• Menu

    Zgoda na udostępnianie danych nie może być papierowa

    Do tej pory sądy oraz GIODO uznawały, że nie ma mowy o niewymuszonej zgodzie na przetwarzanie danych biometrycznych, ponieważ w stosunku pracy pracodawca zawsze będzie występował z naturalnej pozycji siły. Takie podejście zaczęło się zmieniać

    Dotychczasowe orzecznictwo wskazujące, że pracownik nie może skutecznie wyrazić zgody na przetwarzanie danych osobowych biometrycznych wobec pracodawcy, bo z założenia brak jest swobody jej wyrażenia, budzi wątpliwości już na gruncie obecnej ustawy o ochronie danych osobowych. Dane osobowe, nawet wrażliwe (przy czym obecnie dane biometryczne nie są uznawane za sensytywne), co do zasady mogą zawsze być przetwarzane na podstawie zgody, jeśli jest ona dobrowolna, niewymuszona.

    Nie można zatem z góry zakładać, że pracodawca nigdy nie stworzy pracownikom warunków swobody wyrażenia zgody – jeśli będą oni poinformowani, że zgoda jest absolutnie dobrowolna i jeśli jej nie wyrażą, to nie spotkają ich żadne negatywne konsekwencje, to powinni mieć możliwość jej skutecznego wyrażenia. Kwestia istnienia mimo wszystko presji psychicznej wobec udostępnienia danych pracodawcy będzie jednak nieweryfikowalna. Powszechność odmów ze strony pracowników może jednak prowadzić do pozbawienia sensu inwestowania przez pracodawcę np. w biometryczny system rejestrowania czasu pracy, gdyż spełnia on swoją funkcję tylko wtedy, gdy jest powszechny. Stąd zapewne tak stanowcze stanowisko sądów w tej materii, że racjonalnie oceniając, pracodawca będzie chciał zgodę tak czy inaczej wymusić.

    Unijne rozporządzenie o ochronie danych osobowych (RODO), które w przyszłym roku wejdzie w życie, nie zmienia powyższych warunków przetwarzania danych osobowych na podstawie zgody, ale czyni dane biometryczne danymi „szczególnej kategorii”. Z kolei wyrażenie zgody na ich przetwarzanie musi być „wyraźne”, a nie domniemane. RODO wskazuje ponadto, że państwa członkowskie mogą wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych szczególnej kategorii. Polski ustawodawca planuje skorzystać z tej możliwości w przypadku pracowników, stwierdzając, że dane muszą dotyczyć stosunku pracy, a zgoda musi być wyrażona w formie papierowej lub elektronicznej.

    Błędne założenia

    Pierwszym błędem jest wskazanie wyrażenia zgody w formie papierowej – forma ta jest obca polskiemu prawu, gdyż zna ono wyłącznie formę „pisemną”, która implikuje obecność własnoręcznego podpisu, niekoniecznie na papierze. Nie wiadomo, czym jest forma papierowa, bowiem prawo tego nie definiuje. Skoro nie jest to forma pisemna, to a contrario nie wymaga podpisu. Jak zatem zweryfikować tożsamość osoby składającej oświadczenie? Przez grafologa, który stwierdzi, od kogo pochodzi pismo bez podpisu? Nie ma na to pytanie odpowiedzi.

    Przyjęta przez projekt konstrukcja, że dane biometryczne pracownika mogą być przetwarzane „gdy dotyczą stosunku pracy” również nie wydaje się być prawidłowa. Co do zasady, dane osobowe są przetwarzane na podstawie zgody lub na podstawie innej przesłanki, gdy są niezbędne do uzyskania celu wynikającego z tej przesłanki. Przykładowo oczywistym jest, że do celów wykonania umowy o pracę pracodawca musi przetwarzać dane osobowe pracownika w postaci jego imienia i nazwiska oraz żądać od niego dowodu tożsamości celem potwierdzenia ich autentyczności. Natomiast były wątpliwości w orzecznictwie, czy np. przetwarzanie danych biometrycznych do rejestracji czasu pracy jest niezbędne do tego celu. Orzecznictwo wskazywało, że nie, bo można tę kwestię załatwić podpisem na liście obecności. Ułatwienie nie oznacza niezbędności. W świetle powyższego w zasadzie nie wiadomo, jak interpretować zwrot „gdy dotyczą stosunku pracy” – to pojęcie wydaje się być puste.

    Żadne dane nie „dotyczą” stosunku pracy – co najwyżej ich przetwarzanie jest niezbędne w przypadku stosunku pracy. Gdyby jednak chodziło o niezbędność, to nie potrzeba byłoby zgody pracownika. Czym innym jest z kolei doniosłość biometrycznej weryfikacji pracownika, np. w przypadku instytucji finansowych. Powyższe sformułowanie nie daje jednak takich możliwości interpretacji, jest zbyt wieloznaczne. Jeśli ustawa wejdzie w życie w tej formie, to ryzyko błędnej interpretacji będzie obciążać pracodawcę w razie kontroli.

    Załoga z chipem

    Regulacje o ochronie danych osobowych budzą wiele wątpliwości i rodzą wiele pytań. Jedno z nich dotyczy np. tego, czy na podstawie tak napisanych przepisów możliwe będzie np. czipowanie pracowników za ich zgodą. Teoretycznie byłoby to możliwe, o ile założyć, że dane biometryczne w ten sposób przetwarzane „dotyczą stosunku pracy” – co w świetle powyższej analizy stwarza poważne problemy interpretacyjne. Chipowanie natomiast, w odróżnieniu od np. pobierania odcisku palca czy skanowania siatkówki, wiąże się nie tylko z przetwarzaniem danych biometrycznych, ale i z ingerencją w ludzki organizm, dlatego jest wątpliwym, aby pracownicy wyrażali na to dobrowolnie zgodę. Tu ponownie wchodzi kwestia pozorności dobrowolności zgody z związku z ukrytym przymusem psychicznym wobec pracodawcy.

    W przypadku osób zatrudnionych na podstawie umowy innej aniżeli umowa o pracę, będzie się stosować ogólne przepisy RODO w zakresie zgody, bowiem Kodeks pracy nie ma do nich zastosowania. Oznacza to więc, że dane te nie muszą dotyczyć stosunku prawnego np. umowy o dzieło lub kontraktu menedżerskiego, a zgoda musi być jedynie wyraźna – nie musi być wyrażona w formie papierowej ani elektronicznej. Zatrudniający na umowę o pracę i na podstawie umów cywilnoprawnych będzie więc musiał utrzymywać dwa systemy pozyskiwania zgody. Osoby zatrudnione na umowy cywilnoprawne będą teoretycznie mniej chronione. Teoretycznie, bowiem w przypadku pracowników trudno powiedzieć, co to znaczy, że dane muszą „dotyczyć stosunku pracy”. Nawet zatem jeśli w przypadku osób zatrudnionych na podstawie innych umów regulacja byłaby analogiczna, to nie wiadomo byłoby, co to znaczy, że dane biometryczne musiałyby dotyczyć stosunku nawiązanego na podstawie tej umowy. Ograniczenia nałożone na pracodawców celem ochrony pracowników wydają się zatem iluzoryczne.

    Jeśli zaś chodzi o pozostawienie kwestii sposobów przetwarzania danych osobowych biometrycznych do regulacji rozporządzenia, to jest to typowy i często stosowany zabieg ustawodawczy. Kwestie techniczne, wysoce specjalistyczne i zmienne w czasie z uwagi na rozwój technologii zazwyczaj są pozostawiane do uregulowania w rozporządzeniach przez wyspecjalizowane ministerstwa. Jest to zgodne z techniką legislacyjną. Podobnie jest w przypadku dotychczasowej ustawy o ochronie danych osobowych, która pozostawia do uregulowania rozporządzeniem kwestię technicznych i organizacyjnych środków ochrony danych osobowych.

    Autor: Aleksandra Błaszczyńska, radca prawny z Kancelarii Chałas i Wspólnicy

    UWAGA! RODO wymusza zmiany w 133 ustawach

    Ministerstwo Cyfryzacji opublikowało we wrześniu br. projekt nowej ustawy o ochronie danych.  Liczy on ponad 170 stron, na których wskazane zostały zmiany, jakie powinny zostać wprowadzone w 133 obowiązujących ustawach. Dostosowanie polskiego środowiska prawnego do unijnego rozporządzenia wymagać będzie – poza uchwaleniem nowej ustawy o ochronie danych osobowych – znowelizowania licznych przepisów branżowych. Co oznacza to w praktyce?

    Największej reformy wymaga obowiązujące prawo pracy. Nowelizacja ustawy z tego zakresu  przewiduje przede wszystkim wzmocnienie pozycji pracodawcy. Obecnie miał on jedynie „prawo żądania” uzyskania od potencjalnego pracownika danych osobowych. Po zmianie – wg art. 221 § 1. – właściciel firmy będzie mógł żądać od osoby ubiegającej się o zatrudnienie podania danych. Ewolucji ulegnie również zakres ich przetwarzania przez pracodawcę. W bazach nie będą przechowywane imiona rodziców oraz miejsce zamieszkania (zastąpi je adres do korespondencji), dodane natomiast zostaną takie informacje jak: adres e-mail lub numer telefonu.

    Rewolucyjnym i długo oczekiwanym zapisem jest art. 222 § 2, który odnosi się do danych biometrycznych. W myśl propozycji ustawodawcy pracodawca będzie miał prawo przetwarzać dane biometryczne pracownika, jeśli ten wyrazi na to zgodę. Zgoda ta nie może być jednak dorozumiana,  musi być złożona w formie pisemnej – mówi Adam Lipiński, ODO 24. Co ciekawe ustawodawca bezwzględnie zakazał pracodawcy przetwarzania danych sensytywnych pracowników – nawet po uprzednio wyrażonej zgodzie – dotyczących: nałogów, informacji o stanie zdrowia, orientacji i życiu seksualnym. Warto zwrócić uwagę no to, że w tej kategorii nie znalazły się inne dane wrażliwe takie jak np. przekonania religijne czy poglądy polityczne – dodaje ekspert ODO 24.

    W projekcie ustawy zawarta została również próba uregulowania monitoringu wizyjnego w miejscu pracy (art. 224 § 1). Według nowego przepisu nie może być on stosowany do kontroli pracy pracowników, a jedynie w celu zapewnienia im bezpieczeństwa, ochrony mienia oraz zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.

    Poza Kodeksem Pracy nowelizacji ulegną również inne ustawy dotyczące wykonywania wybranych  zawodów (m.in. nauczyciela, prawnika, komornika, lekarza sądowego, tłumacza przysięgłego, fizjoterapeuty, kuratora sądowego)

    Oto najważniejsze  zamiany w poszczególnych kategoriach:

    • Karta Nauczyciela – nowa ustawa określa katalog danych, które mogą być przetwarzane w postępowaniu dotyczącym awansu zawodowego nauczyciela oraz jego nadzoru, a także w kwestiach dyscyplinarnych oraz komisji dyscyplinarnych.
    • Prawo o adwokaturze, radcach prawnych, notariacie, komornikach sądowych i egzekucji – we wszystkich wymienionych ustawach wprowadzone zostały podobne regulacje, które obejmują ustalenie, kto jest administratorem przetwarzanych przez te podmioty danych.
    • Prawo o swobodzie działalności gospodarczej – nowelizacja reguluje, że po upływie 10 lat od dnia wykreślenia przedsiębiorcy z Centralnej Ewidencji i Informacji o Działalności Gospodarczej usunięciu mają podlegać dane wpisane do niej przed dniem tego wykreślenia.
    • Ustawa o lekarzu sądowym – ustawodawca w propozycji określił administratorów danych osobowych, jako lekarzy sądowych oraz kandydatów na to stanowisko.
    • Ustawa o licencji doradcy restrukturyzacyjnego i tłumaczach przysięgłych – zmiany dotyczą przede wszystkim obowiązku określenia administratora danych.
    • Ustawa o zawodzie fizjoterapeuty – zmodyfikowany został art. 12 ust. 9. nie będzie w nim już zapisu o ustawie o ochronie danych osobowych, zostanie on zastąpiony zapisem „zachowaniem przepisów o ochronie danych osobowych”.
    • Prawo o prokuraturze – uchylony ma zostać w całości art. 191 2 dotyczący zniesienia obowiązku zgłaszania zbioru danych do GIODO.
    • Ustawa o zawodzie psychologa i samorządzie zawodowym psychologów – do ustawy wprowadzono krótki, lecz istotny zapis zabezpieczający prawa osób korzystających z usług psychologów. Którzy stają się administratorami danych, gdy wykorzystają dane o badaniu nie tylko do informacji pacjenta.
    • Ustawa o kuratorach sądowych – znowelizowany został również art. 9a ust. , w którym zastosowano zapis o zakresie udostępniania danych przez administratora.

     

    Dodaj komentarz

    Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

    Artykuły powiązane

  • Kategorie