1. Pracodawca ma prawo żądać od pracownika potwierdzenia legalnego pobytu w Polsce – 23.07.2020 r.

• Według informacji zamieszczonych na stronie Urzędu Ochrony Danych Osobowych, chcąc zatrudnić cudzoziemca, pracodawca ma prawo żądać przedstawienia dokumentów uprawniających do przebywania na terytorium Rzeczpospolitej Polskiej.
• Zgodnie z przepisami Kodeksu pracy pracodawca może przetwarzać zamknięty katalog danych osobowych (art. 221 § 1 i 3) osoby ubiegającej się o pracę oraz pracownika. Zaliczamy do nich imię i nazwisko, datę urodzenia, dane kontaktowe, wykształcenie, kwalifikacje zawodowe oraz przebieg dotychczasowego zatrudnienia. Natomiast § 4 Kodeksu pracy daje pracodawcy możliwość żądania podania innych danych osobowych niż określone w tym katalogu, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
• Z taką sytuacją administrator będzie miał do czynienia w przypadku, gdy zatrudnia cudzoziemca. Warunki przyjmowania osób niebędących obywatelami Rzeczpospolitej Polskiej określają przepisy odrębnych ustaw.
• Pracodawcę zobowiązuje do tego ustawa z 15 czerwca 2012 r. o skutkach powierzania wykonywania pracy cudzoziemcom przebywającym wbrew przepisom na terytorium Rzeczypospolitej Polskiej. Zgodnie z jej art. 2 podmiot powierzający wykonywanie pracy cudzoziemcowi za obowiązek żądać od cudzoziemca przedstawienia przed rozpoczęciem pracy ważnego dokumentu uprawniającego do pobytu na terytorium Rzeczpospolitej Polskiej. Natomiast art. 3 ustawy określa, że pracodawca, który powierza wykonywanie pracy cudzoziemcowi musi przechowywać przez cały okres wykonywania pracy przez cudzoziemca kopię tego dokumentu.
• Przetwarzanie danych osobowych dotyczących pobytu na terenie Polski, wykraczających poza katalog wskazany w art. 221 Kodeksu pracy, będzie odbywało się zatem na podstawie art. 6 ust. 1 lit. c RODO, czyli obowiązku prawnego administratora, jakim jest pracodawca, w związku z wspomnianymi wyżej przepisami ustawy o skutkach powierzania wykonywania pracy cudzoziemcom przebywającym wbrew przepisom na terytorium Rzeczpospolitej Polskiej.

Źródło: https://uodo.gov.pl/pl/138/1609

2. EROD: trwają konsultacje w sprawie współzależności dyrektywy PSD2 i RODO – 24.07.2020 r.

• Europejska Rada Ochrony Danych przyjmuje uwagi dotyczące wytycznych 6/2020 na temat współzależności pomiędzy dyrektywą w sprawie usług płatniczych w ramach rynku wewnętrznego (PSD2) a ogólnym rozporządzeniem o ochronie danych (RODO). Można je przesłać najpóźniej do 14 września 2020 r.
• EROD przyjęła wytyczne dotyczące dyrektywy PSD2, która unowocześnia ramy prawne rynku usług płatniczych. Wprowadza ona przepisy dla nowych usług inicjowania transakcji płatności (PISP) i usług dostępu do informacji o rachunku (AISP).
• Zgodnie z nimi użytkownicy mogą żądać, aby nowym dostawcom usług płatniczych przyznano dostęp do ich rachunków płatniczych. W efekcie prac zainteresowanych stron, które odbyło się w lutym 2019 r., EROD opracowała wytyczne w sprawie stosowania RODO do nowych usług płatniczych.
• Wytyczne wskazują, że w tym kontekście przetwarzanie szczególnych kategorii danych osobowych jest co do zasady zabronione (zgodnie z art. 9 ust. 1 RODO), z wyjątkiem sytuacji, gdy osoba, której dane dotyczą, wyraziła wyraźną zgodę (art. 9 ust. 2 lit. a) RODO) lub gdy przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym (art. 9 ust. 2 lit. g) RODO.

Źródło: https://uodo.gov.pl/pl/138/1613

3. EROD o wiążących regułach korporacyjnych wz. z brexitem – 27.07.2020 r.

• Podczas 35. posiedzenia plenarnego EROD przyjęła notę informacyjną przedstawiającą działania, które powinny zostać podjęte, aby zapewnić, że wiążące reguły korporacyjne mogą być nadal wykorzystywane jako ważne narzędzie przekazywania danych po zakończeniu tzw. okresu przejściowego związanego z wystąpieniem Wielkiej Brytanii z UE.
• Rekomendowane działania powinny zostać zdaniem EROD podjęte przez organy nadzorcze, podmioty posiadające zatwierdzone wiążące reguły korporacyjne (BCR) oraz organizacje, których wiążące reguły korporacyjne są w toku rozpatrywania przez organ nadzorczy Zjednoczonego Królestwa.
• Ponieważ wraz z końcem okresu przejściowego organ nadzorczy Zjednoczonego Królestwa nie będzie już właściwym organem nadzorczym na mocy RODO, decyzje o zatwierdzeniu podjęte przez ten organ nie będą już miały skutków prawnych w Europejskim Obszarze Gospodarczym (EOG).

Źródło: https://uodo.gov.pl/pl/138/1615

4. Zamieszczanie informacji o wynikach pracy pracownika- 31.07.2020 r.

• Pracodawca może pod pewnymi warunkami wywieszać w zakładzie pracy najlepsze wyniki dotyczące wydajności pracy, które były oparte na jego indywidualnej ocenie.
• Należy jednak pamiętać, że takie działanie nie może narazić innych pracowników na stygmatyzację i naruszać ich dóbr osobistych. Zgodnie z art. 111 Kodeksu pracy (k.p.), pracodawca musi szanować godność i inne dobra osobiste pracownika, natomiast 112 tej ustawy wskazuje, że pracownicy powinni być równo przez niego traktowani. Unikać należy więc sytuacji, które by te dobra naruszały bądź prowadziły do dyskryminacji pracowników. Dlatego też pracodawca musi być bardzo ostrożny publikując takie informacje.
• Ponadto pracodawca, stosując przepisy wynikające z RODO, powinien poświęcić szczególną uwagę zasadom minimalizacji danych i ograniczenia celu. To oznacza, że dane osobowe, które pozyskał od pracownika w celu zawarcia stosunku pracy, nie powinny być wykorzystywane w innych celach.
• Sam kodeks pracy nie uwzględnia dokonywania przez pracodawcę oceny pracowników, natomiast niektóre szczegółowe akty prawne już tak. Dla przykładu, stosownie do art. 81 ust. 1 ustawy o służbie cywilnej, urzędnik służby cywilnej oraz pracownik służby cywilnej zatrudniony na podstawie umowy o pracę na czas nieokreślony podlegają ocenie okresowej dokonywanej przez bezpośredniego przełożonego. Z kolei kryteria oceny okresowej pracownika zostały ujęte w rozporządzeniu Prezesa Rady Ministrów z dnia 4 kwietnia 2016 r. w sprawie warunków i sposobu przeprowadzania ocen okresowych urzędników służby cywilnej i pracowników służby cywilnej. Powyższe przepisy nie dają jednak podstawy prawnej dla pracodawcy do upubliczniania okresowych ocen jego pracowników. W każdym przypadku pracodawca musi mieć podstawę prawną swoich działań, tak aby nie naruszyć dóbr osobistych i prywatności pracownika.
• Pracodawca może wypracować system motywacyjny dla pracowników, aby zwiększyć ich wydajność i tym samym polepszyć jakość pracy. Nie powinno to się jednak odbywać kosztem innych osób. To oznacza, że taki system nie powinien dawać możliwości identyfikacji pracowników z indywidualnymi ocenami. Pracodawca mógłby np. wyróżnić parę osób z najlepszymi wynikami, tak by jednocześnie nie doszło do ujawnienia kto uzyskał te najgorsze.
• Dlatego nie należy wywieszać wyników oceny pracowników w dostępnym dla wszystkich miejscu, pokazujących, który z nich najlepiej pracował, a który najgorzej sobie radził. Dokonywanie oceny pracy pracowników oraz jej weryfikacja jest zadaniem pracodawcy, a nie pozostałych pracowników.
• Przetwarzanie danych osobowych pracowników na potrzeby sprawnego i efektywnego funkcjonowania zakładu pracy pracodawca może oprzeć na uzasadnionym interesie administratora.
• Biorąc pod uwagę uzasadniony interes administratora, pracodawca powinien przeprowadzić tzw. test równowagi. To oznacza w praktyce, że pracodawca musi wykazać, że jego interes ma charakter nadrzędny wobec interesów lub podstawowych praw i wolności osoby, której dane dotyczą (art. 6 ust. 1 lit. f RODO). Powinien również zastanowić się czy nie może polepszyć wydajności i jakości pracy wykorzystując inne narzędzia, mniej ingerujące w prywatność pracownika.

Źródło: https://uodo.gov.pl/pl/138/1625

5. Kontrola w firmie. Czy kontroler może mieć wgląd w akta osobowe? – 03.08.2020 r.

• Do Urzędu Ochrony Danych Osobowych przedsiębiorcy zwracają się z pytaniami, czy w ramach przeprowadzanych kontroli instytucje, takie jak Zakład Ubezpieczeń Społecznych (ZUS) czy Państwowa Inspekcja Pracy (PIP), mogą mieć wgląd do akt osobowych pracowników. Kiedy instytucje państwowe wykonują czynności kontrolne w ramach przyznanych im uprawnień, mogą mieć wgląd w dokumentację pracownika?
• Uprawnienia takie nadawane są na podstawie przepisów szczególnych. Należy mieć na uwadze, że RODO jest aktem o charakterze ogólnym, zatem wszędzie tam gdzie obowiązują przepisy szczegółowe, których przestrzeganie wiąże się z przetwarzaniem danych osobowych, będą miały one zastosowanie. Takimi aktami prawnymi mogą być na przykład ustawa o Państwowej Inspekcji Pracy czy ustawa o systemie ubezpieczeń społecznych. Wskazane przykładowo instytucje, realizując swoje zadania ustawowe, przetwarzają dane na podstawie przepisów szczególnych, co w RODO znajdzie odzwierciedlenie w art. 6 ust. 1 pkt c), który legalizuje przetwarzanie, gdy dochodzi do niego w związku z realizacją obowiązków wynikających z przepisów prawa.
• Warto odnotować, że przesłanka obowiązku prawnego wskazana w art. 6 ust.1 pkt c nie może występować samoistnie, a jedynie w połączeniu z przepisami prawa, które wymagają od administratora danych spełnienia tego obowiązku.

ZUS:

• W związku z ww. uprawnieniami kontrolnymi ZUS płatnicy składek są zobowiązani m.in. udostępnić wszelkie księgi, dokumenty i inne nośniki informacji związane z zakresem kontroli. Dotyczy to także tych dokumentów czy nośników, które przechowują także u osób trzecich w związku z powierzeniem tym osobom niektórych czynności na podstawie odrębnych umów. Płatnicy muszą też udostępniać do oględzin składniki majątku, których badanie wchodzi w zakres kontroli, jeżeli zalegają z opłatą należności z tytułu składek. Mogą mieć również obowiązek sporządzenia i wydania kopii dokumentów związanych z zakresem kontroli i określonych przez inspektora.. Kontrolujący może też domagać się, by płatnik udzielał mu wyjaśnień.

PIP

• W ramach uprawnień kontrolnych inspektorzy PIP mają m.in.: prawo swobodnego wstępu na teren zakładu pracy, przeprowadzenia oględzin obiektów, pomieszczeń, stanowisk pracy, maszyn i urządzeń. Mogą też żądać okazania dokumentów dotyczących budowy, przebudowy, modernizacji zakładu pracy czy przedłożenia akt osobowych i wszelkich dokumentów związanych z wykonywaniem pracy przez pracowników lub osoby świadczące pracę na innej podstawie niż stosunek pracy.

• Zatem kiedy instytucje wykonują swoje zadania na podstawie uprawnień ustawowych, nie można im odmówić udostępnienia żądanych dokumentów. Warto w tym miejscu odnotować, że inspektorzy przeprowadzający czynności kontrolne są zobowiązani nie tylko do zachowania w tajemnicy informacji, które uzyskali podczas wykonywania czynności służbowych, ale także zasad wynikających z RODO. Zaliczamy do niech zasadę proporcjonalności, a także zasadę ograniczenia celu wymagającą, by dane osobowe były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie były przetwarzane dalej w sposób niezgodny z tymi celami, oraz zasadę minimalizacji danych na podstawie której dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

Źródło: https://uodo.gov.pl/pl/138/1628

6. Kara upomnienia za przetwarzanie danych uczniów – 05.08.2020 r.

• Prezes UODO nałożył karę upomnienia za przetwarzanie bez podstawy prawnej danych osobowych uczniów przez szkołę w związku z przeprowadzeniem wśród nich w roku szkolnym 2019/2020 wywiadów pod nazwą „Diagnozowanie sytuacji domowej i szkolnej ucznia. Ankieta dla ucznia”. Badania ankietowe dotyczyły ich sytuacji osobistej.
• W ramach przeprowadzonej ankiety doszło do przetwarzania danych osobowych uczniów, w tym także danych osób niepełnoletnich, przede wszystkim ich imion i nazwisk, oznaczenie klasy, określenia opiekunów prawnych (rodziców), informacji o stanie rodziny (pełna, niepełna), a także informacji o śmierci opiekuna prawnego (rodzica), separacji opiekunów prawnych (rodziców), ich wykształceniu i sytuacji zawodowej, liczbie osób w gospodarstwie domowym, sytuacji finansowej, stanie zdrowia oraz nałogach opiekunów prawnych (rodziców), sytuacji mieszkaniowej oraz o fakcie otrzymania pomocy finansowej.
• Przetwarzanie danych uczniów odbywało się w zakresie ich zbierania, przechowywania oraz usunięcia.
• W toku kontroli UODO ustalono, że ankietę przeprowadzono w celu zidentyfikowania uczniów, którzy wymagają udzielenia wsparcia psychologicznego przez szkołę, do której uczęszczają. Ankieta została przeprowadzona wyłącznie za pomocą papierowych formularzy in blanco, które zostały rozdane wychowawcom klas: 7 – 8 oraz klas licealnych na polecenie Dyrektora placówki.
• Wszystkie zwrócone egzemplarze ankiety zostały komisyjnie zniszczone. Jak wynika z ustaleń kontroli, dane osobowe zawarte w ankietach nie zostały wprowadzone do elektronicznych systemów telekomunikacyjnych, nie zostały utrwalone na nośnikach danych elektronicznych ani na innych nośnikach informacji, w tym w formie papierowej. Po zebraniu ankiet, wychowawcy nie sporządzali ich skanów, kopii papierowych, ani nie sporządzali innych, dodatkowych dokumentów, zawierających dane osobowe, dotyczące ankiet. Na dzień rozpoczęcia kontroli dane osobowe uczniów pozyskane w związku z przeprowadzeniem ankiet nie były już przetwarzane.
• Jak wynika z materiału dowodowego pozyskanego w wyniku kontroli ankiety były przeprowadzane w sposób wykluczający możliwość zapoznania się z zawartymi w nich danymi przez osoby nieuprawnione.
• Szkoła przeprowadzając ankietę wśród uczniów, naruszyła zasadę przetwarzania danych zgodnie z prawem, w myśl której dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Powyższa zasada została rozwinięta w treści art. 6 ust. 1 lit. c RODO, zgodnie z którym przetwarzanie jest zgodne z prawem wyłącznie w przypadku, gdy – i w takim zakresie w jakim – spełniony jest warunek, iż przetwarzanie to jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
• Szkoła jako podmiot publiczny może przetwarzać dane osobowe w zakresie wykonywanych przez niego zadań nałożonych ustawami. Z kolei w myśl Prawo oświatowe stanowi, że szkoły przetwarzają dane osobowe w zakresie niezbędnym dla realizacji zadań i obowiązków wynikających z tych przepisów. W aktach prawnych regulujących zasady funkcjonowania instytucji oświatowych, nie określa się takich zadań i obowiązków szkół, które uzasadniałyby przetwarzanie danych osobowych uczniów w sposób, w jaki uczyniono to w ukaranym podmiocie, a więc w związku z przeprowadzeniem ankiety.
• Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy wystarczającym środkiem jest udzielenie upomnienia. Za okoliczność łagodzącą uznano niezamierzony charakter naruszenie. Dyrektor placówki niezwłocznie podjął szereg działań naprawczych takich m. in jak: zniszczenie formularzy ankiety lub jej nieprzeprowadzenie przez niektórych nauczycieli, zorganizowanie szkolenia pracowników w celu podniesienia ich świadomości w zakresie kwestii ochrony danych osobowych, a także dokonanie analizy zdarzenia, jakim było przeprowadzenie ankiety wśród uczniów, ze względu na wystąpienie ryzyka naruszenia praw i wolności osób fizycznych. Ponadto na podstawie okoliczności przedmiotowej sprawy brakuje podstaw do uznania, że osoby których dane dotyczą, poniosły na skutek zdarzenia szkodę. Prezes UODO nie otrzymał sygnałów, aby ze strony szkoły miały miejsce podobne zachowania skutkujące naruszeniami.

Źródło: https://uodo.gov.pl/pl/138/1629

7. Weryfikowanie tożsamości posiadaczy Karty Dużej Rodziny – 10.08.2020 r.

• Sprzedawca ma prawo żądać, by osoba chcąca skorzystać z uprawnień przysługujących jej z tytułu posiadania Karty Dużej Rodziny, a posługująca się tradycyjną jej wersją, uwiarygodniła swoją tożsamość np. poprzez okazanie swojego dowodu osobistego.
• Do takiego wniosku prowadzi analiza przepisów ustawy z dnia 5 grudnia 2014 r. o Karcie Dużej Rodziny oraz aktów wykonawczych wydanych na jej podstawie.
• Zgodnie z nimi (art. 2 ustawy) Karta Dużej Rodziny (KDR) jest środkiem identyfikującym członka rodziny wielodzietnej, poświadczającym jego prawo do uprawnień ustalonych w trybie określonym w powołanej ustawie lub przyznanych na podstawie przepisów odrębnych.
• Może mieć postać dokumentu z tworzywa sztucznego (karta tradycyjna) lub być realizowana przy użyciu oprogramowania dedykowanego dla urządzeń mobilnych (karta elektroniczna).
• Przepisy rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z dnia 27 lipca 2017 r. w sprawie sposobu unieważnienia Karty Dużej Rodziny, wzorów graficznych oraz szczegółowego zakresu informacji, jakie mają być zawarte we wniosku o przyznanie Karty Dużej Rodziny, które określa wzory obu wymienionych form KDR stanowią, że zawiera ona: imię oraz nazwisko członka rodziny wielodzietnej, numer PESEL członka rodziny wielodzietnej (albo numer dokumentu potwierdzającego tożsamość, w przypadku gdy nie nadano numeru PESEL), termin ważności Karty, numer Karty, logo rodziny wielodzietnej, skrót „KDR” pisany alfabetem Braille’a – na karcie tradycyjnej, miejsce na zdjęcie – na karcie elektronicznej oraz elementy zabezpieczające dokument przed podrobieniem i sfałszowaniem.
• Dlatego żądanie, by osoba chcąca skorzystać z uprawnień przysługujących jej z tytułu posiadania Karty Dużej Rodziny, a posługująca się jej tradycyjną wersją, na której nie ma zdjęcia, udokumentowała swoją tożsamość, np. poprzez okazanie dowodu osobistego, wydaje się zasadne. Służy bowiem weryfikacji, czy osoba chcąca skorzystać z uprawnień związanych z posiadaniem KDR jest osobą do tego uprawnioną. Samo okazanie dokumentu potwierdzającego tożsamość, o ile nie dochodzi do jego kopiowania, nie jest czynnością nadmiarową.

Źródło: https://uodo.gov.pl/pl/138/1630