Każdy przedsiębiorca jest jednocześnie administratorem wielu danych osobowych. Jako pracodawca gromadzi i przetwarza dane pracowników, a jako producent lub dostawca usług czyni to samo z danymi osobowymi klientów.
Zgoda nie zawsze potrzebna
Jedno ze swoistych centrów przetwarzania danych osobowych w każdej firmie stanowią dział personalny i służby BHP. Regulacje RODO mają zastosowanie właściwie w każdej czynności prowadzonej lub organizowanej przez te komórki - począwszy od utworzenia i prowadzenia teczki osobowej pracownika, przez wstępne i okresowe badania lekarskie, po dokumentację chorób zawodowych czy wypadków przy pracy. Każdy pracodawca jest w związku z tym administratorem danych osobowych (ADO). Dotyczy to także kwestii monitoringu wizyjnego stanowisk pracy czy służbowej poczty elektronicznej – warto wiedzieć, że w tych dwóch kwestiach wejście w życie RODO zaowocowało zmianami w Kodeksie pracy.
W wielu przypadkach RODO stało się argumentem na rzecz utajniania wszelkich możliwych danych, ewentualnie traktowania jak dane osobowe informacji, które takimi danymi nie są. To z kolei skutkuje imposybilizmem: „nie można, nie da się, bo RODO, bo przecież potrzebujemy zgód na przetwarzanie danych osobowych”.
Tymczasem, chociaż rzeczywiście w większości przypadków wymagana jest wyraźna zgoda na przetwarzanie danych osobowych osoby, której dane dotyczą, to nie brakuje też sytuacji, gdy przetwarzanie jest niezbędne do wypełnienia obowiązków i szczególnych praw ADO, np. w dziedzinie prawa pracy. Tak dzieje się chociażby w przypadku szczególnej kategorii danych osobowych, jakimi są informacje dotyczące stanu zdrowia.
Z jednej strony RODO zabrania przetwarzania takich danych, z drugiej istnieją przesłanki legalizacyjne ich przetwarzania, np. w przypadku oceny zdolności pracownika do pracy. Wówczas zgoda pracownika na przetwarzanie jego danych osobowych nie jest potrzebna.
– Wyobraźmy sobie absurdalność sytuacji, w której człowiek, u którego lekarz medycyny pracy orzekł niezdolność do pracy, mógłby nie wyrazić zgody na przetwarzanie tej informacji i przekazanie jej pracodawcy. Konsekwencje takiej sytuacji mogłyby okazać się bardzo niebezpieczne zarówno dla tej osoby, jej współpracowników, jak i samego pracodawcy – mówi Piotr Kowalski, trener w Akademii EcoMS, która prowadzi m.in. szkolenia z zarządzania bezpieczeństwem pracy w świetle przepisów o ochronie danych osobowych.
Zaspokoić ciekawość generalnego wykonawcy
Opisanej powyżej sytuacji nie można jednak rozciągać na całość czynności związanych z przeprowadzeniem okresowych badań albo szkoleń BHP. Przetwarzanie danych pracowników w celu umieszczenia publicznie dostępnych list osób zobowiązanych do odbycia badań czy szkolenia może już bowiem stanowić naruszenie przepisów o ochronie danych osobowych. Podobnie wygląda kwestia wysyłki do wielu odbiorców, bez ukrywania ich adresów e-mail, maila na ten temat, jeśli nie uzyskamy wcześniej stosownej zgody od każdej z tych osób.
Warto wiedzieć, że regulacje umożliwiające przetwarzanie danych osobowych bez konieczności uzyskania zgody pracowników dotyczą nie tylko ściśle określonych sytuacji, ale i wyłącznie bezpośredniego pracodawcy takich osób. Co w sytuacji, gdy np. na budowie pracują osoby zatrudnione przez różnych podwykonawców, a generalny wykonawca żąda od firmy podwykonawczej kserokopii lub skanów orzeczeń lekarza medycyny pracy czy zaświadczeń o odbyciu szkoleń z zakresu BHP?
– Takie oczekiwania nie mają uzasadnienia ani na gruncie przepisów RODO, ani na podstawie prawa pracy. To rolą bezpośredniego pracodawcy jest zapewnienie okresowych badań lekarskich czy szkoleń BHP. Żadne przepisy nie upoważniają podwykonawcy – będącego administratorem danych osobowych swoich pracowników – do udostępniania informacji na ten temat generalnemu wykonawcy. Nie może on w tym przypadku powołać się na przepisy Kodeksu pracy regulujące zasady współdziałania pracodawców, w sytuacji gdy w jednym miejscu pracę wykonują pracownicy zatrudnieni przez różnych pracodawców. Te przepisy nie dają bowiem bezpośrednich podstaw do udostępniania na zewnątrz dokumentacji medycznej lub związanej ze szkoleniami BHP – wyjaśnia Piotr Kowalski.
Czy możliwe jest zatem zgodne z przepisami prawa spełnienie wspomnianego żądania ze strony generalnego wykonawcy? Tak, jednak po uprzednim zawarciu umowy powierzenia danych pomiędzy podwykonawcą a wykonawcą zatrudniającym firmy zewnętrzne w zakresie przetwarzania danych osobowych oraz uzyskania stosownych zgód od każdego z pracowników, których dane miałyby zostać przekazane generalnemu wykonawcy.
Niewiedza może kosztować
Równie wiele co w dziale HR czy służbach BHP dzieje się w zakresie przetwarzania danych osobowych w działach sprzedaży czy obsługi klienta. Nadal nie brakuje przedsiębiorców, którzy dane raz pozyskane – np. przy zawieraniu umowy sprzedaży – wykorzystują do dalszego kontaktowania się z klientem, celem obsługi klienta lub przekazania treści marketingowych. Poszukując nowych odbiorców usług i produktów, kupują bazy potencjalnych klientów.
Biorąc pod uwagę fakt, że coraz częściej przedsiębiorcy działają nie tylko na rynku krajowym, lecz również paneuropejskim czy globalnym, w każdym z tym przypadków należy być świadomym i stosować się do zapisów i regulacji wynikających z RODO. Nieznajomość przepisów prawa nie zwalnia z odpowiedzialności za ich łamanie.