RODO – WYROK SĄDU REJONOWEGO W TORUNIU Z DNIA 28 GRUDNIA 2018 R.

RODO wyrok sądu

Wyrok Sądu Rejonowego w Toruniu z dnia 28 grudnia 2018 r.

IV P 364/18 – Jeden z pierwszych wyroków rozstrzygających o zasadności podpisania dokumentów z zakresu ochrony danych przez pracownika.

W sentencji wyroku znajdziemy uznanie powództwa oraz zasądzenie kosztów od pozwanej Spółki (pracodawcy).

Pracownik wniósł powództwo tytułem odszkodowania za niezgodne z prawem rozwiązanie umowy o pracę bez wypowiedzenia z winy pracownika w trybie art. 52 § 1 pkt 1 Kodeksu pracy. Przyczyną uzasadniającą wypowiedzenie było niepodpisanie przez pracownika dokumentów z zakresu ochrony danych osobowych.

W uzasadnienia Wyroku wynika, iż pracownik otrzymał do podpisu następujące dokumenty:

  • Oświadczenie o zgodzie na przetwarzanie danych osobowych;
  • Oświadczenie o zgodzie na funkcjonowanie w miejscu pracy monitoringu, utrwalenie wizerunku pracownika w miejscu pracy i przetwarzanie danych osobowych w tym zakresie;
  • Oświadczenie o przestrzeganiu zasad i przepisów ochrony danych osobowych i o zachowaniu tajemnicy danych osobowych zawierające oświadczenie o zapoznaniu się z przepisami ochrony danych osobowych, zasadami przetwarzania i ochrony danych osobowych i zobowiązanie do przestrzegania zasad i przepisów z zakresu ochrony danych osobowych oraz informacji objętych prawem tajemnicy przedsiębiorstwa podczas wykonywania obowiązków służbowych oraz oświadczenie o przyjęciu do wiadomości i stosowania zasad dotyczących bezpieczeństwa danych osobowych w firmie.

Sąd wyraźnie wskazuję, iż przede wszystkim pracodawca jako administrator danych powinien określić prawidłową podstawę przetwarzania danych osobowych. W dostarczonych dokumentach Sąd w moim odczuciu słusznie podnosi, iż w relacjach pracowniczych nie powinniśmy opierać się na przesłance wynikającej z art. 6 ust. 1 lit a) RODO, bowiem zgoda podmiotu danych powinna być wyrażona dobrowolnie, konkretnie, świadomie i jednoznacznie co w relacjach pracodawca – pracownik budzi wątpliwości. Odnosząc się do zgody na przetwarzanie danych osobowych Sąd podkreśla, iż zgoda ta mogła dotyczyć wyłącznie danych których pracownik nie miał obowiązku udostępniać pracodawcy zgodnie z art. 22 1 Kodeksu pracy.

Ponadto żądanie zgody na funkcjonowanie w miejscu pracy monitoringu, utrwalenie wizerunku pracownika w miejscu pracy i przetwarzanie danych jest nadmierne bowiem również w tym zakresie regulują nam przepisy w art. 22 2 Kodeksu pracy o monitoringu wizyjnym. Przepisy te wskazują, iż pracodawca powinien wskazać cele, zakres oraz sposób zastosowania monitoringu a informację te ustalić w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. Pracodawca informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy, nie później niż 2 tygodnie przed jego uruchomieniem a przed dopuszczeniem pracownika do pracy przekazuje powyższe informacje na piśmie.

Sąd wskazuję, iż w przepisach jest tylko wskazanie, iż pracodawca informuję o wprowadzeniu monitoringu, jego celu, zakresie oraz sposobie zastosowania a jego wprowadzenie nie jest zależne od zgody pracownika.

Sąd podał w wątpliwość podpisanie oświadczenia o przestrzeganiu zasad i przepisów ochrony danych osobowych i o zachowaniu tajemnicy danych osobowych zawierające oświadczenie o zapoznaniu się z przepisami ochrony danych osobowych, zasadami przetwarzania i ochrony danych osobowych i zobowiązanie do przestrzegania zasad i przepisów z zakresu ochrony danych osobowych oraz informacji objętych prawem tajemnicy przedsiębiorstwa podczas wykonywania obowiązków służbowych oraz oświadczenie o przyjęciu do wiadomości i stosowania zasad dotyczących bezpieczeństwa danych osobowych w firmie bowiem samo niepodpisanie przez pracownika w/w dokumentów może oznaczać, iż pracownik nie posiada stosownej wiedzy z zakresu ochrony danych osobowych, a jeśli posiada to nie będzie czynił z niej użytku. Skutkować to może zdaniem Sądu odsunięciem pracownika od pracy w trybie art. 100 § 2 pkt 4 Kodeksu pracy (podstawowym obowiązkiem pracownika jest dbać o dobro zakładu pracy, chronić jego mienie oraz zachować w tajemnicy informacje, których ujawnienie mogłoby narazić pracodawcę na szkodę), jednak nie może prowadzić do rozwiązania umowy o pracę bez wypowiedzenia z winy pracownika i nie może stanowić ciężkiego naruszenia obowiązków pracowniczych. Sąd wskazuję, że podpis jest pewnego rodzaju deklaracją a nie obowiązkiem pracownika sensu stricto.

Wskazując również na ugruntowane orzecznictwo, iż zastosowanie przesłanki z art. 52 § 1 pkt. 1 Kodeksy pracy wchodzi w grę tylko wtedy gdy zachowanie pracownika jest szczególnie naganne oraz stanowi rażące i drastyczne złamanie reguł postępowania. W zaistniałej sprawie zdaniem Sądu nie można tutaj mówić o takim zachowaniu.

Sąd podkreśla, również jak ważne jest chociażby przeszkolenie pracowników niezależnie od ich stanowiska i uświadomienie zarówno pracownikom wyższego szczebla jak i pracownikom szeregowym funkcjonowania zasad z zakresu ochrony danych.

Podsumowując pracodawca jako administrator danych powinien:

  • Prawidłowo określić podstawę prawną przetwarzania danych pracowniczych;
  • Przy wyrażeniu zgody zapewnić dobrowolność oraz pamiętać o zasadzie równowagi stron przy wyrażeniu zgody, bowiem w przypadku wątpliwości co do jej dobrowolności może okazać się ona nieważna;
  • Sukcesywnie podnosić świadomość pracowników z zakresu ochrony danych poprzez m.in. szkolenia oraz dbać o prawidłowe przestrzeganie zasad wynikających z RODO.

 

Autor: Aleksandra Kiełbratowska

Zmiany w prawie pracy

Możliwość pozyskiwania zaświadczeń o niekaralności i aktualizacja okresu przechowywania dokumentacji pracowniczej to nowe zmiany w prawie pracy. Chciałoby się powiedzieć nareszcie. Ustawodawca po wielu zapewnieniach i obietnicach w końcu przeszedł do ich realizacji i proponuje nowe regulacje. Pod lupę w dzisiejszym wpisie wezmę zmiany w prawie pracy objęte przez:

  1. projekt ustawy o zmianie niektórych ustaw w celu poprawy otoczenia prawnego przedsiębiorców oraz
  2. projekt założeń projektu ustawy o zmianie niektórych ustaw w związku ze skróceniem okresu przechowywania akt pracowniczych oraz ich elektronizacją.

Z uwagi na dynamiczny rozwój wydarzeń wpis jest krótką refleksją na stan legislacyjny na dzień 23 września br. Celem proponowanych zmian jest:

  • doprecyzowanie zagadnień wywołujących wątpliwości interpretacyjne,
  • redukcja niektórych obowiązków administracyjnych,
  • wspieranie rozwoju przedsiębiorczości i podniesienie efektywności pracy.

Proponuje się zmiany w prawie pracy m.in. w ustawie o swobodzie działalności gospodarczej, w prawie pracy i ubezpieczeń społecznych, w prawie budowlanym, prawie technicznym, prawie handlowym oraz finansowym i ochrony środowiska. Nie sposób opisać ich w kilku czy nawet kilkunastu wpisach. Z uwagi na doniosłość zmian w Kodeksie pracy, a także zmian w kontekście możliwości zbierania oświadczeń o niekaralności – przyjrzę się im bliżej.

Pierwsza kwestia dotyczy często przywoływanego przez nas w kontekście ochrony danych osobowych, art. 221 ustawy Kodeks pracy. Zmiany zmierzają ku poszerzeniu kręgu pracodawców, którzy będą mogli żądać od osób ubiegających się o zatrudnienie podania informacji o niekaralności. Obecnie pracodawca może ich żądać w ściśle określonych przypadkach tzn. wskazanych przez przepisy prawa. Dla przykładu nauczyciel w celu potwierdzenia spełniania warunku niekaralności za przestępstwo popełnione umyślnie przed nawiązaniem stosunku pracy obowiązany jest przedstawić dyrektorowi szkoły informację z Krajowego Rejestru Karnego ( art. 10 ust. 8a ustawy Karta Nauczyciela). Jak czytamy z uzasadnienia projektu ustawy o zmianie niektórych ustaw w celu poprawy otoczenia prawnego przedsiębiorców:

„Pracodawca, będący podmiotem podlegającym nadzorowi Komisji Nadzoru Finansowego w rozumieniu ustawy z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym będzie miał prawo żądać od osoby ubiegającej się o zatrudnienie podania informacji w zakresie skazania prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe”.

Jednocześnie należy zaznaczyć, że udokumentowanie informacji o niekaralności, będzie mogło nastąpić wyłącznie po uprzednim uzyskaniu pisemnej zgody osoby ubiegającej się o zatrudnienie. Po pierwsze brak jest zamkniętego i jasno określonego katalogu podmiotów, które będą mogły żądać od kandydatów do pracy zaświadczeń o niekaralności. Po drugie brak jasno określonych stanowisk na które aplikacja będzie wiązała się z koniecznością podania informacji z Krajowego Rejestru Karnego. Już chociażby te dwa aspekty mogą w przyszłości prowadzić do licznych nadużyć. Co warto dodać zakres przestępstw jest okrojony wyłącznie do przestępstw skarbowych. Pytanie czy jest to wystarczające? Informacje te stanowią jedynie małą część informacji gromadzonych w Krajowym Rejestrze Karnym. Pracodawca nie będzie miał zatem dostępu do informacji o prawomocnym warunkowo umorzonym postępowaniu karnym czy też prawomocnym skazaniu pracownika przez sądy państw obcych.

Druga kluczowa zmiana dotyczy skrócenia czasu przechowywania dokumentacji kadrowo – płacowej z 50 do 10 lat. Z zastrzeżeniem, że ZUS będzie gromadził informacje wystarczające do ustalenia i przyznania świadczenia z ubezpieczenia społecznego w takim zakresie, aby ubezpieczony miał zagwarantowane bezpieczeństwo otrzymania wybranego świadczenia oraz prawidłowego ustalenia jego wysokości. Warto dodać, że projekt przewiduje fakultatywną możliwość gromadzenia i przechowywania akt osobowych i pozostałej dokumentacji pracowniczej w formie elektronicznej. Celem niniejszej zmiany jest obniżenie kosztów ponoszonych przez pracodawców w związku z przechowywaniem akt osobowych w wersji papierowej. Duże koszty związane są chociażby z koniecznością powierzenia archiwizacji dokumentacji podmiotom zewnętrznym.

Kończąc, należy zauważyć, że ww. projekty ustaw jak na razie są na etapie konsultacji społecznych i ciężko jest mówić o jakichkolwiek konsekwencjach w obrębie ochrony danych osobowych. Jedyne co nam pozostaje to czekać z niecierpliwością na kolejne doniesienia z rządowego centrum legislacji.

Udostępnienie danych pracownika

Przesłanki oraz granice przetwarzania danych osobowych pracowników

Wpis ten jest naszą reakcją na jedno z pytań jakie trafiło do naszej redakcji. Pytanie dotyczyło zakresu danych osobowych (dokumentów) pracowników jakie można przekazać podmiotowi trzeciemu, a dokładniej tego, czy można udostępniać informacje o pracownikach kierownikowi budowy, na której wykonują swoją pracę. Na wstępie zastanowimy się, jakie dane osobowe na temat pracownika ma prawo pozyskiwać pracodawca, dopiero wtedy będziemy mogli rozstrzygnąć, które z nich ewentualnie można udostępniać na rzecz innych podmiotów? Oczywiście niniejsze opracowanie dotyczy stanu faktycznego przedstawionego w zadanym pytaniu a więc dopuszczalności przekazania danych osobowych przez podwykonawcę (firmę budowlaną) na rzecz kierownika budowy.

Jakich danych osobowych może żądać od nas pracodawca?

Zakres danych, które może żądać pracodawca od pracownika reguluje art. 221 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy. Stosownie do § 1 i 2 tego przepisu, pracodawca ma prawo żądać od pracownika podania danych osobowych obejmujących:

  • imię (imiona) i nazwisko,
  • imiona rodziców,
  • datę urodzenia,
  • miejsce zamieszkania (adres do korespondencji),
  • wykształcenie,
  • przebieg dotychczasowego zatrudnienia.

Pracodawca ma prawo żądać od pracownika także podania:

  • innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy,
  • numeru PESEL.

 A co z numerem i serią dowodu osobistego?

Warto zauważyć, że załącznik do rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r.[1] w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika wskazuje na to, że numer PESEL oraz numer dowodu osobistego powinien wskazać sam pracownik w kwestionariuszu osobowym załączonym do ww. rozporządzenia. Pracownik oświadcza bowiem, że dane które podał są zgodne z jego dowodem osobistym.

Ciekawostka! Stosownie do art. 221 § 3 Kodeksu pracy udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Przy czym złożenie takiego oświadczenia przez pracownika nie może być utożsamiane z oświadczeniem o wyrażeniu zgody na przetwarzanie danych. Pracodawca stosownie do postanowień art. 221 § 3 Kodeksu pracy ma prawo żądać dowodu osobistego do wglądu w celu zweryfikowania podanych w kwestionariuszu danych osobowych, ale nie ma podstawy do tego aby kserować dowód osobisty.

Badania lekarskie

Zgodnie ze stanowiskiem GIODO[2] pracodawca nie ma podstawy do przetwarzania danych osobowych dotyczących wyników badań lekarskich, gdyż przepisy prawa zezwalają tylko na zbieranie zaświadczenia o braku przeciwskazań lub też o przeciwwskazaniach zdrowotnych danego pracownika do pracy na określonym stanowisku. Powyższe wynika z Rozporządzenia Ministra Zdrowia i Opieki Społecznej z dnia 30 maja 1996 r. w sprawie przeprowadzania badań lekarskich pracowników, zakresu profilaktycznej opieki zdrowotnej nad pracownikami oraz orzeczeń lekarskich wydawanych do celów przewidzianych w Kodeksie pracy. Zgodnie z § 2 ust. 5 wskazanego rozporządzenia badanie profilaktyczne kończy się orzeczeniem lekarskim stwierdzającym brak przeciwwskazań zdrowotnych do pracy na określonym stanowisku pracy albo stwierdzającym przeciwwskazania zdrowotne do pracy na określonym stanowisku pracy. Stosownie zaś do § 3 ust. 4 tego rozporządzenia orzeczenia lekarskie są wydawane w formie zaświadczeń według określonych wzorów. Zgodnie natomiast z ust. 5 rozporządzenia zaświadczenia te lekarz przeprowadzający badanie profilaktyczne przekazuje pracownikowi i pracodawcy. Rozporządzenie tym samym nie daje uprawnień na rzecz pracodawcy do otrzymywania wyników badań lekarskich pracownika.

Ciekawostka!  Ww. rozporządzenie wskazuje, że karta badania profilaktycznego zawiera dane identyfikacyjne osoby objętej badaniami (imię i nazwisko, datę urodzenia, płeć oraz adres zamieszkania).

Szkolenia BHP

Z kolei podstawą przetwarzania danych osobowych zawartych w karcie szkolenia wstępnego i zaświadczeniu o ukończeniu szkolenia BHP jest § 16 ust. 2 rozporządzenia Ministra Gospodarki i Pracy w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy[3]. Wyżej wymienione karty pracodawca przechowuje w aktach osobowych pracownika, z tym, że karta przechowywana jest w oryginale, a zaświadczenie w odpisie.

Ciekawostka! Dopiero ww. rozporządzenie umożliwia pracodawcy zbierania informacji o miejscu urodzenia pracownika. Informacja ta jest niezbędna do wystawienia zaświadczenia ze szkolenia BHP.

Udostępnienie danych osobowych

Na początek kilka ogólnych słów. Przetwarzanie danych powinno następować m.in. w oparciu o następujące kryteria: legalności, celowości, adekwatności oraz rzetelności.  Podstawy przetwarzania (w tym i udostępniania) danych osobowych wymienione są w art. 23 i 27 ustawy o ochronie danych osobowych.

Abyśmy jako pracodawca i zarazem administrator danych mogli udostępnić dane osobowe na rzecz podmiotu, który taki wniosek złożył musimy posiadać jedną z podstaw do udostępnienia danych osobowych. Przykładem takie podstawy udostępnienia danych osobowych może być przepis prawa jakiejś ustawy szczególnej.  Z praktycznego punktu widzenia ważne jest to aby abyśmy mieli dowód tego że udostępnienie odbyło się w sposób zgodny z ww. zasadami ochrony danych osobowych. Dlatego też, niezależnie od zastosowanej podstawy udostępnienia rekomendujemy, aby wniosek o udostępnienie złożony został na piśmie lub w ostateczności na podstawie zweryfikowanego maila. Udostępniając dane warto pamiętać o konieczności zastosowania środków organizacyjnych i technicznym zarówno po stronie administratora danych jak i tego, komu dane udostępniono. Za udostępnienie danych osobowych osobom nieupoważnionym art. 51 ustawy o ochronie danych osobowych przewiduje odpowiedzialność karną, gdzie najsurowsza kara wynosi do 2 lat pozbawienia wolności dla osoby, która udostępniała dane osobowe osobom nieupoważnionym.

Ważne! Stosownie do art. 22 ustawy z dnia 7 lipca 1994r. Prawo budowlane do podstawowych obowiązków kierownika budowy należy m.in. zapewnienie zorganizowania budowy i kierowanie budową obiektu budowlanego w sposób zgodny z przepisami bezpieczeństwa i higieny pracy.

Podsumowując. Kierownik budowy może żądać od Państwa informacji o braku przeciwskazań lub też o przeciwskazaniach zdrowotnych danego pracownika do pracy na określonym stanowisku. Zaświadczenie o przeszkoleniu z zasad BHP również powinno być mu udostępnione. 

[1] Rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika ( Dz. U. 1996 nr 69 poz.332)

[2] http://www.giodo.gov.pl/348/id_art/1712/j/pl/

[3] Rozporządzenie Ministra Gospodarki i Pracy z dnia 27 lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy (Dz.U. 2004 nr 180 poz. 1860)