Dojrzeliśmy już do dyskusji o zakresie danych osobowych, które firma powinna uzyskiwać od zatrudnionego. Zasadne byłoby przyjęcie przepisów regulujących stosowanie nowoczesnych technologii w kontekście ochrony prawa do prywatności - mówi w wywiadzie dla DGP Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych.
Kodeks pracy w istotny sposób ogranicza informacje, które firma może pozyskać o pracowniku lub kandydacie do zatrudnienia. Zgodnie z przepisami ma prawo zdobyć wiedzę na temat np. wykształcenia lub miejsca zamieszkania. Niektórzy pracodawcy postulują rozszerzenie tego katalogu – np. instytucje finansowe chcą częściej pozyskiwać dane o niekaralności. Warto to rozważyć?
Na pewno możemy rozpocząć dyskusję na temat tego, czy przepisy te są dostosowane do potrzeb współczesności. Nowoczesne technologie wkraczają także w stosunki pracy – nie da się ukryć, że pracodawcy mają wiele nieformalnych źródeł pozyskiwania informacji i w praktyce je gromadzą. Chodzi np. o dane z portali społecznościowych czy też w ogóle znalezione w sieci, ale także pozyskane dzięki usługom detektywów lub wyspecjalizowanych firm zajmujących się zbieraniem informacji. I tu pojawia się problem, bo przecież pracodawca może gromadzić jedynie dane wskazane w art. 221 k.p., czyli tylko te podstawowe, jak np. imię i nazwisko, data urodzenia czy miejsce zamieszkania zatrudnionego. Pytanie o to, czy nie należałoby rozszerzyć prawa do pozyskiwania informacji o niekaralność pracowników – i to nie tylko tych zatrudnionych w instytucjach finansowych, ale w ogóle wszystkich odpowiadających za mienie powierzone im przez firmę – jest zasadne i może być podstawą do rozpoczęcia szerszej dyskusji w tym zakresie.
Na ile obecnie w ogóle dopuszczalne jest takie nieformalne zbieranie danych o pracowniku, np. z wspomnianych portali internetowych lub dzięki zatrudnieniu detektywa?
W tym zakresie trzeba wskazać dwie kwestie. Po pierwsze – prawo nie zabrania pozyskiwania danych w sposób pośredni – a nie tylko bezpośrednio od pracownika – choć powstaje pytanie, jak firma może tego dokonać. Ma prawo np. wynająć detektywa i zlecić mu zebranie informacji wskazanych w art. 221 k.p., czyli tych, które ustawodawca uznał za wystarczające do zawarcia stosunku pracy. Pracodawca może też sam je pozyskać poprzez np. portale internetowe. W tym momencie pojawia się jednak drugie zagadnienie – czy może tak zdobyte dane przetwarzać. Można wyobrazić sobie, że dzięki wymienionym metodom uzyska znacznie więcej informacji o podwładnym lub kandydacie do pracy, ale do zatrudnienia powinien wykorzystać tylko te wskazane w art. 221. Jednocześnie jest jasne, że zanim się nie zapozna z danymi, nie zanonimizuje ich i nie pozostawi jedynie tych dozwolonych przez k.p. Przy obecnym rozwoju technologii takich kuriozalnych sytuacji nie unikniemy.
Czy na podstawie tak zdobytych informacji firma może wyciągać jakieś konsekwencje wobec zatrudnionych?
Pracodawca, który będzie chciał wykorzystać informacje, których zbierać nie powinien, i na ich podstawie dokona analizy sytuacji kandydata do pracy lub podwładnego, odmawiając mu np. zatrudnienia lub awansu, naraża się na zarzut dyskryminacji lub nierównego traktowania, nie wspominając już o możliwości naruszenia dóbr osobistych takiej osoby. Pracownicy sami powinni jednak także pamiętać, jakie informacje o sobie udostępniają w sieci lub jakie wpisy zamieszczają na portalach internetowych. Nie zniechęcam do takiej aktywności, ale zalecam zachowanie rozwagi i rozsądku w tym zakresie.
Czasem to także sami pracownicy lub kandydaci do zatrudnienia z własnej inicjatywy przekazują firmom więcej informacji o sobie, niż wskazują przepisy.
Dotyczy to w szczególności osób biorących udział w rekrutacji do pracy – w ten sposób chcą wyróżnić się spośród tłumu kandydatów. Wykazują dodatkowe umiejętności, wykształcenie, ukończone kursy nawet niezwiązane ze stanowiskiem, na które aplikują. Prawo im tego nie zabrania. Sporadycznie wyrażane są poglądy, że firma powinna takie informacje usunąć, zanim zacznie przetwarzać dane konkretnej osoby. Moim zdaniem nie jest to opinia słuszna. Artykuł 221 wskazuje, jakich danych pracodawca może żądać od pracownika, ale to nie oznacza, że zatrudniony lub kandydat do pracy z własnej woli nie może przekazać innych informacji, które mają działać na jego korzyść.
A czy możliwe jest pozyskiwanie większej liczby danych przez firmę, jeśli zgodę na to wyrazi sam pracownik?
To kwestia problematyczna. Zgoda musi być wyrażona w sposób dobrowolny – pracownik nie może być w jakikolwiek sposób do niej przymuszony. A przecież zatrudniony wykonuje obowiązki w warunkach podporządkowania pracodawcy. W stosunkach pracy nie ma dwóch równorzędnych podmiotów. Dodatkowo trzeba liczyć się z przymusem ekonomicznym – pracownik zatrudnia się po to, aby zarobkować. Dlatego w tym przypadku nie można mówić o dobrowolnym i swobodnym wyrażaniu woli.
Nie jest dopuszczalne pobieranie odcisków palców dla potrzeb ewidencjonowania czasu pracy
Mówimy o pozyskiwaniu zbyt dużej liczby danych przez pracodawców, ale internet to cenne źródło informacji także dla samych zatrudnionych. W ostatnim czasie w sieci tworzone są np. listy nieuczciwych pracodawców. Czy jest to w ogóle dozwolone i czy zatrudniający mogą się przed tym jakoś bronić?
Istotna jest w tym zakresie forma prawna prowadzonej przez pracodawcę działalności – ustawa o ochronie danych osobowych dotyczy danych osób fizycznych. W omawianym zakresie może wchodzić w grę roszczenie pracodawcy z tytułu naruszenia dóbr osobistych. A jeśli firma wie, że to jej pracownik zamieszcza w sieci takie informacje, może zbadać, czy jego działanie nie przekroczyło granicy dozwolonej krytyki pracodawcy. Jeśli uzna, że do tego doszło, ma prawo zastosować rozwiązania zagwarantowane w prawie pracy – np. kary porządkowe lub wypowiedzenie umowy. Jednym z podstawowych obowiązków pracownika jest przecież dbanie o dobro zakładu pracy, w którym jest zatrudniony.
Kwestią nieunormowaną wprost w przepisach jest monitorowanie pracy zatrudnionych. Tymczasem nowoczesne technologie coraz bardziej to ułatwiają. Czy powinniśmy przyjąć jakieś regulacje w tym zakresie?
Moim zdaniem podstawą monitorowania pracy jest art. 22 k.p., który zawiera zasadę podporządkowania pracownika. Zgodnie z jego brzmieniem zatrudniony jest zobowiązany do świadczenia pracy określonego rodzaju, w miejscu i czasie wskazanym przez pracodawcę i pod jego kierownictwem. Firma ma więc prawo sprawdzać, jak zatrudniony wykonuje obowiązki, za które otrzymuje wynagrodzenie. Oczywiście k.p. wchodził w życie 40 lat temu, gdy nie było nowoczesnych form monitoringu. Z jego przepisów oraz ustawy o ochronie danych osobowych można jednak wywnioskować zasady, jakimi powinien się kierować pracodawca w omawianym zakresie. Po pierwsze o monitorowaniu należy poinformować pracownika, po drugie – musi mieć ono jasno określony cel, a po trzecie – nie może naruszać prywatności zatrudnionego. Niedopuszczalne jest więc np. monitorowanie przestrzeni wolnych od nadzoru (np. szatni, pomieszczeń socjalnych). W razie wątpliwości można posiłkować się rekomendacją Rady Europy w tej sprawie z kwietnia tego roku – to niewiążący akt, ale umożliwia ocenę sposobów nadzoru w kontekście prywatności pracownika. Dla przykładu wskazuje, że prywatnej korespondencji elektronicznej pracownika nie można sprawdzać, choćby znajdowała się na serwerze pracodawcy. Generalnie pracodawcy powinni w tym zakresie kierować się zdrowym rozsądkiem.
Czy problemem – także w stosunkach pracy – nie jest to, że wciąż nie udało się uchwalić ustawy o monitoringu?
Jej przyjęcie na pewno byłoby zasadne. W przeciwnym razie ciągle będą pojawiać się wątpliwości dotyczące sposobu i zakresu monitorowania przestrzeni, w tym również tej w zakładach pracy. Ustawa określałaby ramy takiego nadzorowania i definiowała pojęcia w zakresie monitoringu, co na pewno byłoby pomocną wskazówką dla pracodawców.
W celu ograniczania dostępu do tajemnicy przedsiębiorstwa firmy pozyskują także dane biometryczne pracownika. Stosują np. czytniki linii papilarnych. Czy ta kwestia również nie powinna być uregulowana w przepisach?
GIODO odnosił się do tego problemu, uznając, że nie jest dopuszczalne pobieranie odcisków palców dla potrzeb ewidencjonowania czasu pracy. Można bowiem stosować inne, mniej dolegliwe sposoby mierzenia godzin wykonywania obowiązków pracowniczych. Podzielam to stanowisko. Natomiast w kwestii ochrony tajemnicy przedsiębiorstwa nie można nie zauważyć, że te same nowoczesne technologie, które mają chronić istotne dla firmy informacje, jednocześnie ułatwiają ich upowszechnianie. W dzisiejszych czasach znacznie trudniej jest bowiem utrzymać jakąś informację w tajemnicy, właśnie ze względu na postęp technologii dotyczących przekazywania danych. Nie sądzę, aby stosowanie czytników biometrycznych było skutecznym rozwiązaniem w tym zakresie. Generalnie na pewno zasadne byłoby jednak wprowadzenie przepisów, które normowałyby stosowanie nowoczesnych technologii w różnych dziedzinach życia – w kontekście ochrony prywatności. Zdaję sobie sprawę, że prawo nigdy nie wyprzedzi rozwoju technologicznego, ale możemy opracować przynajmniej generalne ramy prawne, na tyle ogólne, aby mogły być stosowane nie tylko w odniesieniu do dziś stosowanych technologii, ale także by uwzględniały ich rozwój w przyszłości.
