Monitoring we flotach samochodowych a RODO

Choć przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”) obowiązują już kilka miesięcy (od dnia 25 maja 2018 r.) w praktyce wciąż spotykamy się z zagadnieniami budzącymi wątpliwości, rodzącymi pytania, co tak naprawdę się zmieniło.

Pozostając w tematyce oferowanych przez Kancelarię szkoleń, w dzisiejszym wpisie poruszone zostanie zagadnienie monitoringu we flotach samochodowych, w szczególności postaramy się odpowiedzieć na pytanie, czy wprowadzone regulacje zmieniają dotychczas stosowane rozwiązania? Co należy zrobić, by wprowadzony monitoring był legalny?

Przede wszystkim należy wskazać, iż RODO wprost nie reguluje zasad dotyczących monitoringu na płaszczyźnie pracodawca – pracownik, tym bardziej nie zawiera postanowień dotyczących monitoringu flot samochodowych. W konsekwencji, by móc odpowiedzieć na pytania postawione we wstępie niniejszego wpisu, należy poddać weryfikacji ogólne zapisy RODO, jak również zmienione po ich wejściu przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000 z późn. zm.) oraz przepisy ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. 1974 poz. 24 nr 141 z późn. zm.).

W pierwszej kolejności odwołamy się do dodanych przez polskiego ustawodawcę w ramach reformy prawa ochrony danych osobowych, będącej następstwem uchwalenia RODO przepisów – art. 222 i 22 3 kodeksu pracy – które to wprost wskazują na trzy rodzaje monitoringu – wizyjny, poczty elektronicznej oraz inny niż wymienione. Właśnie do innych form monitoringu zaliczany jest monitoring flotowy, niezależnie od przyjętych przez daną firmę rozwiązań technicznych.

Jego stosowanie jest dopuszczalne jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz do właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. Kryterium niezbędności rozumieć w ten sposób, że na pracodawcy ciąży obowiązek wykazania, że wskazanych powyżej celów nie może osiągnąć w inny sposób niż tylko poprzez wybraną formę monitoringu pracownika. Okolicznościami istotnymi z punktu widzenia tej oceny są rodzaj pracy, jej charakter i stanowisko zajmowane przez pracownika. Trzeba pamiętać, iż zasada niezbędności jest dodatkowo ograniczona przez zasadę ochrony dóbr osobistych pracownika. Zatem w sytuacji chęci pracodawcy kontroli pracownika – kierowcy przykładowo pod kątem wybranych tras przejazdu czy też przestrzegania obowiązującej w firmie polityki ekonomicznej jazdy wdrożenie takiego monitoringu będzie dopuszczalne. „Cele, zakres oraz sposób zastosowania monitoringu ustala się w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy” (art. 222§6 kodeksu pracy). Dokumentem normującym powyższe kwestie może być także polityka danej floty samochodowej, która reguluje kwestie korzystania z samochodów służbowych.

Co zatem należy zrobić, by legalnie wprowadzić monitoring?

Najprościej ujmując – przestrzegać określonej procedury, procedury która koresponduje z zasadą przejrzystości przetwarzania danych osobowych ustanowioną w art. 5 ust. 1 lit. 1 RODO.

Przede wszystkim, nie później niż 2 tygodnie przed, o zamiarze uruchomienia monitoringu pracodawca informuje pracowników, w sposób u niego przyjęty. Dodatkowo przed dopuszczeniem pracownika do pracy pracodawca zobowiązany jest przekazać na piśmie informacje wskazane w cytowanym art. 222§6 kodeksu pracy. Nowym wymogiem, wynikającym z omawianej regulacji art. 223 w zw. z art. 222 kodeksu pracy, jest obowiązek odpowiedniego oznaczenia monitorowanej floty samochodowej, w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem.

Na marginesie należy wskazać, iż spełnienie obowiązku informacyjnego związanego z monitoringiem floty samochodowej, nie zwalnia pracodawcy ze spełnienia jego obowiązków jako administratora danych osobowych, wynikających z RODO, tj. obowiązku udzielania pracownikowi, jako podmiotowi danych, wszelkich informacji określonych przepisami RODO i prowadzenia z nim komunikacji dotyczącej przetwarzania danych osobowych (art. 12 RODO), jak również z obowiązku informacyjnego określonego w art. 13 RODO.

Źródła:

  1. rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;
  2. ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000 z późn. zm.);
  3. ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. 1974 poz. 24 nr 141 z późn. zm.).

 

 

Ochrona danych osobowych ucznia w kontekście powszechnie dostępnych na stronach internetowych szkół planów zajęć edukacyjno – wychowawczych

Niejednokrotnie zdarza się, iż na stronach internetowych szkół możliwy jest dostęp do planów zajęć świadczonych przez daną placówkę w ramach usługi kształcenia, jak również możliwa jest weryfikacja, po wyborze imienia i nazwiska, jaki konkretnie uczeń uczęszcza na dane lekcje.

Powyższe upublicznianie danych wiąże się z zagadnieniem przetwarzania danych osobowych, jak również ich legalnością.

W pierwszej kolejności wyjaśnić należy, iż danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, tj. osoby, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 1 i 2 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 1997 nr 133 poz. 883 z poźn. zm.) dalej „UoODO‟). Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ust. 3 UoODO). Drugą grupą danych osobowych są wrażliwe (sensytywne) dane osobowe, do których należą dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Przetwarzanie danych osobowych może mieć miejsce wyłącznie na zasadach określonych UoODO. UoODO stosuje się zasadniczo do przetwarzania danych osobowych w systemach informatycznych, a także w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych.

Zgodnie z art. 23 UoODO przetwarzanie „zwykłych danych” jest dopuszczalne tylko wtedy, gdy:

  • następuje za zgodą osoby zainteresowanej;
  • oparte jest na uprawnieniu lub obowiązku wynikającym z przepisów prawa;
  • jest niezbędne do realizacji umowy, której stroną jest osoba, której dane dotyczą lub jest niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
  • jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
  • jest niezbędne do wypełnienia prawnie usprawiedliwionych celów przez administratorów danych lub odbiorców danych (np. marketing bezpośredni własnych produktów lub usług albo dochodzenie roszczeń z tytułu prowadzenia działalności gospodarczej), przy czym w tym przypadku dodatkowym warunkiem jest to, aby nie naruszano praw i wolności osoby, której dane dotyczą.

Z kolei w myśl art. 27 UoODO przetwarzanie danych wrażliwych jest co do zasady zabronione. Wyjątki w tym zakresie zostały określone w art. 27 ust. 2 UoODO i należy do nich m.in. uzyskanie zgody na przetwarzanie danych sensytywnych przez osobę, której danej dotyczą.

W sytuacji powszechnego dostępu do planów lekcji w połączeniu z danymi osobowymi uczniów upublicznionymi na stronie internetowej szkoły, należy stwierdzić, że w każdym przypadku to do administratora danych osobowych – tj. organu reprezentującego daną szkołę – należeć będzie ocena, czy spełnione zostały przesłanki wskazane w art. 23 UoODO, w szczególności, czy może to prowadzić do identyfikacji uczniów, a w związku z tym, czy nie będzie stanowić zagrożenia dla ich bezpieczeństwa. Zgodnie bowiem z art. 26 UoODO, „administrator danych powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:

  • przetwarzane zgodnie z prawem;
  • zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2;
  • merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane;
  • przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania”.

Zgodnie z art. 36 UoDO administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych obowiązany jest prowadzić dokumentację opisującą sposób przetwarzania i środki ochrony danych osobowych.

W związku z powyższym w przypadku niespełnienia przesłanek z art. 23 UoODO trudno znaleźć uzasadnienie dla powszechnego dostępu do planu lekcji, jak również danych ucznia, które umożliwiają jego identyfikację. Zupełnie inną sytuacją byłby dostęp do przedmiotowego planu przewidziany wyłącznie dla osób zalogowanych (ucznia, opiekuna) lub sytuacja w której zostałaby wyrażona zgoda. Ponieważ w takich sytuacjach zasadniczo mamy do czynienia z osobami przed ukończeniem 18 roku życia, a więc nie posiadającymi pełnej zdolności do czynności prawnych, w ich imieniu decyzję o upublicznieniu danych osobowych poprzez publikację na stronie internetowej szkoły mogą wyrazić opiekunowie prawni.

Na marginesie naruszenie przepisów o ochronie danych osobowych może wiązać się dla podmiotu, który dopuścił się tego naruszenia z odpowiedzialnością na gruncie karnym, administracyjnym i cywilnym. Przepisy karne zgromadzone są w art. 49-54 a UoODO. Karami grzywny, ograniczenia, a nawet pozbawienia wolności obwarowane jest (i) przetwarzanie danych, których przetwarzanie jest prawnie niedopuszczalne, (ii) udostępnianie danych osobowych osobom nieupoważnionym, (iii) naruszenie obowiązku zabezpieczenia danych osobowych, (iv) niezgłoszenie bazy danych do rejestracji, (v) niedopełnienie obowiązku informacyjnego wobec osoby, której dane są przetwarzane oraz (vi) udaremnianie lub utrudnianie czynności kontrolnych.

Podmiot przetwarzający dane osobowe wbrew przepisom Ustawy naraża się także na szereg dolegliwości o charakterze administracyjnym. GIODO może bowiem wobec tego podmiotu wydać decyzję administracyjną nakazującą m.in. usunięcie uchybień, zastosowanie odpowiednich środków zabezpieczenia danych osobowych, a nawet usunięcie danych osobowych (art. 18 UoODO).

Odpowiedzialność cywilnoprawna uregulowana jest poza UoODO, m.in. przepisami Kodeksu cywilnego w zakresie naruszenia dóbr osobistych.