Windykacja roszczeń a… licencja GIODO?

Bank Sign over Entrance Door in Black and White Sepia Tone

Jakiś czas temu, przeglądając Internet w poszukiwaniu informacji dotyczących ochrony danych osobowych, natknąłem się na artykuł na temat outsourcingu zarządzania wierzytelnościami[1], w którym autor wskazuje w jaki sposób należy prawidłowo budować proces zarządzania obsługą wierzytelności w przedsiębiorstwie.

Biorąc pod uwagę fakt, że ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r., poz. 1182), zwana dalej ustawą, nie odnosi się w szczególny sposób do kwestii monitorowania, po stronie orzecznictwa i doktryny leżał ciężar dokonania wykładni jej przepisów pod kątem przedmiotowego zagadnienia. Analizując problematykę kolizji prawa pracownika do prywatności a kompetencji pracodawcy do kontroli pracy pracownika, Naczelny Sąd Administracyjny w jednym z najbardziej istotnych wyroków dotyczących tej kwestii wskazał, że „monitoring musi spełniać wymogi zgodności z prawem, usprawiedliwionego celu, proporcjonalności, transparentności oraz uwzględnienia przepisów o ochronie danych osobowych. Wymóg transparentności oznacza, że pracownicy powinni mieć świadomość, że są poddawani monitoringowi. Pracodawca winien zatem szczegółowo określić zasady monitoringu i zapoznać z nimi pracowników, którzy fakt zapoznania się powinni potwierdzić stosownym podpisanym oświadczeniem o ich akceptacji” (Wyrok Naczelnego Sądu Administracyjnego z dnia 13 lutego 2014 r.; sygn. akt I OSK 2436/12; oddalający skargę kasacyjną od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 6 czerwca 2012 r., sygn. akt II SA/Wa 453/12, CBOSA).

Próbując zatem zastosować w praktyce powyższe wytyczne Sądu, administratorzy danych noszący się z zamiarem wprowadzenia w swoich organizacjach monitorowania pracowników powinni wyjść z ogólnego założenia o równości stron stosunku pracy, a przy kolizji prawa pracownika do prywatności z prawem pracodawcy do kontrolowania pracy, prymat przyznać temu pierwszemu. Pracodawca decyzję o wprowadzeniu rozwiązań technologicznych służących monitorowaniu pracownika powinien więc poprzedzić rozważeniem czy monitorowanie odbywać się będzie z poszanowaniem zasady proporcjonalności i adekwatności. Innymi słowy, należy rozważyć czy wyników monitorowania dostarczonych za pomocą konkretnego narzędzia monitorującego nie da się uzyskać w inny sposób pozwalający na mniejszą ingerencję w prywatność pracownika, niż zakłada to użycie tego narzędzia. Trzeba więc dokonać wyboru takiego rozwiązania lub technologii, które zapewni pracodawcy pozyskanie informacji w zakresie niezbędnym i adekwatnym do celu tego pozyskania.

Kolejnym istotnym elementem warunkującym legalność tego działania jest   poinformowanie pracownika o podjęciu monitorowania. Informacja ta może być zawarta np. w regulaminie pracy. Dobrą praktyką, stosowaną w organizacjach szczycących się wysoką kulturą ochrony prywatności pracowników, jest informowanie o sytuacjach, w których pracodawca będzie podejmował analizowanie utrwalonych nagrań czy też o okresie, przez który nagrania te będą przechowywane.

Podsumowując, monitorowanie pracowników musi być nie tylko legalne, ale również proporcjonalne do założonego celu, tak w przedmiocie samego jego zastosowania, jaki i co do wykorzystywanych przy tym technologii. Przykładem naruszania powyższych zasad jest praktyka niektórych pracodawców, polegająca na ewidencjonowaniu czasu pracy pracowników przy wykorzystaniu czytników biometrycznych, podczas gdy ewidencjonowanie to odbywać się może przy pomocy znacznie prostszych i nie ingerujących w tak intensywny sposób w prywatność osób narzędzi (np. obowiązek złożenia przez pracownika podpisu na liście obecności). Naruszanie ww. zasad nie zawsze jednak musi się wiązać z wykorzystaniem przez pracodawcę „nowych technologii”. Znacznie bardziej rażącym przykładem braku respektowania ww. zasad było zobowiązanie pracownic jednej z norweskich firm do noszenia czerwonych opasek w związku z cyklem menstruacyjnym, co pracodawca uzasadniał koniecznością badania przyczyn spadku wydajności pracy w związku z częstszym korzystaniem z toalety. W podobny sposób uzasadniano instalowanie w toaletach kamer użytkowych. Działania te pozostawały w oczywistej sprzeczności z prawem pracowników do prywatności i godności.

Kilka uwag należy także poświęcić przywołanym powyżej zagadnieniom biometrii. Techniki biometryczne stanowią bowiem drastyczną ingerencję w sferę prywatności pracownika i rodzą zagrożenia, z których istnienia nie tylko osoba, której dane dotyczą, lecz także współczesne społeczeństwo, nie może zdawać sobie w sposób zupełny sprawy. Dynamiczny rozwój technologii sprawia bowiem, że przewidywania dotyczące skutków działań podejmowanych dziś, pozostają niedoszacowane. Bezsprzecznym jest jednak, iż danych biometrycznych nie można zmienić. Informacja biometryczna o osobie, udostępniona  w bezrefleksyjny sposób, może okazać się niemożliwą do usunięcia. Stąd też liczne apele organu do spraw ochrony danych osobowych o chronienie swojej prywatności.

Bardzo często urządzenia biometryczne są wykorzystywane przez pracodawców w celu uwierzytelniania tożsamości pracowników. Proces ten odbywa się za pomocą cech fizjologicznych, jak m.in. odcisk palca, obraz tęczówki oka, bądź cech behawioralnych, jak m.in. podpis odręczny czy barwa głosu. Uwierzytelnianie w większości przypadków następuje w związku z koniecznością zapewnienia bezpieczeństwa przy realizowaniu dostępu do obszarów szczególnie chronionych. Pojawia się jednak także, kwestionowana przez organ ochrony danych osobowych, tendencja do ewidencjonowania czasu pracy pracowników za pomocą tych technik. Jak już wspomniałam, działanie takie pozostaje w sprzeczności z zasadą adekwatności przetwarzania danych osobowych. W podobnym tonie wypowiedział się Naczelny Sąd Administracyjny wskazując, że „wyrażona na prośbę pracodawcy pisemna zgoda pracownika, na pobranie i przetworzenie jego [biometrycznych] danych osobowych, narusza prawa pracownika i swobodę wyrażenia przez niego woli. Za tak sformułowanym stanowiskiem przemawia zależność pracownika od pracodawcy. Brak równowagi w relacji pracodawca pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych.). […] W przyjętym przez Grupę [Grupa Robocza Art. 29] w dniu 1 sierpnia 2003 r. dokumencie roboczym w sprawie Biometrii przyjęto jako niezbędną zasadę proporcjonalności i legalności. Oznacza to, że ryzyko naruszenia swobód i fundamentalnych praw obywatelskich musi być proporcjonalne do celu, któremu służy. Skoro zasada proporcjonalności wyrażona w art. 26 ust. 1 pkt. 3 ustawy o ochronie danych osobowych jest głównym kryterium przy podejmowaniu decyzji dotyczących przetwarzania danych biometrycznych, to stwierdzić należy, że wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników zatrudnionych w L. sp. z o.o. jest nieproporcjonalne do zamierzonego celu ich przetwarzania” (Wyrok Naczelnego Sądu Administracyjnego z dnia 1 grudnia 2009 r., sygn. akt I OSK 249/09).

Podsumowując, w mojej ocenie fundamentalnym problemem przy korzystaniu z biometrii jest brak w polskim porządku prawnym aktu prawa odnoszącego się w sposób kompleksowy do tego zagadnienia. Pomimo więc dostarczania przez rynek coraz to bardziej zaawansowanych technologicznie rozwiązań służących nadzorowaniu, niedostarczenie przez ustawodawcę aktów prawnych regulujących wprost korzystanie z tych technologii powoduje chaos przy ich definiowaniu i stosowaniu. Pracodawcy decydujący się na zastosowanie tych technik w ramach swoich organizacji powinni – analogicznie jak przy stosowaniu pozostałych „nowych technologii” – pamiętać o konieczności zapewnienia ww. zasady legalności i adekwatności. Korzystając z dobrodziejstw pojawiających się na rynku technologii nie należy zapominać o potrzebie zapewnienia pracownikowi prawa do prywatności oraz o zagrożeniach bezpieczeństwa związanych ze stosowaniem identyfikacji biometrycznej.

Autor: Marcin Cwener

About Redakcja 310 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.