy, albo też w obwieszczeniu - jeśli nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy.
O celu, zakresie i sposobie zastosowania monitoringu musi powiadomić pracowników.
Pracodawca musi poinformować pracowników o planowanym uruchomieniu monitoringu, najpóźniej na 2 tygodnie przed jego uruchomieniem (poza sytuacjami, gdy monitoring taki jest już stosowany). W przypadku zatrudnienia nowych pracowników realizacja tego obowiązku powinna nastąpić przed dopuszczeniem ich do pracy (zob. art. 22[2] § 6 Kodeksu pracy).
Ponadto, w przypadku pracowników, który zostali już dopuszczeni do pracy, pracodawca powinien poinformować ich o zamiarze prowadzenia monitoringu.
Nieprawidłowym jest prowadzenie monitoringu aktywności obejmującej okres sprzed poinformowania pracownika zamiarze jego prowadzenia.
Dla celów dowodowych warto udokumentować na piśmie fakt poinformowania pracownika.
Dodatkowo pracodawca musi pamiętać o wykonywaniu w stosunku do monitorowanych pracowników obowiązków informacyjnych określonych w RODO (zob. art. 13 i art. 15 RODO).
Ewidencjonowanie czasu pracy przy użyciu nowoczesnych technologii
Ewidencjonowanie czasu pracy
Ewidencjonując czas pracy pracodawca może sprawdzać, czy pracownicy rzeczywiście pozostają do jego dyspozycji tak długo, jak wynika to z przepisów prawa bądź z zawartej umowy.
Właściwe ewidencjonowanie czasu pracy pracowników jest również obowiązkiem pracodawcy. Kodeks pracy nie narzuca jednak sposobu potwierdzania obecności w pracy przez pracodawcę. Pracodawca ma więc znaczną swobodę w zakresie potwierdzania obecności pracownika w pracy. Powinien przy tym jednak pamiętać, że o ile ewidencjonowanie czasu pracy jest wymogiem prawa, o tyle czynności odnotowywania obecności pracowników, czy to w postaci listy obecności, czy przy użyciu innych urządzeń kontrolujących proces pracy, nie stanowią ewidencji czasu pracy. Czynności te są jedynie elementem pomocniczo-technicznym, ułatwiającym pracodawcy prowadzenie ewidencji czasu pracy.
Sposób odnotowywania obecności swoich pracowników w pracy powinien być określony w regulaminie pracy lub w informacji o warunkach zatrudnienia.
Czy pracodawca może wybrać każdy rodzaj odnotowywania obecności swoich pracowników?
Nie do końca. Jak już wspomniano, odnotowywanie obecności pracowników to tylko element wewnętrznej organizacji, wewnętrznego postępowania dotyczącego obecności w pracy, procedury wejść oraz wyjść i tym podobnych czynności. Prawo w tej kwestii daje pracodawcy dużą swobodę, ale wprowadza także wymogi.
Jednym z nich jest kategoryczny zakaz wykorzystywania danych biometrycznych dla celów ewidencji czasu pracy. Postęp technologiczny sprawia bowiem, że coraz większą popularność zyskują metody oparte na wykorzystywaniu danych biometrycznych pracowników, takich jak odcisk palca, zdjęcie tęczówki, siatkówki oka, układu żył na ręce, czy też biometria kształtu ucha. Cechy te są charakterystyczne dla każdej osoby i umożliwiają ich identyfikację.
Czy pracodawca może skanować indywidualne cechy ludzkiego organizmu (np. linie papilarne) należące do swoich pracowników w ramach sprawdzenia obecności?
Nie może. Pracodawca nie może skanować ani pobierać danych biometrycznych pracowników w celu rejestracji godzin przyjścia oraz wyjścia z zakładu, nawet za zgodą takiego pracownika.
Pobieranie danych biometrycznych od pracowników nie służy celowi, jakim jest ewidencja czasu pracy, a jedynie może służyć ograniczeniu dostępu do miejsc, w stosunku do których pracodawca może wymagać specjalnych uprawnień ze względu na tajemnice przedsiębiorstwa czy ograniczony zakres osób o fachowych umiejętnościach, mogących dostać się na pewien chroniony obszar.
Pracodawca, zgodnie z zasadą rozliczalności, nie byłby bowiem w stanie wykazać, dlaczego stosuje monitoring danych biometrycznych dla celów związanych z obecnością w pracy. Poza tym dane biometryczne to dane szczególnej kategorii, a więc mogą być one przetwarzane tylko w enumeratywnie wymienionych sytuacjach, wśród których nie ma kwestii odnotowywania obecności pracownika w pracy.
Jak stwierdził Naczelny Sąd Administracyjny w wyroku z dnia 1 grudnia 2009 r. (sygn. I OSK 249/09): "Brak równowagi w relacji pracodawca pracownik stawia pod znakiem zapytania dobrowolność wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych). Z tego względu ustawodawca ograniczył przepisem art. 22 Kodeksu pracy katalog danych, których pracodawca może żądać od pracownika. Uznanie faktu wyrażenia zgody, jako okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 22 Kodeksu pracy, stanowiłoby obejście tego przepisu". "Ryzyko naruszenia swobód i fundamentalnych praw obywatelskich musi być proporcjonalne do celu, któremu służy. Skoro zasada proporcjonalności jest głównym kryterium przy podejmowaniu decyzji dotyczących przetwarzania danych biometrycznych, to stwierdzić należy, że wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników jest nieproporcjonalne do zamierzonego celu ich przetwarzania. Pracodawca może monitorować pocztę elektroniczną swoich pracowników, ale musi pamiętać, że uprawnienie to dotyczy tylko służbowej poczty elektronicznej. Ma takie prawo, jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie."
Monitorowanie przy użyciu urządzeń lokalizujących GPS
Czy przedsiębiorca może monitorować swoich pracowników za pomocą urządzeń lokalizujących (np. GPS)?
Obok monitorowania poczty elektronicznej pracownika, pracodawcy często monitorują działalność swoich pracowników przy użyciu urządzeń lokalizujących GPS.
Firmy realizujące czynności handlowe, firmy transportu publicznego, a zwłaszcza firmy transportu drogowego - dla efektywnego wykorzystania środków oraz optymalizacji kosztów - korzystają z pomocy nowych technologii. Czasem monitorowanie lokalizacji pojazdów jest obowiązkiem prawnym pracodawcy, czego przykładem są przepisów ustawy o monitorowaniu przewozu drogowego towarów.
Kodeks pracy wprowadza możliwość stosowania innych - niż monitoring wizyjny czy monitoring poczty elektronicznej - form monitoringu, jeżeli zastosowanie takiego monitoringu służy celowi w zakresie zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy.
Tak jak w przypadku monitoringu poczty elektronicznej, pracodawca obowiązany jest uprzedzić pracownika o stosowaniu urządzeń monitorujących samochód (GPS) przed przystąpieniem pracownika do pracy lub na 2 tygodnie przed uruchomieniem monitoringu. Pracodawca ma obowiązek poinformowania pracownika na piśmie o celach, zakresie i sposobie monitorowania urządzenia, a także umieszczenia w widocznym miejscu w samochodzie symbolu obrazkowego informującego o tym, iż trasa pojazdu i jego wykorzystanie będzie monitorowane za pomocą urządzenia lokalizującego oraz jakie dane będą przy pomocy takiego urządzenia zbierane, gdzie rejestrowane, jak długo przechowywane i kto będzie miał do nich dostęp.
Dane, które będzie rejestrował pracodawca, muszą mieścić się w celu, jakim jest to niezbędne dla zapewnienia sprawnej organizacji pracy, a zasady zbierania i wykorzystywania danych muszą być rzetelne i przejrzyste, jasno określone oraz dostępne dla pracownika.
Jakie dane pracownika można pozyskiwać za pomocą urządzeń GPS?
Niejednokrotnie w trakcie monitorowania przy pomocy urządzeń lokalizujących pojazd pracodawca może uzyskać także dane o tym, jakim stylem jazdy porusza się dany kierowca, gdzie się zatrzymuje, gdzie tankuje, gdzie je. Istnieje więc ryzyko, że za pomocą monitorowania lokalizującego pracodawca może uzyskać więcej informacji niż tego potrzebuje. Dodatkowy problem pojawia się w sytuacji, kiedy pojazd służbowy wykorzystywany jest również w celach prywatnych. W takiej sytuacji, zbierając dane o pojeździe, jednocześnie pracodawca pozyskuje informacje o pracowniku, np. gdzie w danym momencie, poza godzinami pracy, przebywa. Pracodawca nie jest uprawniony do pozyskiwania takich danych, chyba że mamy do czynienia z sytuacją wyjątkową, np. z kradzieżą samochodu bądź koniecznością ustalenia odpowiedzialności pracownika za uszkodzenie pojazdu.
Czy można przetwarzać dane pracownika pozyskane za pomocą GPS, a dotyczące jego aktywności w czasie wolnym?
Rozwiązaniem tego problemu może być precyzyjne ustalenie, że samochód służbowy używany jest tylko do celów służbowych. W innych przypadkach należy dostosować bądź zmienić regulamin wykorzystywania samochodu służbowego do celów prywatnych. Wówczas należy również uzyskać zgodę pracownika na przetwarzanie tych danych oraz wypełnić wobec niego obowiązek informacyjny.
Czy umieszczenie w układzie zbiorowym pracy, regulaminie pracy lub obwieszczeniu informacji o celach, zakresie oraz sposobie zastosowaniu monitoringu jest wystarczające?
Nie do końca. Ważne jest, żeby dane, które pracodawca przetwarza i wykorzystuje, rzeczywiście odpowiadały celowi przetwarzania. Nie można bowiem wykorzystywać danych przy użyciu systemu GPS zamontowanego w posiadanej flocie pojazdów w celu ochrony mienia, jeśli w regulaminie pracy określono inny cel przetwarzania, np. organizację czasu pracy poprzez wytyczanie jak najkrótszych i najszybszych tras potrzebnych do zrealizowania transportu. Pracodawca musi pamiętać o tym, że cel wpisany w dokumentacji musi być tożsamy z celem wykorzystywania urządzenia i danych w ten sposób otrzymywanych.
Cele, zakres oraz sposób zastosowania również takiej formy monitoringu muszą być ustalone w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy.
Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.
Podstawa prawna:
- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1);
- ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r., poz. 1000);
-
ustawa z dnia 26 czerwca 1974 r. - Kodeks pracy (tekst jednolity: Dz.U. 1998 r., Nr 21, poz. 94, ze zm.).
Na podst. informacji UODO, uodo.gov.pl
Skomentuj artykuł - Twoje zdanie jest ważne
Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?