Obszary praktyki

RODO w Firmie

Wyrywkowe badanie trzeźwości pracownika a RODO

Przedmiotem niniejszej opinii jest analiza zgodności przetwarzania danych osobowych z RODO i innymi przepisami wprowadzającymi RODO w związku z wyrywkowymi kontrolami trzeźwości, którymi poddawani są pracownicy.

Niniejsza opinia została sporządzona na podstawie następujących aktów prawnych:

a)     Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ( dalej: RODO) (Dz.Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.),

b)    Ustawy z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730),

c)     Kodeksu pracy ustawy z dnia 26 czerwca 1974 r. (Dz.U. Nr 24, poz. 141). tj. z dnia 13 kwietnia 2018 r. (Dz.U. z 2018 r. poz. 917) (dalej: kp),

d)    Ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. z dnia 10 maja 2018 r. (Dz.U. z 2018 r. poz. 1000) (dalej: uodo),

e)     Ustawy o ochronie danych osobowych z 29 sierpnia 1997 r. (Dz.U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723) (dalej: uodo 1997),

f)     Ustawy o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi z 26 października 1982 r., tj. z dnia 25 października 2018 r. (Dz.U. z 2018 r. poz. 2137)(dalej:uow),

Artykuł 17 ust. 1 uow nakłada na kierownika zakładu pracy lub osobę przez niego upoważnioną obowiązek niedopuszczenia do pracy pracownika w razie zaistnienia okoliczności uzasadniających podejrzenie, że pracownik ten znajduje się w stanie po użyciu alkoholu. Jednocześnie zgodnie z art. 17 ust. 3uow, na żądanie kierownika zakładu pracy, osoby przez niego upoważnionej lub samego pracownika, przeprowadzane jest badanie stanu trzeźwości pracownika przez uprawniony organ powołany do ochrony porządku publicznego. Pracodawca ma prawo wystąpić z żądaniem przeprowadzenia badania przez organy powołane do ochrony porządku publicznego, a pracownik ma obowiązek poddania się takiemu badaniu. Pracodawca może samodzielnie przeprowadzić takie badanie, ale tylko za zgodą pracownika. Zgoda taka może być wyrażana wyłącznie przed konkretnym badaniem. Wykładnia językowa art. 17 ust. 1 uow wskazuje na niedopuszczalność prewencyjnego żądania od każdego pracownika poddania się badaniu trzeźwości w trybie art. 17 ust. 3uow, jeżeli nie ujawniły się żadne okoliczności rodzące przypuszczenie, że stawił się on do pracy w stanie po użyciu alkoholu albo spożywał alkohol w czasie pracy. Zarówno przepisy ustawy o wychowaniu w trzeźwości, jak i przepisy Zarządzenia stanowią, iż badania trzeźwości pracownika może zostać zainicjowane przez pracodawcę. W orzecznictwo wskazuje się, że nietrzeźwość pracownika może być wykazana także innymi środkami dowodowymi niż badanie alkomatem. W postępowaniu o roszczenia pracowników ze stosunku pracy można powoływać wszelkie środki dowodowe w celu wykazania stanu nietrzeźwości pracownika, do celów postępowania w sprawach ze stosunku pracy nie jest konieczne ustalenie ściśle określonego stężenia alkoholu we krwi pracownika, jak to ma miejsce w postępowaniu karnym i w postępowaniu dotyczącym wykroczeń, a stan nietrzeźwości pracownika w czasie pracy może być dowodzony wszelkimi środkami dowodowymi, jak np. zeznaniami świadków, a nie tylko wynikami analizy krwi na zawartość alkoholu lub użyciem probierza trzeźwości. Użycie przez pracodawcę nieatestowanego urządzenia do badania zawartości alkoholu w organizmie nie wyklucza zarzucenia pracownikowi stawienia się do pracy po użyciu alkoholu, jeżeli przemawiają za tym inne okoliczności, a pracownik nie skorzystał ze stworzonej mu możliwości weryfikacji wyniku badania.

W przypadku braku uzasadnionego podejrzenia, że pracownik znajduje się w stanie po użyciu alkoholu, podstawę prawną przetwarzania przez pracodawcę danych osobowych pracownika w zakresie stanu trzeźwości należy doszukiwać się w przepisach szczególnych do uow, do których zalicza się m.in. Kodeks pracy.Zgodnie z art. 221§ 4 kp Pracodawca żąda podania innych danych osobowych niż te określone w § 1 i 3, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Zgodnie natomiast z art. 6 ust. 1 lit „c” RODO Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Podstawa prawna przetwarzania danych, zgodnie z art. 6 ust. 3 RODO musi być określona w prawie Unii Europejskiej lub w prawie państwa członkowskiego, któremu podlega administrator. Przepis art. 6 ust. 1 lit c RODO samodzielnie nie stanowi podstawy realizacji przetwarzania, należy go odnieść do odpowiedniego przepisu prawa, któremu podlega administrator. Zgodnie z komentowanym przepisem przetwarzanie powinno być niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. W konsekwencji przetwarzanie dokonane z naruszeniem ram wyznaczonych przez treść takiego przepisu zasadniczo nie będzie spełniało waloru niezbędności. Przepisem szczególnym do art. 221§ 4 kp jest art. 221ai 221b§ 1 kp. Zgodnie z art. 221akp„zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione w art. 22 1 § 1 i 3, z wyjątkiem danych osobowych, o których mowa w art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.4)), zwanego dalej „rozporządzeniem 2016/679”. Brak zgody, o której mowa w § 1, lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę. Przetwarzanie, o którym mowa w § 1, dotyczy danych osobowych udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika na wniosek pracodawcy lub danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika (§3). RODO dopuszcza sytuację, w której pracodawca przetwarza na podstawie zgody dane osobowe pracownika w okolicznościach określonych w przepisach szczególnych lub w porozumieniu zbiorowym (układy zbiorowe pracy), co zostało wskazane w motywie 155, zgodnie z którym w prawie państwa członkowskiego lub w porozumieniach zbiorowych, w tym zakładowych porozumieniach z przedstawicielami pracowników, mogą być przewidziane przepisy szczegółowe o przetwarzaniu danych osobowych pracowników w związku z zatrudnieniem, w szczególności warunki, na których dane osobowe w związku z zatrudnieniem można przetwarzać za zgodą pracownika do celów procedury rekrutacyjnej, wykonywania umowy o pracę, w tym wykonywania obowiązków określonych w przepisach lub w porozumieniach zbiorowych, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy. Do tej pory w literaturze podkreślano, ze relacje pracodawca – pracownik są klasycznym przykładem, gdzie może wystąpić okoliczność, iż ten ostatni niejako z obawy przed konsekwencjami będzie wyrażał zgody, które oczekuje pracodawca. Obecnie w związku z wejściem w życie art. 221a  i 221bkp zgody pracownika zostały dopuszczone. Zgodnie z definicją zawarta w art. 4 pkt 11 RODO: „zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.” Dobrowolność należy rozumieć w ten sposób, że osoba zainteresowana musi mieć możliwość realnego , swobodnego wyboru. Taka zgoda nie może być w żaden sposób wymuszona, co więcej – odmowa złożenia w tym zakresie oświadczenia nie może powodować negatywnych konsekwencji dla podmiotu danych. Innymi słowy zgoda jest dobrowolna, jeżeli zależy od dobrej woli osoby. Zgoda nie jest dobrowolna, jeżeli brak zgody spowoduje negatywne konsekwencje dla osoby. Konkretność powinna być rozumiana w ten sposób, że zgoda musi precyzyjnie określać cel przetwarzania danych. Świadomość zgody to natomiast konieczność zapewnienia pracownikowi niezbędnych informacji umożliwiających podjęcie decyzji. Z przedstawionego stanu faktycznego oraz fragmentów Regulaminu i Zarządzenia nie sposób wyciągnąć wniosku, iż zgoda wyrażane przez pracownika spełnia warunki dobrowolności, w szczególności brak jest wyraźnego wskazania, że pracownik ma świadomość, iż poddanie się badaniu wynika z jego dobrej woli. Sam pracodawca nie może więc narzucić pracownikowi konieczności poddania się kontroli trzeźwości alkomatem przed przystąpieniem do pracy.

Zgodnie z art. 221b§ 1 kp„zgoda pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy pracownika.” Artykuł 9 ust. 1 RODO zabrania przetwarzania m.in. danych osobowych dotyczących zdrowia. „Dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia. Na wstępie należy wskazać, że określenie tego co stanowi dane o stanie zdrowia, może sprawić trudności, co dostrzega orzecznictwo europejskie. Zdaniem części doktryny dane dotyczące nałogów lub znajdowania się pod wpływem alkoholu, mieszczą się w zakresie analizowanego pojęcia, jeżeli niosą ze sobą informację o zdrowiu psychicznym lub fizycznym. Na gruncie art. 9 ust. 1 RODO nie wymieniono nałogów jako odrębnej kategorii szczególnych danych, co można odczytywać jako wskazówkę do objęcia ich zakresem danych ujawniających informacje o stanie zdrowia człowieka. Do takiego wniosku uprawnia ogólność i związana z tym otwartość pojęcia „dane dotyczące zdrowia”, pozwalające na dynamiczne jego rozumienie i w rezultacie zapewnienie wyższego standardu ochrony podmiotowi danych. Jak wyjaśniono w motywie 54 preambuły RODO „zdrowie publiczne” należy interpretować zgodnie z definicją z rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1338/2008 (11), czyli jako wszystkie elementy związane ze zdrowiem, mianowicie stan zdrowia, w tym zachorowalność i niepełnosprawność, czynniki warunkujące stan zdrowia, potrzeby w zakresie opieki zdrowotnej, zasoby opieki zdrowotnej, oferowane usługi opieki zdrowotnej i powszechny dostęp do nich, wydatki na opiekę zdrowotną i sposób jej finansowania oraz przyczyny zgonów.” W komentowanym przepisie, odmiennie niż w art. 27 ust. 1 uodo 1997, nie zostały wskazane wprost informacje o nałogach, należy jednak zgodzić się z poglądem prezentowanym w piśmiennictwie przedmiotu, iż zakres danych dotyczących zdrowia obejmuje również informacje o nałogach czy uzależnieniach.  Prezentowane jest również odmienne stanowisko. Zdaniem dra Macieja Kaweckiego fakt bycia pod wpływem alkoholu bądź nie, nie jest informacją o stanie zdrowia. W jego ocenie nawet informacje zebrane wskutek zestawienia ze sobą wyników testów przeprowadzanych w dłuższym okresie nie mogą ujawniać informacji o stanie zdrowia. Dr M. Kawecki wskazuje, że dane takie mogą w niektórych przypadkach ujawnić informacje o nałogach, ale te nie są danymi szczególnych kategorii. Zdaniem Doktora: „Były nimi we wcześniejszej ustawie o ochronie danych osobowych z 1997 r., ale obecnie już nie są. Uznanie nałogów za dane wrażliwe było polskim pomysłem, wprowadzonym ponad 20 lat temu przy okazji implementacji dyrektywy o ochronie danych – która zresztą również nie uznawała nałogów za dane szczególnie chronione. RODO jest więc w tym zakresie spójne z definicją z dyrektywy obowiązującą uprzednio, a ponieważ obowiązuje już bezpośrednio i nie podlega w tym zakresie implementacji w Polsce, nałogi z definicji danych wrażliwych po prostu zniknęły. Powyższe nie zmienia jednak faktu, że do gromadzenia zwykłych kategorii danych, do których należą informacje objęte testami alkoholowymi, stosuje się przepisy kodeksu pracy. Przeprowadzenie w mojej ocenie takich testów – o ile ma charakter ciągły i jest podyktowane zapewnieniem organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy bądź właściwym użytkowaniem udostępnionego pracownikowi sprzętu – będzie możliwe w oparciu o kodeks pracy.” Art. 221a [Zgoda na przetwarzanie innych danych osobowych.

Zasadnym wydaje się przyjęcie poglądu, iż dane dotyczące znajdowania się pod wpływem alkoholu mogą mieścić się w zakresie pojęcia danych dotyczących zdrowia, jeżeli na gruncie konkretnego przypadku charakter badania stanu trzeźwości, w tym systematyczność takiego badania oraz utrwalanie jego wyników niesie ze sobą informację o zdrowiu psychicznym lub fizycznym pracownika. W takim wypadku zgodnie z nowym brzmieniem art. 221bkp zgoda pracownika może stanowić podstawę przetwarzania tzw. danych szczególnej kategorii wyłącznie, gdy ich przekazanie następuje z inicjatywy pracownika. Ustawodawca wyłącza zatem stosowanie zgody w sytuacji, gdy pracownik nie jest inicjatorem przekazania informacji o stanie jego trzeźwości.Brak zgody lub jej wycofanie, nie może być podstawą niekorzystnego traktowania pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.

Wyrywkowa kontrola trzeźwości pracowników jest zgodną z RODO jeżeli wynik kontroli trzeźwości nie stanowi informacji o stanie zdrowia pracownika, zaś zgoda pracownika na przeprowadzenie wyrywkowej kontroli jest dobrowolna, świadoma i jednoznaczna, a brak zgody pracownika na przeprowadzenie wyrywkowej kontroli nie pociąga dla niego jakichkolwiek negatywnych konsekwencji.

Co jest najważniejsze w RODO?

Zapytany co jest najważniejsze w RODO odpowiedziałbym, że zasady sformułowane w art. 5 i 25. Oto one:

Zasada zgodności z prawem – przetwarzane musi być zgodne nie tylko z RODO ale i z innymi przepisami;

Zasada rzetelności – jako administrator danych musisz uwzględniać interes i rozsądne oczekiwania osób, których dane dotyczą, biorąc pod uwagę także zasady współżycia społecznego;

Zasada przejrzystości – z osobami, których dane przetwarzasz i z organami nadzorczymi musisz komunikować się w sposób pełny, jasny i precyzyjny, w taki też sposób wypełniasz obowiązek informacyjny;

Zasada ograniczenia celu – dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, a ich przetwarzanie dalej musi być zgodne z tymi celami;

Zasada minimalizacji danych – dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co jest niezbędne do celów, w których dane są przetwarzane;

Zasada prawidłowości – dane osobowe muszą być prawidłowe, tj. aktualne i zgodne z prawdą, i w razie potrzeby uaktualniane;

Zasada ograniczenia przechowywania – dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres ni dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane;

Zasada integralności i poufności – administrator danych musi przetwarzać dane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, tzn. przetwarzanie musi odbywać się w taki sposób aby dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany lub niekontrolowany przez administratora, jednocześnie nie są i nie będą udostępnione osobom nieupoważnionym;

Zasada rozliczalności – administrator ponosi pełną odpowiedzialność za przestrzeganie przepisów RODO oraz za możliwość wykazania zgodności z tymi przepisami.

Zasada uwzględnienia prywatności w fazie projektowania – obowiązek administratora wdrożenia odpowiednich środków technicznych i organizacyjnych przy uwzględnieniu stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celu przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnych prawdopodobieństwie wystąpienia i wadze wynikającej z przetwarzania, tak aby pełnić wymogi rozporządzenia oraz chronić prawa osób, których dane dotyczą;

Zasada domyślnej ochrony danych osobowych – administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania.

Czy możemy przechowywać otrzymane CV gdy nie prowadzimy rekrutacji?

Jeżeli nie szukamy pracownika, a mimo to otrzymujemy CV musimy podjąć decyzję czy tak pozyskane dane usunąć czy jednak pozostawić w celu przyszłej rekrutacji. Druga opcja oznacza dla nas, że staliśmy się administratorem danych i w związku z tym powinniśmy wykonać obowiązek informacyjny z art. 13 RODO. Obowiązku informacyjnego nie musimy wykonywać jeżeli wysyłający CV mógł się z taką informacją uprzednio zapoznać np. odwiedzając naszą stronę internetową lub CV zostało przekazane razem z oświadczeniem, że osoba, której dane dotyczą pozwala się na ich wykorzystanie w przyszłych rekrutacjach. W takim przypadku dokumenty mogą być przechowywane przez przedsiębiorcę do czasu odwołania zgody przez osobę, która je przesłała. Dokumenty powinny być usunięte także w sytuacji jeżeli nie będziemy już ich przetwarzać na potrzeby przyszłych rekrutacji, np. kwalifikacje osoby, która wysłała nam CV nie korespondują już z naszymi potrzebami albo zmieniliśmy profil firmy i nie zamierzamy prowadzić procesów rekrutacyjnych, czy najzwyczajniej w świecie dane z CV są już nieaktualne.

Co z CV osoby, której pracodawca nie wybrał w trakcie rekrutacji?

Po zakończonej rekrutacji pracodawca może przechowywać CV i inne dokumenty rekrutacyjne kandydatów, którzy nie zostały zatrudnieni, w celach ochrony przed ewentualnymi roszczeniami mogącymi pojawić się w związku z przeprowadzoną rekrutacją (np. zarzutem dyskryminacji). Podstawą przetwarzania danych będzie w takim przypadku art. 6 ust. 1 lit. f RODO tj. prawnie uzasadniony interes niedoszłego pracodawcy. Pracodawca nie musi usuwać CV zaraz po przeprowadzeniu rekrutacji, nie może jednak przechowywać dokumentów rekrutacyjnych w nieskończoność. Okres przechowywania CV powinien być jak najkrótszy, tzn. pracodawca przechowując CV osób, których nie wybrał w procesie rekrutacji, musi kierować się zdrowym rozsądkiem.  Należy dokonać oceny ryzyka i ustalić okres przetwarzania danych, który odpowiada rzeczywistym zagrożeniom, uwzględniając np. działania kandydata w trakcie rekrutacji lub bezpośrednio po niej, sugerujące, że kandydat będzie zgłaszał pretensje i roszczenia do niedoszłego pracodawcy lub w przypadku bardzo porównywalnych kandydatur. Maksymalny okres przechowywania dokumentacji rekrutacyjnej to okres przedawnienia roszczeń, tj. okres trzech lat od dnia, w którym kandydat najwcześniej mógł i powinien skierować roszczenia wobec niedoszłego pracodawcy. Przy czym należy pamiętać, że CV przechowywane w celu ochrony przed potencjalnymi roszczeniami, nie powinno być wykorzystywane w innych celach, chyba że osoba zakwalifikowana nie podjęła pracy. W takim wypadku pracodawca może przetwarzać dane osobowe kandydata w celu poinformowania go o wakacie na stanowisku, na które poprzednio nieskutecznie aplikował.

 
Google+