Na gruncie unijnym chodzi o rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej: RODO). – To jest specyficzny obszar. RODO przewiduje możliwość uregulowania w prawie wewnętrznym praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem. I to się stało w kodeksie pracy. Mam tu na myśli przepisy dotyczące przetwarzania szczególnych danych i kontroli pracowników, czyli art. 22 (1) i następne z indeksami. Polski ustawodawca zdecydował się na ich wprowadzenie, chcąc zapewnić podwyższoną ochronę podmiotom szczególnie chronionym z uwagi na dysproporcję sił pomiędzy pracodawcami a pracownikami – mówi serwisowi Prawo.pl dr Dominik Lubasz, radca prawny, wspólnik w kancelarii Lubasz i Wspólnicy.  

Czytaj również: Sygnaliści nie zgłoszą naruszeń z zakresu prawa pracy>>

Przetwarzanie danych osobowych pracowników

Wspomniany art. 88 ust. 1 RODO stanowi, że państwa członkowskie mogą zawrzeć w swoich przepisach lub w porozumieniach zbiorowych bardziej szczegółowe przepisy, mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem, w szczególności do celów rekrutacji, wykonania umowy o pracę, w tym wykonania obowiązków określonych przepisami lub porozumieniami zbiorowymi, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy, ochrony własności pracodawcy lub klienta oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy.

Zobacz w LEX: Ochrona danych osobowych pracowników w orzecznictwie Trybunału Konstytucyjnego oraz Trybunału Sprawiedliwości >

Przepisy te, jak mówi z kolei jego ust. 2, muszą obejmować odpowiednie i szczegółowe środki zapewniające osobie, której dane dotyczą, poszanowanie jej godności, prawnie uzasadnionych interesów i praw podstawowych, w szczególności pod względem przejrzystości przetwarzania, przekazywania danych osobowych w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą oraz systemów monitorujących w miejscu pracy.

- Dlatego do kodeksu pracy wprowadzone zostały przepisy, które mówią o tym, jakich danych osobowych od kandydata do pracy oraz od pracownika może żądać pracodawca oraz w jakich przypadkach na przetwarzanie danych osobowych wymagana zgody osoby ubiegającej się o zatrudnienie i zgody pracownika (art. 22[1a], 22[1b] k.p.). Określone zostały też m.in. przesłanki wprowadzenia i sposób przeprowadzenia kontroli trzeźwości pracowników – wskazuje dr Lubasz. I dodaje: - W przepisach krajowych przewidziane zostały także zasady monitoringu w zakładzie pracy. Pracodawcy, którzy chcą nadzorować pracowników, muszą wiedzieć, w jakich przypadkach i w jakich celach jest to dozwolone a w jakich zabronione.

[E-book] Kodeks pracy. Komentarz [PRZEDSPRZEDAŻ]

Małgorzata Gersdorf, Michał Raczkowski

Sprawdź  

Czytaj w LEX: Wybrane aspekty ochrony prywatności osób zatrudnionych a forma zatrudnienia - uwagi na tle polskich regulacji >

Bezpieczeństwo danych a ryzyko naruszeń prawa

Dr Joanna Łuczak-Tarka, prawnik z kancelarii Lubasz i Wspólnicy, przyznaje, że ochrona danych osobowych w zatrudnieniu to zadanie, które wymaga od pracodawców - administratorów śledzenia bieżących zmian w prawie - i to nie tylko na poziomie krajowym, z czym firmy całkiem dobrze sobie radzą, ale i na poziomie europejskim. – Aktualnym wyzwaniem jest wdrożenie przez pracodawców regulacji wewnętrznych wynikających z uchwalonej w połowie czerwca ustawy o ochronie sygnalistów. Firmy zatrudniające co najmniej 50 osób mają na to czas do 24 września. Kolejnym obszarem, jest wykorzystywanie sztucznej inteligencji w środowisku pracy. Już dziś narzędzia AI są stosowane przez pracodawców jako wsparcie procesów rekrutacyjnych czy oceny pracowników, a odsetek ten będzie się zwiększał. – mówi dr Łuczak-Tarka. I dodaje: - Dla dobrych działów HR sztuczna inteligencja to będzie ważne wsparcie, ale jej niekontrolowane wykorzystywanie może prowadzić do naruszeń praw i wolności zarówno kandydatów do pracy, jak i pracowników. Stąd też pierwszy na świecie akt prawny kompleksowo regulującego korzystanie ze sztucznej inteligencji – AI Act ogranicza możliwość stosowania takich narzędzi również w stosunkach pracy.

Sprawdź w LEX: Czy akt urodzenia dziecka może być przechowywany w aktach osobowych pracownika? >

Pytana o obszary prawa pracy, które dla pracodawców stanowią największe wyzwania i mogą być prowadzić do naruszenia prawa, dr Joanna Łuczak-Tarka wymienia trzy. Po pierwsze to pozyskiwanie danych w związku z kontrolą czasu pracy i jakości pracy pracownika, a także ochrona przed takimi działaniami pracowników, które mogłyby narazić pracodawcę na szkodę. Po drugie – kontrola trzeźwości, w tym także wobec pracowników świadczących prace zdalnie. Po trzecie wreszcie to kwestia monitoringu i wideo monitoringu, który pracodawcy chcą wykorzystywać także po to, by sprawdzić, jak pracownik wykorzystuje czas pracy, czy i na ile jest efektywny.

 – Naturalne jest dążenie pracodawców do rozliczania pracowników. W tym kontekście pojawia się też kwestia relacji między pracownikami i z klientami. Problematyczne jest też sprawdzanie lokalizacji pojazdów, liczby przejechanych kilometrów czy tras, którymi pracownik się przemieszczał – zauważa. W trakcie takich działań pracodawca może jednak pozyskiwać dane dotyczące życia prywatnego pracownika a nawet osób trzecich, takie jak np. informacje o szkole, do której pracownik codziennie podwozi swoje dzieci w drodze do pracy.

Dr Dominik Lubasz zwraca z kolei uwagę na bezpieczeństwo danych osobowych w dużych firmach, w których duża jest liczba pracowników, a co za tym idzie - olbrzymia jest ilość posiadanych i przetwarzanych danych osobowych, w tym danych osobowych szczególnych kategorii. – Właśnie dlatego dbając o bezpieczeństwo tych danych do ich przetwarzania, zgodnie z przepisami, w dziale HR czy Zakładowym Funduszu Świadczeń Socjalnych, do przetwarzania danych szczególnych kategorii mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę oraz zobowiązane do zachowania ich w tajemnicy. Są to szczególne, ustawowe, środki zabezpieczenia – wskazuje.

Czytaj w LEX: Przetwarzanie danych osobowych w zakresie kwalifikacji osób ubiegających się o zatrudnienie >

Budowanie wizerunku pracodawcy kosztem pracownika

Osobną kwestią jest wykorzystanie wizerunku pracowników dla celów marketingowych czy budowania wizerunku pracodawcy (z ang. employer branding). – To nie jest tak, że pracodawca może wykorzystać wizerunek pracowników tylko dlatego, że są pracownikami. Konieczna jest ich zgoda nie tylko z uwagi na przepisy RODO, ale i prawa autorskie, ze wskazaniem pól eksploatacji i celu wykorzystania – mówi dr Joanna Łuczak-Tarka.

- Pracodawcy dość chętnie wykorzystują wizerunki pracowników, np. przygotowując sprawozdanie z firmowej wigilii do firmowej gazetki czy kalendarza, który potem chcą np. rozsyłać swoim klientom. Takie wykorzystanie zdjęć, na których można rozpoznać konkretne osoby, trzeba jednak zalegalizować, bo wizerunek pracownika to także dane osobowe zwykłych kategorii. Pracownicy muszą więc wyrazić zgodę, choć nie musi być to zgoda pisemna. Musi jednak być skonkretyzowana, by pracownik wiedział, na co wyraża zgodę przez swoje zachowanie. Może wystarczyć przykładowo, gdy zostaną oni odpowiednio poinformowani, że wchodząc do danej wyznaczonej strefy wyrażają zgodę na robienie zdjęć i określone ich późniejsze wykorzystanie – tłumaczy dr Lubasz.

Czytaj również: Pracownik może stracić pracę za wyręczanie się sztuczną inteligencją>>

Ochrona danych osobowych sygnalistów

Najnowszą zmianą prawa, która dotyczyć będzie również ochrony danych osobowych jest ustawa o ochronie sygnalistów, która wdraża w tym zakresie dyrektywę unijna. Co prawda, prawo pracy nie będzie dziedziną, z której naruszenia prawa będą mogły być zgłaszane, ale należy się spodziewać, że zgłoszeń będą dokonywać przede wszystkim pracownicy.

W opinii dr Joanny Łuczak-Tarki, najważniejszy w tym kontekście będzie moment oddzielenia danych osobowych sygnalisty (bez ich ujawniania) od samego zgłoszenia. – Polski ustawodawca zobowiązał pracodawcę do tego, aby ta tożsamość sygnalisty została utrzymana w poufności, chyba że sam zainteresowany wyrazi zgodę na jej ujawnienie – podkreśla. Ma to na celu zapewnienie realizacji podstawowego celu przepisów, tj. braku negatywnych konsekwencji dla sygnalisty, jako gwarancji skutecznego funkcjonowania systemu zgłoszeń. Stąd też ustawa wprowadza np. ograniczenia w realizacji wynikającego z RODO obowiązku informacyjnego, tak aby nie doprowadzić do ujawnienia źródła informacji o naruszeniu, którym jest konkretna osoba fizyczna. Osoby obsługujące zgłoszenia wewnętrzne muszą z kolei posiadać pisemne upoważnienie, pozwalające na dostęp do zawartych w nich informacji. Przepisy zobowiązują je do zachowania tajemnicy, w tym także w odniesieniu do danych osobowych, do których uzyskały dostęp w ramach obsługi zgłoszeń. Obowiązek ten trwa także po ustaniu stosunku pracy lub innego stosunku prawnego, w ramach którego taką pracę wykonywały – przypomina dr Łuczak – Tarka.