Warszawa 2012

Ochrona danych osobowych podmiotów objętych

prawem pracy i prawem ubezpieczeń

społecznych Stan obecny i perspektywy zmian

redakcja naukowa Teresa Wyka, Arleta Nerka

5

Spis treści

Spis treści

Wykaz skrótów ������������������������������������������������������������������������������������ 7

Wprowadzenie ���������������������������������������������������������������������������������� 11

CZĘŚĆ PIERWSZA Ochrona danych osobowych podmiotów objętych prawem pracy ����������������� 15

Rozdział 1Ochrona danych osobowych podmiotów objętych indywidualnym prawem pracy �������������������������������������������������������������������������������������������� 17

Wojciech WiewiórowskiPrawna ochrona danych biometrycznych w systemach teleinformatycznych pracodawcy� Cele przetwarzania a zakres ochrony ��� 17

Dorota Chromicka, Jan Paweł TarnoOchrona danych osobowych w prawie pracy w orzecznictwie sądów administracyjnych �������������������������������������������������������������������� 27

Dorota GłowackaPrywatność w miejscu pracy w świetle orzecznictwa Europejskiego Trybunału Praw Człowieka ����������������������������������������������������������������� 42

Edyta Bielak ‑JomaaOchrona danych osobowych bezrobotnych i poszukujących pracy ���������� 59

Krzysztof WalczakOchrona danych osobowych kandydata do pracy w trakcie rekrutacji ����� 80

Arwid MednisOchrona prywatności i danych osobowych w przepisach prawa pracy – problemy interpretacyjne i konfrontacja z praktyką ������������������ 102

Magdalena KubaDopuszczalność pozyskiwania przez pracodawcę informacji o nałogach pracownika – uwagi de lege lata i de lege ferenda ���������������������� 110

6

Spis treści

Teresa WykaPropozycje zmian w prawie pracy w zakresie gromadzenia i przetwarzania danych osobowych kandydata na pracownika i pracownika ������������������������������������������������������������������������������������ 130

Rozdział 2Ochrona danych osobowych podmiotów objętych zbiorowym prawem pracy ������������������������������������������������������������������������������������������������������� 145

Mirosław WłodarczykPrawo związków zawodowych do informacji o pracownikach ��������������� 147

Monika GładochPrawo przedstawicielstwa pozazwiązkowego do informacji objętych ochroną danych osobowych �������������������������������������������������� 157

Grażyna Spytek ‑BandurskaWybrane problemy pracodawców z ochroną danych osobowych ����������� 165

CZĘŚĆ DRUGA Ochrona danych osobowych podmiotów objętych prawem ubezpieczeń społecznych ������������������������������������������������������������������������� 193

Grażyna Szpor, Wiesław KoczurNowa europejska strategia ochrony danych osobowych i jej wdrażanie w Zakładzie Ubezpieczeń Społecznych ������������������������������� 195

Ewa KuleszaKilka uwag o przetwarzaniu danych osobowych na potrzeby ubezpieczeń społecznych przez ZUS ��������������������������������������������������� 211

Arleta NerkaŚrodki ochrony prawnej ubezpieczonego w zakresie jego danych osobowych ��������������������������������������������������������������������������������������� 219

Andrzej RogowskiZakład Ubezpieczeń Społecznych jako źródło pozyskiwania danych osobowych ��������������������������������������������������������������������������������������� 240

7

Wykaz skrótów

Wykaz skrótów

Akty normAtywne

EKPC – Konwencja o ochronie praw człowieka i podstawowych wol‑ności (europejska Konwencja praw człowieka) sporządzona w Rzymie dnia 4 listopada 1950 r., zmieniona następnie Pro‑tokołami nr 3, 5 i 8 oraz uzupełniona Protokołem nr 2 (Dz. U. z 1993 r. Nr 61, poz. 284 z późn. zm.)

k.c. – ustawa z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz. U. Nr 16, poz. 93 z późn. zm.)

Konstytucja RP – Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz. U. Nr 78, poz. 483 z późn. zm.)

k.p. – ustawa z dnia 26 czerwca 1974 r. – Kodeks pracy (tekst jedn.: Dz. U. z 1998 r. Nr 21, poz. 94 z późn. zm.)

k.p.c. – ustawa z dnia 17 listopada 1964 r. – Kodeks postępowania cy‑wilnego (Dz. U. Nr 43, poz. 296 z późn. zm.)

k.p.k. – ustawa z dnia 6 czerwca 1997 r. – Kodeks postępowania karne‑go (Dz. U. Nr 89, poz. 555 z późn. zm.)

p.p.s.a. – ustawa z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 z późn. zm.)

pr. tel. – ustawa z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800 z późn. zm.)

r.p.b.h.p. – rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 26 września 1997 r. w sprawie ogólnych przepisów bezpie‑czeństwa i higieny pracy (tekst jedn.: Dz. U. z 2003 r. Nr 169, poz. 1650 z późn. zm.)

r.s.z.p.d. – rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez praco‑dawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (Dz. U. Nr 62, poz. 286 z późn. zm.)

TFUE – Traktat o funkcjonowaniu Unii Europejskiej (wersja skonsoli‑dowana: Dz. Urz. UE C 83 z 30.03.2010, s. 47)

TUE – Traktat o Unii Europejskiej (wersja skonsolidowana: Dz. Urz. UE C 83 z 30.03.2010, s. 13)

TWE – Traktat ustanawiający Wspólnotę Europejską (wersja skonsoli‑dowana: Dz. Urz. UE C 321E z 29.12.2006, s. 37)

8

Wykaz skrótów

u.o.d.o. – ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.)

u.o.f.f.e. – ustawa z dnia 28 sierpnia 1997 r. o organizacji i funkcjonowa‑niu funduszy emerytalnych (tekst jedn.: Dz. U. z 2010 r. Nr 34, poz. 189 z późn. zm.)

u.o.i.n. – ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejaw‑nych (Dz. U. Nr 182, poz. 1228)

u.p.z. – ustawa z dnia 20 kwietnia 2004 r. o promocji zatrudnienia i instytucjach rynku pracy (tekst jedn.: Dz. U. z 2008 r. Nr 69, poz. 415 z późn. zm.)

u.s.c. – ustawa z dnia 21 listopada 2008 o służbie cywilnej (Dz. U. Nr 227, poz. 1505 z późn. zm.)

ustawa o KRK – ustawa z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym (tekst jedn.: Dz. U. z 2008 r. Nr 50 poz. 292 z późn. zm.)

u.s.u.s. – ustawa z dnia 13 października 1998 r. o systemie ubez pieczeń społecznych (tekst jedn.: Dz. U. z 2009 r. Nr 205, poz. 1585 z późn. zm.)

u.u.s.w. – ustawa z dnia 30 października 2002 r. o ubezpieczeniu spo‑łecznym z tytułu wypadków przy pracy i chorób zawodowych (tekst jedn.: Dz. U. z 2009 r. Nr 167, poz. 1322 z późn. zm.)

u.w.t. – ustawa z dnia 26 października 1982 r. o wychowaniu w trzeź‑wości i przeciwdziałaniu alkoholizmowi (tekst jedn.: Dz. U. z 2007 r. Nr 70, poz. 473 z późn. zm.)

u.z.l.l.d. – ustawa z dnia 5 grudnia 1996 r. o zawodach lekarza i leka‑rza dentysty (tekst jedn.: Dz. U. z 2011 r. Nr 277, poz. 1634 z późn. zm.)

u.z.z. – ustawa z dnia 23 maja 1991 r. o związkach zawodowych (tekst jedn.: Dz. U. z 2001 r. Nr 79, poz. 854 z późn. zm.)

CzAsopismA

AUNC – Acta Universitatis Nicolai Copernici CBOSA – Centralna Baza Orzeczeń Sądów AdministracyjnychGSP – Gdańskie Studia Prawnicze M. Praw. – Monitor Prawniczy M.P.Pr. – Monitor Prawa Pracy ONSA WSA – Orzecznictwo Naczelnego Sądu Administracyjnego i woje‑

wódzkich sądów administracyjnych OSA – Orzecznictwo Sądów ApelacyjnychOSNAPiUS – Orzecznictwo Sądu Najwyższego. Izba Administracyjna, Pracy

i Ubezpieczeń SpołecznychOSNC-ZD – Orzecznictwo Sądu Najwyższego. Izba Cywilna – Zbiór Dodat‑

kowyOSNP – Orzecznictwo Sądu Najwyższego Izba Pracy, Ubezpieczeń

Społecznych i Spraw Publicznych OSP – Orzecznictwo Sądów Polskich OTK-A – Orzecznictwo Trybunału Konstytucyjnego; zbiór urzędowy,

Seria A

9

Wykaz skrótów

PiM – Prawo i MedycynaPiZS – Praca i Zabezpieczenie Społeczne Pr� Pracy – Prawo Pracy Prz. Sejm. – Przegląd Sejmowy PUSiG – Przegląd Ubezpieczeń Społecznych i Gospodarczych Sam. Teryt. – Samorząd TerytorialnySC – Studia Cywilistyczne Sł. Prac. – Służba PracowniczaSt.Pr.PiPS – Studia z Zakresu Prawa Pracy i Polityki Społecznej USTiP – Ubezpieczenia Społeczne. Teoria i Praktyka

inne

ENISA – Europejska Agencja ds. Bezpieczeństwa Sieci i InformacjiETPC – Europejski Trybunał Praw CzłowiekaEUP – Elektroniczny Urząd PodawczyGIODO – Generalny Inspektor Ochrony Danych OsobowychKSIZUS – Kompleksowy System Informatyczny Zakładu Ubezpieczeń

SpołecznychNPI – Nowy Portal InformacyjnyNSA – Naczelny Sąd AdministracyjnyOHP – Ochotnicze Hufce PracySA – sąd apelacyjnyTK – Trybunał KonstytucyjnyWSA – wojewódzki sąd administracyjnyZUS – Zakład Ubezpieczeń Społecznych

11

Wprowadzenie

Wprowadzenie

Ochrona danych osobowych należy do zagadnień interdyscyplinarnych, i to nie tylko w ramach dyscyplin jurydycznych. Niewątpliwie ustawa z dnia 29 lipca 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) przynależy do gałęzi prawa administracyjnego, zawiera bowiem regulacje o charakterze publicznoprawnym, przekazując spory powsta‑łe na tym tle do rozstrzygania w trybie administracyjnoprawnym. Z drugiej strony za dane osobowe uważa się wszelkie informacje dotyczące zidentyfiko‑wanej lub możliwej do zidentyfikowania osoby fizycznej, zatem każda osoba fizyczna ma prawo do ochrony danych jej dotyczących (por. art. 6 ust. 1 z art. 1 ust. 1 u.o.d.o.). Powoduje to, że osoba fizyczna pozostająca w różnych relacjach – nie tylko np. z organami państwowymi czy samorządowymi, ale także z innymi osobami fizycznymi czy prawnymi – może oczekiwać ochrony prywatnopraw‑nej jej danych osobowych, jeżeli są one przetwarzane w związku z działalnością zarobkową, zawodową lub dla realizacji różnych celów statutowych (por. art. 3 i 3a u.o.d.o.).

Ochrona danych osobowych osoby fizycznej w ramach u.o.d.o., przewi‑dującej sankcje karne w razie naruszenia jej przepisów, jak również przy wy‑korzystaniu kodeksu cywilnego w zakresie ochrony dóbr osobistych (art. 23 i 24 k.c.) może okazać się jednak niewystarczająca, choćby dlatego, że nie za‑wsze naruszenie przepisów o ochronie danych osobowych skutkuje naru‑szeniem dóbr osobistych. Zachodzi więc konieczność uchwalania regulacji sektorowych, które uwzględniając specyfikę określonego obszaru stosunków społecznych, określą nie tylko szczególne rodzaje danych osobowych, zasa‑dy ich gromadzenia i przetwarzania, lecz także sankcje w razie naruszenia owych procedur.

Takim specyficznym obszarem, w którym zachodzi konieczność groma‑dzenia i przetwarzania danych osobowych, są bez wątpienia obszar zatrudnie‑nia oraz pozostający z nim w ścisłym związku obszar ubezpieczeń społecznych.

Niniejsza publikacja stanowi zbiór wypowiedzi nie tylko przedstawicieli doktryny (prawa administracyjnego, prawa pracy, ubezpieczeń społecznych), lecz także władz i urzędów państwowych oraz partnerów społecznych na temat stanu obecnego i propozycji zmian w prawie pracy oraz w prawie ubezpieczeń społecznych w zakresie gromadzenia i przetwarzania danych osobowych.

Opracowania stanowiące treść niniejszej publikacji zostały podzielone na dwie grupy i uszeregowane w częściach. Część I dotyczy ochrony danych oso‑

12

Wprowadzenie

bowych podmiotów objętych prawem pracy, część II poświęcona jest ochronie danych osobowych podmiotów objętych prawem ubezpieczeń społecznych.

Uznano, że opracowania autorów umieszczone w części I należy dodatko‑wo uporządkować, kierując się charakterem podmiotów uczestniczących w pro‑cesie gromadzenia i przetwarzania danych osobowych. W pierwszym rozdziale przedstawiono więc teksty analizujące przedmiotową tematykę w ramach relacji indywidualnych między pracownikiem pracodawcą (czyli w obszarze indywi‑dualnego prawa pracy), a następnie w rozdziale II zaprezentowano zagadnienia dotyczące ochrony danych osobowych w stosunkach między zbiorowymi pod‑miotami prawa pracy (czyli w obszarze zbiorowego prawa pracy).

Część I publikacji otwiera opracowanie Generalnego Inspektora Ochro‑ny Danych Osobowych, potwierdzające interdyscyplinarność ochrony danych osobowych w szerszym kontekście niż tylko jurydycznym, łączy ono bowiem zagadnienia ściśle prawne z tematyką z zakresu najnowszych osiągnięć nauk medycznych i technicznych. Opracowanie to traktuje o danych biometrycznych przetwarzanych przez pracodawców w systemach teleinformatycznych, co może prowadzić do naruszenia prywatności pracowników (W. Wiewiórowski, Prawna ochrona danych biometrycznych w systemach teleinformatycznych pracodawcy. Cele przetwarzania a zakres ochrony). Dalsze dwa opracowania poświęcone są poglą‑dom judykatury w kwestii ochrony danych osobowych w związku z zatrud‑nieniem. Analizie poddano stosunkowo już liczne wypowiedzi polskich sądów administracyjnych (D. Chromicka, J.P. Tarno, Ochrona danych osobowych w pra‑wie pracy w orzecznictwie sądów administracyjnych) oraz Europejskiego Trybunału Praw Człowieka (D. Głowacka, Prywatność w miejscu pracy w świetle orzecznictwa Europejskiego Trybunału Praw Człowieka). Autorzy tych opracowań dochodzą do podobnych wniosków. Praktyka orzecznicza wskazanych wyżej sądów, zarów‑no krajowych, jak i Trybunału, wskazuje na konieczność poszerzenia regulacji dotyczących ochrony danych osobowych w związku z zatrudnieniem w ramach prawa pracy�

Kolejne dwa opracowania podejmują problematykę ochrony danych oso‑bowych w fazie poprzedzającej zatrudnienie. Po raz pierwszy w doktrynie prawa pracy w tak szerokim zakresie przedstawiono złożony problem ochrony danych bezrobotnego i poszukującego pracy, dotykający szerokiego i zróżni‑cowanego kręgu podmiotów, do których są adresowane usługi rynku pracy (E. Bielak -Jomaa, Ochrona danych osobowych bezrobotnych i poszukujących pracy). Analizie poddano także proces rekrutacji u danego pracodawcy, w trakcie któ‑rego również następuje pozyskiwanie danych osobowych, mogące prowadzić do naruszenia prywatności i innych dóbr osobistych kandydata na pracownika (K. Walczak, Ochrona danych osobowych kandydata do pracy w trakcie rekrutacji).

Różne aspekty praktyki stosowania przepisów dotyczących ochrony da‑nych osobowych, w tym m.in. problem monitoringu pracowników i ich ko‑respondencji (A. Mednis, Ochrona prywatności i danych osobowych w przepisach prawa pracy – problemy interpretacyjne i konfrontacja z praktyką) oraz pozyskiwania przez pracodawcę informacji o nałogach pracownika (M. Kuba, Dopuszczalność pozyskiwania przez pracodawcę informacji o nałogach pracownika – uwagi de lege lata i de lege ferenda), stały się przedmiotem dwóch kolejnych opracowań.

13

Wprowadzenie

Opracowania zawarte w części I w rozdziale I poświęconym ochronie da‑nych osobowych w indywidualnym prawie pracy zamyka tekst zawierający konkretne propozycje zmian w prawie pracy, pozwalające zbudować sektorowy model ochrony danych osobowych w zatrudnieniu. Powinien on precyzować specyficzne zasady gromadzenia danych w tym obszarze, rodzaje tych danych, procedury ich gromadzenia, przetwarzania, a także przechowywania i udostęp‑niania. W modelu tym ustawodawca powinien również określić środki, jakimi będą mogli posługiwać się bezrobotny, kandydat na pracownika oraz pracow‑nik, a także osoba zatrudniona na innej podstawie w razie naruszenia owych zasad i procedur (T. Wyka, Propozycje zmian w prawie pracy w zakresie gromadzenia i przetwarzania danych osobowych kandydata na pracownika i pracownika).

Również relacje między partnerami społecznymi, w szczególności między pracodawcą a przedstawicielstwem pracowniczym, mogą stwarzać koniecz‑ność gromadzenia i przetwarzania danych osobowych. Zagadnienia te zostały poddane analizie w rozdziale II części I zarówno z punktu widzenia upraw‑nień związków zawodowych (M. Włodarczyk, Prawo związków zawodowych do informacji o pracownikach), jak i uprawnień przedstawicielstw pozazwiązkowych (M. Gładoch, Prawo przedstawicielstwa pozazwiązkowego do informacji objętych ochro‑ną danych osobowych) oraz pracodawców (G. Spytek -Bandurska, Wybrane problemy pracodawców z ochroną danych osobowych).

Część II publikacji skupia się, jak już była o tym mowa, na problematyce ochrony danych osobowych podmiotów objętych ubezpieczeniem społecznym. Jak dotąd ani w doktrynie prawa pracy, ani w doktrynie ubezpieczeń społecz‑nych nie podjęto szerzej tych zagadnień. Opracowania zawarte w tej części publikacji mają zatem charakter nowatorski. Zwrócono w nich uwagę zarówno na podstawy prawne ochrony danych osobowych w praktyce działania ZUS, jak i na zadania Zakładu w tym zakresie (G. Szpor, W. Koczur, Nowa europejska strategia ochrony danych osobowych i jej wdrażanie w Zakładzie Ubezpieczeń Społecz‑nych). Nie mniej ważna jest problematyka zakresu pozyskiwanych danych oso‑bowych oraz przesłanek ich przetwarzania na potrzeby ZUS (E. Kulesza, Kilka uwag o przetwarzaniu danych osobowych na potrzeby ubezpieczeń społecznych przez Zakład Ubezpieczeń Społecznych) oraz środków, jakimi dysponuje ubezpieczo‑ny w razie naruszenia jego praw w analizowanym obszarze (A. Nerka, Środki ochrony prawnej ubezpieczonego w zakresie jego danych osobowych). Część II publi‑kacji zamyka tekst przygotowany przez przedstawiciela ZUS, w którym zapre‑zentowano system przetwarzanych w Zakładzie danych osobowych oraz rolę Zakładu w udostępnianiu informacji zawierających dane osobowe podmiotom zewnętrznym (A. Rogowski, Zakład Ubezpieczeń Społecznych jako źródło pozyski‑wania danych osobowych).

Celem niniejszej publikacji jest nie tylko dokonanie wykładni przepisów określających zakres i procedury przetwarzania danych osobowych na potrze‑by zatrudnienia i ubezpieczeń społecznych. Krytyczna analiza stanu prawnego w tym przedmiocie umożliwiła również wskazanie luk w prawie, a także stała się podstawą do sformułowania wielu uwag de lege ferenda, głównie w zakre‑sie poszerzenia stosownych regulacji w prawie pracy i prawie ubezpieczeń społecznych.

14

Wprowadzenie

Mamy nadzieję, że prezentowana książka, będąca opracowaniem zbioro‑wym, spotka się z żywym zainteresowaniem wielu środowisk, zarówno na‑ukowych, jak i menedżerskich oraz związkowych, a także będzie pomocna w procesie stanowienia i stosowania prawa�

Teresa Wyka

15

CZĘŚĆ PIERWSZA

Ochrona danych osobowych podmiotów objętych prawem pracy

17

Wojciech Wiewiórowski

Rozdział 1

Ochrona danych osobowych podmiotów objętych indywidualnym prawem pracy

Wojciech Wiewiórowski*

Prawna ochrona danych biometrycznych w systemach teleinformatycznych pracodawcy. Cele przetwarzania a zakres ochrony

1. Zagadnienie przetwarzania danych biometrycznych w systemach tele‑informatycznych pracodawców wzbudza od zawsze szerokie zainteresowanie zarówno w środowisku biznesowym, jak i wśród naukowców1. Z oczywistych względów kwestia ta cieszy się dużym zainteresowaniem również wśród przed‑stawicieli pracowników, których dane są przedmiotem takiego przetwarzania. Aby omówić – choćby w podstawowym zakresie – kwestię tego, na ile takie przetwarzanie jest dozwolone przez polskie prawo, należy wyraźnie określić zakres przedmiotowy i podmiotowy zagadnienia. Sam tytuł niniejszego arty‑kułu może bowiem zostać uznany za mylący i prowadzący dyskusję w ślepą uliczkę. Podmiot będący pracodawcą może bowiem przetwarzać różne dane uznawane za dane biometryczne, zebrane od różnych osób i określające cechy różnych osób. Może też czynić to w różnych celach – nie tylko takich, które są związane ze stosunkiem pracy.

Próbując uporządkować zagadnienia wymagające poruszenia, należy od razu stwierdzić, że w niniejszym artykule przyjmujemy, iż podmiot przetwa‑rzający dane występuje w roli pracodawcy w rozumieniu polskiego kodeksu pracy i żadna cześć niniejszych rozważań nie odnosi się do innych stosunków umownych, które regulowane są umowami mogącymi w swym brzmieniu lub skutkach faktycznych zbliżać się do merytorycznej zawartości norm prawa pracy. Zagadnienie odpowiedniego stosowania omówionych poniżej norm dla

* Dr Wojciech Wiewiórski – Uniwersytet Gdański, Generalny Inspektor Ochrony Danych Osobowych�

1 Najważniejszym jak dotąd opracowaniem dotyczącym tej kwestii jest artykuł E. Kuleszy, Kilka uwag o zakresie danych osobowych pracownika przetwarzanych przez pracodawcę, GSP 2007, t. II, s� 133�

18

Prawna ochrona danych biometrycznych w systemach teleinformatycznych pracodawcy...

stosunków wynikających z umów cywilnych (z tzw. umowami menedżerskimi włącznie) powinno być przedmiotem odrębnych uwag, na co nie pozwalają rozmiary niniejszej pracy.

Punktem wyjścia wszelkich rozważań zawartych w niniejszym artykule jest oczywiste stwierdzenie, że zastosowanie systemów teleinformatycznych przetwarzających dane biometryczne jest dopuszczalne, a żadnej z technik bio‑metrycznych nie można uznać za generalnie sprzeczną z prawem. W niektórych przypadkach – niezbyt zresztą częstych – techniki biometryczne mogą z za‑łożenia wymagać przetwarzania wrażliwych danych osobistych (np. danych o stanie zdrowia) i jedynie w tym zakresie są ściśle reglamentowane przez pol‑skie i europejskie prawo ochrony danych osobowych. W pozostałym zakresie zarówno prowadzenie badań z zakresu przetwarzania danych biometrycznych, jak i ich zastosowanie w praktyce działania systemów teleinformatycznych jest co do zasady dozwolone. Mimo że ułomnością polskiego prawa, a nawet luką prawną w sensie ścisłym, jest brak ogólnych unormowań dotyczących biometrii, to jednak taki brak nie może uzasadniać ogólnego stwierdzenia o nielegalności biometrii�

W ślad za powyższym stwierdzeniem należy wszakże przyjąć dwie kolejne tezy jako podstawy dla dalszych rozważań. Po pierwsze, nie ma wątpliwości, że zastosowanie technik biometrycznych jest głęboką ingerencją w prywatność osoby, której dane są przetwarzane2, a osoba ta z reguły ma znaczące problemy ze zrozumieniem zakresu ingerencji i sposobów (w tym technicznych) wyko‑rzystania pobranych od niej danych biometrycznych lub materiału, z którego dane takie można wyizolować.

Drugim twierdzeniem, które należy uznać za podstawowe, jest uznanie, że zakres danych, jakie pracodawca może przetwarzać dla nawiązania i realizacji stosunku pracy, ustalony jest wprost w zamkniętej liście ujętej w kodeksie pracy, niekiedy rozszerzanej przez przepisy szczególne dla niektórych grup pracowni‑ków i niektórych rodzajów pracodawców. Przepis art. 221 k�p� za dane osobowe osoby ubiegającej się o zatrudnienie, które ewentualny przyszły pracodawca ma prawo przetwarzać, uznaje: 1) imię (imiona) i nazwisko, 2) imiona rodziców, 3) datę urodzenia, 4) miejsce zamieszkania (adres do korespondencji), 5) dane dotyczące wykształcenia oraz 6) dane opisujące przebieg dotychczasowego zatrudnienia3�

2 W orzecznictwie Europejskiego Trybunału Praw Człowieka wielokrotnie podkreślano, że ciało ludzkie stanowi najbardziej intymną sferę życia prywatnego, a za ingerencje w sferę tak rozumianej intymności Trybunał uznawał pobranie materiału informacyjnego od pacjenta do badań medycznych i testów. Orzecznictwo z tego zakresu omawia A. Lach, Granice badań oskarżonego w celach dowodowych. Studium w świetle reguły nemo se ipsum accusare tenetur i prawa do prywatności, Toruń 2010, s. 105–107.

3 Spore zamieszanie w kwestii listy danych zawartej w art. 221 k.p. wywołała sygnalizacja GIODO przekazana dnia 21 stycznia 2010 r. Ministrowi Pracy i Polityki Społecznej oraz skiero‑wana przezeń do Senatu RP petycja w sprawie podjęcia inicjatywy ustawodawczej dotyczącej rozszerzenia katalogu danych osobowych o kandydatach do pracy i pracownikach zawartych

19

Wojciech Wiewiórowski

Pracodawca ma prawo żądać od osoby, która staje się pracownikiem, po‑dania dodatkowo innych danych osobowych, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewi‑dzianych w prawie pracy. Listę danych pracownika uzupełnia numer PESEL4�

Dane biometryczne nie znajdują się w tym wykazie i z zasady nie trafiają do innych przepisów sektorowych, które rozszerzają uprawnienia pracodawcy do przetwarzania danych pracownika. Tym niemniej pracodawcy coraz częściej uznają za wskazane przetwarzanie danych biometrycznych swych podwład‑nych dla różnych celów. Jeśli nie znajdujemy w prawie podstawy dla przetwa‑rzania danych osobowych pracownika, to główną przesłanką legalizującą takie przetwarzanie może być – z wszystkimi zastrzeżeniami wskazanymi w dalszej części artykułu – zgoda pracownika.

2. Podstawowe pytania, jakie stawiamy sobie dziś, w przededniu zmian zarówno w europejskim, jak i polskim porządku prawnym dotyczącym prze‑twarzania danych osobowych, brzmią następująco: a) dla jakich celów można przetwarzać dane biometryczne osoby fizycznej,

zachowując zasadę adekwatności zbieranych danych do celu; b) czy takie przetwarzanie może być uzasadnione zadaniami wynikającymi

ze stosunku pracy; c) czy zgoda może być wystarczającą przesłanką do legalizacji przetwarzania

danych osobowych pracownika�

w art� 221 k.p., które mogą być ustawowo przetwarzane przez pracodawcę. W dniu 22 lipca 2010 r. Marszałek Senatu skierował petycję do rozpatrzenia przez Komisję Praw Człowieka, Praworząd‑ności i Petycji. Po zmianie na stanowisku GIODO w sierpniu 2011 r. podjęto decyzję o odstąpieniu od tych prac. W dniu 14 października 2010 r. komisja wysłuchała stanowiska nowego GIODO, który stwierdził, że Generalny Inspektor powinien podejmować aktywne działania w zakresie regulacji prawa pracy jedynie tam, gdzie niejasność przepisów może powodować problemy interpretacyjne rozwiązywane na niekorzyść pracownika i które tym samym należy usunąć. Za przykład takiej luki w prawie pracy uznał nieuregulowanie zasad stosowania urządzeń przetwarzających dane biometryczne pracownika. Jednocześnie GIODO nie uznał za wskazane, by to właśnie jego urząd inicjował działania mające rozluźnić – rzeczywiście dość restrykcyjne – przepisy prawa pracy, jeśli ratio legis tych rozwiązań była ochrona pracownika i kandydata na pracownika w stosunkach, w których nie mamy do czynienia z równowagą stron. W tej sytuacji komisja senacka podjęła decyzję o wstrzymaniu prac nad petycją, którą tym samym można uznać za niebyłą. Petycja ta zo‑stała słusznie skrytykowana w doktrynie (J. Matuszak, Legalność i adekwatność przetwarzania danych kadrowych (w:) Ochrona danych osobowych. Wybór zagadnień, red� T. Osiej, J. Trelka, Warszawa 2010, s. 15–16). Warto jednak pamiętać, że potrzebę uelastycznienia przepisów kodeksu pracy w tym zakresie zgłaszają przedstawiciele biznesu. Tytułem przykładu można wskazać postulaty nr 41 i 42 zawarte w opracowaniu Czarna lista barier dla rozwoju przedsiębiorczości 2010, PKPP Lewiatan 2011. Zob. również G. Spytek -Bandurska, Wybrane problemy pracodawców ze stosowaniem przepisów o ochronie danych osobowych (w:) Granice ochrony danych osobowych w stosunkach pracy, red� T� Wyka, A� Nerka, Warszawa 2009, s� 44–45�

4 Różnice w prawnej regulacji zakresu danych zbieranych przez pracodawców w różnych krajach Unii Europejskiej przedstawiono w raporcie komisji Europejskiej First Report on the im‑plementation of the Data Protection Directive (95/46/EC), COM/2003/0265 final (niepublikowany w Dz. Urz. WE) z dnia 15 maja 2003 r., s. 13–14. Zob. również Ch. Kuner, European Data Protection Law. Corporate Compliance and Regulation, Oxford 2007, s. 261–262, oraz U. Góral, Ochrona danych osobowych warunkiem jakości pracy na tle rozwiązań europejskich (w:) Granice ochrony danych osobowych…, s� 57–70�