Postępowanie wewnętrzne a ochrona danych osobowych
Przepisy o ochronie danych osobowych nie odnoszą się bezpośrednio do wewnętrznych postępowań sprawdzających. Nie oznacza to jednak, że nie znajdują do nich zastosowania. Przeciwnie, mogą odegrać istotną rolę w wyznaczaniu granicy między działaniami prawnymi a bezprawnymi.
Nieodzownym elementem postępowań wewnętrznych jest analiza dokumentów i korespondencji osób pracujących w sprawdzanej spółce lub organizacji. W zależności od celów, które leżą u podstaw decyzji o wszczęciu postępowania, zakres sprawdzanych dokumentów może być bardzo szeroki i obejmować nie tylko dokumenty w tradycyjnym tego słowa rozumieniu, ale też dane zgromadzone na serwerach i komputerach użytkowników (w tym pocztę elektroniczną), a także dane z telefonów służbowych.
Siłą rzeczy takie zbiory danych zawierają też szereg danych osobowych, począwszy od imion i nazwisk różnych osób, po adresy IP, z których logowano się do firmowego serwera.
Ogólne zasady, dzięki którym przetwarzanie danych osobowych odbywa się zgodnie z prawem, muszą być zachowane również przy przetwarzaniu danych osobowych w postępowaniach wewnętrznych, niezależnie od tego, czy mają one charakter prewencyjny, czy też są prowadzone w wyniku zaistnienia jakiegoś potencjalnie groźnego dla organizacji incydentu. Przetwarzanie danych osobowych może mieć miejsce tylko wtedy, gdy spełniona jest choć jedna z przesłanek wymienionych w art. 23 ustawy o ochronie danych osobowych (lub w art. 27 tejże ustawy w odniesieniu do danych wrażliwych, tj. danych związanych ze zdrowiem, karalnością, przynależnością związkową i kilkoma innymi kategoriami wymienionymi w tym przepisie).
Można uznać, że dwie z przesłanek wymienionych w przywołanych przepisach mogą znaleźć zastosowanie w postępowaniach wewnętrznych. Pierwszą jest zgoda osoby, której dane dotyczą (chyba że chodzi o usunięcie jej danych, w którym to przypadku zgoda nie jest wymagana). Zgoda ta musi być przy tym wyrażona dobrowolnie. Drugą przesłanką jest niezbędność przetwarzania danych dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, przy jednoczesnym spełnieniu wymogu nienaruszania praw i wolności osoby, której dane dotyczą.
Uzyskanie zgód wszystkich zainteresowanych osób bywa trudne z organizacyjnego punktu widzenia. Wystąpienie o zgodę może też wyeliminować istotny dla postępowania element poufności i umożliwić zatarcie śladów ewentualnych bezprawnych działań. Dodatkowy problem wynika ze szczególnej relacji między pracownikiem a pracodawcą. Zgoda na przetwarzanie danych osobowych wyrażona przez pracownika będącego słabszą stroną stosunku pracy, pozostającego w sytuacji zależności od pracodawcy, stawia pod znakiem zapytania swobodę pracownika w tym zakresie, a w rezultacie legalność przetwarzania danych osobowych pracownika w oparciu o tę zgodę. Teoretycznie w przypadku, gdy pracownik miał całkowitą swobodę w podjęciu decyzji o wyrażaniu zgody i mógł odmówić takiej zgody bez poniesienia szkody, zgoda taka mogłaby potencjalnie legalizować przetwarzania danych pracownika (podobny pogląd wyraziła Grupa Robocza art. 29 oraz sądy administracyjne w swoich orzeczeniach). W praktyce w razie sporu na tym tle udowodnienie swobody pracownika w wyrażeniu zgody może być trudne.
Niezależnie od powyższego zasada związania celem (przeznaczeniem) zbierania danych (use limitation principle) zobowiązuje podmiot dysponujący danymi do uzyskania zgód również w przypadku, gdy dane były zbierane wcześniej na podstawie zgody, jednak przedstawiony wówczas cel zbierania danych nie obejmował postępowania wyjaśniającego. W takim przypadku zalecane jest uzyskanie zgody zainteresowanych na zmianę celu.
Alternatywną podstawę przetwarzania danych osobowych w postępowaniach wyjaśniających można wywodzić z prawnie usprawiedliwionych celów realizowanych przez administratora danych. W tekście ustawy o ochronie danych osobowych znajdują się dwa przykłady prawnie usprawiedliwionych celów: marketing bezpośredni własnych produktów oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Samo pojęcie usprawiedliwionego celu nie zostało jednak zdefiniowane w tej ustawie.
W praktyce pojęcie prawnie usprawiedliwionego celu realizowanego przez administratora danych jest rozumiane szeroko. W aspekcie pracowniczym jest ono przywoływane jako podstawa legalizująca monitoring pracowników w miejscu pracy, w tym monitoring korzystania przez nich z urządzeń i systemów informatycznych pracodawcy (jako administratora danych).
Wdrożony i prowadzony zgodnie z prawem monitoring pracowników może stanowić niezwykle przydatne narzędzie w razie konieczności przeprowadzenia wewnętrznego postępowania wyjaśniającego, w szczególności gdy istotny jest czynnik czasu. Prowadzenie monitoringu pracowników nie tylko musi być zgodne z prawem (w tym z przepisami ustawy o ochronie danych osobowych) i spełniać wymogi usprawiedliwionego celu i proporcjonalności. Musi też spełniać wymóg transparentności. Oznacza to, że pracownicy powinni mieć świadomość, że są poddawani monitoringowi i na jakich zasadach, przy czym zasady te powinny zostać określone szczegółowo. Prowadzenie monitoringu bez uprzedniego poinformowania o tym pracowników, nawet w razie istnienia prawnie usprawiedliwionego celu, stanowić będzie naruszenie prawa pracownika do prywatności, a w rezultacie przetwarzanie danych osobowych w warunkach braku przesłanki legalizującej takie przetwarzanie.
Agnieszka Szydlik, Katarzyna Żukowska, praktyka ochrony danych osobowych kancelarii Wardyński i Wspólnicy