ODO. magazyn OCHRONA DANYCH OSOBOWYCH

(1)

magazyn

ODO OCHRONA DANYCH OSOBOWYCH

Dane osobowe w projektach unijnych [46]

Konflikt interesów przy wyznaczaniu IOD [63]

Kary administracyjne za monitoring budynków [72]

Numer 15 | kwiecień – czerwiec 2021 ISSN: 2544-4085

magazyn-o

Gdzie kończy się prawnie uzasadniony Gdzie kończy się prawnie uzasadniony interes pracodawcy, a gdzie zaczyna interes pracodawcy, a gdzie zaczyna inwigilacja pracowników?

inwigilacja pracowników?

(2)

PRENUMERATA

DRUKOWANA

258,12 PLN

(w tym 8% VAT)

MAGAZYNU ODO

TELEFON

535 538 934

Koszt według stawki operatora

E-MAIL

biuro@mustreadmedia.pl

STRONA

www.magazyn-odo.pl/prenumerata

JAK ZAMÓWIĆ?

Wybierz jeden z 3 sposobów

DRUKOWANA

+ ELEKTRONICZNA

366,12 PLN

(w tym 8% VAT)

(3)

Redaktor naczelny Witold Jarzyński Redaktor prowadzący Kamil Kinas

Wydawca Must Read Media ul. Jugosłowiańska 15b/40 03-984 Warszawa

DTP: GroupMedia

Druk: Mazowieckie Centrum Poligrafii Zdjęcia: Adobe Stock

BEZPIECZEŃSTWO DANYCH

Marta Zawieracz

Transfery międzynarodowe według wytycznych niemieckiego organu nadzorczego /2

ODO W FIRMIE

Piotr Czubaty

Inne formy monitoringu w kodeksie pracy na gruncie RODO /7 Agnieszka Rapcewicz, CIPP/E

Gdzie kończy się prawnie uzasadniony interes pracodawcy, a gdzie zaczyna inwigilacja pracowników? /10 Anna Dmochowska

Ochrona danych osobowych w procesie whistleblowingu /15

PRAWO

Aleksandra Klich, apl. radc. Bartosz Skrendo

Świadczenie obsługi prawnej a zawieranie umów powierzenia /18 Jan Komosa

Numer PESEL w kontekście RODO /24 Michał Sztąberek

COVID a RODO /32 Daniel Trędkiewicz

Weryfikacja tożsamości na podstawie skanu dowodu osobistego przez podmioty świadczące usługi drogą elektroniczną /35

Martyna Gosz

Sprawa Morele.net – jakie wnioski z decyzji UODO i wyroku WSA? /39 Ewa Małgorzata Kornacka

Czy Twój likwidator szkód buntuje się, że nie musi znać RODO? /43 Magdalena Czaplińska

Dane osobowe w projektach unijnych /46 Aneta Sieradzka

RODO w dokumentacji medycznej /52 Piotr Liwszic

Wnioski ze sprawozdania Prezesa UODO za 2019 r. /57 Piotr Czubaty

Konflikt interesów przy wyznaczaniu IOD /63 Bartosz Migas

Zgoda a system kontroli przetwarzania danych osobowych /66 Aleksandra Piotrowska-Marzęta

Co z tymi plikami cookies? /72

2

13

27

ODO

OCHRONA DANYCH OSOBOWYCH

(4)

16 lipca 2020 r. wyrok Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie Schrems II (Sprawa C-311/18) utrudnił wielu organizacjom przekazującym dane do USA dotychczasowy sposób prowadzenia biznesu. Tarcza prywatności (Privacy Shield), która do tego momentu była powszechnym mechanizmem legalizującym transfery na linii UE-US, przestała funkcjonować i zmusiła do poszukiwania innych rozwiązań. Dodatkowo, podważone zostały standardowe klauzule umowne, które wcześniej uznawane były za najbardziej elastyczny mechanizm bezpieczeństwa wskazywany przez artykuł 46 RODO.

Czy jednak była to decyzja zaskakująca? Być może dla tych, którzy tak wielką wiarę pokładali w organizacyjnych mechanizmach bezpieczeństwa.

W związku z taką wykładnią podmioty realizujące transfery danych poza Europejski Obszar Gospodar- czy (EOG) zostały postawione przed koniecznością indywidualnej oceny każdego przypadku. Jednym z pierw- szych organów nadzorczych, który opracował wytyczne w tym zakresie, był niemiecki urząd – Der Lan- desbeauftragte für den Datenschutz und die Informationsfreiheit Baden- -Württemberg.

W dokumencie „Daten nützen – Da- ten schützen”, oprócz ogólnego opisu sytuacji prawnej po wyroku TSUE, można znaleźć również konkretną instrukcję dla podmiotu przekazu- Marta Zawieracz

Ekspert w obszarze bezpieczeństwa informacji i ochrony danych osobowych, z szerokim doświadczeniem we współpracy z organizacjami z sektora ICT, ubezpieczeniowego, transportowego, energetycznego, finansowego, administracji rządowej.

CISA, CIPP/E, Audytor normy ISO/IEC 27001 i ISO/

IEC 27701, wdrożeniowiec, trener.

Transfery międzynarodowe

według wytycznych niemieckiego organu nadzorczego

W praktyce sprawa Schrems II rzuciła światło na dwa istotne fakty:

1. Prawo amerykańskie, poprzez akty takie jak: Foreign Intelligence Surveillance Act 1978 (FISA), pre- zydenckie akty normatywne do- tyczące bezpieczeństwa publicznego – Executive Order z 1981 r.

(nr 12333) oraz Presidential Po- licy Directive 28 z 2014 r. (PPD- 28) dopuszcza szeroki dostęp do danych osobowych przez amery- kańską administrację, zaś przepisy te, często nie przewidują żad- nych skutecznych środków odwo- ławczych służących obywatelom Unii Europejskiej.

2. Podpisanie standardowych klauzul umownych, zgodnych ze wzo- rem opublikowanym przez Komi- sję Europejską, jest samo w sobie mechanizmem niewystarczają- cym, ponieważ nie odnosi się do przedmiotu danego transferu (wrażliwości i ilości przekazywanych danych), sytuacji w pań- stwie trzecim, w tym panującego w nim systemu prawnego (poszanowania praworządności, praw człowieka i podstawowych wol- ności), a także nie wymusza im- plementacji mechanizmów technicznych, które w sposób fak- tyczny mogłyby zabezpieczyć dane osobowe.

(5)

jącego dane (eksportera danych), wskazującą na następujący schemat działania:

1. Zidentyfikuj wszystkie przypadki, w których przekazujesz dane osobowe do krajów trzecich. Należy przy tym pamiętać, że transfer danych to nie tylko sytuacja, w któ- rej dokonujemy fizycznego przekazania nośnika danych, ale także uzyskanie zdalnego dostępu do danych, również w ramach świadcze- nia usług wsparcia technicznego.

Sprawdź, czy w stosunku do danego kraju Komisja Europejska wy- dała pozytywną decyzje na mocy art. 45 RODO.

2. Zaktualizuj rejestr czynności przetwarzania oraz treść oświadczeń, które przekazujesz osobom, któ- rych dane są przetwarzane, w ramach spełnienia obowiązku informacyjnego, aby w transparentny sposób powiadomić o tym gdzie przekazywane są ich dane, jaki mechanizm transferu będzie sto- sowany i jakie zabezpieczenia zo- stały w związku z tym podjęte.

3. Skontaktuj się ze wszystkimi podmiotami przetwarzającymi, które nadal przekazują dane osobowe do Stanów Zjednoczonych na mocy Tarczy Prywatności, aby natych- miast zawiesić wszystkie transfery

do czasu wypracowania alternatyw- nego mechanizmu przetwarzania lub przesyłania danych, zapewnia- jącego właściwą ochronę danych.

4. Przeanalizuj stan prawny w pań- stwie trzecim. Szczególną uwagę zwróć na:

– przepisy dotyczące ochrony danych osobowych,

– możliwość dostępu władz publicznych (w tym nadzór nad danymi przez służby wywiadowcze), – zabezpieczenia prawne, które

mogą być stosowane zarówno

(6)

przez podmiot przekazujący jak i odbierającego dane, a także przez osoby, których dane dotyczą, – orzecznictwo,

– oficjalną praktykę w państwie trzecim w zakresie ochrony danych.

Skorzystaj z informacji publikowanych przez Europejską Radę Ochrony Danych i odpowiednich organów nadzorczych w celu przeprowadzenia przeglądu prawnego.

5. Jeśli uniknięcie transferu danych jest niemożliwe skorzystaj ze standardowych klauzul umownych przyjętych przez Komisję Europej- ską (art. 46 ust. 2c RODO), wska- zując w nich dodatkowe środki ochrony, które zagwarantują bez- pieczeństwo danych.

6. Sprawdź, czy transfer jest reali- zowany na mocy wiążących reguł korporacyjnych (binding corpo- rate rules), zgodnie z art. 47 RODO.

Zwróć jednak uwagę, że ten mechanizm również może wyma- gać wprowadzenia dodatkowych gwarancji.

7. Zastanów się, czy przekazanie danych może być objęte wyjąt- kami w szczególnych sytuacjach, na podstawie informacji ujętych w art. 49 RODO, tj.:

a) osoba, której dane dotyczą, po- informowana o ewentualnym ryzyku wyraźnie wyraziła zgodę na transfer;

b) przekazanie jest niezbędne do wykonania umowy mię- dzy osobą, której dane doty- czą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowa- nych na żądanie osoby, której dane dotyczą;

c) przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;

d) przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;

e) przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;

f) przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą,

lub innych osób, jeżeli osoba, której dane dotyczą, jest fi- zycznie lub prawnie niezdolna do wyrażenia zgody; lub g) przekazanie następuje z reje-

stru, który zgodnie z prawem ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogą- cej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu okre- ślone w prawie Unii lub w prawie państwa członkowskiego.

(7)

8. Udokumentuj cały proces w celu zapewnienia rozliczalności, o któ- rej mowa w art. 5 ust. 2 RODO.

W kontekście rozliczalności organ żąda także, aby, w celu wykazania i udokumentowania swojej woli dzia- łania, skontaktować się z odbiorcą danych (importerem danych) i wprowa- dzić stosowne zmiany w standardowych klauzulach umownych. Propo- zycje tych modyfikacji to:

– Zmiana w klauzuli 4f: Informo- wanie osoby, której dane dotyczą, nie tylko w przypadku przekazy- wania danych szczególnych kategorii, ale także w przypadku każ-

dego przekazania (przed lub jak najszybciej po przekazaniu), że jej dane zostaną przekazane do pań- stwa trzeciego, które nie zapewnia odpowiedniego poziomu ochrony w rozumieniu RODO,

– Zmiana w klauzuli 5d (i): obowią- zek nałożony na importera danych do niezwłocznego poinformowa- nia nie tylko eksportera danych, ale także osoby, której dane doty- czą, o wszelkich prawnie wiążą- cych żądaniach organów ścigania o ujawnienie danych osobowych, – Uzupełnienie klauzuli 5d o zobo-

wiązanie odbierającego dane do

podjęcia kroków prawnych prze- ciwko ujawnieniu danych osobowych i powstrzymania się od ich ujawniania odpowiednim organom do czasu, gdy właściwy sąd ostatniej instancji nie nakaże im- porterowi danych ich ujawnienie, – Zmiana w klauzuli 5h: Importer

powinien być zobowiązany do po- informowania zarówno eksportera danych, jak i osoby, której dane dotyczą, o każdym nowym pod- procesorze (dalszym podmiocie przetwarzającym),

– Zmiana w klauzuli 6: Osoba, któ- rej dane dotyczą, może pociągnąć

(8)

zarówno eksportera, jak i importera danych do odpowiedzialności za każde naruszenie postanowień standardowych klauzul umownych przez importera lub jego podprocesora. Jeżeli osoba, któ- rej dane dotyczą, która poniosła szkodę w wyniku takiego naruszenia, jest uprawniona do uzyskania odszkodowania zarówno od eksportera, jak i importera danych, – Zawarcie zobowiązania importera

do zrekompensowania osobie, któ- rej dane dotyczą, szkód, do któ- rych doszło w wyniku uzyskania dostępu do informacji o tej osobie przez władze publiczne,

– Zastosowanie klauzuli rekom- pensaty określonej w załączniku nr 2, wskazującej, że jeżeli jedna ze stron zostanie pociągnięta do odpowiedzialności za naruszenie zapisów standardowych klauzul umownych, druga strona w zakresie, w jakim spowodowała naruszenie, zrekompensuje jej wszelkie koszty poniesione z tego tytułu.

W przypadku, gdy organom publicznym w państwie trzecim przysłu- gują uprawnienia wglądu do danych, unijny eksporter danych, w porozu- mieniu z ich importerem, powinien podjąć dodatkowe zabezpieczenia, aby poziom ochrony został uznany za odpowiedni. Po wyroku TSUE, w przypadku transferów do USA na- leży wziąć pod uwagę dwa dodatkowe mechanizmy:

– szyfrowanie, do którego klucz ma tylko podmiot przekazujący dane oraz nie może ono zostać złamane przez amerykańskie służby wywiadowcze;

– anonimizacja lub pseudonimi- zacja, w przypadku której tylko przekazujący dane może ponow- nie zidentyfikować dane.

Nie jest to jednak rozwiązanie uni- wersalne, zaś organ nadzorczy może nadal wstrzymać każdy transfer danych, który jego zdaniem nie zapewnia odpowiednich standardów ochrony danych przed interwen- cją organów publicznych państwa trzeciego.

Należy również zadać sobie pytanie, czy oprócz wybranego usługodawcy / partnera kontraktowego na rynku dostępne są inne podmioty, oferujące analogiczne usługi, w ramach któ- rych nie występują problemy z trans- ferem danych. Kluczowa wydaje się tutaj ocena organizacji czy wybrany usługodawca / partner kontraktowy jest niezastępowalny w krótkim lub średnim okresie czasu na taki podmiot, w przypadku którego transfer danych poza EOG w ogóle nie miałby miejsca lub gdzie byłby on legalizowany ustanowionymi przez RODO i niepodważalnymi mechanizmami bezpieczeństwa. Takie podejście może wymuszać konieczność opracowania przez organizację dokumentu typu Exit Plan, w którym przeprowa-

dzona zostanie analiza rynku i po- równanie podmiotów oferujących podobne usługi.

Jednocześnie urząd stwierdza, że swoje dalsze działania będzie opierał na zasadzie proporcjonalności. Ist- nieje jednak obawa, że tak jak przy innych wytycznych, w których organizacje samodzielnie dokonują analizy w wybranym zakresie, tak i w tym przypadku ocena takich działań bę- dzie obarczona dużą dozą subiektyw- ności przy ewentualnej kontroli organu nadzorczego.

Podejście niemieckiego urzędu na tle innych, znanych na ten moment wytycznych, jest dość restrykcyjne.

Z drugiej jednak strony jego zaletą jest możliwość uwzględnienia spe- cyfiki działalności organizacji, zakresu przekazywanych danych i wa- runków rynkowych. Aktualnie, dla podmiotów przekazujących dane, do- stępna jest już również rekomendacja w przedmiotowym zakresie Europej- skiej Rady Ochrony Danych (obecnie w fazie konsultacji).

Należy również zadać sobie pytanie, czy oprócz wybra- nego usługodawcy / partnera kontraktowego na rynku dostępne są inne podmioty, oferujące analogiczne usłu-

gi, w ramach których nie występują problemy z transfe- rem danych. Kluczowa wydaje się tutaj ocena organizacji

czy wybrany usługodawca / partner kontraktowy jest niezastępowalny w krótkim lub średnim okresie czasu na taki podmiot, w przypadku którego transfer danych poza EOG w ogóle nie miałby miejsca lub gdzie byłby on legalizowany ustanowionymi przez RODO i niepodwa- żalnymi mechanizmami bezpieczeństwa. Takie podejście

może wymuszać konieczność opracowania przez orga- nizację dokumentu typu Exit Plan, w którym przeprowa- dzona zostanie analiza rynku i porównanie podmiotów

oferujących podobne usługi.

(9)

Szerokie ramy prawne

Przetwarzanie danych osobowych pracowników odbywa się na podstawie przepisów kodeksu pracy oraz w oparciu o normy wyrażone w RODO, a także zgodnie z zasa- dami chroniącymi dobra osobiste oraz prywatność pracownika. Oczy- wiście, aktów prawnych jest o wiele więcej – ustawa o zakładowym fun- duszu świadczeń socjalnych, o pra- cowniczych planach kapitałowych i inne – ale na potrzeby niniejszych analiz zdecydowanie wystarczą kon- stytucyjne reguły poszanowania praw i wolności, unijne rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, no i kodeks pracy – rzecz jasna. A zagadnienie jest ciekawe, bo porusza jeden z niewielu aspektów relacji pracodawca – pracownik, który pozostał na tyle niesprecyzowany by dawać margines dywagacji.

Definicyjne ujęcie monitoringu

Zgodnie z definicją, jaką podaje PWN, monitoringiem należy określić stałą obserwację i kontrolę procesów lub zjawisk. Obowiązki pracownicze naj- częściej podlegają stałej kontroli i obserwacji – to zupełnie naturalny ele- ment tej relacji. Równie naturalną praktyką jest identyfikowanie konkretnych pracowników w oparciu o dane zbierane podczas takiego procesu – co z kolei stawia ten obszar w zasięgu zainteresowania RODO.

Spojrzenie praktyczne

Monitoring wizyjny w kontekście obowiązków na tle bezpieczeństwa danych osobowych to zagadnienie powszechnie i wielokrotnie podejmowane, a przy tym dość konkret- nie obwarowane przepisami. Wo- bec powyższego, nie występują w tej materii niedomówienia lub kontro-

wersje. Inaczej jest w przypadku na przykład monitoringu poczty służ- bowej pracownika, zapewne z uwagi na tak zwane „silne oczekiwanie pry- watności” – dość często wskazywany argument nawet w analizach podej- mowanych przez UODO. Najbardziej niedookreśloną (a tym samym – nie- pewną) materią są jednak wskazane w art. 22³ kodeksu pracy „inne formy monitoringu”. Powodem jest oczywi- ście otwarty kanon, który pracodawca może kształtować właściwie według uznania – przy zachowaniu ogólnych zasad i z zastrzeżeniem wyrażonym w art. 22³ par. 4 kodeksu pracy. Uza- sadnieniem dla tak nieprecyzyjnego przepisu jest oczywiście nieustanny rozwój technologii i rozwiązań, które są lub mogą w przyszłości być zastoso- wane przez organizacje, aby zapewnić dynamiczny rozwój – a więc są biz- nesowo uzasadnione, jeżeli tym samym nie naruszają praw i wolności Piotr Czubaty

Audytor, Inspektor Ochrony Danych, specjalista w obszarze bezpieczeństwa i kontroli wewnętrznej. Członek Stowarzyszenia Praktyków Ochrony Danych, certyfikowany audytor wewnętrzny ISO/IEC 27001. Doradca, trener i wykładowca z pasją.

Każda ingerencja w prywatność jest obarczona pewnego rodzaju ryzykiem – większym lub mniejszym – naruszenia praw i wolności osoby fizycznej. W przypadku wszelkich form monitoringu, sztuką jest idealne postawienie granicy na której stykają się owe prawa i wolności z prawnie uzasadnionym interesem pracodawcy, jaki leży u podstaw większości działań kontrolnych.

Inne formy monitoringu

w kodeksie pracy

na gruncie RODO

(10)

osób fizycznych i mieszczą się w zakresie celów wskazanych we wskaza- nym już art. 22³.

Bogactwo narzędzi kontroli

Ustawodawca – o ile pozostawił otwarty katalog możliwych form monitoringu – to wskazał na warunki jakie należy spełnić, aby ich zastosowanie można było uznać za legalne w świetle przepisów prawa pracy.

Zastrzeżenie jest jedno: rozwiązanie musi być „niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz wła- ściwego użytkowania udostępnionych pracownikowi narzędzi pracy”. Mo- nitoring poczty elektronicznej oraz wszelakie „inne formy monitoringu” – inaczej niż monitoring wizyjny – mogą zatem pośrednio służyć do kontroli pracownika (na przykład: do monitorowania wykorzystania czasu pracy).

Oczywiście, z zastrzeżeniem poszanowania praw i wolności.

Myśląc o technologii wykorzystanej w kontekście monitoringu, nie można na pierwszym miejscu nie postawić urządzeń przetwarzających dane o lokalizacji. I mowa nie tylko o wykorzy- staniu GPS jako narzędzia do ochrony mienia, jakie stanowi służbowe auto.

Zanim upowszechnił się Global Posi- tioning System, na skalę nieco mniej- szą aczkolwiek nie bez znaczenia dla firmowych systemów bezpieczeń- stwa, do tych samych celów wyko- rzystywana była sieć komórkowa. Ze wszystkimi ułomnościami jakie niesie możliwość umiejscowienia na mapie telefonu komórkowego połączonego z najbliższym nadajnikiem BTS, jest to rozwiązanie mogące oznaczać w dzi- siejszej rzeczywistości „inne formy monitoringu” o których właśnie roz- mawiamy – w przypadku gdy telefon jest przypisany konkretnemu pracownikowi. Ze zrozumiałych wzglę- dów, to lokalizacja GPS jest najczęściej wskazywana jako forma monitorowania narzędzi pracy powierzonych pra-

cownikowi. Chodzi oczywiście o do- kładność i skuteczność zbierania danych. Pracodawca dokonujący takiego monitorowania, jest w stanie pozy- skać nie tylko informację o bieżą- cej lokalizacji pojazdu. Dedykowane aplikacje przetwarzają również szereg danych, na podstawie których można określić styl jazdy pracownika, ekono- mikę, a także cały zestaw innych informacji określających pracownika.

W odróżnieniu od monitoringu wizyj- nego – który nie służy do żadnej kontroli, a ma jedynie zapewniać bezpie- czeństwo (lub realizować inne, prawnie uzasadnione cele, których nie da się osiągnąć innymi sposobami) – inne formy monitoringu, w tym lokalizacja GPS, umożliwiają na przykład weryfi- kację „właściwego użytkowania udo-

stępnionych pracownikowi narzędzi pracy”. Siłą rzeczy, cel ów ociera się zatem o pojęcie kontroli.

W katalogu „innych form monitoringu” mieści się także, ze wszystkimi nieścisłościami i nieoczywisto- ściami tego obszaru – zagadnienie wykorzystania biometrii w systemach bezpieczeństwa przez pracodawców.

Dane biometryczne mogą być przetwarzane, zgodnie z art. 9 ust 2 RODO, wyłącznie za zgodą, co w relacji pracodawca – pracownik nie tylko w tym przypadku budzi uzasadnione wątpli- wości. Urząd Ochrony Danych Osobo- wych stoi jednak na stanowisku, że istnieje możliwość przetwarzania przez pracodawcę danych biometrycznych – zarówno pochodzących od kandy-

(11)

data jak też od pracownika – z zacho- waniem kilku zastrzeżeń. Po pierw- sze, przekazanie danych odbywa się za zgodą – to oczywiste. Po drugie, przekazanie danych następuje z ini- cjatywy tych osób (jakkolwiek irracjo- nalne się to wydaje, biorąc pod uwagę realia). Po trzecie, wykorzystanie biometrii powinno być ograniczone do wyjątkowych przypadków, kiedy jest to niezbędne ze względu na kontrolę dostępu do szczególnie chronionych informacji – w celu zabezpieczenia dostępu do pomieszczeń. Po czwarte zaś, ten rodzaj danych osobowych kategorycznie nie może być przez pra- codawcę przetwarzany w celu rozliczania i ewidencji czasu pracy, nawet za zgodą pracownika. Już sama możli- wość ewidencjonowania i śledzenia do-

stępu do pomieszczeń wydaje się wy- starczająca, aby zakwalifikować taką aktywność pracodawcy jako formę monitoringu. Inną formę – w rozumieniu przepisów kodeksu pracy.

Otwarty katalog z art. 22³ par. 4 w oczywisty sposób oznacza, że nie jesteśmy w stanie wyliczyć lub prze- widzieć, jakie formy mogą się zna- leźć w zasięgu zainteresowania tego przepisu. Jeżeli tylko pracodawca jest zdolny do wykazania, iż zastosowanie konkretnych rozwiązań jest konieczne do realizacji celu, jakim jest zapewnienie odpowiedniej organizacji pracy oraz monitorowanie właści- wego wykorzystania udostępnionych pracownikowi narzędzi, będzie po- ruszał się w ramach uprawnień jakie

daje kodeks pracy. Po spełnieniu obo- wiązków informacyjnych, rzecz jasna.

Rozporządzenie w sprawie ochrony osób fizycznych…

RODO chroni osoby f izyczne w związku z przetwarzaniem ich danych osobowych. Inne formy monitoringu to narzędzie służące do celów wynikających z potrzeb i uwarunko- wań biznesowych – ukształtowane na kanwie doświadczeń pracodawców i ocierające się o, słuszną skądinąd, myśl: „kontrola najwyższą formą zaufania”. Przepisy starają się wypo- środkować poszanowanie praw i wol- ności oraz bezpieczeństwo biznesu.

I takie założenie należy szanować, bacznie obserwując jak wykorzysty- wane są te „inne formy monitoringu”.

Wykorzystanie biometrii powinno być ograniczone do wyjątkowych przypadków, kiedy jest to niezbędne ze względu na kontrolę dostępu do szczególnie chronionych informacji – w celu zabezpieczenia dostępu do pomieszczeń.

Ten rodzaj danych

osobowych

kategorycznie nie może

być przez pracodawcę

przetwarzany w celu

rozliczania i ewidencji

czasu pracy, nawet za

zgodą pracownika.

(12)

Pracodawcy, dążąc do optymalizacji swoich przedsięwzięć i procesów biznesowych, chcą, co oczywiste, maksymalizować efektywność swoich pracowników i dobierać zespoły według określonych kryteriów. Cele te mogą być osiągnięte poprzez analizę nie tylko doświadczenia i kwalifikacji kandydatów do pracy czy osób już zatrudnionych, ale również za pomocą szerszego profilowania na podstawie cech charakteru czy osobowości. Kuszące może być dla pracodawców sięganie jeszcze dalej, tj.

sprawdzanie i analizowanie informacji dotyczących życia prywatnego kandydatów lub pracowników.

Za każdym z powyższych działań stoi szerzej lub węziej rozumiany inte-

res pracodawcy. Jak wynika z RODO¹ i wskazanych w nim zasad, przetwarzanie danych osobowych musi mieć jednak swoje granice, zwłaszcza, jeśli ma się ono opierać na prawnie uzasadnionym interesie administratora.

Jak pokazują jaskrawe i rażące przypadki naruszeń z ostatnich miesięcy, pracodawcom niestety zdarza się ule-

1 Rozporządzenie Parlamentu Europejskie- go i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz. Urz. UE L 119/1

gać pokusie przekraczania powyż- szych granic. Nawet jeśli w innych przypadkach naruszenia pracodaw- ców nie są tak oczywiste i widoczne na pierwszy rzut oka, nadal mogą sta- nowić zbyt dużą ingerencję w prawa i wolności pracownika. W niniejszym artykule omawiam konkretne przy- kłady nieuprawnionego przetwarzania przez pracodawców danych osobowych pracowników.

Kara pieniężna dla H&M – inwigilacja pod przykrywką życzliwości

Zacznijmy od przykładów bardzo ja- skrawych. Na początku paździer- Agnieszka Rapcewicz, CIPP/E

Prawniczka zajmująca się doradztwem z zakresu ochrony danych osobowych.

W kręgu jej zainteresowań znajduje się szczególnie przetwarzanie danych osobowych z wykorzystaniem nowych technologii. Pełni funkcję IOD u klientów.

Gdzie kończy

się prawnie

uzasadniony

interes

pracodawcy,

a gdzie zaczyna

inwigilacja

pracowników?

(13)

nika 2020 r. hamburski organ nadzorczy poinformował² o nałożeniu kary pieniężnej w wysokości ponad 35 mln euro na niemiecką spółkę zna- nej sieci H&M. Powodem było przetwarzanie przez tę firmę danych osobowych dotyczących prywatnego ży- cia jej pracowników. Jak ustalono, do wskazanych informacji miało dostęp kilkudziesięciu managerów, którzy na podstawie analizy powyższych danych podejmowali wobec pracowni- ków decyzje dotyczące zatrudnienia.

2 https://datenschutz-hamburg.de/presse- mitteilungen/2020/10/2020-10-01-h-m- -verfahren

Cała sprawa wywołała poruszenie już w 2019 r., kiedy niedozwolone przetwarzanie danych osobowych pracow- ników wyszło na jaw. Wszystko przez techniczny błąd, który spowodował, że dane przechowywane na dysku sieciowym przez kilka godzin były do- stępne dla całej załogi spółki. Postę- powanie przeprowadzone przez organ ochrony danych osobowych wykazało, że od 2014 r. (!) utrwalano i przecho- wywano bardzo szczegółowe informacje dotyczące życia prywatnego pra- cowników. Jakiego rodzaju to były informacje? O przebytych chorobach i objawach, jakie im towarzyszyły (po powrocie ze zwolnienia lekarskiego)

czy o szczegółach urlopu wypoczyn- kowego – po powrocie z nieobecno- ści o te wszystkie kwestie wypytywał przełożony podczas „rozmowy powi- talnej”. Pozyskiwanie informacji od- bywało się w ramach życzliwej, przy- jacielskiej rozmowy. Pracownik nie zdawał sobie jednak sprawy z tego, że po spotkaniu przełożony skrzęt- nie notował pozyskane dane. Jednak to nie wszystko. Notowane były także informacje zasłyszane przez przeło- żonych na firmowych korytarzach, a dotyczące problemów rodzinnych, z których zwierzał się pracownik swoim kolegom, a nawet informacje dotyczące przekonań religijnych pra-

(14)

cowników. Powyższe dane były przechowywane na dysku sieciowym firmy i dostęp do nich mogło mieć ok.

50 kierowników.

Po co ktoś zadawał sobie tyle trudu?

Do czego potrzebne były firmie tak szczegółowe informacje o życiu jej pracowników? Niestety decyzja ham- burskiego organu nie została opubli- kowana i nie znamy wszelkich szcze- gółów, ale z informacji dostępnej na urzędowej stronie wynika, że kierow- nicy na podstawie ww. danych m.in.

oceniali efektywność pracowników oraz podejmowali decyzje dotyczące ich zatrudnienia.

Chyba nie ma wątpliwości, że spółka zasadnie została ukarana. Naruszenia trwały przez bardzo długi czas, dzia- łania przełożonych miały charakter umyślny, a pracownicy nie zdawali sobie sprawy, że pod pozorem życzliwo- ści okazywanej przez kierowników, kryła się inwigilacja. Poza nałożoną na spółkę karą pieniężną kierow- nicy zostali zobowiązani do przepro- szenia pracowników. Organ nadzorczy zasugerował także, że firma powinna wypłacić pracownikom zadość- uczynienie.

Śledzenie kandydatów lub pracowników w mediach społecznościowych

Jesienią 2020 r. w mediach pojawiły się doniesienia³, jakoby internetowy gigant – Amazon, śledził swoich pra- cowników w mediach społecznościo- wych. Firma miała wykorzystywać narzędzia monitoringu interneto- wego w celu obserwowania wpisów swoich pracowników zarówno na publicznych, jak i prywatnych grupach.

Jaki miał być powód wskazanych dzia- łań? Miały one służyć ustaleniu, któ- rzy członkowie załogi zamierzają wziąć udział w akcjach strajkowych

3 https://www.wiadomoscihandlowe.pl/ar- tykul/amazon-oskarzany-o-szpiegowanie- -pracownikow, dostęp: 28.11.2020

w firmie. Obserwowano też krytyczne wypowiedzi pracowników i skargi na warunki panujące w spółce. Na podstawie powyższego monitoringu two- rzone były okresowe raporty, zatytu- łowane „Monitorowanie mediów spo- łecznościowych”. Biorąc pod uwagę politykę firmy, przewidującą, że pracownicy muszą uzyskać zgodę spółki, aby wypowiadać się publicznie na temat spółki, można wnioskować, że powyższy monitoring miał służyć do wyciągania konsekwencji wobec pracowników krytykujących firmę, w tym do ich zwalniania. Na razie brak dalszych doniesień w tej sprawie. Z perspektywy obowiązujących w UE przepisów powyższe działania zasługują na zdecydowaną krytykę, zwłaszcza w zakresie wypowiedzi udzielanych przez pracowników w ramach zamkniętych prywatnych grup.

Pytanie jednak,

czy powyższe działania mają charakter wyjątkowy wśród pracodawców?

PUODO w wydanym w 2018 r. porad- niku⁴ wyraźnie wskazał, że „co do zasady niedopuszczalne jest gromadze- nie przez pracodawców i agencje re- krutacyjne informacji zamieszcza- nych przez kandydatów do pracy na swój temat w mediach społecznościo- wych i innych ogólnodostępnych źró- dłach. Co prawda rozwój społeczeń- stwa informacyjnego pozwala na „bu- dowanie” przez potencjalnych kandy- datów do pracy swojego wizerunku w sieci, również w oczach przyszłego pracodawcy, poprzez zamieszczane w Internecie różnych informacji na swój temat, ale nie oznacza to, że informacje te mogą zostać wykorzy- stane w procesie rekrutacyjnym. Na- leży również pamiętać, że takie dzia- łanie potencjalnie może mieć nega- tywny wpływ na ocenę kandydata do pracy i prowadzić do profilowania go

4 Ochrona danych osobowych w miejscu pracy.

Poradnik dla pracodawców., październik 2018, https://uodo.gov.pl/pl/138/545

na podstawie dostępnych w Interne- cie danych.”

Uważam, że powyższe podejście jest słuszne. Sięganie w procesie rekrutacji czy już na etapie zatrudnienia do informacji dotyczących życia prywatnego pracownika, nawet publikowanych przez niego w mediach społecz- nościowych, z pewnymi wyjątkami (w szczególności, gdy mówimy o zawo- dach zaufania publicznego), stanowi nadmierną ingerencję w prawa oraz wolności pracownika i nie znajduje podstawy prawnej. W konsekwencji, na podstawie ww. informacji, pracodawcy nie powinni podejmować decyzji o zatrudnieniu kandydata, zwolnie- niu czy awansowaniu pracownika.

Jak jest w praktyce? Z mojego do- świadczenia wynika, że dość często,

(15)

zwłaszcza na etapie rekrutacji, pracodawcy jak najbardziej zaglądają na profile kandydatów w mediach spo- łecznościowych, takich jak Facebook czy Instagram. Jako uzasadnienie usłyszałam kiedyś od menadżera pro- wadzącego rekrutację w pewnej dużej firmie, że chce mieć pewność, że po- tencjalny pracownik ma stabilne życie i rodzinę, a nie prowadzi imprezowy styl życia, z którego zdaje relacje np.

na Facebooku. Zdarzyło się bowiem, że ten konkretny menedżer zatrud- nił kiedyś osobę, która z dnia na dzień rzuciła pracę. Jak się okazało, był to człowiek bez zobowiązań, co dało się odczytać z informacji publikowanych przez niego na Facebooku.

Można oczywiście powiedzieć, że powyższe podejście jest słuszne, w końcu pracodawca ma prawo okre-

ślić profil osoby, z którą chce praco- wać. Informacje dostępne na profilu w mediach społecznościowych mogą powiedzieć bardzo dużo o danej osobie. To prawda, ale uznanie, że każda osoba, która jest towarzyska i nie ma rodziny, co można odczytać z jej profilu na Facebooku czy Instagramie, nie oznacza, że ta osoba jednocze- śnie będzie złym i niesolidnym pra- cownikiem. Powyższe podejście może prowadzić do dyskryminacji. W mojej ocenie pracodawca zazwyczaj nie będzie w stanie wykazać, że przetwarzanie przez niego danych osobowych o kandydacie lub pracowniku, pozyskanych ze źródeł publicznie dostęp- nych w Internecie, ale niezwiąza- nych z działalnością zawodową danej osoby, stanowi jego prawnie uzasadniony interes, przeważający nad pra- wami i wolnościami tych osób.

Dobrymi chęciami piekło jest wybrukowane

Ostatnim przykładem, który chcę omó- wić, są systemy monitorowania „do- stępności” pracowników, które poja- wiły się na rynku w związku z pande- mią koronawirusa. Można spotkać się z rozwiązaniami, które oferują ciągłe mierzenie temperatury ciała pracow- ników (przy pomocy kamer termowi- zyjnych lub urządzeń IoT) oraz ewentualnie innych parametrów zdrowotnych (np. ciśnienie, puls, saturacja, a nawet poziom cukru), monitorowanie przemieszczania się pracowników na terenie zakładu pracy i kontaktów z innymi osobami zatrudnionymi przez praco- dawcę, jak również z osobami spoza organizacji, a także informacje dotyczące czasu pracy i kwalifikacji dostępnych pracowników. Systemy te, zgodnie z de- klaracjami ich producentów, mają słu- żyć wczesnemu wykrywaniu chorób w zakładzie pracy i zapobieganiu ich rozprzestrzenianiu się. Ich celem jest identyfikowanie osób, z którymi miał kontakt chory pracownik, jak rów- nież obszarów, w których przebywał, a w dalszej kolejności – eliminowaniu zagrożeń na terenie firmy, planowaniu zastępstw i zapobieganiu przestojom.

Wszystkie powyższe parametry są do- stępne pracodawcy, który może na bie- żąco monitorować stan zdrowia swoich pracowników, jak również ich kon- takty i przemieszczanie się na terenie zakładu pracy.

Prawdopodobnym założeniem dla wprowadzania systemów monitoringu pracowników w powyższym zakresie jest chęć dbania o ich bez- pieczeństwo (co jest jednym z obo- wiązków pracodawcy zgodnie z ko- deksem pracy), zapobieganie się rozprzestrzenianiu chorób wśród pra- cowników, jak również zapobieganie przestojom w firmie (co stanowiłoby interes biznesowy pracodawcy). Py- tanie, czy jednak tego typu komplek- sowe systemy monitoringu nie naru- szają zasady minimalizacji przetwarzania danych osobowych i legalności?

(16)

Zastrzegam, że bazuję jedynie na informacjach dostępnych publicznie w Internecie, nie zetknęłam się w praktyce u klientów z wdrożeniem omawianych rozwiązań. Uważam jednak, że ciągłe monitorowanie np. pa- rametrów zdrowotnych pracownika nie jest absolutnie niezbędne do realizacji obowiązków prawnych ciążących na pracodawcy w zakresie zapewnienia bezpiecznych i higienicznych warunków pracy. Nie można też takiego przetwarzania oprzeć na prawnie uzasadnionymi interesie z uwagi na to, że mamy do czynienia z danymi szczególnej kategorii. Zgoda również nie wchodzi w grę, przede wszystkim dlatego, że pracownik nie prze- kazuje tych danych z własnej inicja- tywy⁵. Poza tym zakładam, że monitoringiem miałby być objęty każdy pracownik, a więc nie byłoby moż- liwe odmówienie udzielenia zgody.

Z kolei w zakresie przetwarzania danych osobowych pracowników doty-

5 Takie wymaganie wynika z art. 22^1b § 1 polskiego kodeksu pracy w zakresie przetwarzania szczególnych kategorii danych osobowych pracowników na podstawie zgody.

czących ich przemieszczania się na terenie zakładu pracy i kontaktów z innymi osobami, wchodzące w grę możliwe podstawy prawne to rów- nież niezbędność do wykonywania obowiązków prawnych ciążących na pracodawcy, prawnie uzasadniony interes albo zgoda. Podobnie jednak jak w przypadku parametrów zdrowotnych, w mojej ocenie nie da się uzasadnić niezbędności przetwarzania omawianych danych osobowych pracowników w celu wypełnienia obowiązków w zakresie zapewnienia bezpiecznych i higienicznych wa- runków pracy. Ta podstawa prawna odpada. Czy można uznać, że przetwarzanie jest niezbędne w celu realizacji prawnie uzasadnionych in- teresów pracodawcy lub osób trzecich (innych pracowników i osób spoza organizacji)? Moim zdaniem również nie, a to dlatego, że zdecydo- waną przewagę powinno mieć prawo pracowników do prywatności. Śle- dzenie każdego kroku pracownika na terenie firmy moim zdaniem co do zasady zbytnio ingeruje w jego pry- watność, choć może w konkretnym przypadku dałoby się dojść do innych wniosków po przeprowadzenia ana-

lizy. Jest to jednak dla mnie bardzo wątpliwe. Zgoda również nie byłaby właściwą podstawą przetwarzania tego rodzaju danych osobowych, gdyż moim zdaniem jest praktycznie nie- możliwe, aby pracownik miał możli- wość odmowy poddania się takiemu monitoringowi bez negatywnych dla niego konsekwencji.

Wnioski

Z powyższych przykładów płynie wniosek, że pracodawcy w pierwszej kolejności bardzo często myślą o realizacji swojego własnego interesu i ce- lów biznesowych. W praktyce w ogóle nie biorą pod uwagę zasad privacy by design i privacy by default, zgodnie z którymi już przy projektowaniu procesów przetwarzania danych osobowych należy uwzględniać ochronę danych osobowych, jak również, że domyślnie powinna być zapewniona jak największa prywatność osób, któ- rych dane dotyczą. Z moich obserwacji wynika, że w pierwszej kolejności pracodawcy raczej myślą o swoich ko- rzyściach, a ewentualnie później do- budowują uzasadnienie dla swoich działań na gruncie RODO. Zdarza się, że wręcz świadomie naruszają zasady przetwarzania danych osobowych, li- cząc na to, że tego typu działania nie wyjdą na jaw. Moim zdaniem jest to problem nie tylko prawny, lecz szerzej – społeczny i biznesowy, gdyż powyż- sze podejście jest w mojej ocenie bardzo krótkowzroczne. Ustalenie przez organy nadzorcze, że pracodawcy na- ruszają przepisy o ochronie danych osobowych, często umyślnie, może skutkować nie tylko surowymi karami pieniężnymi, które obciążają budżet firmy, lecz przede wszystkim powo- dować utratę zaufania wśród pracow- ników i opinii publicznej, co w dłuż- szej perspektywie może być jeszcze bardziej szkodliwe dla przedsiębior- stwa. Uważam, że dopóki nie zmieni się mentalność i podejście pracodaw- ców, nadal będziemy słyszeć o naru- szeniach prywatności pracowników i to często bardzo rażących.

Z moich obserwacji wynika, że w pierwszej kolejności pracodawcy raczej myślą o swoich korzyściach, a ewentualnie później dobudowują uzasadnienie dla swoich działań na gruncie RODO. Zdarza się, że wręcz świadomie naruszają zasady przetwarzania danych osobowych, licząc na to, że tego typu działania nie wyjdą na jaw.

Moim zdaniem jest to problem nie tylko prawny,

lecz szerzej – społeczny i biznesowy, gdyż

powyższe podejście jest w mojej ocenie bardzo

krótkowzroczne.

(17)

Historia whistleblowingu sięga czasów wojny secesyjnej w Stanach Zjednoczonych, gdzie pierwotnie uchwalono przepisy dotyczące konieczności stosowania whistleblowingu na linii relacji biznes – państwo. Obecnie whistleblowing oznacza nic innego jak informowanie o nieprawidłowościach jakie mają miejsce w konkretnej organizacji. Osoba dokonująca takiego zgłoszenia jest nazywana „sygnalistą”. Wraz ze zgłoszeniem nieprawidłowości przekazywany jest szereg informacji, w tym danych osobowych. Powstaje więc pytanie jak w procesie whistleblowingu powinny być prawidłowo przetwarzane dane osobowe, jak chroniona powinna być osoba zgłaszająca nieprawidłowości i czy zastosowanie znajdą przepisy art. 13 i 14 RODO?

Anna Dmochowska

DMZ Kancelaria Prawna, Adwokat.

Współpracuje m.in. z grupami kapitałowymi, w tym podmiotami rynku finansowego w zakresie projektów dostosowania systemów ochrony danych osobowych do wymogów RODO.

Audytor wiodący ISO 9001 oraz 22301.

Prowadzi projekty wdrożenia Systemów Zarządzania ISO w organizacjach produkcyjnych jak i usługowych.

Ochrona danych osobowych w procesie whistleblowingu

Przepisy unijne i krajowe

W kontekście whistleblowingu istotna staje się osoba sygnalisty i tego jak chronione powinny być jego dane osobowe. Z pola widzenia nie możemy również tracić kwestii związanych z wdrożeniem odpowiednich środków technicznych i organizacyjnych w ca- łym procesie whistleblowingu, w tym poprawnego funkcjonowania kanału do zgłaszania nieprawidłowości.

Przepisy odnoszące się do sygnalistów funkcjonują już na gruncie polskiego ustawodawstwa, można wskazać tu przede wszystkim na sektor finan- sowy. Potrzebne są jednak przepisy, które generalnie, całościowo uregu- lują przedmiotową kwestię.

W grudniu 2019 r. weszła w życie Unijna Dyrektywa w sprawie ochrony osób zgłaszających naruszenia prawa Unii¹. Zasadniczo państwa członkow- skie, w tym Polska, mają czas na wdro- żenie dyrektywy do połowy grudnia 2021 roku i to od państwa członkow- skiego zależeć będzie ostateczny kształt wymogów w zakresie ochrony sygna- listów. Treść ramowych wymagań mo- żemy jednak określić już teraz, na podstawie samego aktu unijnego. Chodzi z jednej strony o utworzenie kanałów i procedur umożliwiających swobodne

1 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r.

w sprawie ochrony osób zgłaszających naruszenia prawa Unii.

zgłaszanie naruszeń, a z drugiej o zapewnienie ochrony osobie sygnalisty.

Prace nad implementacją przepisów wyżej wymienionej dyrektywy nadal trwają i na obecną chwilę nie ma oficjal- nej informacji w zakresie ich postępów.

Warto w tym miejscu również wska- zać, iż Międzynarodowa Organiza- cja Normalizacyjna (ISO) rozpoczęła prace nad normą ISO 37002 „Zarzą- dzanie systemami zgłaszania niepra- widłowości – wytyczne („Whistleblo- wing managment system – Guideli- nes”). Finalna wersja normy ma zostać wypracowana do końca 2021 r. i będzie mogła stanowić dla organizacji źródło dobrych praktyk poprawnego funkcjonowania procesu whistleblowingu.

(18)

Wytyczne Europejskiego Inspektora Ochrony Danych (EIOD)

Pewną wskazówką dotyczącą przetwarzania danych w ramach whistleblowingu mogą być uaktualnione w grudniu 2019 r. wytyczne EIOD² do- tyczące przetwarzania danych osobowych w ramach procedury zgłaszania nieprawidłowości. Wytyczne są skie- rowane do instytucji, organów i jed- nostek UE niemniej pozwalają w tym zakresie poznać intencje EIOD do- tyczące ochrony danych osobowych w procesie whistleblowingu. EIOD w przedmiotowych wytycznych sku- pił się na 9 obszarach związanych z ochroną danych osobowych:

I. Jednostki, którym dedykowane są wytyczne muszą wdrożyć specjalny kanał, za pośrednictwem którego będą dokonywane zgłoszenia.

II. Istotne jest zapewnienie pouf- ności otrzymywanych informacji oraz ochrona tożsamości osób zgłaszających przypadki naruszenia oraz wszystkich innych zaan- gażowanych osób. Wskazano, iż tożsamość sygnalisty powinna pozostać co do zasady anoni- mowa. Ochroną powinny zostać objęte również osoby podejrzane.

III. W procesie whistleblowingu powinna być szczególnie stosowana zasada minimalizacji danych: przetwarzanie tylko tych informacji osobowych, które są odpowied- nie, istotne i niezbędne dla danego przypadku. Niepotrzebne informacje powinny być od razu usuwane.

IV. Określony powinien zostać kon- tekst zbieranych danych osobowych, w tym zapewnienie osobom, których dane dotyczą możli- wości realizacji ich praw na gruncie przepisów RODO.

2 Guidelines on processing personal informa- tion within a whistleblowing procedurę.

V. Rekomendowane zostało zastosowanie dwuetapowej procedury informowania każdej zain- teresowanej kategorii osób o tym, jak ich dane będą przetwarzane.

Klauzula informacyjna powinna znaleźć się na stronie internetowej lub w publicznym wewnętrz- nym dokumencie skierowanym m.in. do pracowników i współ- pracowników. Dodatkowo w danej sytuacji klauzula powinna zo- stać wysłana e-mailem.

VI. Należy zachować szczególną ostrożność podczas realizacji prawa dostępu do danych, aby nie doszło do ujawnienia innych danych osobowych.

VII. Każdorazowe indywidualne oce- nianie sytuacji, w których reali- zowane jest prawo dostępu do danych i ich transfer. EIOD pro- ponuje ograniczyć przekazywa- nie danych osobowych do sytuacji, gdy jest to konieczne do zgodnego z prawem wykonania zadania wchodzącego w zakres kompetencji odbiorcy.

VIII. Konieczne jest zdefiniowa- nie proporcjonalnych okresów przechowywania danych osobowych przetwarzanych w ramach whistleblowingu w zależ- ności od wyniku każdego przypadku. Dane osobowe nie mogą być przechowywane przez okres

(19)

dłuższy niż jest to konieczne ze względu na cel przetwarzania.

IX. Należy wdrożyć zarówno or- ganizacyjne, jak i techniczne środki bezpieczeństwa w oparciu o ocenę ryzyka.

Na końcu wytycznych EIOD znajdziemy ciekawe matryce badania „postępowa- nia z raportami w zakresie whistleblowingu”, to „kiedy realizować prawo do- stępu do danych” oraz „jak prawidłowo informować osoby fizyczne”.

Obowiązek informacyjny wobec sygnalisty

Jednym z bardziej problematycznych wymogów do spełnienia na gruncie

przepisów RODO będzie przekazanie osobie „oskarżonej” przez sygna- listę o nadużycia pełnej klauzuli in- formacyjnej. Ta bowiem musi zawie- rać źródło pochodzenia danych. Nie ulega jednak wątpliwości, że nie powinno być ono ujawnione z uwagi na ochronę osoby sygnalisty. Taki wniosek można wysnuć z przybli- żonej uprzednio treści wytycznych EIOD, Unijnej Dyrektywy w sprawie ochrony osób zgłaszających naruszenia prawa Unii jak i w projek- cie Ustawy mającej regulować kwestie związane z ochroną osoby sygnalisty³.

3 Projekt ustawy o odpowiedzialności pod- miotów zbiorowych za czyny zabronione pod groźbą kary art. 11 ust. 2 zd. 2.

W braku jednak wdrożonych ogólnych przepisów krajowych w tym obszarze powstają i będą powstawać wąt- pliwości.

DPIA

8 lipca 2019 r. w Monitorze Polskim został ogłoszony Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymaga- jących oceny skutków przetwarzania dla ich ochrony (aktualizowany po uwzględnieniu opinii wydanej przez Europejską Radę Ochrony Danych).

Ogłoszony wykaz zawiera 12 kategorii rodzajów operacji przetwarzania wraz z przykładami operacji, w któ- rych może wystąpić wysokie ryzyko naruszenia praw lub wolności oraz przykładami potencjalnych obsza- rów obejmujących te operacje.

Szczególną uwagę warto poświęcić punktowi 9 wyżej wskazanego ko- munikatu. Wymienia on bowiem systemy służące do zgłaszania nieprawi- dłowości (whistleblowing). Koniecz- nym, więc staje się przeprowadzenie DPIA w omawianym procesie.

Podsumowanie

Wdrażając w organizacji procedury whistleblowingu musimy pamię- tać, aby dostosować również obszar ochrony danych osobowych. Istotne jest nie tylko dostosowanie odpowiednich środków organizacyjnych i technicznych, szczególnej uwadze po- święcić należy kwestiom związanym z ochroną osoby sygnalisty jak i osoby przez niego „oskarżanej”. Jak bowiem pokazuje kara nałożona przez włoski organ nadzorczy na Rzymski Uniwer- sytet⁴ w kontekście whistleblowingu, w razie nieuwagi łatwo o naruszenie ochrony danych osobowych w tak zło- żonym procesie.

4 https://www.garanteprivacy.it/web/gu- est/home/docweb/-/docweb-display/docweb/9269618

(20)

Problematyka umów powierzenia zawieranych w celu przetwarzania danych osobowych na wyraźne udokumentowanie polecenie administratora jest niezwykle aktualna i wciąż wywołuje wątpliwości.

Oczywiście w sytuacji, gdy przetwarzanie danych wyraźnie wiąże się z koniecznością ich przekazania poza organizację, w której administrator ustala cele przetwarzania (np. w przypadku przekazania danych biurom rachunkowym) zasadne jest zawieranie umów powierzenia i w tym zakresie nie pojawiają się rozbieżności interpretacyjne.

Dostrzegalne są jednak sytuacje, w których konieczność zawarcia umowy powierzenia jest wątpliwa.

Jednym ze skomplikowanych zagad- nień jest korzystanie z obsługi prawnej i usług kancelarii prawnych. Pod- mioty świadczące obsługę prawną w praktyce dość często spotykają się z koniecznością zawierania umów powierzenia. Czy jednak jest to konieczne działanie? Wielu admini- stratorów zastanawia się nad zasad- nością powierzania danych, inni sto- sują ujednolicone zasady zgodnie z wymogami przewidzianymi w art.

28 RODO¹. Udzielenie odpowiedzi na pytanie o to, czy istnieje konieczność zawierania umów powierzenia przez

1 Rozporządzenie PE i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, dalej: RODO.

podmioty świadczące obsługę prawną z praktycznego punktu widzenia jest niezwykle istotne, bowiem niejednokrotnie zawarciu umowy o świadcze- nie usług wsparcia prawnego lub ob- sługi prawnej towarzyszy przedłoże- nie przez klienta (lub wyznaczonego przez niego Inspektora Ochrony Da- nych Osobowych) umowy o powierze- nie danych osobowych.

Z uwagi na pojawiające się oczekiwa- nia klientów, aby przetwarzanie danych w ramach umowy z kancela- riami prawnymi na świadczenie usług prawnych regulował instrument prawny z art. 28 RODO, jawi się jako konieczne ustalenie, czy zasadne jest zawieranie takich umów przez kance- larię i czy w świetle prawa powszechnie obowiązującego podmiot świad- r.pr. dr Aleksandra Klich

MCM Legal apl. radc. Bartosz Skrendo

MCM Legal

Świadczenie

obsługi prawnej

a zawieranie umów

powierzenia

(21)

czący obsługę prawną może przyjąć na siebie takie zobowiązania?

Podejmując próbę udzielenia odpowiedzi na to pytanie, niezbędne jest przeprowadzenie analizy w zakresie problematyki statusu osób wy- konujących zawód radcy prawnego lub adwokata (jak również aplikan- tów obu samorządów zawodowych) z perspektywy ochrony danych osobowych oraz celem ustalenia statusu mającego znaczenie dla przetwarzania danych osobowych, tj. czy podmiot ten jest administratorem, czy też procesorem w przypadku realizacji umów o świadczenie obsługi prawnej.

W pierwszej kolejności należy pod- kreślić, że status administratora może być uzależniony od tego, w ja- kiej formie wykonywany jest zawód adwokata, czy też radcy prawnego.

Niestety ustawy korporacyjne nie zawierają zdecydowanego postanowienia w zakresie ustalenia statusu osób wykonujących zawody praw- nicze w kategoriach administrato- rów danych osobowych. W pierwot- nej wersji projektu tzw. ustawy sektorowej² znajdowało się postano- wienie, które wprost przypisywało radcom prawnym i adwokatom status administratorów danych osobowych pozyskanych w związku z udzielaniem pomocy prawnej. W finalnej wersji ustawy sektorowej regulacja taka jednak nie znajduje się. Z tego też względu aktualny pozostaje problem ustalenia, jaki jest status osoby wykonującej zawód prawniczy lub współpracującej z kancelarią prawną w analizowanym zakresie.

2 Ustawa z 21.02.2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskie- go i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.U. z 2019 r., poz. 730, dalej:

Ustawa sektorowa.

Charakter wykonywania zawodu tak adwokata, jak i radcy prawnego pro- wokuje do stwierdzenia, że świad- czenie pomocy prawnej wiążące się z przetwarzaniem danych osobowych zarówno klientów, jak i osób trzecich będących adresatami świadczonej pomocy prawnej, a także danych zgro- madzonych z innych źródeł a niezbęd- nych z perspektywy wykonywania danej usługi. Pozornie wydawać się może, że osoba wykonująca zawód prawniczy działa na polecenie klienta i jest związana jego stanowiskiem, co uzasadniałoby przyjęcie konstrukcji klient-administrator, adwokat/radca prawny-procesor (tj. podmiot prze- twarzający dane osobowe w imieniu administratora). Należy mieć jednak na uwadze, że osoba wykonująca za- wód adwokata lub radcy prawnego działa w imieniu i na rzecz klienta, ale nie jest ona w pełni zależna od jego poleceń. Z tego też względu przyję- cie statusu prawnika jako procesora nie jest zabiegiem właściwym. Spe- cyfika wykonywania zawodów praw- niczych obwarowana jest licznymi re- gulacjami tak prawnymi (tzw. ustawy korporacyjne), jak i deontologicznymi (kodeksy etyki), w świetle których osoby wykonujące wskazane zawody korzystają z pełnej swobody i nieza- wisłości. Z tego też względu mówiąc o przetwarzaniu danych osobowych przez adwokatów i radców prawnych wykluczyć należy zasadność uznania, iż są oni podmiotami przetwarzają- cymi dane osobowe w celach i na za- sadach określonych przez administratora, którym jest klient kancelarii.

W przypadku, gdy adwokat/radca prawny wykonuje zawód w kancelarii adwokackiej lub radcy prawnego (jak np. w przypadku podmiotu zawiera- jącego z klientem umowę o świadcze- nie obsługi prawnej), niezbędne jest stwierdzenie, że jest on administratorem danych osobowych przetwarzanych w ramach wykonywania zawodu, co wyklucza konieczność zawierania umów powierzenia danych

osobowych. Wątpliwości mogą po- jawić się jednak w sytuacji, gdy adwokaci i radcowie prawni wykonują zawód w ramach współpracy z pod- miotem trzecim (np. w sytuacji, gdy kancelaria jest spółką komandytową, w której komplementariuszami są radcowie prawni oraz adwokaci, któ- rej wyłącznym przedmiotem działal- ności jest świadczenie pomocy prawnej i współpracuje z adwokatami, rad- cami prawnymi, aplikantami obu kor- poracji zawodowych, a także osobami będącymi specjalistami z określonej dziedziny prawa).

Niezwykle pomocne dla wykluczenia konieczności zawierania umów powierzenia danych osobowych, a w razie ich zawarcia – uznania postano- wień w tym zakresie za bezskuteczne, jest stanowisko wyrażone w Porad- niku dla radców prawnych i adwoka- tów i zaaprobowane przez Naczelną Radę Adwokacką oraz Krajową Izbę Radców Prawnych³, opracowanym

3 W związku z tym, że w dniu 21 lutego 2019 r.

uchwalono zmiany w ustawie o radcach prawnych i ustawie Prawo o Adwokaturze w zakresie przetwarzania i ochrony danych osobowych, które weszły w życie 4 maja

(22)

przez zespół Autorów z Traple Konar- ski Podrecki i Wspólnicy sp. j., będą- cych wybitnymi specjalistami z zakresu ochrony danych osobowych.

Zdaniem Autorów Poradnika, jeżeli adwokat lub radca prawny wykonuje zawód w spółce osobowej lub spółce cywilnej, za administratora danych osobowych przetwarzanych w ramach wykonywania zawodu radcy prawnego należy uznać samą spółkę osobową lub spółkę cywilną, a nie radcę prawnego bądź adwokata bę- dącego wspólnikiem, partnerem albo komplementariuszem takiej spółki.

Uzasadnieniem tego stanowiska jest przede wszystkim to, że decyzje w zakresie celów i sposobów przetwarzania danych osobowych podejmowane są w ramach spółki, a nie na szcze- blu indywidualnego radcy prawnego czy adwokata wykonującego w niej zawód. Pogląd ten jest także zbieżny z wyrażonym stanowiskiem przez GIODO, zgodnie z którym administratorem danych jest sama spółka prawa handlowego, nie zaś jej organy, osoby zasiadające w organach tej spółki lub pełniące w niej funkcje kierownicze, co znajduje także po- twierdzenie w orzecznictwie. Zgod- nie ze stanowiskiem wyrażonym przez sądy administracyjne, błędne jest ustalenie strony z powołaniem się na art. 29 KPA, zgodnie z art. 7 pkt 4 w zw. z art. 3 ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobistych (Dz.U. z 2000 r Nr 101, poz.

926) przymiot strony posiada spółka jawna jako administrator danych, nie zaś jej wspólnicy⁴. Nie zmienia tego

2019 r. poradnik został zaktualizowany i w takiej wersji został opublikowany na stronie internetowej Naczelnej Rady Adwo- kackiej (http://www.adwokatura.pl/admin/

wgrane_pliki/file-2019-07-01-poradnikkr- rpnraaktualizacja-kbm-28006.pdf), a także przekazany przez Ośrodek Badań, Studiów i Legislacji Krajowej Rady Radców Prawnych okręgowym izbom radców prawnych celem udostępnienia zrzeszonym w nich radcom prawnym.

4 Wyrok WSA w Warszawie, sygn. akt II SA/

Wa 955/06, Legalis nr 82912.

okoliczność, iż wykonywanie zawodu radcy prawnego oraz adwokata regu- lowane jest szczególnymi przepisami, w tym kodeksami etyki, które zobo- wiązują przedstawicieli tych zawodów do zachowania tajemnicy, ani to, że klient udziela pełnomocnictwa konkretnemu radcy prawnemu lub ad- wokatowi, a nie spółce⁵.

W konsekwencji należy uznać, że je- żeli usługi prawne świadczy Spółka, to administratorem danych przetwarzanych w ramach wykonywania zawodów przez adwokatów, rad- ców prawnych jest ta Spółka. Zlecając usługi prawne kancelarii, zlecający nie dysponuje podstawami do na- rzucenia jej celów i sposobów przetwarzania danych, gdyż obowiązek przetwarzania danych przez kance- larię wynika z przepisów prawa, a co

5 Poradnik, s. 27.

za tym idzie jest ona samodzielnym administratorem danych przetwarzanych w związku ze świadczeniem obsługi prawnej. Jeśli zatem usługi prawne w ramach umowy świadczą prawnicy współpracujący ze spółką, to w związku ze statusem spółki jako administratora danych nie docho- dzi także do dalszego podpowierza- nia danych. Należy jednak dostrzec sytuacje, w których w strukturach spółki znajdują się osoby nieposiada- jące tytułu zawodowego adwokata lub radcy prawnego oraz takie, co do któ- rych nie stosuje się odpowiednio reguł i zasad narzuconych wyżej wymienio- nym (np. prawnicy specjalizujący się w wybranej dziedzinie prawa, prak- tykanci, stażyści, pracownicy admini- stracyjni). Wydaje się, że w sytuacji, gdy osobę fizyczną łączy z administratorem danych (w tym wypadku ze spółką) stosunek prawny (np. umowa o pracę, umowa cywilno-prawna),

(23)

wystarczającym jest upoważnienie takiej osoby do przetwarzania danych osobowych, z jednoczesnym zo- bowiązaniem do zachowania tajemnicy i poufności w zakresie przetwarzanych danych osobowych. Mogą ist- nieć od tej reguły wyjątki, gdy dane osobowe przetwarzane są przez taką osobę poza infrastrukturą spółki – jest to jednak kwestia wewnętrzna spółki, w którą zlecający usługi prawne nie ma możliwości ingerować.

Podkreślić należy, że tajemnica zawo- dowa radców prawnych i adwokatów jest immanentną cechą usług prawnych, jakie świadczą na rzecz swoich klientów. Zgodnie bowiem z powszechnie obowiązującymi przepisami adwokat lub radca prawny nie może zostać zwolniony z zachowania tajemnicy zawodowej, nawet w przypadku, gdy z żądaniem ujawnienia informacji uzyskanych przez adwo-

kata lub radcę prawnego w związku z udzielaniem pomocy prawnej wystę- puje Prezes Urzędu Ochrony Danych Osobowych. Potwierdzeniem tego jest brzmienie art. 5b ustawy o radcach prawnych⁶, zgodnie z którym obo- wiązek zachowania tajemnicy, o któ- rej mowa w art. 3 ust. 4-6, nie ustaje, w przypadku gdy z żądaniem ujawnienia informacji uzyskanych przez radcę prawnego w związku z udzielaniem pomocy prawnej występuje Prezes Urzędu Ochrony Danych Oso- bowych, a także brzmienie art. 16b ustawy Prawo o Adwokaturze⁷, zgodnie z którym obowiązek zachowania tajemnicy, o której mowa w art. 6, nie ustaje, w przypadku gdy z żądaniem ujawnienia informacji uzyskanych

6 Ustawa z 6.07.1982 r. o radcach prawnych, tj. Dz.U. z 2020 r., poz. 75, dalej: RadPrawU.

7 Ustawa z 26.05.1982 r. – Prawo o Adwokatu- rze, tj. Dz.U. z 2019 r., poz. 1513, dalej: PrAdw.

przez adwokata w związku z udzielaniem pomocy prawnej występuje Prezes Urzędu Ochrony Danych Oso- bowych. Co więcej, wyłącznie Sąd na wniosek prokuratora na mocy art.

180 § 2 KPK⁸ jest uprawnionym do zwolnienia adwokatów lub radców prawnych z obowiązku zachowania tajemnicy zawodowej i to tylko wtedy, gdy jest to niezbędne dla dobra wy- miaru sprawiedliwości, a dana oko- liczność nie może być ustalona na podstawie innego dowodu.

W obliczu powyższego trudno sobie wyobrazić, aby klient spółki mógł na podstawie umowy cywilnopraw- nej nabyć uprawnienie, do realizo- wania uprawnień administratora danych zgodnie z art. 28 RODO. Zgodnie

8 Ustawa z dnia 6 czerwca 1997 r. – Kodeks postępowania karnego tj. Dz.U.2020.0.30, dalej: KPK.

(24)

z art. 28 ust. 3 RODO, przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego in- strumentu prawnego, które podlegają prawu Unii lub prawu państwa człon- kowskiego i wiążą podmiot przetwa- rzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz katego- rie osób, których dane dotyczą, obo- wiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający: przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora, zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by pod- legały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, podejmuje wszelkie środki wymagane na mocy art. 32, przestrzega warun- ków korzystania z usług innego podmiotu przetwarzającego, a także bio- rąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowied- nie środki techniczne i organiza- cyjne wywiązać się z obowiązku od- powiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO, jak również uwzględnia- jąc charakter przetwarzania oraz do- stępne mu informacje, pomaga administratorowi wywiązać się z obowiąz- ków określonych w art. 32–36 RODO.

Podmiot przetwarzający w świetle przywołanego przepisu także po za- kończeniu świadczenia usług związa- nych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa człon- kowskiego nakazują przechowywa- nie danych osobowych, jak również udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków okre- ślonych w niniejszym artykule oraz

umożliwia administratorowi lub au- dytorowi upoważnionemu przez administratora przeprowadzanie audy- tów, w tym inspekcji, i przyczynia się do nich. W związku z tym ostatnim obowiązkiem podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

Jak bowiem wynika z art. 28 ust.

3 lit g) RODO kancelaria byłaby zo- bligowana po zakończeniu świad- czenia pomocy prawnej do usunięcia bądź zwrotu danych osobowych, jakie otrzymała od klienta (w tym no- śników tych danych np. dokumen- tów, korespondencji elektronicznej).

Potwierdzeniem tego postanowienia

jest także niejednokrotnie brzmienie umów o świadczenie obsługi prawnej. Należy mieć jednak na uwadze postanowienia ustaw korporacyjnych, bowiem zgodnie z art. 5c ust. 1 pkt 1) RadPrawU oraz art. 16c PrAdw kancelaria jest zobowiązana przechowywać dane przez okres 5 lat od końca roku, w którym zakończyło się postępowa- nie dla którego pozyskano i przetwa- rzano dane osobowe. Co więcej, kancelaria nie byłaby w stanie groma- dzić danych, które są jej niezbędne do ustalenia czy nie istnieje konflikt interesów przy wykonywanych przez nią usługach. Wobec powyższego nie jest możliwe, aby w ramach zawartej z klientem umowy kancelaria mogła przyjąć na siebie obowiązki, które stoją w sprzeczności z wymogami, jakie narzucają na nią przepisy prawa.