W zakresie obowiązywania RODO, nowe, wręcz rewolucyjne będzie podejście do ochrony danych przez administratorów, którzy zyskają większą samodzielność, ale i odpowiedzialność - z dr Edyta Bielak-Jomaa generalnym inspektorem ochrony danych osobowych rozmawia Joanna Pieńczykowska.

W jakich przypadkach pobieranie przez pracodawcę zgody od pracownika na przetwarzanie danych osobowych nie będzie uważane za udzielenie jej w warunkach braku dobrowolności jej wyrażenia? Czy pracodawcy w ogóle będą mogli zbierać zgody od pracowników?
Na wstępie pragnę przypomnieć, że po 25 maja 2018 r., gdy zaczniemy stosować ogólne rozporządzenie o ochronie danych (RODO), podstawy prawne przetwarzania danych osobowych nie zmienią się w sposób istotny. Nowe, wręcz rewolucyjne będzie natomiast podejście do ochrony danych przez administratorów, którzy zyskają większą samodzielność, ale i odpowiedzialność.
Jeśli zaś chodzi o przesłankę legalizującą pozyskiwanie i wykorzystywanie danych osobowych pracowników przez podmioty ich zatrudniające, to powinny nią być przede wszystkim przepisy prawa, zwłaszcza kodeksu pracy. Zgoda jako podstawa uprawniająca pracodawcę do przetwarzania danych osobowych pracowników powinna być – podobnie jak dotąd – wykorzystywana jedynie wyjątkowo. W relacjach pracodawca – pracownik trudno bowiem mówić o równości podmiotów, a to stawia pod znakiem zapytania dobrowolność jej wyrażenia. Tymczasem dobrowolność to jedno z kryteriów, którego spełnienie decyduje o ważności zgody.
Dobrowolność zgody musi oznaczać możliwość realnego, swobodnego wyboru. Brak jej wyrażenia nie może również powodować negatywnych konsekwencji. Motyw 43 RODO zwraca zaś szczególną uwagę na sytuację, w której istnieje wyraźny brak równowagi pomiędzy administratorem a osobą, której dane dotyczą, a więc m.in. taką, jaka ma miejsce w relacji pracodawca – pracownik.
Potwierdzenie takiego podejścia można również znaleźć m.in. w wydanej przez Grupę Roboczą Art. 29 opinii 2/2017 na temat przetwarzania danych w miejscu pracy. Grupa wskazuje w niej, że: „Pracownicy rzadko mogą dobrowolnie udzielić zgody, odmówić zgody lub cofnąć zgodę, z uwagi na zależność wynikającą ze stosunku pracy między pracodawcą a pracownikiem. Poza wyjątkowymi sytuacjami pracodawcy będą musieli polegać na innej podstawie prawnej niż zgoda”. Ponieważ powołana opinia odnosi się przede wszystkim do kwestii związanych z monitorowaniem pracowników przy wykorzystaniu nowych technologii, Grupa wskazuje, że taką inną podstawą może być konieczność przetwarzania danych ze względu na prawnie uzasadniony interes. Wydaje się, że dobrym przykładem sytuacji, w której wyrażona przez pracownika zgoda może być uznana za podstawę prawną przetwarzania jego danych, jest przypadek, kiedy pracodawca dane te zbiera i wykorzystuje w związku z finansowaniem pracownikowi dodatkowych świadczeń, np. zajęć sportowo-rekreacyjnych.
Czy można podać przykład takiej sytuacji, kiedy zgoda nie będzie potrzebna, bo zaistnieje uzasadniony prawnie interes?
Przykładowo zgoda pracownika nie jest potrzebna, by móc przetwarzać dane na potrzeby eliminowania nieprawidłowości, których dopuszczają się osoby zatrudnione. Jednak w sytuacji pozyskania przez pracodawcę danych i informacji w takiej sprawie, powinien on w stosunku do osoby, której dane dotyczą, dopełnić obowiązku informacyjnego. Zdaniem Grupy Roboczej Artykułu 29 (opinia 1/2006) pracownika, którego dotyczy doniesienie, należy poinformować przede wszystkim o czynach, o które jest oskarżony, o organie odpowiedzialnym za system informowania o nieprawidłowościach oraz o możliwości skorzystania z prawa dostępu do danych i ich korekty. Odstąpić od takiego obowiązku informacyjnego można jedynie czasowo w sytuacji obawy, że przekazanie takich informacji może spowodować np. zniszczenie czy sfałszowanie dowodów.
Pracodawca powinien natomiast zachować poufność danych osoby, która złożyła doniesienie na pracownika. Grupa w tej samej opinii zaznaczyła także, że jeśli doniesienie okaże się bezpodstawne, a informator złożył fałszywe doniesienie w złej wierze, to osoba oskarżona może chcieć wszcząć postępowanie o potwarz lub zniesławienie. I w takim przypadku, jeśli zezwalają na to przepisy prawa krajowego, tożsamość informatora może zostać ujawniona osobie oskarżonej.
Czy w stosunku do zatrudnionych przed 25 maja pracodawcy będą mogli nie wykonać obowiązku informacyjnego z art. 13 RODO, korzystając z przesłanki ust. 4: „osoba ma już informacje, które powinny być jej przekazane”?
Nie ma żadnego uzasadnienia, dla którego pracodawca, pozyskując dane osobowe pracownika, nie miałby dopełniać w stosunku do niego tzw. obowiązku informacyjnego. Tak jest obecnie i gdy będziemy już stosować RODO, nic w tym zakresie się nie zmieni. Pracownicy zazwyczaj nie mają wszystkich informacji, które zgodnie z obecnymi przepisami powinny być im przekazane w ramach realizacji obowiązku informacyjnego, a tylko wtedy można by zrezygnować z jego spełnienia.
Dodatkowo RODO rozszerza jeszcze zakres obowiązku informacyjnego. Od 25 maja br. administratorzy danych będą musieli informować m.in. o okresie, przez który dane osobowe będą przetwarzane, o danych kontaktowych inspektora ochrony danych, jeśli został on wyznaczony, czy też o możliwości złożenia skargi do organu nadzorczego. Dlatego dopełnianie obowiązku informacyjnego w momencie pozyskiwania danych od pracowników będzie konieczne. Z tego względu pracodawcy powinni przeanalizować, w jaki sposób obecnie realizują ten obowiązek, i zapewnić, by po 25 maja spełniać go wobec nowo zatrudnianych osób w zakresie i w sposób zgodny z nowymi przepisami.
Nie oznacza to, że automatycznie należy powtórzyć obowiązek informacyjny wobec wcześniej zatrudnionych pracowników zgodnie z nowymi przepisami. Niemniej mogą zdarzać się sytuacje, w których trzeba będzie go dopełnić, np. gdy zmienią się procesy (cele) przetwarzania danych. Niezależnie od realizacji obowiązku informacyjnego dobrą praktyką, mającą na celu zapewnienie przejrzystości przetwarzania danych, powinno być umożliwienie osobom już zatrudnionym zapoznania się z dodatkowymi informacjami wynikającymi z RODO. Warto też wspomnieć, że RODO wymaga, by wszelkie informacje były formułowane jasno i prosto. Mają być zwięzłe i zrozumiałe dla odbiorcy.
Jak długo pracodawcy mogą przechowywać dane z monitoringu pracowników (np. sposobu korzystania z dostępu do internetu czy monitoringu e-maili) w celu zapobiegania ujawnianiu tajemnicy przedsiębiorstwa i wynoszeniu własności intelektualnej firmy?
Przy podejmowaniu decyzji o wdrożeniu nowych technologii monitorujących zachowania pracowników pracodawcy muszą pamiętać nie tylko o podstawie prawnej legalizującej takie działanie czy o zasadzie adekwatności (minimalizacji danych), ale również o innej zasadzie wynikającej z art. 5 RODO – ograniczenia czasu ich przechowywania. Stanowi ona, że dane mogą być przechowywane w formie umożliwiającej identyfikację osoby przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane są przetwarzane.
Ponieważ pracodawcy mogą monitorować zachowania pracowników przy użyciu różnych technologii i dla osiągnięcia różnych celów, konieczne może się okazać określenie okresu retencji danych dla każdego z celów przetwarzania. Będzie wymagało to analizy, jakie cele uzasadniałyby przechowywanie tych danych.
Jednocześnie warto zaznaczyć, że zgodnie z art. 88 RODO państwa członkowskie mogą zawrzeć w swoich przepisach lub w porozumieniach zbiorowych bardziej szczegółowe regulacje mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem. Obecnie trwają prace nad nowelizacją przepisów kodeksu pracy, w tym określeniem w nich zasad prowadzenia monitoringu i monitorowania zachowań pracowników. Planowane jest też określenie w nich terminu przechowywania nagrań.