Nowelizacja kodeksu pracy, której przepisy weszły w życie 21 lutego, przyznaje pracodawcom prawo do prowadzenia prewencyjnej kontroli trzeźwości swojej załogi pod kątem zawartości alkoholu oraz substancji działających podobnie jak alkohol, Taka kontrola nie może naruszać godności oraz innych dóbr osobistych pracownika i może być prowadzona tylko przy użyciu metod niewymagających badania laboratoryjnego oraz za pomocą urządzenia posiadającego ważny dokument potwierdzający jego kalibrację lub wzorcowanie. Oprócz tych oczywistych kwestii, przepisy kodeksu wpływają również na zagadnienia związane z ochroną danych osobowych w organizacji.
Czy dane uzyskane w trakcie kontroli trzeźwości to dane osobowe? W jaki sposób przetwarzać te dane podczas wspomnianych kontroli? Odpowiadamy na pytania czytelników dotyczące tego aspektu.
W trakcie kontroli pracodawca uzyskuje wiedzę na temat trzeźwości osoby kontrolowanej. Jest to informacja o jej stanie zdrowia, a to jest uznawane za dane osobowe szczególnej kategorii w rozumieniu przepisów o ochronie danych osobowych (art. 9 RODO). Nowelizacja kodeksu pracy daje więc pracodawcom podstawę prawną do przetwarzania danych osobowych szczególnej kategorii. RODO dopuszcza przetwarzanie takich danych w przypadku, gdy jest to niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora w dziedzinie prawa pracy, o ile jest to dozwolone prawem państwa członkowskiego przy odpowiednim zabezpieczeniu praw podstawowych oraz interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. b RODO).
Jakie dane pozyskane w wyniku przeprowadzenia kontroli trzeźwości pracodawca może przetwarzać i jak długo może to robić?
Pracodawca w ww. zakresie może przetwarzać tylko ograniczony zakres danych, tj. datę i czas przeprowadzenia kontroli trzeźwości oraz wynik takiej kontroli. Informacje te pracodawca powinien dołączyć do akt osobowych pracownika. Co do zasady są one usuwane najpóźniej po upływie roku od dnia ich zebrania (dłuższy termin obowiązuje w przypadku nałożenia na pracownika kary lub gdy informacje te stanowią dowód w postępowaniu).
Czy wprowadzenie kontroli trzeźwości u pracodawcy wymaga zmian w regulaminie pracy?
Tak, pracodawca zobowiązany jest uregulować zasady kontroli trzeźwości na takich samych zasadach, jak w przypadku monitoringu. Regulacje dotyczące kontroli trzeźwości powinny znaleźć się w regulaminie pracy układzie zbiorowym pracy lub obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. W regulaminie pracy powinny pojawić się regulacje wskazujące w szczególności na sposób przeprowadzania kontroli, jej częstotliwość, kategorie pracowników objętych kontrolą itp. Pracownicy powinni zostać poinformowani o możliwości prowadzenia takich kontroli nie później niż na 2 tygodnie przed rozpoczęciem ich stosowania, nowi pracownicy przed dopuszczeniem ich do pracy.
Czy wprowadzenie przez pracodawcę kontroli trzeźwości wymaga przeprowadzenia oceny skutków dla ochrony danych (DPIA)?
Wprowadzenie przez pracodawcę możliwości kontroli trzeźwości pracowników powinno być poprzedzone analizą ryzyka, czyli oceną możliwości wystąpienia naruszenia ochrony danych osobowych dla tego procesu. Celem analizy ryzyka jest udzielenie odpowiedzi, czy w ocenianym procesie mamy do czynienia z wysokim ryzykiem, o którym mowa w art. 32 ust. 1 RODO, oraz czy konieczne jest przeprowadzenie oceny skutków dla ochrony danych (DPIA). Obowiązek ten pojawia się dopiero wówczas, gdy z analizy ryzyka wynika, że istnieje wysokie ryzyko naruszenia praw lub wolności.
Czy wprowadzając kontrolę trzeźwości w swojej organizacji, pracodawca powinien zmienić także dokumenty dotyczące ochrony danych osobowych?
Tak, wprowadzenie kontroli trzeźwości u pracodawcy wymaga zmian lub aktualizacji takiej dokumentacji. Chodzi m.in. o:
- przygotowanie upoważnień dla osób przeprowadzających kontrolę trzeźwości w imieniu pracodawcy do przetwarzania związanych z tym danych osobowych oraz zobowiązań do zachowania ich w tajemnicy przez te osoby;
- zaktualizowanie klauzuli informacyjnej w zakresie nowego procesu przetwarzania danych osobowych;
- zaktualizowanie rejestru czynności przetwarzania poprzez dodanie nowego procesu oraz polityki retencji.
W przypadku powierzenia przeprowadzenia kontroli trzeźwości pracowników podmiotowi zewnętrznemu, np. zewnętrznej firmie ochroniarskiej, konieczne jest również zawarcie umowy powierzenia przetwarzania danych z takim podmiotem.
Podstawa prawna:
- Ustawa z 26 czerwca 1974 r. Kodeks pracy (t.j. Dz.U. z 2022 r. poz. 1510; ost.zm. Dz.U. z 2023 r. poz. 240)
- Art. 19 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE z 2016 r. L 119, str. i; inaczej: RODO)
Źródło: Dziennik Gazeta Prawna, autor: Sylwia Macura-Targosz