Czy identyfikatory pracowników naruszają RODO?
Zazwyczaj obowiązek posługiwania odpowiednimi oznaczeniami wynika z wewnętrznego regulaminu organizacji i względów bezpieczeństwa. Dzięki identyfikatorom osoby niepowołane nie mogą dostać się do danej firmy ani podszywać się pod jej pracownika. Ujawniają one jednak informacje dotyczące zatrudnionych, które pracodawca ma obowiązek szczególnie chronić.
Według informacji podanych przez UODO, do końca czerwca wpłynęło 756 skarg w związku
z wprowadzeniem nowych przepisów o ochronie danych osobowych oraz ponad 600 pytań w sprawie ich stosowania.
– Od momentu, kiedy obligatoryjne stało się stosowanie unijnego rozporządzenia, czyli RODO, wiele firm ma wątpliwości, czy zamieszczenie danych na identyfikatorach jest zgodne z prawem. Często poza „standardowymi” plakietkami chodzi również o tabliczki z imieniem i nazwiskiem pracowników na drzwiach wejściowych do ich gabinetów. Co do zasady, gdy dany podmiot przetwarza dane osobowe swoich pracowników, niewymienione w Kodeksie pracy czy też w dalszych przepisach odrębnych, wówczas należy powołać się na jedną z podstaw przetwarzania danych wskazaną w RODO – mówi adw. Katarzyna Kirylczuk, specjalista ds. ochrony danych, ODO 24.
Ważna weryfikacja regulaminu pracy
Najważniejsze jest, aby przed podjęciem decyzji o stosowaniu identyfikatorów w organizacji zweryfikowano na samym początku wewnętrzne regulaminy pracy i dostosowano je pod względem zgodności z nowymi przepisami dotyczącymi ochrony danych osobowych. Firmy mogą przetwarzać informacje w postaci wizerunku pracowników powołując się na przesłankę przetwarzania danych, jaką jest prawnie uzasadniony interes, realizowany przez administratora danych. Istnieje zatem możliwość umieszczania zdjęć pracowników na identyfikatorach, w sytuacji, gdy obowiązek ich posiadania będzie wynikać z wewnętrznych regulacji, występujących u danego przedsiębiorcy i będzie związany z prawnie uzasadnionym interesem realizowanym przez daną organizację.
– Należy podkreślić, że w art. 221 Kodeksu pracy, wskazuje się na kategorie danych osobowych, których żądać może pracodawca od osoby już zatrudnionej, bez konieczności odebrania w tym zakresie zgody pracownika na ich przetwarzanie. Tym niemniej, w przywołanym katalogu brakuje wzmianki o rodzaju danych, do którego można by zakwalifikować wizerunek. Praktyka w tym zakresie jest różna. W zależności od sytuacji, podstawą przetwarzania danych w formie wizerunku pracownika będzie jego zgoda, udzielona zgodnie z przepisami ustawy o prawie autorskim i prawach pokrewnych bądź spełnienie przesłanki przewarzania danych, wymienionej w art. 6 ust. 1 lit. f RODO, mówiącej o uzasadnionym interesie realizowanym przez administratora danych. Może on polegać mi.in na zapewnieniu bezpieczeństwa w funkcjonowaniu organizacji, w tym prowadzeniu komunikacji wewnątrz jej struktury. Zaleca się jednak właściwe uregulowanie tego celu przetwarzania wizerunku pracownika, np. w regulaminie pracy czy w postanowieniach układów zbiorowych. Natomiast w sytuacji, gdy pracodawca dąży do rozpowszechniania wizerunku pracowników poprzez ich upublicznienie w internecie, wymagane jest odebranie odpowiedniej zgody na wykorzystanie i rozpowszechnianie wizerunku na gruncie przepisów prawa autorskiego. Wyrażane jest nadto stanowisko, iż zgoda na wykorzystywanie wizerunku pracownika powinna być odbierana również wówczas, gdy wizerunek jest umieszczany na identyfikatorze. Wynika to z faktu, iż tego rodzaju dane mogą trafić także do systemu informatycznego, dostępnego chociażby dla pracowników ochrony prowadzących ewidencję wejść i wyjść z terenu zakładu pracy – dodaje adw. Katarzyna Kirylczuk, specjalista ds. ochrony danych, ODO 24.
Warto pamiętać, że ochrona naszych danych osobowych jest bardzo istotna. Według Raportu o dokumentach InfoDOK przygotowanego przez Związek Banków Polskich, tylko w II kwartale 2018 r. próbowano wyłudzić aż 1 043 kredytów na łączną kwotę 90,1 milionów złotych.
Źródło: ODO 24