Dostęp do serwisu wygasł w dniu . Kliknij "wznów dostęp", aby nadal korzystać z bogactwa treści, eksperckiej wiedzy, wzorów, dokumentów i aktualności oświatowych.
Witaj na Platformie MM.
Zaloguj się, aby korzystać z dostępu do zakupionych serwisów.
Możesz również swobodnie przeglądać zasoby Platformy bez logowania, ale tylko w ograniczonej wersji demonstracyjnej.
Chcesz sprawdzić zawartość niezbędników i czasopism? Zyskaj 14 dni pełnego dostępu całkowicie za darmo i bez zobowiązań.
STAN PRAWNY 5 CZERWCA 2020
Ochrona danych osobowych pracowników
Opracował: Łukasz Zegarek, prawnik, ekspert kancelarii prawnej Lex Artist, specjalizujący się w dziedzinie ochrony danych osobowych. Zaktualizowali: Wojciech Wasielewski, pracownik kuratorium oświaty, i Roman Lorens, konsultant ds. organizacji i zarządzania oświatą, ekspert ds. awansu zawodowego nauczycieli, były długoletni dyrektor szkoły, lider i koordynator doskonalenia zawodowego nauczycieli i kadry kierowniczej szkół, autor licznych artykułów z zakresu zarządzania oświatą i publikacji książkowych
Podstawa prawna:
• Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781),
• Ustawa z dnia 26 stycznia 1982 r. Karta nauczyciela (Dz.U. z 2019 r. poz. 2215),
• Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy ((Dz.U. z 2019 r. poz. 1040 ze zm.),
• Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz.U. z 2017 r. poz. 1257),
• Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (t.j. Dz.U. z 2017 r. poz. 880),
• Ustawa z dnia 7 września 1991 r. o systemie oświaty (t.j. Dz.U. z 2016 r. poz. 1943 ze zm.),
• Ustawa z dnia 14 grudnia 2016 r. Prawo oświatowe (Dz.U. z 2019 r. poz. 1148 ze zm.),
• Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100 poz. 1024),
• Rozporządzenie Ministra Edukacji Narodowej z dnia 25 sierpnia 2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz.U. z 2017 r. poz. 164 ze zm.),
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. z 2019 r. poz. 730, ogólne Rozporządzenie o ochronie danych).
Nieostrożne obchodzenie się z danymi osobowymi pracownika może być przyczyną wielu konfliktów. Okazuje się, że nowe technologie komunikacyjne i te służące do przetwarzania danych mogą budzić poważne zastrzeżenia naszych pracowników czy nawet Generalnego Inspektora Ochrony Danych Osobowych. Zdarza się, że pracodawcy, chcąc zdobyć jak najwięcej informacji o swoich podwładnych, naruszają ich prawo do prywatności. Czasem pracownicy odmawiają podania swoich podstawowych danych osobowych, niezbędnych pracodawcy np. do dokonania rozliczeń podatkowych. Z pomocą w takich przypadkach przychodzą Ustawa o ochronie danych osobowych oraz dość bogate już orzecznictwo i wytyczne Generalnego Inspektora Ochrony Danych Osobowych.
Podstawy prawne przetwarzania danych osobowych pracownika
Na początku trzeba zastanowić się nad tym, czy i dlaczego możemy przetwarzać dane osobowe naszych pracowników oraz osób współpracujących z nami na podstawie umów cywilnoprawnych. Warto zaznaczyć, że poza niewielkimi różnicami dane osobowe pracowników zatrudnionych na podstawie umowy o pracę będą chronione dokładnie w ten sam sposób jak dane osobowe personelu współpracującego z nami na podstawie cywilnoprawnej umowy o dzieło bądź umowy-zlecenia.
Pewne dane osobowe są absolutnie niezbędne do zatrudnienia pracownika i nie może on mieć żadnych zastrzeżeń wobec pracodawcy w związku z ich przetwarzaniem. Chodzi tu o podstawowe dane identyfikacyjne pracownika, np. te, o których mowa w art. 221 § 1 oraz § 2 Kodeksu pracy, tj.:
• imię (imiona) i nazwisko,
• datę urodzenia,
• wykształcenie,
• przebieg dotychczasowego zatrudnienia,
• kwalifikacje zawodowe.
Do przetwarzania ww. danych osobowych nie jest potrzebna zgoda pracownika. Jeśli Kodeks pracy wprost zezwala pracodawcy na przetwarzanie takich personaliów, to absurdem byłoby dodatkowo prosić o zgodę zainteresowanego.
Jednak opisane dane osobowe nie wystarczą, aby prowadzić skuteczną politykę kadrową. Niezbędne są też takie informacje, jak numer telefonu komórkowego, konta bankowego, adres e-mail czy wizerunek pracownika, przetwarzany przez system kamer CCTV zainstalowany w placówce oświatowej. Na szczęście wszystkie wymienione dane osobowe pracownika można przetwarzać bez potrzeby uzyskania odrębnej zgody, o ile oczywiście jest to związane z realizacją jego zatrudnienia.
Obowiązek informacyjny
Zgodnie z art. 6 Rozporządzenia Parlamentu Europejskiego i Rady (UE) (dalej: RODO) przetwarzanie jest zgodne z prawem, gdy osoba, której dane dotyczą, wyraziła na to zgodę lub gdy jest to niezbędne do:
• wykonania umowy lub podjęcia działań przed jej zawarciem,
• wypełnienia obowiązku prawnego,
• ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
• wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej,
• celów wynikających z prawnie uzasadnionych interesów.
Pracownik powinien uzyskać od pracodawcy informację o przetwarzaniu jego danych osobowych związanych z zatrudnieniem. Cel ten można osiągnąć, umieszczając odpowiednie informacje (o administratorze danych, inspektorze ochrony danych, celu i podstawie prawnej przetwarzania, okresie przechowywania danych, odbiorcy danych, prawach osoby, której dane dotyczą, o obowiązku podania danych i skutkach ich niepodania) w ramach klauzuli informacyjnej przekazywanej pracownikom z obowiązkiem zapoznania się, co potwierdzają podpisem.
Pracodawca przetwarza dane osobowe pracownika m.in. w celach związanych z funkcjonowaniem zakładowego funduszu świadczeń socjalnych. Dlatego klauzula powinna wskazywać również, iż celem przetwarzania danych są wykonywanie obowiązków wynikających z regulaminu ZFŚS i korzystanie przez pracownika ze świadczeń w nim przewidzianych. Przy czym można sporządzić dwa takie dokumenty lub jeden, który obejmie wszystkie cele przetwarzania danych przez pracodawcę. Dokument związany z przetwarzaniem danych niewątpliwie powinien być w aktach osobowych pracownika. Jeśli regulacje wewnętrzne obowiązujące u pracodawcy przewidują odrębną klauzulę związaną z przetwarzaniem danych dla celów ZFŚS, to potwierdzenie pracownika zapoznania się z nią powinno być włączone również do dokumentacji ZFŚS.
Przetwarzanie danych osobowych uczniów i nauczycieli
Nie można zapominać też o innym, nie mniej istotnym zapisie art. 221 Kodeksu pracy. W § 4 ustawodawca otworzył przed dyrektorami szkół i przedszkoli możliwość zbierania dodatkowych danych, nie w oparciu o umowę czy Kodeks pracy, ale o odrębne przepisy. Takim zbiorem przepisów jest m.in. Karta nauczyciela, która nakłada na dyrektora placówki obowiązek weryfikacji karalności kandydatów na nauczycieli.
Ponadto szkoła ma prawo gromadzić dane osobowe w celu uzupełnienia informacji niezbędnych do prowadzenia działalności oświatowej. Zakres danych osobowych, które mogą być gromadzone w szkole, także w związku z organizacją pomocy psychologiczno-pedagogicznej udzielanej uczniom, wynika z przepisów szczegółowych, m.in. Rozporządzenia w sprawie sposobu prowadzenia dokumentacji przebiegu nauczania. Zgodnie z tym Rozporządzeniem w dokumentach szkolnych gromadzi się następujące informacje o uczniach:
• imię (imiona) i nazwisko,
• data i miejsce urodzenia,
• numer PESEL,
• adres zamieszkania dziecka,
• imiona i nazwiska rodziców (prawnych opiekunów),
• adresy zamieszkania rodziców.
Te dane znajdują się w dokumentach szkolnych takich jak:
• księga ewidencji dzieci i młodzieży podlegających obowiązkowi szkolnemu,
• księga uczniów,
• dzienniki zajęć,
• arkusze ocen,
• protokoły zebrań rady pedagogicznej.
Dyrektor likwidowanej szkoły jest zobowiązany udostępnić organowi prowadzącemu adresy rodziców (prawnych opiekunów) uczniów, jeżeli organ zamierza je wykorzystać do poinformowania ww. osób o zamiarze likwidacji. Ustawa Prawo oświatowe w art. 89 ust. 1 nakłada na organ prowadzący obowiązek powiadomienia rodziców uczniów o planowanej likwidacji szkoły na co najmniej sześć miesięcy przed planowanym terminem likwidacji – możliwość przetwarzania danych osobowych rodziców obejmujących ich adresy korespondencyjne jest w tym wypadku niezbędna do wykonania obowiązku, jaki ciąży na organie prowadzącym w świetle obowiązujących przepisów.
Dane osobowe uczniów mogą być udostępniane również wówczas, gdy zachodzą przesłanki do przetwarzania wynikające z art. 44b ust. 5 pkt 5 oraz art. 44e ust. 5 Ustawy o systemie oświaty. Dane dotyczące ocen ucznia mają prawo poznać jego rodzice (prawni opiekunowie); takie prawo natomiast nie przysługuje osobom innym niż uczeń i rodzice (opiekunowie prawni) bez względu na stopień pokrewieństwa między nimi a uczniem. Z kolei rodzicom (opiekunom prawnym) przysługuje prawo do zapoznania się z ocenami ucznia; uczeń nie może wyłączyć swoich rodziców (prawnych opiekunów) z grona osób, które mogą zapoznać się z jego ocenami nawet wtedy, gdy ukończy 18 lat – przepisy nie dają mu takiego uprawnienia.
Zgodnie z opisanymi wyżej przepisami zbieranie danych osobowych przez szkoły i placówki może mieć miejsce w sytuacji, gdy jest to niezbędne do realizacji uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Gromadzenie danych osobowych z innych powodów wymaga zgody na ich przetwarzanie. Placówka oświatowa nie może żądać od rodziców danych dotyczących ich sytuacji mieszkaniowej, finansowej czy zatrudnienia bez ich zgody. W przypadku gdy szkoła zamierza przetwarzać dane osobowe w zakresie szerszym niż wynikający z przepisów prawa, konieczne jest uzyskanie zgody na przetwarzanie tych danych zainteresowanego.
Wizerunek a zgoda na przetwarzanie danych osobowych
Kiedy należy więc zadbać o otrzymanie zgody na przetwarzanie danych osobowych? Najczęstszą sytuacją jest zgoda na przetwarzanie wizerunku personelu. Jeśli placówka dysponuje zdjęciami pracowników i chce umieścić je na stronie internetowej czy np. w ulotkach reklamowych szkoły dla dzieci, rodziców lub innych osób (np. sponsorzy), jej dyrektor powinien uzyskać zgodę na przetwarzanie wizerunku.
Wizerunek podlega ochronie prawnej na podstawie art. 81 Ustawy o prawie autorskim i prawach pokrewnych. Nie ma konieczności, aby zgoda na przetwarzanie była wyrażona w formie pisemnej. W dobie coraz powszechniej stosowanej komunikacji za pośrednictwem poczty elektronicznej w zupełności wystarczy, jeśli pracownik zgodzi się na przetwarzanie wizerunku, wysyłając e-mailem np. swoje zdjęcie i w treści wiadomości wpisując, że zgadza się na opublikowanie wizerunku na stronie internetowej placówki – taka forma zgody lub zastrzeżenia wizerunku może stanowić dowód przed sądem. Pokazanie pracownikowi e-maila, w którym wyraźnie na coś się zgodził, eliminuje ryzyko jakichkolwiek powództw sądowych.
Warto rozróżnić dwie formy rozpowszechniania wizerunku. Jeśli mowa o pojedynczym zdjęciu, przedstawiającym twarz lub całą sylwetkę naszego pracownika, to zgoda jest konieczna, tak jak opisano to wyżej. Jeśli jednak w galerii zdjęć na stronie internetowej placówki ma zostać opublikowane zdjęcie grupowe, gdzie pracownik stanowi jedynie szczegół większej całości – wtedy nie ma konieczności każdorazowo pytać go o zgodę na przetwarzanie jego wizerunku (wynika to wprost z art. 81 Ustawy o prawie autorskim i prawach pokrewnych). Oczywiście należy pamiętać, że osoba, której wizerunek jest przetwarzany przez placówkę, powinna być przedstawiona w pozytywnym świetle – trudno wyobrazić sobie sytuację, w której na stronie internetowej szkoły zamieszczone zostałoby zdjęcie nauczycielki sfotografowanej np. w trakcie spożywania alkoholu. Czy zdjęcie z imprezy integracyjnej również może być publikowane bez zgody zainteresowanych na stronie internetowej pracodawcy? Tutaj jest dużo elastyczności, ale należy zachować ogromną ostrożność. Jeśli publikacja zostanie wcześniej ustalona z uczestnikami takiej imprezy, wtedy sprawa przedstawia się inaczej. Jeśli jednak nie rozmawiano wcześniej na temat zgody na publikację wizerunku, a później opublikowane zostaną opisane zdjęcia, pracownik słusznie będzie mógł domagać się ich usunięcia.
Wizerunek pracownika może być przetwarzany także przez systemy telewizji przemysłowej (CCTV). To powszechny i całkowicie legalny proces. Należy pamiętać o kilku fundamentalnych zasadach. Po pierwsze, monitorowany obszar powinien zostać oznaczony, np. przez umieszczenie przy wejściu do placówki tabliczek zawierających informację pisemną (np. „obiekt monitorowany”) oraz tzw. piktogram obrazujący monitoring, co byłoby informacją dla osób niepiśmiennych i nieznających języka polskiego (np. obrazek przedstawiający kamerę). Po drugie, kamery nie mogą być instalowane w pomieszczeniach niezwiązanych z wykonywaniem pracy, takich jak np. toalety czy przebieralnie. Po trzecie, dostęp do obrazu nagrań z monitoringu powinien zostać odpowiednio zabezpieczony, np. przez zaszyfrowanie plików lub hasło systemowe, które umożliwi odczytywanie obrazu. Dostęp do haseł powinny mieć tylko osoby wyznaczone wcześniej przez administratora bezpieczeństwa informacji. Warto również opracować specjalne procedury regulujące, kto, w jakich przypadkach i po spełnieniu jakich warunków może mieć dostęp do nagrań. Doprecyzować należy także czas i miejsce przechowywania nagrań.
Zasada adekwatności – czyli jak dużo możemy wiedzieć o pracowniku?
W dzisiejszych czasach zarówno pracownicy, jak i rodzice uczniów czy po prostu interesanci reagują alergicznie na każdą sytuację, kiedy muszą komuś podawać swoje dane osobowe. Trudno się temu dziwić. Przez wiele lat nasze dane osobowe były zbierane i wymieniane między firmami w sposób niezgodny z przepisami prawa. Dochodziło do sytuacji, kiedy raz udostępnione dane osobowe były następnie niezgodnie z celem ich zebrania wymieniane między dużą liczbą podmiotów gospodarczych.
Dlatego RODO w art. 5 ust.1 lit. c definiuje zasadę adekwatności: „Dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (minimalizacja danych). Adekwatność tym samym to gromadzenie danych w zakresie wystarczającym do realizacji celu danego przetwarzania, ani mniej, ani więcej”.
Co to znaczy? Zwrot „adekwatne” jest jednym z typowych prawniczych zwrotów niedookreślonych, tzw. klauzulą generalną. Ustawodawca nie napisał wprost, jak dużo danych o pracowniku można przetwarzać. Zamiast tego odwołał się do powszechnie akceptowanych norm i zdrowego rozsądku.
Z całą pewnością ilość zbieranych danych należy po prostu ograniczyć. Oczywiście wszystkie te, o których była mowa we fragmencie dotyczącym podstaw prawnych przetwarzania danych osobowych pracownika, są adekwatne i można je przetwarzać w placówce oświatowej.
Naruszenie przepisów dotyczących ochrony danych osobowych pracowników
Korzystanie z niektórych technologii, takich jak np. czytniki odcisków palców w celu ewidencji czasu pracy pracownika, jest w tej chwili w naszym kraju niemile widziane przez sędziów Naczelnego Sądu Administracyjnego. W Wyroku Naczelnego Sądu Administracyjnego z dnia 1 grudnia 2009 r. (I OSK 249/09) sąd stwierdził, że czytniki odcisków palców naruszają zasadę adekwatności przetwarzania danych osobowych. Pracodawca, zdaniem sędziów, może skutecznie ewidencjonować czas pracy bez korzystania z czytników danych biometrycznych.
Inną techniką, którą stosują niektórzy pracodawcy, naruszając zasadę adekwatności, jest np. proszenie pracownika o dostęp do jego profilu na portalach społecznościowych (np. na Facebooku czy Instagramie). Zdarza się, że pracodawcy na etapie rekrutacji bądź później chcą przyjrzeć się temu, co pracownik „prezentuje sobą” na co dzień, w gronie internetowych znajomych, naruszając w ten sposób zasadę adekwatności.
Naruszeniem prawa do prywatności pracownika może być również monitoring systemu informatycznego, z którego pracownik korzysta w ramach obowiązków służbowych. Zgodnie z Wyrokiem Naczelnego Sądu Administracyjnego z dnia 13 lutego 2014 r. (I OSK 2436/12) niepoinformowanie pracownika o istnieniu funkcjonalności systemu polegającej na gromadzeniu informacji między siecią wewnętrzną a siecią internet powoduje, że pracownik nie ma świadomości, że jest poddawany monitoringowi, a ten brak pozbawia prowadzony monitoring transparentności i narusza prawo do prywatności. To oznacza, że jeżeli pracodawca zdecyduje się na ten sposób kontrolowania, czy pracownik odpowiednio wypełnia swoje obowiązki, musi go o tym wcześniej poinformować. Najlepiej, gdyby zapisy o takim monitoringu pojawiły się np. w regulaminie pracy, z którym zapoznają się obowiązkowo wszyscy pracownicy.
Nie należy też zbierać informacji o bliskich lub znajomych pracowników. W tej materii jest jeden istotny wyjątek. Jak stanowi art. 221 § 2 ust. 1 Kodeksu pracy, pracodawca ma prawo żądać od pracownika podania „(…) innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy”.
Innymi słowy – wszędzie tam, gdzie potrzebne są nam dodatkowe informacje, które mają umożliwić pracownikowi skorzystanie z różnego rodzaju uprawnień przewidzianych prawem pracy, takich jak np. urlopy czy świadczenia socjalne, dyrektor ma prawo żądać od niego dodatkowych danych osobowych. Pracownik z kolei, jeśli chce skorzystać z danego uprawnienia, powinien te dane udostępnić. Nie ma też konieczności uzyskania odrębnej zgody od pracownika.
Trzeba jeszcze raz podkreślić rolę prawidłowego informowania pracowników o tym, co dzieje się z ich danymi osobowymi. Jeśli pracodawca z uzasadnionego powodu potrzebuje więcej danych osobowych pracownika, warto poprosić o nie w formie zgody, przedstawiając konkretne powody i cel zbierania dodatkowych informacji. Dzięki temu personel będzie czuł, że dbamy o jego prywatność, a pracodawca eliminuje ryzyko sporów wynikających z tego, iż pracownik dowiaduje się o procesie przetwarzania danych osobowych już po fakcie. Warto dbać o pełną przejrzystość w procesach przetwarzania danych osobowych.
Kształcenie na odległość a ochrona danych osobowych nauczycieli
Wprowadzone przepisy dotyczące realizacji zajęć szkolnych w formie pracy zdalnej dają szeroką możliwość realizowania przez nauczycieli zajęć z wykorzystaniem metod i technik kształcenia na odległość lub innego sposobu kształcenia, w tym z wykorzystaniem środków komunikacji elektronicznej. Pozostawiają szkołom dużą swobodę w wyborze właściwego narzędzia przy uwzględnieniu wszystkich aspektów związanych z możliwościami placówki, nauczycieli, a przede wszystkim z możliwościami technicznymi i organizacyjnymi rodziców i uczniów.
Czy zgodne z prawem jest nagrywanie lekcji przez uczniów?
Należy zauważyć, że w kontekście prawa autorskiego lekcja jest utworem – jednak polskie prawo przewiduje dozwolony użytek prywatny, czyli zasadę, że na własny użytek możemy dowolnie korzystać z wszelkiego typu utworów, dopóki ich nie rozpowszechniamy. Uczeń może więc na własne potrzeby (np. powtórki lekcji) nagrać lekcję – nie może jej jednak przekazywać dalej (poza kręgiem najbliższych, co jest legalne na mocy dozwolonego użytku prywatnego – art. 23 Ustawy o prawie autorskim i prawach pokrewnych).
W kontekście ochrony wizerunku polskie prawo ogranicza jedynie rozpowszechnianie wizerunku – możemy zrobić zdjęcie (czy nagranie) każdemu, jednak pytanie brzmi, czy możemy to zdjęcie rozpowszechniać. Dlatego też nagrywanie lekcji online nie narusza ochrony wizerunku – oczywiście takim naruszeniem będzie rozpowszechnianie nagranej lekcji bez zgody nauczyciela (art. 81 Ustawy o prawie autorskim i prawach pokrewnych).
Natomiast wykorzystywanie wizerunku nauczyciela (nie nagrywanie, tylko rozpowszechnianie) jest chronione na mocy prawa ochrony wizerunku i ochrony dóbr osobistych. Więc jeśli wizerunek nauczyciela zostanie wykorzystany w sposób, na który nie została wyrażona zgoda, można dochodzić roszczeń zarówno na mocy art. 81 Ustawy o prawie autorskim i prawach pokrewnych, jak i art. 24 Prawa cywilnego (jeśli rozpowszechnianie będzie bezprawne).
Kluczowy z perspektywy interesu nauczycieli jest fakt, że nie mogą oni zabronić nagrywania lekcji zdalnych na własny użytek uczniów. Dlatego warto uczulić uczniów na prawną różnicę między samym nagrywaniem a rozpowszechnianiem wizerunku i podkreślić, że nie wyraża się zgody na rozpowszechnianie swojego wizerunku (jeśli nauczyciel chce tego zabronić) – takie działanie ma niewątpliwie charakter edukacyjny i informacyjny.
