Igor Kowalewski
Sprawozdanie z Wiosennej Konferencji Europejskich Komisarzy Ochrony Danych Osobowych. 10 - 11 maja 2001 r., Ateny
SESJA 3 - OCHRONA DANYCH PRACOWNIKÓW - (Protection of workers' data)
[Spis treści]
Dr Joahim Jacob, niemiecki Komisarz Federalny, w swoim wystąpieniu przedstawił stan ochrony danych pracowników w Niemczech. Prelegent podkreślił, że w ustawodawstwie niemieckim pojawiły się przepisy regulujące kwestie ochrony danych pracowników (po długim okresie, w którym rozstrzygnięcia opierały się na niezbyt przejrzystym prawie precedensowym). Pan Jacob stanął na stanowisku, zgodnie z którym pracodawca nie może zbyt szeroko kontrolować pracownika. Za absolutnie niedopuszczalne uznał zbieranie danych osobowych pracownika bez jego wiedzy [secret collection of data]. Pracownik powinien być każdorazowo jasno poinformowany o zakresie i celu gromadzenia i przetwarzania danych. Decydujące znaczenie w tym przypadku będzie miał fakt, czy dane zbierane są od pracownika, czy też z innego źródła. Prelegent stwierdził również, iż z dane wrażliwe, z uwagi na ich szczególny charakter powinny być przechowywane w osobnych zbiorach.
Następnie głos zabrała dr Lilian Mitrou, członek greckiego organu ochrony danych osobowych, przedstawiając projekt regulacji dotyczącej ochrony danych pracowników. Grecka ustawa o ochronie danych osobowych 2472/97 wprowadziła system powszechnego obowiązku zgłaszania zbiorów danych do rejestracji ( zarówno następczego -po zebraniu danych, jak i wstępnego, w przypadku danych wrażliwych). Ostatnio proponowane zmiany, które zostaną przyjęte przez Parlament w przyszłym tygodniu wyraźnie wskazują, że
powyższy obowiązek dotyczy przetwarzania danych osobowych zarówno w sektorze publicznym, jak i prywatnym.
Pomimo, iż ustawa nie zawiera postanowień odnoszących się wprost do przetwarzania danych osobowych w związku z zatrudnieniem, grecki organ ochrony danych wydał szereg decyzji dotyczących:
- przechowywania i wykorzystywania danych medycznych i socjalnych pracowników
- przechowywania i wykorzystywania danych pracowników dotyczących skazania
- wykorzystywania metod biometrycznych umożliwiających uzyskanie dostępu do pomieszczeń w miejscu pracy
- nadzoru miejsca pracy z wykorzystaniem technik video
Tego rodzaju sektorowe podejście do kwestii ochrony danych pracowników wynika przede wszystkim z niewystarczającej ochrony tych danych na podstawie przepisów ogólnych. Organ ochrony danych osobowych stoi na stanowisku, że zgoda, jako podstawa prawna legalności przetwarzania danych pracowników jest kwestią dyskusyjną w sferze stosunków pracowniczych.
W związku z powyższym organ ochrony danych został wyposażony w określone uprawnienia mające charakter środków interwencyjnych:
- ustanawianie szczególnych zasad dotyczących określonych kategorii przetwarzania danych, które nie wpływają na ograniczenie praw i wolności podmiotów danych
- możliwość ustanawiania kodeksów etycznych przetwarzania danych, które mają zapewnić ochronę prywatności, praw i wolności osób w określonej sferze ich aktywności zawodowej
- możliwość wydawania rekomendacji i instrukcji dla administratorów danych
Zatem przyjęty został model tzw. "trzeciej drogi" oparty na rekomendacjach, które nie posiadają mocy prawnej sensu stricte, a stanowią raczej "soft law". Generalne reguły dotyczące ochrony danych osobowych znajdują zatem zastosowanie w przypadku przetwarzania danych pracowniczych jednakże z uwzględnieniem specyfiki sektora zatrudnienia.
Ogólna charakterystyka projektowanej regulacji:
- Zakres zastosowania: przetwarzanie danych pracowników w sektorze publicznym i prywatnym dotyczących nie tylko aktualnego zatrudnienia, ale również procedur rekrutacyjnych i przetwarzania tych danych po wygaśnięciu stosunku pracy.
- Przejrzystość celu przetwarzania: prawo stanowi, że przetwarzanie musi być ściśle ograniczone do niezbędnych danych, pozostających w bezpośrednim związku z obecnym lub przyszłym stosunkiem zatrudnienia. Cel musi być z góry ściśle określony i podany do wiadomości pracownika
- Ponowne wykorzystanie danych [secondary use]: jest wyłączone, i uznane za niezgodne z prawem, nawet wówczas, gdy podmiot danych wyraził formalnie zgodę (praktyka często stosowana przez pracodawców, polegająca na rozsyłaniu danych pracowników do firm marketingowych, instytucji ubezpieczeniowych itp.)
- Gromadzenie danych: co do zasady pracownik musi być pierwotnym źródłem wszelkich danych gromadzonych przez pracodawcę. Otrzymywanie informacji od osób trzecich jest dopuszczalne jedynie w przypadku wyraźnie wyrażonej zgody pracownika.
- Dane wrażliwe: prawo greckie co do zasady zakazuje przetwarzania danych wrażliwych. Pomimo to, gromadzenie pewnego rodzaju danych nie może być wyłączone. W przypadku danych o skazaniu, mogą być one gromadzone jedynie wówczas jeżeli pozostają w istotnym związku z określonym rodzajem zatrudnienia, i mogą być uzyskane jedynie od pracownika. Dane dotyczące stanu zdrowia mogą być gromadzone w celu stwierdzenia braku przeciwwskazań do pracy na określonym stanowisku. Pracownik jest jedynym źródłem danych o stanie zdrowia.
- Dane genetyczne/screening genetyczny: w opinii organu ochrony danych osobowych gromadzenie danych genetycznych rodzi duże ryzyko naruszenia praw pracownika. Wobec powyższego dane tego rodzaju mogą być gromadzone i przetwarzane jedynie na podstawie pisemnej zgody pracownika.
- Stosowanie metod biometrycznych: jest dopuszczalne jedynie wówczas, gdy jest to absolutnie niezbędne w celu wypełnienia szczególnych wymagań bezpieczeństwa dostępu do pomieszczeń w miejscu pracy.
- Monitorowanie: jest zasadniczo zabronione. Dopuszczalne tylko w szczególnych sytuacjach uzasadnionych charakterem pracy i jedynie po uprzednim poinformowaniu pracownika o fakcie monitorowania. Kontrolowanie dostępu pracowników do Internetu jest również dopuszczalne wyjątkowo, gdy jest niezbędne do zapewnienia uzasadnionego interesu pracodawcy, i jedynie, gdy pracownik zostanie z góry powiadomiony o prowadzeniu monitorowania. Zastosowanie innego rodzaju technicznych metod nadzoru miejsca pracy jest prawnie uzasadnione gdy przewidują tak wymogi bezpieczeństwa miejsca pracy, pracowników, towarów. Ciągły, bezpośredni monitoring jest dopuszczalny wyjątkowo, pod warunkiem, że jest to niezbędne dla zapewnienia zdrowia i bezpieczeństwa pracowników oraz bezpieczeństwa miejsca pracy. Jakakolwiek zgromadzona tą drogą informacja nie może być wykorzystana przeciwko pracownikowi bez uprzedniego poinformowania go o tym fakcie.
- Przetwarzanie danych osobowych: projektowana rekomendacja wymaga, aby dane o stanie zdrowia przechowywane były w osobnym zbiorze, a dostęp do nich miały jedynie osoby upoważnione.
- Prawa pracownika: w celu umożliwienia lub ułatwienia pracownikowi dostępu do jego danych, organ ochrony danych osobowych przewiduje możliwość pomocy specjalisty lub przedstawiciela pracowników dotyczącej wykonywania swoich praw.
Następnie głos zabrał pan Giovanni Buttarelli, sekretarz generalny włoskiego organu ochrony danych osobowych. Prelegent poruszył niezwykle ciekawy i aktualny ostatnio problem kontrolowania przez pracodawcę dostępu pracowników do poczty elektronicznej oraz stron internetowych w miejscu pracy. Podkreśla się, że pracodawcy mają prawo wymagać, aby ich pracownicy korzystali z tych narzędzi w sposób uczciwy, zgodny z prawem i wyłącznie w zakresie wykonywania swoich obowiązków. Z drugiej strony należy zbadać, czy nie mamy w tym przypadku do czynienia z ograniczeniem prawa do prywatności.
Niektórzy pracodawcy wprowadzają szczególne wewnętrzne regulaminy korzystania z poczty elektronicznej i Internetu, powiadamiając pracowników o zamiarze prowadzenia ogólnej kontroli dotyczącej nawet zawartości (treści) wiadomości e-mailowych pracownika. Można zastanawiać się, czy tego rodzaju działanie stanowi naruszenie tajemnicy korespondencji pracownika. Powstaje jednak równocześnie pytanie, czy elektroniczna korespondencja przychodząca do miejsca pracy należy do pracodawcy, czy do pracownika. Włoski organ ochrony danych zebrał informacje dotyczące omawianej kwestii z wielu krajów europejskich. Wyniki wykazały, że istnieją pewne wątpliwości dotyczące interpretacji zasad ochrony danych osobowych zawartych w Konwencji Nr 108 Rady Europy i Dyrektywie 95/46/EC, które mogłyby znaleźć odpowiednie zastosowanie do ochrony prywatności pracownika korzystającego z poczty elektronicznej i dostępu do stron www. Prelegent zaapelował w związku z powyższym o wyrażenie opinii w omawianej kwestii, w celu wypracowania jak najlepszego rozwiązania, w jak najkrótszym czasie. Rezultaty prac zostaną następnie przesłane do specjalnej podgrupy wyodrębnionej w ramach Grupy Roboczej Art. 29 zajmującej się kwestiami ochrony danych w sektorze zatrudnienia ( w tym również problematyką korzystania z poczty elektronicznej w miejscu pracy). Pan Buttarelii przedstawił kwestionariusz dotyczący czterech głównych grup zagadnień, który zostanie przesłany wkrótce do poszczególnych europejskich organów ochrony danych osobowych:
- kwestie dotyczące zatrudnienia i związków zawodowych, które powinny być wzięte pod uwagę pomimo, iż są jedynie pośrednio związane z ochroną danych osobowych
- przepisy międzynarodowych i europejskich uregulowań, które mogą znaleźć zastosowanie (Europejska Konwencja Praw Człowieka, Karta Podstawowych Praw Unii Europejskiej, Konwencja Nr 108 Rady Europy, odpowiednie rekomendacje i dyrektywy) oraz przepisy prawa krajowego (konstytucja, ustawa o ochronie danych osobowych, ustawy prawno-karne), ważne decyzje sądów krajowych i organów ochrony danych osobowych
- pogląd włoskiego organu dotyczący wpływu zasad ochrony danych osobowych w sektorze zatrudnienia (zasada adekwatności, celowości) z uwzględnieniem charakteru zatrudnienia.
- proponowane rozwiązania
Prelegent wyraził nadzieje, że wspólne wysiłki podjęte przez poszczególne organy ochrony danych przyniosą interesujące rozwiązania tej wyjątkowo problematycznej kwestii. Pan Marco Gasparinetti, administrator jednostki ochrony danych Komisji Europejskiej stwierdził, że przedstawiony powyżej problem dotyczy nie tylko prawa do prywatności pracowników, ale również nadawców poczty elektronicznej przesyłanej do pracownika, na służbowy adres e-mailowy. Pan Peter Hustinx, podkreślił, iż najlepszym rozwiązaniem problemu jest podjęcie dialogu między pracodawcą i pracownikami oraz uzyskanie konsensusu w tej kwestii. Zasady korzystania z poczty elektronicznej i Internetu powinny określać wewnętrzne regulaminy lub zarządzenia wskazujące, w jakim zakresie pracownicy mogą posługiwać się udostępnionymi narzędziami. Każdy pracownik powinien zostać zapoznany z treścią regulaminu i zaakceptować jego warunki.
