Dane biometryczne będzie można pozyskiwać w celu ewidencji godzin wykonywania obowiązków, ale za zgodą zatrudnionego. Dobrowolność przekazania takich informacji zbada GIODO - mówi w wywiadzie dla DGP dr Maciej Kawecki, koordynator krajowej reformy ochrony danych osobowych w Ministerstwie Cyfryzacji.
Proszę pamiętać i chciałbym to zaznaczyć na wstępie, że mówimy o projekcie, który jest w trakcie prac rządowych, potem trafi do parlamentarnych. Może więc jeszcze ulec zmianie. Projekt nowych przepisów sankcjonuje praktykę rynkową. Propozycja wynika jednak przede wszystkim z faktu, że rozporządzenie unijne (RODO) wskazuje możliwość wyrażania zgody przez pracownika na przetwarzanie jego danych osobowych przez pracodawcę. Oczywiście, jeśli zgadza się on na to dobrowolnie.
Polskie sądy administracyjne rzeczywiście orzekały, że stosunek podległości służbowej wyłącza możliwość dobrowolnej zgody pracownika. Jest to jednak stanowisko kontrowersyjne, bo nie można przecież a priori uznać, że każda zgoda zatrudnionego jest nieważna, bo została wymuszona przez pracodawcę. Nowe przepisy – zgodnie z prawem unijnym – wskażą więc, że pracownicy mogą udzielać zgody, o ile jest ona swobodnie wyrażona. I w konkretnym przypadku oceniana będzie ta swoboda.
Pierwszym ogniwem jest pracownik, bo początkowo nikt oprócz niego nie będzie wiedział, czy naruszono swobodę czy też nie. Na skutek jego skargi postępowanie będzie mógł wszcząć generalny inspektor ochrony danych osobowych (GIODO), który może uznać, że zgoda została wymuszona. W takiej sytuacji dojdzie do przetwarzania danych bez podstawy prawnej i GIODO wyda decyzję nakazującą usunięcie naruszenia. Swoboda w podejmowaniu decyzji przez pracownika ma być zabezpieczona w najszerszy możliwy sposób. Podam przykład – załóżmy, że pracodawca wprowadza bramki biometryczne w firmie. Powinien więc wprowadzić dwa rodzaje bramek – z czytnikami dla tych osób, które zgodzą się na udostępnienie swoich danych biometrycznych, i zwykłą dla pozostałych zatrudnionych. Można też zaproponować następujące rozwiązanie: zgoda nie będzie udzielana bezpośrednio przełożonemu, lecz jednostce, która odpowiada za jej pozyskiwanie w imieniu firmy. Dlatego np. dyrektor w tym przedsiębiorstwie nawet nie będzie wiedział, czy dany pracownik wyraził zgodę i korzysta z biometrycznych bramek.
Mówimy tu o konflikcie dwóch wartości. Jeśli zakazujemy odbierania zgody od pracownika, to ograniczamy jego wolność, bo z góry wskazujemy: pracodawco, nigdy nie możesz pozyskać danych biometrycznych, nawet jeśli ten pracownik chce je przekazać. A on może zwyczajnie chcieć ją udzielić. Z drugiej strony istnieje ryzyko, że niektórzy zatrudnieni będą zgadzać się na udostępnianie danych z obawy o negatywną reakcję szefa w razie odmowy. Nie da się tego w pełni wyeliminować. Ale minimalizujemy ryzyko poprzez wprowadzenie przepisów ochronnych. To od pracowników – ich świadomości co do uprawnień, funkcjonowania związków zawodowych itp. – będzie zależeć to, czy skorzystają z mechanizmów zabezpieczających.
Zmiany nie oznaczają, że pracodawcy – za zgodą zatrudnionych – będą mogli pozyskiwać niemalże każdą informację o nich. Nowe przepisy nie wyłączają również zastosowania tych zakazujących dyskryminacji. Nadal będą obowiązywać regulacje, które zabraniają nierównego traktowania ze względu na np. pochodzenie etniczne, wyznanie, poglądy polityczne, orientację seksualną. Firma nie będzie mogła więc pytać dowolnie o każdą informację na temat zatrudnionego. Dodatkowo minister cyfryzacji wprowadził do projektu wiele przypadków gromadzenia danych, w których uważa, że ich przetwarzanie zawsze będzie stanowiło nadmierną ingerencję w prywatność pracownika. Chodzi o jego nałogi oraz życie seksualne i orientację seksualną.
Wspomniane wyłączenie nie dotyczy przypadków, gdy przepis zezwala na pozyskiwanie informacji o stanie zdrowia podwładnego. W przypadku tak ogólnego wymogu bhp firmy mogą stosować inne rozwiązanie. W ramach kształtowania warunków pracy zatrudniający ma prawo wskazywać pracownikom, że jeżeli cierpią oni na konkretne schorzenia albo uważają, że dane stanowisko nie jest dla nich odpowiednie właśnie ze względu na stan zdrowia, to powinni informować o tym przełożonego. Wtedy firma może inaczej zorganizować miejsce pracy. O takie kwestie można zadbać na etapie ustalania szczegółów zatrudnienia.
Zgoda musi być wyraźna. Pracownik musi wiedzieć, na co się godzi – jakie dane chce pozyskać pracodawca i w jakim celu. Dodatkowo trzeba będzie go poinformować o prawie do odwołania zgody. Pracownik będzie miał zagwarantowaną taką możliwość. Firmy muszą więc przewidywać wariant współpracy z zatrudnionym bez przetwarzania jego danych, bo podwładny zawsze będzie mógł zmienić zdanie w sprawie ich przekazywania.
Będzie mogła je pozyskiwać w obu wskazanych celach, ale oczywiście za zgodą pracownika.
Nowe regulacje zakładają swobodę w zakresie pozyskiwania informacji. Pracodawca będzie mógł pozyskiwać dane biometryczne celem np. usprawnienia zarządzania zespołem, ale za zgodą pracowników. Zatem ci ostatni będą mogli oceniać, czy chcą przekazywać takie informacje i czy jest to uzasadnione.
Warunki techniczne w zakresie przetwarzania zostaną według projektu przepisów określone w rozporządzeniu ministra cyfryzacji. Znajdą się w nim wymagania techniczne, czyli np. obowiązek gromadzenia danych wyłącznie w postaci zaszyfrowanej oraz zagwarantowanie, że klucz prywatny będzie zabezpieczony przez pracodawcę. To oznacza, że nikt – poza zatrudniającym – nie będzie mógł wykorzystywać tych informacji. W tym zakresie ważne jest też to, że przepisy wykonawcze nie będą określać katalogu danych biometrycznych, jakie firma może pozyskać za zgodą zatrudnionych.
Podwykonawca może przetwarzać dane w imieniu pracodawcy, ale sam nie jest ich administratorem. Dostęp uzyskuje się wtedy na podstawie umowy zawartej z zatrudniającym, ale ten ostatni cały czas ponosi odpowiedzialność za przetwarzanie informacji o pracownikach.
Dane biometryczne też w praktyce są już pozyskiwane przez pracodawców – w bankach, portach lotniczych itp. Chodzi nam o uporządkowanie zasad, zarówno w zakresie biometrii, jak i monitoringu. W tym drugim przypadku przepisy będą m.in. wskazywać pomieszczenia, które nie mogą być monitorowane. Określą też cel stosowania takich zabezpieczeń. Monitoring ma służyć zapewnieniu bezpieczeństwa pracowników lub ochrony mienia lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.
Będziemy rozważać taką propozycję, jeśli zostanie zgłoszona w trakcie konsultacji. Uwzględniliśmy bardzo dużo uwag na etapie prekonsultacji projektu ustawy o ochronie danych osobowych, więc również w przypadku omawianego projektu jesteśmy otwarci na dialog. Otrzymaliśmy również wiele uwag, w tym przede wszystkim pytanie, dlaczego nowe przepisy regulują jedynie monitoring wizyjny. Tego typu uwagi na pewno będziemy rozpatrywać wspólnie z Ministerstwem Rodziny, Pracy i Polityki Społecznej.
W tym przypadku zasadniczą kwestią jest tajemnica korespondencji – e-maile prywatne pracownika są nią objęte, służbowe – nie. To powoduje wątpliwości, jeśli zatrudniony korzysta ze skrzynki firmowej także w celach prywatnych lub w jednym e-mailu zawiera zarówno informacje służbowe, jak i prywatne. Już teraz pracodawcy mogą jednak rozwiązać tego typu problemy. Wystarczy, że w regulaminie pracy zawarty będzie zakaz korzystania ze skrzynki służbowej w celach prywatnych. Wtedy pracodawca może zakładać, że poczta jest używana tylko w sprawach firmy i nie naruszy tajemnicy korespondencji. Jeśli zatrudniający nie chce wprowadzać tak istotnego ograniczenia, może zobowiązać pracowników do odznaczania wiadomości prywatnych.
Załóż konto lub zaloguj się
i zyskaj dostęp na 14 dni za darmo.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.