Czy pracodawca może żądać od pracownika, by założył on profil zaufany dla celów służbowych? Sprawę zbadał Prezes UODO.
Profil zaufany to zestaw potwierdzonych danych, który umożliwia załatwianie spraw urzędowych online. Profil zaufany obejmuje dane, które jednoznacznie identyfikują jego posiadacza w usługach podmiotów publicznych w Internecie. Wspomniane dane to imię (imiona), nazwisko, data urodzenia oraz numer PESEL. Profil zaufany ma więc charater prywatny, dlatego wątpliwości budziło zobowiązanie pracowników przez pracodawcę do wykorzystywania profilu zaufanego dla celów służbowych, związanych z wykonywaniem obowiązków w ramach świadczenia pracy. Sytuacja taka dotyczyła pracowników inspekcji sanitarnej, którzy zostali zobowiązani do korzystania z systemu SEPIS (System Ewidencji Państwowej Inspekcji Sanitarnej) przez swój profil zaufany.
W związku z wnoszonymi skargami, Rzecznik Praw Obywatelskich wystąpił w tej sprawie do Głównego Inspektora Sanitarnego. W odpowiedzi GIS wskazał. że profil zaufany pozwala użytkownikowi na potwierdzenie tożsamości w systemach teleinformatycznych administracji publicznej bez względu na to, czy posiadacz wykorzystuje go w celach prywatnych, czy też wykorzystuje go w celu wykonywania obowiązków pracowniczych (podobnie jak ma to miejsce w przypadku dokumentów stwierdzających tożsamość, tj. dowodu osobistego lub paszportu w stosunkach tradycyjnych).
Ponadto GIS wskazał, że w sytuacji gdy w podmiocie publicznym wdrożony jest system teleinformatyczny, za pośrednictwem którego pracownicy danego podmiotu będą wykonywać swoje obowiązki służbowe, a do zalogowania się w tym systemie konieczne jest dysponowanie profilem zaufanym, stosowny obowiązek po stronie pracowników można wywodzić z art. 20a ust. 1 pkt 1 ustawy o informatyzacji.
Przedstawionej argumentacji nie podzielają jednak ani Rzecznik Praw Obywatelskich, ani Prezes UODO. Należy również pamiętać, że pracownicy inspekcji sanitarnej wykorzystywali system SEPIS m.in.: do przyjmowania zgłoszeń od obywateli, nakładania kwarantann i izolacji czy też edycji danych związanych z ogniskami epidemii. Jak słusznie wskazuje RPO, w konsekwencji profil zaufany służy zarówno do zalogowania się do systemu SEPIS (w celu zidentyfikowania pracownika), jak i do podpisywania dokumentów np. przy wydawaniu decyzji, co wiąże się bezpośrednio z ujawnieniem danych osobowych pracownika, w tym nr PESEL w sytuacji podpisu profilem zaufanym.
Nie tylko RPO, ale również Prezes UODO nie zgodził się z argumentacją GIS. Przeprowadzona u Generalnego Inspektora Sanitarnego kontrola doprowadziła do wniosku, że stosowana praktyka żądania przez pracodawcę, aby pracownik uwierzytelniał się w systemie wykorzystywanym do realizacji zadań pracodawcy przy użyciu profilu zaufanego jest działaniem bez podstawy prawnej. Tym samym narusza ona art. 5 ust. 1 lit. a oraz lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Prawo do prywatności do jedno z podstawowych praw obywatelskich rangi konstytucyjnej. W świetle art. 47 Konstytucji, każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Realizacją prawa do prywatności jest szeroko zakrojona ochrona danych osobowych, której wyrazem na gruncie polskiego porządku prawnego jest zarówno ustawa o ochronie danych osobowych, jak i rozporządzenia Parlamentu Europejskiego i Rady (RODO).
W zakresie omawianego problemu na szczególną uwagę zasługuje art. 5 ust. 1 lit. a oraz lit. c RODO. Przepisy te statuują dwie ważne reguły: zasadę zgodnści z prawem oraz zasadę tzw. minimalizacji danych. Zgodnie z brzmieniem art. 5 ust. 1 lit. a oraz lit. c RODO, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą, a także muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.
Zasada minimalizacji danych stanowi gwarancję ochrony prywatności. W świetle art. 5 ust. 1 lit. c RODO, nie wolno zatem pozyskiwać i przechowywać danych nadmiarowych, czyli danych, które nie są niezbędne dla realizacji wyznaczonych i zgodnych z prawem celów. Zakaz ten dotyczy wszystkich podmiotów, również pracodawców. W omawianym stanie faktycznym nie znajdzie więc zastosowania norma art 22(1) § 2 Kodeksu pracy, w świetle której pracownik ma obowiazek podać dane osobowe, jeżeli ich podania żąda pracodawca, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. Żądanie danych osobowych, które narusza zasadę minimalizacji danych, nie może być przy tym postrzegane jako wiążące pracownika polecenie pracodawcy w rozumieniu art. 100 § 1 Kodeksu pracy. W tym wypadku zastosowania znajdzie przesłanka sprzecznosci z przepisami prawa, tj. art. 5 ust. 1 lit. a oraz lit. c RODO .
Źródło:
- pismo RPO do PUODO z 29.4.2021 r., VII.520.6.2020.MKS
- odpowiedź UODO z 4.4.2023 r., DOL.023.363.2021
Treści publikowane w serwisie internetowym PlanetaPrawo.pl mają charakter informacyjno-edukacyjny. Nie stanowią one porad prawnych i nie zastępują profesjonalnej pomocy prawnej. Administrator nie ponosi odpowiedzialności za jakiekolwiek skutki związane z ich wykorzystywaniem. Wszelkie prawa zastrzeżone – powołując się na publikację podaj źródło.
Przeprowadzanie kontroli trzeźwości w zakładzie pracy
2023-02-22 13:24
Rozmiar zatrudnienia w świetle przepisów o ochronie sygnalistów
2022-04-16 23:25
Pracownik będzie mógł złożyć wniosek o zmianę typu umowy o pracę
2023-02-16 10:35
Dodatkowy dzień wolny od pracy już niebawem
2023-10-09 08:54
Praca zdalna czeka na podpis Prezydenta
2023-01-16 11:30
Podstawowe postanowienia umowy o pracę na przykładach
2022-11-11 11:40
Zrzeczenie się prawa do wynagrodzenia za pracę
2022-03-12 09:17
