Audyt zgodności z RODO

RODO w URZĘDZIE

cze. 19 2020

Jak wygląda kwestia gromadzenia i przetwarzaniach danych osobowych pracowników sektora publicznego? Jak zachować równowagę między przetwarzaniem tych informacji a prawem pracowników urzędów do prywatności zgodnie z RODO, także w szczególnej sytuacji pandemii – wyjaśnia Konrad Gałaj-Emiliańczyk, ekspert Bureau Veritas Polska.
 

Jak istotne jest przetwarzanie danych osobowych pracowników isntytucji piblicznych  świadczy m.in. fakt, że rozporządzenie o ochronie danych osobowych RODO aż 22 razy w wielu aspektach odnosi się do tych kwestii. Kluczowym przepisem jest tu art. 88 RODO. Dodatkowo służą temu poszczególne akty prawne oraz kodeks pracy, a w sektorze publicznym ustawa o pracownikach samorządowych i ustawa o służbie cywilnej. Natomiast szereg ważnych informacji dotyczących celów i podstaw prawnych przetwarzania danych osobowych pracowników w wielu aspektach, od rekrutacji po wykonywanie umowy o pracę, zakresu obowiązków, etc. zawiera Motyw 155 RODO.

PODSTAWOWE WARUNKI PRZETWARZANIA DANYCH OSOBOWYCH PRACOWNIKÓW

Podstawowym warunkiem przetwarzania danych osobowych pracowników jest ustalenie i udokumentowanie, że jest to proces zgodny z prawem oraz ma jasno określony i ustalony cel. Innymi słowy, ustalamy po co te dane mają być przetwarzane i jaki efekt chcemy osiągnąć. Bardzo ważne jest tu zidentyfikowanie czy dysponujemy odpowiednią podstawą prawną, aby przetwarzanie danych osobowych personelu sektora publicznego było w ogóle legalne. Istotne jest aby odpowiednio oceniać ryzyko i skutki przetwarzania danych osobowy, to znaczy - czy nie zostaną naruszone prawa do prywatności osób, których dane dotyczą.

PODSTAWY PRAWNE PRZETWARZANIA DANYCH OSOBOWYCH PRACOWNIKÓW

Jeśli chodzi o podstawy prawne przetwarzania danych osobowych, należy pamiętać o 8 zasadach ogólnych, m.in. legalności, transparentności i minimalizacji danych, jak i celach przetwarzania. Aby móc odnieść się do konkretnej podstawy prawnej trzeba patrzeć poprzez pryzmat celu, jaki przyświeca przetwarzaniu danych, np. rekrutacji, pełnieniu obowiązków czy kontroli dostępu. Do tzw. danych osobowych zwykłych służą takie podstawy prawne jak: przepisy prawa, zgoda pracownika, umowa, interes pracownika, cel publiczny, prawnie uzasadniony interes administratora danych. W przypadku danych wrażliwych, jeśli chodzi o podstawy prawne przetwarzania danych osobowych dochodzą jeszcze: dane upublicznione, ochrona roszczeń, profilaktyka zdrowotna, zdrowie publiczne oraz cel archiwalny.

DANE PRACOWNIKÓW DOSTĘPNE W INTERNECIE

Kwestią dodatkową są dane pracowników dostępne w internecie, które nie tylko publikowane są w Biuletynie Informacji Publicznej (BIP), ale może je znaleźć choćby na oficjalnych portalach społecznościowych urzędów czy podmiotów sektora publicznego. Należy pamiętać o tym, że mimo iż jesteśmy w stanie znaleźć informacje o pracownikach urzędu, to wcale nie oznacza, że możemy je też wykorzystać w takim stopniu, jak te udostępnione na oficjalnych kanałach, w tym stronach internetowych. Trzeba identyfikować źródła, z których pochodzą te dane i na podstawie źródeł wiedzieć w jakim celu można skorzystać z konkretnych informacji, ponieważ nie jest tak, że mimo istniejących podstaw prawnych, wszystko co jest publicznie dostępne, może być dowolnie wykorzystywane. Kluczowa jest tu zasada celowości wynikająca z RODO, czyli cel przetwarzania musi być z góry określony. Dopiero wtedy możemy poszczególne informacje wykorzystać bądź prosić  o możliwość ich użycia, ale dopiero po znalezieniu odpowiedniej podstawy prawnej, by to przetwarzanie danych były legalne i zgodne z RODO.

DANE DOT. KARALNOŚCI: SEKTOR PUBLICZNY I PRYWATNY

Warto zauważyć, że w przypadku pracowników sektora publicznego jako dane osobowe pojawia się aspekt karalności, który nie jest tak dowolnie traktowany jak w firmach prywatnych. Według kodeksu pracy udostępnianie pracodawcy danych osobowych tego typu następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca może zażądać także udokumentowania danych, po wcześniejszym uzasadnieniu, że informacje o niekaralności bądź karalności są mu niezbędne. Natomiast ustawy o pracownikach samorządowych czy służbie cywilnej, generalnie uniemożliwiają pełnienie obowiązków samorządowych czy w służbie cywilnej osobom skazanym prawomocnym wyrokiem za przestępstwo, w tym skarbowe. Odwrotna sytuacja jest w przypadku nauczycieli, którzy wg Karty Nauczyciela przed nawiązaniem stosunku pracy samodzielnie są zobowiązani do przedstawienia dyrektorowi szkoły informacji o niekaralności z Krajowego Rejestru Karnego.

Jeśli chodzi o dane pracowników na dokumentach urzędowych, podpisy, imiona i nazwiska, czy informacje z BIP, o tym kto dany dokument, zarządzenie wytworzył mają charakter stricte służbowy. Tutaj prawo do prywatności pracownika urzędu, aż tak daleko nie sięga i te dane mogą być udostępnianie albo adresatom konkretnych pism, zgodnie z zakresem i treścią tych dokumentów bądź są powszechnie dostępne czy to w BIP czy na stronach internetowych podmiotów sektora publicznego.

ZAKRES PRZETWARZANIA DANYCH OSOBOWYCH PRACOWNIKÓW URZĘDU

W kwestii przetwarzania danych osobowych pracowników urzędów, inspektorzy danych osobowych mają duży kłopot z rozgraniczeniem sfery prywatnej od służbowej. Są to choćby takie dane jak miejsce zamieszkania, stan rodzinny, stan zdrowia, pochodzenie etniczne, etc. i tych informacji, w przeciwieństwie do danych służbowych, czyli np. pełnionej funkcji, służbowych danych kontaktowych, zakresu obowiązków, co do zasady się nie udostępnia, z wyjątkiem potrzeb wewnętrznego przetwarzania, jeśli jego cel jest jasno określony i uzasadniony.

„Warto zwrócić uwagę na to, że RODO przewidziało i taką sytuację jak przetwarzanie danych osobowych dotyczących stanu zdrowia niezbędnych do celów humanitarnych, czyli także w sytuacjach wyjątkowych, takich jak pandemia, w której obecnie się znajdujemy. W tym zakresie obowiązują zarówno wytyczne polskiego organu nadzorczego, jak i na szczeblu europejskim. Podstawę prawną stanowi motyw 46 z kluczowym art. 9 ust. 2, lit I. Natomiast za drażliwą kwestię jak bardzo można ingerować w prawo do prywatności znów odpowiada cel przetwarzania tych danych. Jeśli cel, których chcemy osiągnąć jest dobrem ogółu, a więc jest ważniejszy niż prawo jednostki do prywatności, to jak najbardziej prawo do przetwarzania będzie uzasadnione” – podkreślił Konrad Gałaj-Emiliańczyk.

DANE DOTYCZĄCE STANU ZDROWIA – OBOSTRZENIA WYNIKAJĄCE Z PANDEMII

Jeśli chodzi o gromadzenie danych pracowników w ramach zapobiegania pandemii istotne są wytyczne Europejskiej Rady Ochrony Danych Osobowych (ERODO 02/2020). Obejmują one wykorzystanie nowych technologii, jak geolokalizacji oraz innych narzędzi ustalania kontaktów zakaźnych w kontekście ograniczania pandemii. Dokument wskazuje 2 zasadnicze cele proporcjonalnego wykorzystania danych. Z jednej strony chodzi o takie modelowanie rozprzestrzeniania się wirusa, aby tę pandemię móc skutecznie kontrolować, a z drugiej strony, informowanie osób, które mogą się znajdować w pobliżu zarażonych w tym samym celu ograniczania pandemii. „W mojej ocenia ta wytyczna jest dyskusyjna, ponieważ może narażać osoby zarażone na dyskryminację, a wręcz agresywne zachowania ze strony części społeczeństwa, tak jak mogliśmy zauważyć np. w przypadku pracowników służby zdrowia” – dodaje ekspert Bureau Veritas Polska.


W bardzo wielu aspektach, w czasach pandemii, ale także przed tą wyjątkową sytuacją, w jakiej się znaleźliśmy, pojawia i pojawiało się szereg wątpliwości, które dane pracowników urzędu można przetwarzać, a które nie. Warto tu sięgnąć do narzędzia przewidzianego przez RODO jakim jest ocena skutków przetwarzania danych osobowych (DPIA). Pozwala ono zweryfikować czy narzędzia przewidziane rozprzestrzenianiu się pandemii są adekwatne, czy nie następuje wykraczanie poza cel i stosowane narzędzia w sposób bezzasadny nie naruszają prawa pracowników do prywatności.

SZKOLENIA Z ZAKRESU OCHRONY DANYCH

Zapraszamy do skorzystania z oferty szkoleń prowadzonych przez Bureau Veritas, które pomagają zrozumieć znaczenie bezpieczeństwa informacji, stosować niezbędne działania kontrolne oraz chronić dane przechowywane i zarządzane przez organizację przed niebezpiecznymi incydentami bezpieczeństwa i naruszeniami ochrony danych osobowych.

BEZPIECZEŃSTWO INFORMACJI –  SPRAWDŹ DOSTĘPNE SZKOLENIA



Artykuł powstał na podstawie wystąpienia Konrada Gałaj-Emiliańczyka pt. „Przetwarzanie danych osobowych pracowników urzędu”, które odbyło się w ramach I Polskiego Kongresu Prawa Ochrony Osobowych w Sektorze Publicznym.
https://konferencje.mustreadmedia.pl/odo-publ


POTRZEBUJESZ PORADY CZY DODATKOWYCH INFORMACJI?
CHCIAŁBYŚ OTRZYMAĆ KOSZTORYS?