Rozmowa z DR EDYTĄ BIELAK-JOMAĄ, generalnym inspektorem ochrony danych osobowych.
W DGP nr 92/2015 zwracaliśmy uwagę na rekomendację Rady Europy CM/REC (2015) dotyczącą ochrony danych osobowych pracowników. Eksperci mieli podzielone zdania co do tego, czy bardziej szczelna ochrona tych danych jest w polskim prawie konieczna. Czy Polska musi więc wprowadzić zalecenia do systemu prawnego?
Rekomendacje Komitetu Ministrów Rady Europy są uchwałami organizacji międzynarodowej zawierającymi standardy zachowania oczekiwanego od państw członkowskich i wzorce postępowania służące ochronie praw i wolności. Ich rolą nie jest tworzenie zobowiązań w dziedzinie ochrony praw człowieka, toteż ich treść nie ma charakteru prawnie wiążącego.
Rekomendacji CM/REC (2015) 5 Komitetu Ministrów RE należy przypisać funkcję sygnalizacyjną – poprzez wskazanie konkretnych zagrożeń – i harmonizującą, tworzącą system wspólnych wartości dotyczących ochrony danych osobowych przetwarzanych dla celów zatrudnienia.
Warto jednak zaznaczyć, że z obecnie obowiązujących w Polsce przepisów można wywieść kilka zasad, które pokrywają się ze wskazówkami Rady Europy.
Przykład?
Dobrym przykładem jest kwestionowana przez GIODO praktyka polegająca na zbieraniu przez pracodawców danych biometrycznych pracowników dla celów związanych z zatrudnieniem, jak chociażby sprawdzanie czasu pracy. GIODO wskazywał, że w świetle art. 221 ustawy z 26 czerwca 1974 r. – Kodeks pracy (t.j. Dz.U. z 2014 r. poz. 1502 ze zm.) przetwarzanie tego typu danych dla wskazanego celu nie znajduje podstaw prawnych. Zaznaczał jednak, że nie wyklucza to wykorzystywania danych biometrycznych pracowników dla innych, uzasadnionych celów administratora danych, jak chociażby kontrola wstępu do strategicznych pomieszczeń w firmie, np. serwerowni czy skarbca. Dlatego przy wykorzystywaniu tego typu danych istotne jest uwzględnienie zasad ochrony danych, jak np. zasady adekwatności.
W zaleceniach w pkt 9.2 wskazano też, że zgodnie z prawem krajowym pracownikowi lub osobie starającej się o pracę mogą być zadane pytania dotyczące jej/jego stanu zdrowia oraz/lub mogą być przeprowadzone badania medyczne jedynie w celu:
● określenia zdolności dla obecnego lub przyszłego zatrudnienia,
● wypełnienia wymogów profilaktyki zdrowotnej,
● zagwarantowania odpowiedniej rehabilitacji lub zapewniania zgodności z jakimikolwiek innymi wymogami środowiska pracy,
● ochrony żywotnych interesów osoby, której dane dotyczą, lub innych pracowników i jednostek,
● umożliwienia przyznania świadczeń socjalnych,
● wypełnienia procedur sądowych.
Czy na gruncie prawa polskiego jest to w ogóle możliwe? Przecież kodeks pracy wyraźnie w art. 221 wskazuje, jakich informacji pracodawca może domagać się od kandydata do pracy i pracownika.
Art. 221 ust. 2 i 4 kodeksu pracy przesądza, że pracodawca ma prawo żądać od pracownika podania m.in. innych jego danych osobowych, jeżeli jest to konieczne ze względu na korzystanie przez niego ze szczególnych uprawnień przewidzianych w prawie pracy lub jeżeli obowiązek ich podania wynika z odrębnych przepisów. Mogą się więc zdarzać sytuacje, w których pracodawca będzie miał prawo dostępu do danych o stanie zdrowia pracownika. Przykładowo art. 15 i 19 ustawy z 27 sierpnia 1997 r. o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych stanowią m.in., że czas pracy osoby niepełnosprawnej zaliczonej do znacznego lub umiarkowanego stopnia niepełnosprawności nie może przekraczać 7 godzin na dobę i 35 godzin tygodniowo. Wskazują, że osoba niepełnosprawna nie może być zatrudniona w porze nocnej i w godzinach nadliczbowych. Przesądzają też, że osobie o znacznym lub umiarkowanym stopniu niepełnosprawności przysługuje dodatkowy urlop wypoczynkowy w wymiarze 10 dni roboczych w roku kalendarzowym, a prawo do pierwszego urlopu dodatkowego osoba ta nabywa po przepracowaniu jednego roku po dniu zaliczenia jej do jednego z tych stopni niepełnosprawności.
Zatem żeby pracownik mógł skorzystać z powyższych uprawnień, pracodawca musi poznać stan zdrowia pracownika, tj. wiedzieć, że pracownikowi wydano orzeczenie o niepełnosprawności i jaki jest jego stopień.
W jakim więc zakresie rekomendacja nas obowiązuje?
Mimo braku formalnej mocy prawnej rekomendacja powinna być przez rząd RP należycie respektowana, gdyż Polska w chwili przystąpienia do Rady Europy została związana statutem tej organizacji. Rekomendacja jako przykład miękkiego prawa, wprowadzając pewien standard ochrony, zobowiązuje państwa członkowskie do podjęcia działań zmierzających do wdrożenia zawartych w niej zaleceń. Niemniej jednak to od ich decyzji zależy wybór sposobu, w jaki tego dokonają. Pełne wdrożenie rekomendacji może się wiązać ze zmianami przepisów prawa, gdyż dokument ten powinien być pewnym punktem odniesienia dla ustawodawcy. Ale nawet wtedy, gdy bezpośrednio nie dochodzi do zmian prawa krajowego, rekomendacja powinna być brana pod uwagę przy jego interpretacji.
To wskazanie Rady Europy należy odczytywać jako oczekiwany standard, który powinien obowiązywać w przepisach regulujących przetwarzanie danych osobowych w sektorze zatrudnienia. GIODO, realizując swój ustawowy obowiązek kontroli zgodności obowiązujących w Polsce przepisów z zasadami ochrony danych osobowych, będzie z pewnością używał tego prawnego instrumentu Rady Europy. Pomocny on będzie szczególnie w sytuacjach, kiedy ustawowe prawa pracownika do ochrony danych osobowych i prywatności nie będą przestrzegane.
Czy któreś z zaleceń są priorytetowe?
Wszystkie zawarte w rekomendacji zalecenia powinny być bez wyjątku traktowane przez Polskę jako standard obowiązujący państwa członkowskie Rady UE. Przy czym, tak jak wspomniałam, część z nich już znajduje odzwierciedlenie w obowiązujących w Polsce przepisach prawa.