Opisana praktyka nie jest niestety prawidłowa ze względu na udostępnianie danych o stanie zdrowia (tj. szczególnych kategorii danych) lub innych danych osobowych (np. o rodzaju urlopu) osobom postronnym (tj. innym współpracownikom) bez potrzeby uzasadnionej wykonywaniem przez administratora danych zadań odnoszących się do zatrudnienia pracowników.
Dane osobowe w rozumieniu art. 4 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO) to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Pracodawca nie może pobierać od pracownika dowolnych danych, a tylko te, które zostały wyszczególnione w art. 221 Kodeksu pracy. Gromadzenie innych danych jest dopuszczalne tylko, gdy pozwalają na to szczególne przepisy. W przypadku szczególnych kategorii danych (a takimi danymi są między innymi dane dotyczące stanu zdrowia) trzeba mieć ważną podstawę ich przetwarzania, tj. spełniać jedną z przesłanek z art. 9 ust. 2 RODO. Na przykład przetwarzanie takich danych jest dopuszczalne, jeżeli jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej (art. 9 ust. 2 lit. b RODO).
Przetwarzanie przez pracodawcę szczególnych kategorii danych pracownika, np. informacji o jego stanie zdrowia (a taką informacją jest informacja, iż pracownik znajduje się na „chorobowym”) znajduje uzasadnienie w przepisach prawa pracy dotyczących usprawiedliwianiu nieobecności w pracy oraz rozwiązaniu umowy bez wypowiedzenia bez winy pracownika w przypadku niezdolności pracownika do pracy wskutek choroby. Przepisy te wyznaczają granice przetwarzania danych osobowych w tym zakresie.
W mojej ocenie poza te granice wykracza przekazywanie szczególnych kategorii danych innym pracownikom, którzy w ten sposób dowiaduję się o chorobie swojego kolegi lub swojej koleżanki. Wynika to m.in. z ugruntowanego w orzecznictwie stanowiska, zgodnie z którym sposób potwierdzania obecności w pracy (ewidencja czasu pracy) nie powinien wskazywać na przyczynę nieobecności. Analogicznie zasady te znajdują zastosowanie do planowanego czasu pracy („grafiku”).
Jednak nie w każdym przypadku można z góry przesądzić, że przekazywanie danych o chorobie pracownika pomiędzy innymi pracownikami zatrudnionymi u danego administratora danych jest niedozwolone. Do przekazania takich informacji może jednak dojść tylko, jeżeli jest to konieczne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników. Trzeba więc odpowiedzieć sobie na pytanie, czy w celu organizacji procesu pracy jest wymagane powiadomienie kierownika o przyczynie nieobecności danego pracownika.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
