Identyfikatory a RODO - jakie dane mogą zawierać?

Jakie dane są dozwolone na identyfikatorach?

W art. 22 [1] kodeksu pracy, wskazuje się na grupy danych osobowych, których żądać może pracodawca od osoby już zatrudnionej, wówczas nie jest wymagana zgoda pracownika na ich przetwarzanie.

Katalog ten nie zawiera wzmianki o zdjęciu pracownika. Praktyka, w tym zakresie, stosowana przez pracodawców przedstawia się różnorodnie. Co do zasady, podstawą przetwarzania danych w formie wizerunku pracownika będzie zgoda (zezwolenie), udzielona zgodnie z art. 81 §1 zd. 1 ustawy o prawie autorskim i prawach pokrewnych. Nałożenie przez pracodawcę obowiązku posiadania przez pracownika, osobistego identyfikatora ze zdjęciem, może odbyć się na podstawie zgody osoby na nim przedstawionej.

Przykład zgody znajdziesz w artykule: Wizerunek pracownika, a działania pracodawcy.

Identyfikatory pracowników - co na to Grupa Robocza art. 29

W Opinii 2/2017 Grupy Roboczej art. 29 na temat przetwarzania danych w miejscu pracy, wskazano na brak dobrowolności w udzielaniu zgody przez pracowników z uwagi na zależność wynikającą ze stosunku pracy między pracodawcą, a pracownikiem. Z powodu tej nierównowagi sił pracownicy mogą udzielić dobrowolnej zgody wyłącznie w wyjątkowych okolicznościach, w których przyjęcie lub odrzucenie propozycji nie pociąga za sobą żadnych konsekwencji.

Na marginesie wspomnę, iż można w tym miejscu zastanawiać się nad charakterystyką relacji zachodzącej pomiędzy warunkami wyrażenia zgody zawartymi w RODO, a zgodą wyrażaną na gruncie ustawy o prawie autorskim i prawach pokrewnych, na ile są one tożsame, co pozostawiam poza zakresem niniejszych rozważań.

Pracodawcy mogą jednak powołać się na uzasadniony interes, wskazując go jako podstawę prawną podejmowanych działań zgodnie z art. 6 ust. 1 lit. f) RODO. Przykładowo, interes ten polegać może na zapewnieniu bezpieczeństwa osób i mienia wewnątrz organizacji, m.in. poprzez ograniczenie dostępu osób nieupoważnionych, jak również na usprawnieniu prowadzenia komunikacji wewnątrz jej struktury. Na poparcie powyższych wniosków, należy odwołać się do stanowiska Generalnego Inspektora Ochrony Danych Osobowych (GIODO) z 5.03.2008 r. w sprawie zamieszczania zdjęć pracownika na identyfikatorach (DOLIS-035-219/07/461/08) wydanej na kanwie uchylonej ustawy o ochronie danych osobowych z dnia z 29.08.1997 r. (UODO).

Jak było za GIODO

Zdaniem GIODO, pracodawca zobowiązany jest do uzyskania zgody pracownika w tym zakresie. Wymóg ten zostaje jednak zniesiony, jeśli pracodawca ureguluje wymóg noszenia identyfikatorów ze zdjęciem w odpowiednich aktach wewnętrznych organizacji, zaliczanych do źródeł prawa pracy. Przepis artykułu 9 § 1 kodeksu pracy, do źródeł prawa pracy zalicza postanowienia układów zbiorowych pracy i innych opartych na ustawie porozumień zbiorowych, regulaminów i statutów określających prawa i obowiązki stron stosunku pracy. W opinii GIODO wprowadzenie takiego wymogu w regulaminie pracy bądź w układzie zbiorowym pracy nie naruszało art. 23 UODO dotyczącego warunków dopuszczalności przetwarzania danych.

Jak jest obecnie

W obecnym stanie prawnym, za odpowiednik uchylonego art. 23 UODO uznaje się właśnie art. 6 ust. 1 lit. f) RODO. Cele, dla których ma miejsce przetwarzanie danych w postaci wizerunku pracownika, powinny być konieczne ze względów prawnych i zgodne z zasadami proporcjonalności i pomocniczości. Przesłanki te spełniać będzie właśnie zapewnienie bezpieczeństwa w miejscu pracy. Pracodawca musi pamiętać jednak o obowiązku uregulowania tej materii w wewnętrznych aktach, zatwierdzonych w danej organizacji, jak wspominany już wcześniej regulamin pracy czy postanowienia układów zbiorowych, określające zasady i cel przetwarzania wizerunku pracowników. Stanowi to czynność rozpowszechniania wizerunku.

Więcej na temat przetwarzania danych pracowników w artykule: Ochrona danych osobowychw procesie zatrudnienia - co zmieni RODO.

Nie należy także zapominać o konieczności uzyskania zgody pracownika na upublicznienie wizerunku poprzez zamieszczenie go w Internecie. Stanowi to czynność rozpowszechniania wizerunku, zastosowanie znajdą więc przepisy ustawy o prawie autorskim. Są także opinie, mówiące o konieczności pobierania zgód na wykorzystywanie i zamieszczanie wizerunku pracownika na identyfikatorze, gdy zewnętrzna firma ochroniarska prowadzi ewidencję wejść i wyjść pracowników. W tego typu sytuacjach, pracodawca nie może być do końca pewny czy tego rodzaju identyfikacja pracowników nie zostanie wprowadzana do systemu informatycznego, prowadząc tym samym do ich upublicznienia.

Jak widać, rozważania powyższe nie wyczerpują całego zagadnienia i problematyka ta z całą pewnością będzie tematem dalszych rozważań.