1. Definiowanie podstaw do przetwarzania danych osobowych przez administratora
Nie budzi wątpliwości, że kwestia braku wystarczających podstaw do przetwarzania danych osobowych przez administratora jest jednym z głównych przesłanek wpływających na definiowanie jego odpowiedzialności za naruszenia wymogów RODO, a w konsekwencji wpływających na wysokość orzekanej przez krajowy organ ochrony administracyjnej kary pieniężnej. Zagadnienie to jest bardzo złożone i wymaga podejmowania przez administratorów analizy na wszystkich płaszczyznach podejmowanej przez siebie działalności, wiążącej się z przetwarzaniem danych osobowych. Sygnalizując problem warto wskazać pewne kwestie dotyczące choćby przetwarzania pewnego „wycinka” danych pracowniczych.
2. Praktyczny przykład
Prostym przykładem będzie ustalenie czy administrator dokonał należytej weryfikacji, wykorzystywania w dziale kadr zautomatyzowanego systemu, mającego na celu zarządzanie i monitorowanie zwolnień lekarskich dostarczanych przez pracowników. Omawiany mechanizm (technologia) często jest stosowany w zarządzaniu zasobami ludzkimi jako sposób pomiaru absencji pracowników.
Z punktu widzenia RODO, a w szczególności dotychczasowego orzecznictwa, warto pamiętać, że już sama data zwolnienia chorobowego i częstotliwość zwolnienia chorobowego pracownika, o ile jego tożsamość zostanie ujawniona bezpośrednio lub pośrednio, stanowią dane osobowe. W konsekwencji trzeba mieć na względzie, iż zasilanie zautomatyzowanego systemu nawet tylko tymi danymi osobowymi i skalibrowanie ich za pomocą innego systemu, a następnie opracowanie profili pracowników na podstawie wyników, jest uważane za przetwarzanie danych osobowych.
Należy mieć również na uwadze, że podejmowanie zautomatyzowanych decyzji w oparciu o takie profile będzie spełniało kryteria uznania tego procesu za profilowanie w rozumieniu RODO, co w zestawieniu z zakazem swobodnego zautomatyzowanego decydowania wymaga odnalezienia przez administratora odrębnych przesłanek legalizujących takie działanie, co może być w praktyce niezwykle trudne.
Europejska Rada Ochrony Danych wydała w dniu 27 stycznia 2020 r. oświadczenie podkreślając, że tak długo, jak tożsamość osoby jest ujawniana bezpośrednio lub pośrednio, dane dotyczące dat i częstotliwości zwolnień chorobowych stanowią „szczególne kategorie danych osobowych” zgodnie z art. 9 ust. 1 RODO oraz przekazanie takich danych do zautomatyzowanego systemu zostało uznane za przetwarzanie i musiało być zgodne z RODO. Ponadto EROD zauważyła, że w trakcie tego dochodzenia Rada skorzystała z procedury wzajemnej pomocy i otrzymała uwagi od dwudziestu pięciu organów ochrony danych w EOG, które wskazały, że nie ma podstawy prawnej dla takiego przetwarzania specjalnych danych osobowych i podkreśliły konieczność uregulowania takich kwestii zgodnie z art. 88 RODO.
Jednocześnie system archiwizacji danych osobowych musi pozwalać na skuteczne usunięcie danych. Dane osobowe nie mogą być przechowywane bez jakichkolwiek dodatkowych kontroli dotyczących konieczności ich dalszego przetwarzania, zgodnie z zasadami niezbędności i minimalizacji (por. sprawa Deutsche Wohnen SE i rozstrzygnięcie niemieckiego organu ochrony).
Mając powyższe na względzie warto dokonać merytorycznej weryfikacji stosowanych rozwiązań technicznych tak, aby nie tylko wypełnić należycie obowiązki wynikające bezpośrednio z RODO, ale wyeliminować również zasadność formułowania roszczeń przez osoby, których wolności i prawa mogą być w związku z tym naruszone.
Mariusz Jabłoński
