Prywatność pracownika w miejscu pracy w dobie dynamicznie rozwijających się „nowych technologii”

Privacy concept: Information Privacy and Opened Padlock icon on green road (highway) sign, clear blue sky background, 3d render

Ochrona prywatności pracownika w ramach stosunku pracy jest zagadnieniem niezwykle aktualnym i pozostającym w sferze zainteresowań szerokiego kręgu podmiotów. Zagadnienie to dotyka bowiem niemalże każdego z nas. Niejednokrotnie podkreśla się, że ochrona prywatności jednostki w dobie dynamicznie zachodzących przeobrażeń społeczno – gospodarczych stanowi znaczne wyzwanie nie tylko dla ustawodawcy, próbującego nadążyć za tempem zachodzących zmian, lecz również dla podmiotów mających rzeczone ustawodawstwo stosować. Uważam, że w dobie agresywnego rozwoju technologicznego aktualne niejednoznaczne unormowania prawne nie gwarantują pracownikowi pewności, iż granica jego prawa do prywatności nie zostanie przez pracodawcę przekroczona, a z drugiej strony rodzą po stronie pracodawców poczucie niepewności przy ich stosowaniu.

Co o przetwarzaniu danych osobowych pracownika mówią akty prawa?

Podstawę prawną do przetwarzania przez pracodawcę danych osobowych kandydatów do pracy oraz pracowników stanowią przepisy ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (tekst jednolity Dz. U z 2014 r., poz. 1502), zwanej dalej Kodeksem pracy i wydane na jej podstawie akty wykonawcze. W myśl przepisu art. 11¹ Kodeksu pracy, pracodawca jest obowiązany szanować godność i inne dobra osobiste pracownika. Wychodząc zatem z założenia, że prywatność stanowi jedno z dóbr osobistych pracownika w ww. przepisie prawa upatrywać należy źródła uprawnień pracownika w tym przedmiocie. Nie powinno ulegać wątpliwości, że owa dyspozycja „szanowania godności pracownika” nakłada na pracodawców nie tylko obowiązek nie naruszania tej sfery dóbr, ale również zapewnienia warunków dla kompleksowej i realnej realizacji uprawnień w tym zakresie.

Zapewnieniu pracownikowi prawa do prywatności służy ponadto art. 22¹ § 1 Kodeksu pracy, zgodnie z którym, pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko, 2) imiona rodziców, 3) datę urodzenia, 4) miejsce zamieszkania (adres do korespondencji), 5) wykształcenie, 6) przebieg dotychczasowego zatrudnienia. W myśl zaś § 2 ww. przepisu, pracodawca ma prawo żądać od pracownika podania, niezależnie od danych osobowych, o których mowa w § 1, także: 1) innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy, 2) numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL). Zgodnie zaś z art. 22¹ § 4 Kodeksu pracy, pracodawca może żądać podania innych danych osobowych niż określone w § 1 i 2, jeżeli obowiązek ich podania wynika z odrębnych przepisów. Jednocześnie w myśl przepisu art. 22¹ § 5 Kodeksu pracy, w zakresie nieuregulowanym w § 1-4 do danych osobowych, o których mowa w tych przepisach, stosuje się przepisy o ochronie danych osobowych.

Wprowadzając do systemu prawa przepis art. 22¹ Kodeksu pracy ustawodawca przyjął założenie, że stworzenie ustawowego katalogu informacji dotyczących pracownika, o które będzie mógł wystąpić pracodawca, pozwoli na zapewnienie pracownikowi prawa do ochrony prywatności. Brak rozwiązania tego typu rodziłby bowiem obawę o niczym nie skrępowaną ingerencję pracodawcy w sferę prywatności pracownika przejawiającą się w pozyskiwaniu od niego informacji zbyt mocno wkraczających w jego intymność. Należy bowiem brać pod uwagę, że strony stosunku pracy zorientowane są na rozbieżne cele. Pracodawca zainteresowany jest pozyskaniem informacji o pracowniku w jak najszerszym zakresie, pracownik zaś dąży do zachowania pewnej sfery prywatności.

Postrzegając zaproponowany przez ustawodawcę w art. 22¹ Kodeksu pracy katalog danych za zbyt skąpy dla prawidłowego realizowania swoich zadań, pracodawcy odbierają od pracowników zgody na przetwarzanie ich danych osobowych w zakresie szerszym niż to wynika z ww. przepisu prawa. Pojawia się jednak pytanie czy w obowiązującym stanie prawnym pracownik może sam zezwolić pracodawcy na większą niż to przewiduje Kodeks pracy ingerencję w swoją prywatność? Do zagadnienia skuteczności „zgody” w relacjach pracowniczych wielokrotnie odnosiła się doktryna. Warto w tym miejscu przytoczyć chociażby kilka stanowisk, które obrazują podejście ww. środowisk do tego zagadnienia.

Część doktryny, reprezentowanej m. in. przez E. Kuleszę, stoi na stanowisku, iż  brak jest aktualnie możliwości domagania się przez pracodawcę dodatkowych informacji dotyczących pracownika. Jak bowiem wskazuje, cyt.: „mając na względzie, iż to ustawodawca zdecydował, jakie dane zostały wymienione w powołanym przepisie art. 22¹ k.p., przesądza o niemożności powoływania się na inne przesłanki przetwarzania danych czy na swobodę kształtowania zakresu danych przez pracodawcę. Byłoby to bowiem nieuprawnione wyręczenie lub uzupełnienie woli ustawodawcy” (Kulesza E., Dopuszczalność kontroli pracowników w świetle przepisów o ochronie danych osobowych (w:) Góral Z. (red), Kontrola pracownika. Możliwości techniczne i dylematy prawne, Warszawa 2010 str. 85).

Odmienne stanowisko zajął M. Wujczyk wskazując, że w jego ocenie prawnie dopuszczalne jest pozyskiwanie przez pracodawców danych osobowych na podstawie zgód pracowników czy też w oparciu o przesłanki legalności, o których mowa w art. 23 ust. 1 pkt 2-3 i 5 ustawy o ochronie danych osobowych (Wujczyk M. Prawo pracownika do ochrony prywatności, Wolters Kluwer Polska Sp. z o. o., Warszawa, 2012, str. 182).

Z kolei J. Barta, P. Fajgielski, R. Markiewicz, zaprezentowali stanowisko, w którym przekonują, że przepis art. 22¹ Kodeksu pracy określa zakres danych, o udostępnienie których pracodawca może wystąpić. Jak bowiem argumentują „(…) omawiany przepis dotyczy jedynie żądania podania danych, natomiast nie odnosi się do informacji, które kandydat z własnej inicjatywy ujawnił potencjalnemu pracodawcy. W tym kontekście należy uznać dopuszczalność żądania przez pracodawców od kandydatów do pracy przedstawienia życiorysu, w którym znaleźć się powinny podstawowe dane, wskazane w art. 22¹ k.p. Jeżeli w dokumentach tych kandydat poda także inne dane, które mogą być pracodawcy przydatne w ocenie i dokonaniu wyboru kandydata, to nie można mówić o naruszeniu przepisu art. 22¹k.p., skoro pracodawca takich dodatkowych informacji nie żądał” (Barta J., Fajgielski P., Markiewicz R., Ochrona danych osobowych. Komentarz, Wolters Kluwer Polska Sp. z o. o., Warszawa 2011, str. 474).

Ww. autorzy wskazali jednocześnie na pewną iluzoryczność „zgody” pracownika na przetwarzanie jego danych osobowych przez pracodawcę. W myśl przepisu art. 7 pkt 5 ustawy o ochronie danych osobowych, ilekroć w ustawie jest mowa o zgodzie osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie. Ww. komentatorzy podnoszą, że w odniesieniu do stosunków panujących pomiędzy pracownikiem a pracodawcą rysuje się pewna nierówność stron wyrażająca się m. in. w podporządkowaniu poleceniom przełożonych. Ciężko zatem o sytuację, w której pracownik mając świadomość ewentualnych negatywnych następstw odmowy udzielenia zgody na przetwarzanie danych przez pracodawcę, zgody takiej nie udzieli. Czynnikiem dominującym w uznaniu „zgody” pracownika za wyrażoną w sposób nieodpowiadający wymogom przepisu art. 7 pkt 5 ustawy jest zatem, w ocenie komentatorów, okoliczność faktycznego podporządkowania pracownika pracodawcy, przez co nie sposób tutaj mówić o pełnej autonomii osoby udzielającej takiej „zgody”.

W mojej ocenie przyjęcie założenia, że pracownik w relacji wiążącej go z pracodawcą nie może w żadnych okolicznościach swobodnie wyrazić zgody na przetwarzanie jego danych osobowych jest niewłaściwe. Zgadzam się ze stanowiskiem, iż taka „zgoda” w wielu przypadkach może być wyrażona pod wpływem presji ze strony pracodawcy, jednak nie zawsze taka sytuacja musi mieć miejsce. Uważam, że jedynie indywidualne podejście do każdorazowego procesu pozyskiwania „zgód” przez pracodawcę może pozwolić na rzetelną ocenę zaistnienia po stronie pracownika swobody w jej wyrażeniu.

Wykorzystywanie „nowych technologii” do pozyskiwania informacji o pracowniku

Szczególnym zainteresowaniem pracodawców cieszy się ostatnio wykorzystywanie  „nowych technologii” do pozyskiwania o pracowniku, bądź potencjalnym pracowniku, informacji w zakresie szerszym niż to wynika z Kodeksu pracy. Monitorowanie aktywności pracowników w czasie pracy, bądź też po jej zakończeniu, uzasadniane jest przez pracodawców koniecznością zgromadzenia na temat pracownika kompleksowych informacji, które pozwolą na zakwalifikowanie go do grona osób pożądanych w organizacji, bądź też na odpowiednio wczesne wykluczenie go z podmiotu. Jak bowiem wskazują, to oni ponoszą ryzyko biznesowe związane z niewłaściwym doborem pracowników. Opierając się na tej potrzebie pracodawcy niejednokrotnie poszukują informacji na temat swoich pracowników na portalach społecznościowych bądź też monitorują ich zachowania za pomocą urządzeń telematycznych. Wydaje się, że ww. działań pracodawców nie sposób zaliczyć do aktywności, które aktualnie uzasadniałby Kodeks pracy. W doktrynie pojawiły się jednak liczne głosy, iż mimo tej wątpliwości pochylić się należy nie tylko nad zagwarantowaniem pracownikom prawa do prywatności, ale również nad zapewnieniem pracodawcy uprawnienia do nieprzypadkowego doboru pracowników.

 Zasadnym w mojej ocenie byłoby stworzenie nowych regulacji prawnych gwarantujących pracownikowi prawo do prywatności, jednakże z uwzględnieniem interesów pracodawców w kontekście proponowanych przez rynek „nowych technologii”. Niewłaściwymi wydają się być takie rozwiązania, które rodzą niepewność co do sposobów korzystania z dostarczanych przez ustawodawcę instrumentów prawnych. Sztandarowym przykładem wydaje się być powyżej szerzej omówiona „zgoda” pracownika na przetwarzanie jego danych osobowych.

Bezsprzecznym jest jednak, iż zarówno ustawodawca, jak i organy zajmujące się prowadzeniem działań na rzecz ochrony prywatności powinny dołożyć wszelkich starań aby zracjonalizować obecne dążenia pracodawców do pozyskania jak największej ilości informacji o pracowniku do takiego poziomu, w którym ingerencja w prywatność nie zachwieje przypisanej człowiekowi godności a jednocześnie pozwoli pracodawcom na świadomy dobór kadry pracowniczej.

Szczególną formą nadzorowania pracownika jest jego monitorowanie. Za tę aktywność pracodawcy uważa się szeroko rozumianą kontrolę pracy pracownika za pomocą m.in. „nowych technologii”. Działanie to może przybrać różne formy, np. kontrolowania poczty elektronicznej, rozmów telefonicznych, wykorzystywania zasobów stron internetowych bądź też monitorowania wizyjnego za pomocą kamer użytkowych. Monitorowanie pracowników w miejscu pracy może przynieść pracodawcy takie korzyści, jak chociażby zwiększenie efektywności pracy pracowników czy też upewnienie się, że pracownik działa na korzyść firmy. Nie można jednak zapominać, że monitorowanie w miejscu pracy (a także poza nią jeśli jest wykonywane przez pracodawcę i w związku z pracą) rodzić może wiele problemów związanych z ochroną prywatności pracownika.

Biorąc pod uwagę fakt, że ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r., poz. 1182), zwana dalej ustawą, nie odnosi się w szczególny sposób do kwestii monitorowania, po stronie orzecznictwa i doktryny leżał ciężar dokonania wykładni jej przepisów pod kątem przedmiotowego zagadnienia. Analizując problematykę kolizji prawa pracownika do prywatności a kompetencji pracodawcy do kontroli pracy pracownika, Naczelny Sąd Administracyjny w jednym z najbardziej istotnych wyroków dotyczących tej kwestii wskazał, że „monitoring musi spełniać wymogi zgodności z prawem, usprawiedliwionego celu, proporcjonalności, transparentności oraz uwzględnienia przepisów o ochronie danych osobowych. Wymóg transparentności oznacza, że pracownicy powinni mieć świadomość, że są poddawani monitoringowi. Pracodawca winien zatem szczegółowo określić zasady monitoringu i zapoznać z nimi pracowników, którzy fakt zapoznania się powinni potwierdzić stosownym podpisanym oświadczeniem o ich akceptacji” (Wyrok Naczelnego Sądu Administracyjnego z dnia 13 lutego 2014 r.; sygn. akt I OSK 2436/12; oddalający skargę kasacyjną od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 6 czerwca 2012 r., sygn. akt II SA/Wa 453/12, CBOSA).

Próbując zatem zastosować w praktyce powyższe wytyczne Sądu, administratorzy danych noszący się z zamiarem wprowadzenia w swoich organizacjach monitorowania pracowników powinni wyjść z ogólnego założenia o równości stron stosunku pracy, a przy kolizji prawa pracownika do prywatności z prawem pracodawcy do kontrolowania pracy, prymat przyznać temu pierwszemu. Pracodawca decyzję o wprowadzeniu rozwiązań technologicznych służących monitorowaniu pracownika powinien więc poprzedzić rozważeniem czy monitorowanie odbywać się będzie z poszanowaniem zasady proporcjonalności i adekwatności. Innymi słowy, należy rozważyć czy wyników monitorowania dostarczonych za pomocą konkretnego narzędzia monitorującego nie da się uzyskać w inny sposób pozwalający na mniejszą ingerencję w prywatność pracownika, niż zakłada to użycie tego narzędzia. Trzeba więc dokonać wyboru takiego rozwiązania lub technologii, które zapewni pracodawcy pozyskanie informacji w zakresie niezbędnym i adekwatnym do celu tego pozyskania.

Kolejnym istotnym elementem warunkującym legalność tego działania jest   poinformowanie pracownika o podjęciu monitorowania. Informacja ta może być zawarta np. w regulaminie pracy. Dobrą praktyką, stosowaną w organizacjach szczycących się wysoką kulturą ochrony prywatności pracowników, jest informowanie o sytuacjach, w których pracodawca będzie podejmował analizowanie utrwalonych nagrań czy też o okresie, przez który nagrania te będą przechowywane.

Podsumowując, monitorowanie pracowników musi być nie tylko legalne, ale również proporcjonalne do założonego celu, tak w przedmiocie samego jego zastosowania, jaki i co do wykorzystywanych przy tym technologii. Przykładem naruszania powyższych zasad jest praktyka niektórych pracodawców, polegająca na ewidencjonowaniu czasu pracy pracowników przy wykorzystaniu czytników biometrycznych, podczas gdy ewidencjonowanie to odbywać się może przy pomocy znacznie prostszych i nie ingerujących w tak intensywny sposób w prywatność osób narzędzi (np. obowiązek złożenia przez pracownika podpisu na liście obecności). Naruszanie ww. zasad nie zawsze jednak musi się wiązać z wykorzystaniem przez pracodawcę „nowych technologii”. Znacznie bardziej rażącym przykładem braku respektowania ww. zasad było zobowiązanie pracownic jednej z norweskich firm do noszenia czerwonych opasek w związku z cyklem menstruacyjnym, co pracodawca uzasadniał koniecznością badania przyczyn spadku wydajności pracy w związku z częstszym korzystaniem z toalety. W podobny sposób uzasadniano instalowanie w toaletach kamer użytkowych. Działania te pozostawały w oczywistej sprzeczności z prawem pracowników do prywatności i godności.

Kilka uwag należy także poświęcić przywołanym powyżej zagadnieniom biometrii. Techniki biometryczne stanowią bowiem drastyczną ingerencję w sferę prywatności pracownika i rodzą zagrożenia, z których istnienia nie tylko osoba, której dane dotyczą, lecz także współczesne społeczeństwo, nie może zdawać sobie w sposób zupełny sprawy. Dynamiczny rozwój technologii sprawia bowiem, że przewidywania dotyczące skutków działań podejmowanych dziś, pozostają niedoszacowane. Bezsprzecznym jest jednak, iż danych biometrycznych nie można zmienić. Informacja biometryczna o osobie, udostępniona  w bezrefleksyjny sposób, może okazać się niemożliwą do usunięcia. Stąd też liczne apele organu do spraw ochrony danych osobowych o chronienie swojej prywatności.

Bardzo często urządzenia biometryczne są wykorzystywane przez pracodawców w celu uwierzytelniania tożsamości pracowników. Proces ten odbywa się za pomocą cech fizjologicznych, jak m.in. odcisk palca, obraz tęczówki oka, bądź cech behawioralnych, jak m.in. podpis odręczny czy barwa głosu. Uwierzytelnianie w większości przypadków następuje w związku z koniecznością zapewnienia bezpieczeństwa przy realizowaniu dostępu do obszarów szczególnie chronionych. Pojawia się jednak także, kwestionowana przez organ ochrony danych osobowych, tendencja do ewidencjonowania czasu pracy pracowników za pomocą tych technik. Jak już wspomniałam, działanie takie pozostaje w sprzeczności z zasadą adekwatności przetwarzania danych osobowych. W podobnym tonie wypowiedział się Naczelny Sąd Administracyjny wskazując, że „wyrażona na prośbę pracodawcy pisemna zgoda pracownika, na pobranie i przetworzenie jego [biometrycznych] danych osobowych, narusza prawa pracownika i swobodę wyrażenia przez niego woli. Za tak sformułowanym stanowiskiem przemawia zależność pracownika od pracodawcy. Brak równowagi w relacji pracodawca pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych.). […] W przyjętym przez Grupę [Grupa Robocza Art. 29] w dniu 1 sierpnia 2003 r. dokumencie roboczym w sprawie Biometrii przyjęto jako niezbędną zasadę proporcjonalności i legalności. Oznacza to, że ryzyko naruszenia swobód i fundamentalnych praw obywatelskich musi być proporcjonalne do celu, któremu służy. Skoro zasada proporcjonalności wyrażona w art. 26 ust. 1 pkt. 3 ustawy o ochronie danych osobowych jest głównym kryterium przy podejmowaniu decyzji dotyczących przetwarzania danych biometrycznych, to stwierdzić należy, że wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników zatrudnionych w L. sp. z o.o. jest nieproporcjonalne do zamierzonego celu ich przetwarzania” (Wyrok Naczelnego Sądu Administracyjnego z dnia 1 grudnia 2009 r., sygn. akt I OSK 249/09).

Podsumowując, w mojej ocenie fundamentalnym problemem przy korzystaniu z biometrii jest brak w polskim porządku prawnym aktu prawa odnoszącego się w sposób kompleksowy do tego zagadnienia. Pomimo więc dostarczania przez rynek coraz to bardziej zaawansowanych technologicznie rozwiązań służących nadzorowaniu, niedostarczenie przez ustawodawcę aktów prawnych regulujących wprost korzystanie z tych technologii powoduje chaos przy ich definiowaniu i stosowaniu. Pracodawcy decydujący się na zastosowanie tych technik w ramach swoich organizacji powinni – analogicznie jak przy stosowaniu pozostałych „nowych technologii” – pamiętać o konieczności zapewnienia ww. zasady legalności i adekwatności. Korzystając z dobrodziejstw pojawiających się na rynku technologii nie należy zapominać o potrzebie zapewnienia pracownikowi prawa do prywatności oraz o zagrożeniach bezpieczeństwa związanych ze stosowaniem identyfikacji biometrycznej.

 Autor: Marta Bargiel – Kaflik

About Redakcja 320 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.