14 grudnia 2012 r. Biuro Generalnego Inspektora Ochrony Danych Osobowych podpisało porozumienie z Państwową Inspekcją Pracy. Na mocy porozumienia, PIP zawiadomi GIODO o „stwierdzonych w czasie kontroli nieprawidłowościach w zakresie zgodności przetwarzania danych z przepisami o ochronie danych osobowych„. Porozumienie na samym początku obowiązywało raczej na papierze
– w końcu inspektorzy PIP nie są ekspertami z zakresu ochrony danych osobowych. Sytuacja zmieniła się diametralnie, kiedy w ostatnim czasie GIODO zaczął wywiązywać się z kolejnego zapisu przewidzianego przez porozumienia. GIODO rzeczywiście podjął na szeroką skalę „działania mające na celu podnoszenie kwalifikacji jej pracowników [PIP – przy. autora], w tym współpracę przy opracowywaniu programów szkoleń, wymianę wykładowców, zapewnienie pracownikom, w miarę zgłaszanych potrzeb i możliwości, udziału w kursach i szkoleniach„. No dobrze, ale co właściwie to porozumienie oznacza dla instytucji i przedsiębiorców przetwarzających dane osobowe?
Większe ryzyko kontroli procesów przetwarzania danych osobowych
Podstawową konsekwencją podpisania przedmiotowego porozumienia pomiędzy GIODO i PIP jest znaczny wzrost ryzyka przeprowadzenia kontroli zgodności przetwarzania danych osobowych z polskim prawem. O ile GIODO przeprowadza rocznie ok. 200 kontroli W CAŁEJ POLSCE, to PIP tylko w roku 2012, w samych Katowicach przeprowadziła prawie 11 000 kontroli! W całej Polsce, w jednym tylko roku 2012 PIP przeprowadziła 90 000 kontroli (dane z http://www.pip.gov.pl ). Jak widać, jest to ogromna różnica. Warto podkreślić tu ponownie, że inspektorzy PIP, nawet po przeszkoleniu nie są ekspertami w dziedzinie ochrony danych osobowych. Dlatego, w tym zakresie kontrola tej instytucji będzie znacznie bardziej pobieżna, niż inspekcja GIODO. I tak, inspektor PIP sprawdzi np. czy w kontrolowanym podmiocie funkcjonuje wymagana prawem dokumentacja (Polityka Bezpieczeństwa, Instrukcja Zarządzania Systemami Informatycznymi), ale nie będzie już zagłębiał się w jej szczegółowe zapisy. Inspektor PIP sprawdzi, czy w ogóle nadawane i ewidencjonowane są upoważnienia do przetwarzania, nie będzie natomiast ich szczegółowo analizował. Podobnie będzie z wnioskami rejestracyjnymi, czy np. wyznaczeniem ABI. Inspektorzy sprawdzą czy wymóg jest spełniony, nie będą wnikać w szczegóły.
Jak twierdzi rzecznik prasowy PIP Pani Danuta Rutkowska, najczęstsze uchybienia z zakresu ochrony danych osobowych wykrywane do tej pory przez inspektorów PIP, to: żądanie przez firmy od kandydatów do pracy zaświadczeń o niekaralności, zastrzeżenia co do wprowadzania monitoringu w firmie, kontroli poczty elektronicznej i rozmów telefonicznych prowadzonych w związku z wykonywanymi obowiązkami.
GIODO skontroluje przestrzeganie przez pracodawcę prawa pracy
Pamiętajmy, że porozumienie działa w obie strony. Nie tylko PIP będzie przyglądał się bezpieczeństwu danych osobowych, ale również GIODO przyjrzy się respektowaniu prawa pracy przez kontrolowaną instytucję. Jak podkreśla Dr Wojciech Rafał Wiewiórowski (GIODO) „Kiedy sprawdzamy działania podejmowane przez przedsiębiorcę, ale również instytucje publiczne, możemy dojść do wniosku, że niektóre z nich nie mają wprawdzie charakteru naruszającego ustawę o ochronie danych osobowych, ale mogą naruszać inne uprawnienia pracowników. W tej sytuacji powinniśmy informować Państwową Inspekcję Pracy. Chodzi nam także o koordynację kontroli, tak żeby nie dochodziło do sytuacji, w której ta sama rzecz jest kontrolowana przez PIP i przez GIODO, raz po razie.” (źródło: http://www.biznes.newseria.pl/news/dwie_inspekcje_jedna,p1071134628)
Jednolita wykładnia przepisów prawa
I na koniec jedna dobra informacja dla wszystkich przedsiębiorstw i instytucji przetwarzających dane osobowe. W porozumieniu GIODO – PIP pojawiają się zapisy, które mają na celu także wymianę doświadczeń, np. poprzez wspólne szkolenia czy wymianę wykładowców. Jest to bardzo istotne, ponieważ przez ilość i stopień zawiłości przepisów prawa jego interpretacja nie zawsze jest oczywista dla każdej z tych instytucji. Podpisanie porozumienia ma więc wpłynąć na stworzenie jednolitej wykładni przepisów dotyczących prawa do prywatności pracowników przez obydwa urzędy.
Dr Wojciech Rafał Wiewiórowski podaje tutaj przykład wykorzystywania przez pracodawcę danych biometrycznych: „istnieje przekonanie, że GIODO nie dopuszcza zbierania danych biometrycznych od pracowników, co nie jest do końca prawdą. Nie dopuszczamy tego na potrzeby rozliczenia czasu pracy czy innych obowiązków, wynikających z Kodeksu pracy. Choć mogą też istnieć uzasadnione powody, związane z bezpieczeństwem, które powodują, że jest to możliwe. Jest to dozwolone, na przykład tam, gdzie chodzi o ochronę pomieszczenia albo konkretnego zasobu, który w tym pomieszczeniu się znajduje„.
Łukasz Zegarek
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.