06 maj

Dane pracownicze, czyli co wolno pracodawcy według Rady Europy

Dane pracownicze a przepisy

Biorąc pod uwagę fakt, że ostatnia rekomendacja dotycząca danych pracowniczych przetwarzanych w celu zatrudnienia została uchwalona w 1989 roku (czyli 26 lat temu!), trudno nie poddać się refleksji, że albo dane pracowników nie są bliskie organom odpowiedzialnym za ochronę danych osobowych albo jest to temat na tyle trudny i związany z naciskami różnych ugrupowań i korporacji na Radę Europy, że traktowano to jak „śmierdzący temat” i zamiatano go pod dywan. Dodam może jeszcze, że najnowsza rekomendacja została uchwalona w prima aprilis, czyli 1 kwietnia 2015 r. Na szczęście okazało się, że nie jest to żart.

Dziwi fakt, że tyle czasu trzeba było czekać na rekomendacje dotyczące śledzenia czasu pracy poprzez skanowanie odcisków palców, czy monitoring pomieszczeń biurowych. Najnowsze technologie umożliwiają pracodawcą śledzenie czasu pracy na komputerze, historii przeglądanych stron, czy wgląd w korespondencję elektroniczną. Brak zgody na takie działania, często oznacza zakończenie pracy u tego pracodawcy, a swoich praw pracownik mógł dochodzi albo na drodze cywilnej albo poprzez skargę do Rzecznika Praw Obywatelskich. Miałam przyjemność kilkukrotnie rozmawiać z Panią Profesor Ireną Lipowicz, która zaskoczyła mnie zaangażowaniem w sprawy przeciętnego Kowalskiego (przyznam, że spodziewałam się raczej figuranta z politycznego rozdania) i jednocześnie naświetliła wielowymiarowość problemu przestrzegania praw obywatelskich (w tym pracowniczych). Polskie prawodawstwo nie nadąża za zmieniającymi się realiami i technologiami, na szybko tworzy się specustawy, które dają określonym podmiotom szeroki zakres uprawnień, wkraczający w swobody obywatelskie, a jednocześnie rząd nie interesują się palącymi problemami, jak brak ustawy o monitoringu, czy wykorzystywaniu danych genetycznych.

Rekomendacja Rady Europy stanowi krok milowy, jednak już dzisiaj wiem, że bardzo szybko się zdeaktualizuje i zastanawiam się, jak długo trzeba będzie czekać na kolejną.

Polski ustawodawca jest w trakcie prac nad wdrożeniem rekomendacji, pozostaje mieć nadzieję, że zostanie to wykonane szybko i jak najmniej „tuningowanej’ formie. Przechodząc do najważniejszego, niektóre z zaleceń Rady Europy (cały tekst: Uchwała Rady Europy w sprawie danych pracowniczych.)

  • Pracodawcy powinni powstrzymać się od wymagania od nich lub zwracania się do pracownika lub osoby starającej się o pracę o dostęp do informacji, które ona lub on udostępnia innym przez Internet, w szczególności poprzez portale społecznościowe.
  • Dane osobowe zbierane do celów zatrudnienia, powinny być wykorzystywane przez pracodawców jedynie w tych celach.
  • W szczególnych okolicznościach, kiedy dane mają być przetwarzane dla celów zatrudnienia innych niż cel dla którego zostały pierwotnie zebrane, pracodawcy powinni podjąć odpowiednie środki w celu uniknięcia wykorzystania danych niezgodnie z przeznaczeniem dla innego celu oraz poinformować pracownika. W przypadku gdy istotne decyzje wpływające na pracownika mają zostać podjęte na podstawie przetwarzanych danych, pracownik powinien być poinformowany.
  • Dane genetycznie nie mogą być przetwarzane, np. w celu określenia zdolności do pracy pracownika lub osoby starającej się o pracę, nawet za zgodą osoby, której dane dotyczą. Przetwarzanie danych genetycznych może być dopuszczone w wyjątkowych okolicznościach w szczególności aby uniknąć poważnego uszczerbku dla zdrowia osoby, której dane dotyczą lub stron trzecich i jedynie gdy jest to określone w prawie krajowym oraz przy zastosowaniu odpowiednich środków ochronnych.
  • Pracodawcy powinni unikać nieuzasadnionego naruszenia prawa do prywatności pracownika. Zasada ta rozciąga się na wszystkie urządzenia techniczne oraz technologie informatyczne wykorzystywane przez pracownika. Osoba, której to dotyczy powinna być odpowiednio oraz systematycznie informowana poprzez zastosowanie odpowiedniej polityki prywatności zgodnie z zasadą 10 niniejszej rekomendacji. Podana informacja powinna być aktualna oraz powinna obejmować cel przetwarzania, okres utrwalania lub możliwości przywrócenia danych o ruchu oraz archwiziacje elektronicznych komunikatów służbowych.
  • W szczególności, w przypadku przetwarzania danych osobowych dotyczących stron internetowych lub intranetowych, do których mają dostęp pracownicy, powinno się preferować przyjęcie środków zapobiegawczych, takich jak filtry wykorzystania, które zapobiegają poszczególnym operacjom, a także stopniowanie możliwego monitorowania danych osobowych, preferując niezindywizualizowane losowe kontrole danych, które są zanonimizowane lub w jakiś sposób zagregowane.
  • Dostęp pracodawców do służbowej komunikacji elektronicznej pracowników, którzy zawczasu zostali poinformowani o takiej możliwości, może mieć miejsce tylko jeżeli to konieczne dla celów bezpieczeństwa lub z innych uzasadnionych powodów.
    W przypadku nieobecności pracowników, pracodawcy powinni podjąć konieczne środki i przewidzieć odpowiednie procedury mające na celu umożliwienie dostępu do służbowej komunikacji elektronicznej tylko wtedy gdy taki dostęp jest konieczny ze służbowego punktu widzenia. Dostęp powinien być wykonany w możliwie jak najmniej inwazyjny sposób i jedynie po poinformowaniu danych pracowników.
  • Zawartość, wysyłanie oraz odbieranie prywatnej komunikacji elektronicznej w pracy nie powinno być monitorowane w żadnych okolicznościach.
  • W przypadku odejścia pracownika z organizacji, pracodawca powinien podjąć konieczne środki organizacyjne i techniczne w celu automatycznej dezaktywacji konta pracownika służącego do komunikacji elektronicznej. Jeżeli pracodawcy potrzebują odzyskać konta pracownika w celu skutecznego prowadzenia organizacji, powinni zrobić to przed jej lub jego odejściem oraz, jeżeli to wykonalne, w jej lub jego obecności.
  • Wprowadzenie oraz wykorzystanie technologii oraz systemów informacyjnych dla bezpośredniego oraz głównego celu monitorowania działań oraz zachowania pracownika nie powinno być dozwolone. Jeżeli ich wprowadzenie oraz wykorzystanie dla innych uzasadnionych celów, takich jak ochrona produkcji, zdrowia lub bezpieczeństwa lub zapewnienia skutecznego prowadzenia organizacji, skutkuje pośrednio możliwością monitorowania czynności pracowników, powinno być przedmiotem dodatkowych środków ochronnych, określonych w zasadzie 21, w szczególności konsultacji z przedstawicielami pracowników.
  • Systemy i technologie informacyjne, które pośrednio monitorują działania oraz zachowania pracowników powinny być szczególnie zaprojektowane oraz umieszczone, tak aby nie podważać ich praw podstawowych. Wykorzystanie wideonadzoru do monitorowania lokalizacji które są częścią najbardziej osobistej sfery życia pracowników nie jest dozwolone w żadnej sytuacji.

Więcej o Radzie Europy: oficjalna strona.

Na stronie Prezesa UODO są publikowane rekomendacje Rady Europy związane z ochroną prywatności: Rada Europy na stronie uodo.

Grafika: Designed by Freepik.com


Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie



Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!

We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.


 

 


Data aktualizacji: 12 lipca 2019