W razie podejrzenia lub zarzutu – np. korupcji, kradzieży, oszustwa, wycieku tajemnic przedsiębiorstwa czy mobbingu – firma ma prawo podejmować działania zmierzające do ustalenia ewentualnych naruszeń i osób, które ponoszą za nie odpowiedzialność. To wiąże się jednak z przetwarzaniem dodatkowych danych o pracownikach. A RODO ogranicza możliwość ich pozyskiwania i przewiduje obowiązek informowania o ich przetwarzaniu, co mogłoby udaremnić rzetelne postępowanie wyjaśniające.

– Dlatego trzeba stosować racjonalną wykładnię tych przepisów. RODO nie blokuje wewnętrznych śledztw, a jedynie na nowo określa warunki ich prowadzenia – tłumaczy Radosław Nożykowski, adwokat z kancelarii Baker McKenzie.

Najpierw podstawa

Pracodawca, który chce wyjaśnić nadużycia i ustalić odpowiedzialność, musi wykazać podstawę prawną zbierania informacji. W przypadku zwykłych danych osobowych (niedotyczących kwestii wrażliwych, np. stanu zdrowia, pochodzenia etnicznego, seksualności) pozyskiwanie informacji będzie możliwe na podstawie art. 6 rozporządzenia 2016/679 z 27 kwietnia 2016 r. (Dz.Urz. UE L 119/1; RODO). Przesłanką uzasadniającą przetwarzanie danych będzie tu prawnie uzasadniony interes pracodawcy (ustalenie odpowiedzialności za nadużycia). W razie pozyskiwania danych wrażliwych firma może powołać się na art. 9 RODO. Zezwala on na przetwarzanie takich informacji, jeśli jest to niezbędne do ustalenia, dochodzenia lub obrony roszczeń.

Trzeba jednak przypomnieć, że wątpliwości w tym zakresie wywołały wytyczne dla pracodawców przygotowane przez Urząd Ochrony Danych Osobowych (UODO). Wynika z nich, że np. nie można przechowywać CV kandydata do pracy już po zakończeniu rekrutacji z uwagi na ewentualny zarzut dyskryminacji w naborze.

– Przepisy RODO i interpretacje ich dotyczące trzeba jednak stosować racjonalnie. Jeśli np. kandydat do zatrudnienia jedynie złożył CV, to rzeczywiście nie ma podstaw do przechowywania tego dokumentu. Ale jeśli np. uczestniczył też w rozmowie kwalifikacyjnej lub teście umiejętności, to ryzyko ewentualnych roszczeń jest większe. Firma ma wówczas prawo zachować dokumenty i wyjaśniać, czy doszło do nierównego traktowania – tłumaczy dr Dominika Dörre-Kolasa, radca prawny i partner w kancelarii Raczkowski Paruch.

Najbardziej skomplikowany jest przypadek, gdy w ramach śledztwa mają być pozyskiwane informacje o przestępstwach (np. korupcji). Zgodnie z art. 10 RODO dane o wyrokach skazujących i czynach zabronionych mogą być przetwarzane jedynie pod nadzorem władz publicznych (a nie przez pracodawcę).

– Ten przepis też należy interpretować racjonalnie. Możliwa wydaje się wykładnia, zgodnie z którą pojęcie czynu zabronionego z art. 10 dotyczy jedynie przypadków, gdy naruszenie prawa mogło mieć miejsce, ale nie doszło do wydania wyroku skazującego z uwagi np. na umorzenie postępowania – tłumaczy mec. Nożykowski.

OCHRONA INFORMACJI ZGODNIE Z RODO

OCHRONA INFORMACJI ZGODNIE Z RODO

źródło: Dziennik Gazeta Prawna

Podkreśla, że odmienna interpretacja (czyli przyjęcie, że pracodawca nie może przetwarzać jakichkolwiek informacji o czynach zabronionych) prowadziłaby do absurdów.

– Załóżmy, że pracodawca zapoznaje się ze służbowym e-mailem pracownika, z którego wynika, że doszło do korupcji, lub z nagraniem z monitoringu, które jest dowodem na kradzież firmowego mienia. Zgodnie z tą drugą wykładnią pracodawca nie mógłby nawet złożyć zawiadomienia do prokuratury, bo przecież nie może przetwarzać informacji o czynach zabronionych – dodaje mec. Nożykowski.

Co z uprzedzeniem?

Istotne znaczenie dla postępowań wyjaśniających ma też obowiązek informowania o przetwarzaniu danych. W wewnętrznym śledztwie firma często pozyskuje je nie od podejrzanego o nadużycie, ale z innych źródeł (dokumentów, zeznań innych osób itp.). Zgodnie z art. 14 RODO pracodawca musi w takim przypadku przekazać informację o przetwarzaniu danych osobie, której one dotyczą.

– To umożliwiałoby mataczenie, w tym wpływanie na zeznania świadków i zacieranie śladów swojego działania. Dlatego w razie prowadzenia postępowania wyjaśniającego firma nie musi informować osoby podejrzewanej o nadużycia o pozyskiwaniu danych. Odmienna interpretacja niweczyłaby cel ustaleń dokonywanych przez pracodawcę – wyjaśnia mec. Dörre-Kolasa.

Eksperci podkreślają, że w takim przypadku należy powołać się na art. 14 ust. 5 lit. b RODO. Zgodnie z nim informowanie zainteresowanego o przetwarzaniu jego danych nie jest obowiązkowe, jeśli może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania (czyli np. przeprowadzenie rzetelnego postępowania wyjaśniającego). Jest to istotne także w przypadku, gdy informacja o nadużyciu została przekazana firmie przez sygnalistę, np. innego pracownika.

– Dotychczas uznawano, że nie należy informować podejrzanego o tożsamości sygnalisty, aby uniknąć działań odwetowych. Niemiecki odpowiednik polskiego UODO uznał jednak, że temu pierwszemu należy przekazać informację o źródle sygnału o nieprawidłowościach – wskazuje mec. Nożykowski.

Podkreśla, że utrudniłoby to realizację celów przetwarzania (rzetelne śledztwo wewnętrzne).

– Teoretycznie można dopuszczać składanie anonimowych informacji o dostrzeżonych naruszeniach. Ale taki model informowania jest mniej wiarygodny. Jeśli ktoś decyduje się na zgłoszenie nieprawidłowości pod własnym nazwiskiem, to znacznie uprawdapodabnia to zasadność podejrzeń – dodaje.

Jak długo?

Z punktu widzenia firmy istotny jest też okres, przez jaki można przetwarzać dane osobowe w związku z wewnętrznym śledztwem. Zdaniem ekspertów jest to możliwe przez czas postępowania wyjaśniającego. Pomocniczy może być też termin z kodeksu pracy. W razie uzyskania przez pracodawcę wiadomości o okoliczności uzasadniającej dyscyplinarkę (z uwagi np. na ciężkie naruszenie obowiązków pracowniczych) ma on miesiąc na rozwiązanie umowy w tym trybie (w tym czasie na pewno może więc prowadzić postępowanie wyjaśniające). Prawnicy przestrzegają przed zbyt szybkim usuwaniem danych po zakończeniu wewnętrznych śledztw (nawet pomimo interpretacji, z których wynika, że co do zasady należy to zrobić po ustaniu celu przetwarzania).

– Jeśli pracodawca szybko zniszczy informacje dotyczące postępowania wyjaśniającego, a nadużyciem zajmie się prokuratura, bo uzna, że ma ono znamiona przestępstwa, zatrudniający może narazić się na zarzut poplecznictwa lub pomocy w zacieraniu śladów. Ryzyko odpowiedzialności karnej ma większe znaczenie niż ewentualne naruszenie RODO – podsumowuje mec. Nożykowski.