I PIP, i UODO mogą prowadzić kontrole w tym zakresie. Inspekcja ma jednak słabsze uprawnienia, a w razie naruszenia ochrony danych osobowych nałoży sankcję finansową tylko ta druga instytucja.
Na łamach tygodnika Kadry i Płace informowaliśmy już, że Państwowa Inspekcja Pracy i Urząd Ochrony Danych Osobowych mają współpracować przy sprawdzaniu, czy kamery i systemy kontroli korespondencji pracowników działają w firmie zgodnie z przepisami. Wskazywaliśmy, że choć obydwie te instytucje są uprawnione do kontroli regulacji o monitoringu, które od 25 maja znajdują się w kodeksie pracy (wprowadziła je ustawa z 10 maja 2018 r. o ochronie danych osobowych; Dz.U. poz. 1000; dalej: u.o.d.o.), to jednak rolę, w pewnym sensie, „nadrzędną” będzie pełnić UODO. Najprawdopodobniej będzie bowiem tak, że jeśli PIP wykryje nieprawidłowości w tym zakresie, to informacje o tym przekaże organowi ochrony danych, a dopiero ten podejmie odpowiednie działania. Choć oczywiście każda z tych instytucji może wykryć nieprawidłowości niezależnie – w ramach prowadzonej przez siebie kontroli.
Po naszym tekście wśród ekspertów z zakresu ochrony danych osobowych pojawiła się dyskusja na temat tego, czy prawo do kontroli monitoringu przez obie instytucje oznacza, że dwa organy mogą nakładać administracyjne kary finansowe za to samo przewinienie? Sprawdziliśmy. I okazało się, że tak nie jest. PIP i UODO nie mają bowiem uprawnień do nakładania tych samych sankcji. W praktyce nie ma więc ryzyka kolizji kompetencji pomiędzy tymi instytucjami. Niestety, tytuł artykułu opublikowanego 5 lipca (DGP nr 129) sugerował coś zgoła odmiennego („Za niewłaściwy monitoring podwójne kary. Od PIP i UODO”). W tekście znalazło się też sformułowanie, że przedsiębiorcy będą grozić sankcje z tytułu naruszenia nie tylko prawa pracy, ale i RODO (unijnego rozporządzenia o ochronie danych osobowych – nr 2016/679 z 27 kwietnia 2016 r.; Dz.Urz. UE L 119 z 4 maja 2016 r.). Co do zasady jest to prawda, ale po szczegółowej analizie można dojść do wniosku, że na gruncie prawa pracy konsekwencje naruszenia przepisów o monitoringu okazują się jednak dosyć łagodne.

Z rozporządzenia i ustawy

Wyjaśnienia wymaga przede wszystkim, że kompetencje do nakładania administracyjnych kar pieniężnych ma tylko UODO. O tego rodzaju sankcji mówi wprost RODO (a także o wielu innych, mniej dolegliwych, jak np. ostrzeżenia, upomnienia czy nakazy). Administracyjne kary pieniężne zostały uregulowane w art. 58 i 83 tego aktu. Pierwszy z wymienionych przepisów wskazuje zaś, że kary (a także inne środki oddziaływania, tj. ostrzeżenia, upomnienia czy nakazy) może nakładać tylko organ nadzorczy. Warto zauważyć, że zgodnie z art. 51 RODO takich organów może być kilka w każdym kraju. Polski ustawodawca zdecydował jednak, że u nas będzie tylko jeden. Zgodnie z art. 34 u.o.d.o. jest nim prezes UODO. Nasza ustawa nie przyznaje natomiast równoległych uprawnień żadnej innej instytucji, w tym inspekcji pracy. A wobec tego PIP, nawet prowadząc kontrole dotyczące monitoringu i ewentualnego naruszenia przy tym danych osobowych, musi ograniczać się do swoich własnych, dotychczasowych kompetencji. Potwierdza to Danuta Rutkowska, rzecznik prasowy Głównego Inspektoratu Pracy, która informuje nas, że PIP nie będzie nakładała kar finansowych za naruszenia przepisów związanych z monitoringiem.
– Inspekcja pracy ma uprawnienia kontrolne, a w razie stwierdzenia naruszenia art. 222 lub art. 223 kodeksu pracy inspektor skieruje wystąpienie do pracodawcy – wskazuje rzeczniczka. Dodaje przy tym, że wspomniane wystąpienie będzie zawierało wnioski pokontrolne i ich podstawę prawną. Natomiast zgodnie z art. 36 ustawy z 13 kwietnia 2007 r. o Państwowej Inspekcji Pracy (t.j. Dz.U. z 2018 r. poz. 623 ze zm.) podmiot kontrolowany (lub organ sprawujący nad nim nadzór, do którego skierowano wystąpienie) w terminie określonym w wystąpieniu, ale nie dłuższym niż 30 dni, musi zawiadomić odpowiedni organ PIP o tym, jak szybko i w jaki sposób zrealizuje wnioski pokontrolne. Przepisy nie przewidują jednak sankcji za niezrealizowanie tych wniosków.

Uniwersalna reguła

Jednak nawet gdyby inspekcji pracy przyznano uprawnienia do nakładania kar finansowych z RODO, to w praktyce i tak nie można by karać dwa razy za to samo przewinienie – zgodnie z łacińską zasadą ne bis in idem. Niejednokrotnie potwierdzał to w swoich orzeczeniach Trybunał Konstytucyjny, wskazując, że łamanie tej zasady stoi w sprzeczności z art. 2 Konstytucji RP mówiącym o zasadach sprawiedliwości społecznej.

opinia eksperta

Organy kontrolujące muszą się dogada

W Polsce nie wolno karać dwa razy za dokładnie ten sam czyn. Przepisy dotyczące monitoringu wizyjnego oraz monitoringu korespondencji pracowników zostały umieszczone w kodeksie pracy, a zatem Państwowa Inspekcja Pracy zdecydowanie ma kompetencję, aby kontrolować przestrzeganie przepisów dotyczących monitoringu. W ustawie o ochronie danych osobowych celowo napisaliśmy zaś, że Urząd Ochrony Danych Osobowych sprawuje pieczę nad przestrzeganiem przepisów o ochronie danych osobowych, a nie przepisów zawartych w innych ustawach. Tak, aby UODO miało kompetencję do karania za naruszenia ochrony danych osobowych. Jedynym ograniczeniem tej kompetencji jest fakt uprzedniego ukarania administratora za ten sam czyn. To zasada, która dotyczy nie tylko monitoringu, ale również i zagadnień związanych np. z przetwarzaniem danych biometrycznych pracowników.
UODO i PIP muszą wypracować sobie praktykę działania, np. zawiązując odpowiednie porozumienie. Jeżeli inspekcja pracy w rozmowie z DGP twierdzi, że nie ma kompetencji do nakładania kar finansowych, to sprawa jest – moim zdaniem – jasna. W takiej sytuacji to UODO powinno objąć swoją właściwością przepisy z kodeksu pracy dotyczące monitoringu.