Powyższą refleksję wyrażę na tle proponowanych w ustawie przepisów karnych. Konkretnie chodzi o art. 54 pkt. 2 projektu. W przepisie tym proponuje się zmianę do art. 281 kodeksu pracy (dalej: k.p.). Na skutek nowelizacji powstałaby norma o treści „Kto, będąc pracodawcą lub działając w jego imieniu pozyskuje dane osobowe inne niż wymienione w art. 22(1) par. 1 i par. 2, podlega karze grzywny od 1000 zł do 30 000 zł.”
Czytaj również: To będzie rewolucja u każdego pracodawcy>>
W systemie LEX znajdziesz zagadnienie powiązane z tym artykułem:
Odpowiedzialność za wykroczenia przeciwko prawom pracownika
Najczęściej czytane w temacie:
Czytaj więcej w systemie informacji prawnej LEX
To zagadnienie zawiera:
Najczęściej czytane w temacie:
Czytaj więcej w systemie informacji prawnej LEX
Żądanie danych to nie to samo co pozyskiwanie
Treść powyższej propozycji jest wadliwa na trzech poziomach. Po pierwsze, jeśli twórcy mieli rzeczywiście na myśli art. 22(1) par. 1 i par. 2 k.p., to warto dostrzec, że przepis ten dotyczy uprawnienia pracodawcy do „żądania” danych osobowych a nie do „pozyskiwania”. Innymi słowy, zgodnie z powyższym przepisem pracodawca może nałożyć na pracownika lub kandydata obowiązek przekazania swoich danych osobowych. Tymczasem pozyskiwanie danych może się odbywać poprzez ich samodzielne zbieranie przez administratora. Jeśli więc już, to przepis powinien sankcjonować nieuprawnione „żądanie” danych, a nie „pozyskiwanie”. Tyle tylko, że taki przepis nie miałby żadnego sensu. Uprawnienie do żądania przysługuje bowiem wyłącznie wtedy gdy przyznaje je ustawa. Skoro więc ustawa nie przyznaje uprawnienia do żądania innych danych niż określone w art. 22(1) par. 1 i par. 2 k.p. to znaczy, że nie ma czego zakazywać.
Po drugie, być może intencją projektodawcy jest coś innego. Może chodzi o to, aby pracodawca nie mógł w ogóle pozyskiwać innych danych osobowych niż wymienione w powyższym przepisie. Nie chodziłoby więc jedynie o zakaz „żądania”, który jak wspomniałem i tak byłby bezprzedmiotowy, ale o zakaz pozyskiwania innych danych niż te, o których mowa w art. 22(1) par. 1 i par. 2 k.p. Tyle tylko, że taka norma byłaby wątpliwa merytorycznie. Pracodawca może bowiem musieć pozyskiwać dane osobowe inne niż określone w powyższym przepisie działając sam lub przez swoje organy. Bez pozyskiwania danych nie mógłby bowiem wykonać swoich zadań niektórych określonych przez ustawę, żeby wspomnieć o przeciwdziałaniu dyskryminacji na etapie rekrutacji czy prowadzonych w związku z rekrutacją postępowaniach sygnalistycznych.
Cena promocyjna: 84.16 zł
|Cena regularna: 99 zł
|Najniższa cena w ostatnich 30 dniach: 79.2 zł
Administratorami danych osobowych pracowników są przedsiębiorstwa/zakłady pracy a nie przedsiębiorcy
Po trzecie i przede wszystkim, projektodawca zmiany do art. 281 k.p. nie dostrzega, że art. 22(1) par. 1 i par. 2 k.p. nie dotyczy osób fizycznych, ale pracodawcy-administratora, a tak naprawdę jednostek organizacyjnych jakimi są zakłady pracy. Ujmując rzecz prościej, osoba fizyczna nie pozyskuje danych dla siebie, lecz działa jako organ administratora danych osobowych. Jeśli więc celem projektodawcy było to, aby administrator nie przetwarzał danych osobowych innych niż wymienione w art. 22(1) par. 1 i par. 2 k.p., to proponowany przepis takiego zakazu nie wprowadza. Treścią proponowanego przepisu nie jest bowiem objęty administrator lecz osoba, która podejmuje w jego imieniu decyzje. Innymi słowy, przepis ten w istocie nie zakazuje przetwarzania danych o których w nim mowa, a jedynie sankcjonuje czyn osoby fizycznej, co nie ma sensu. Nie ma sensu zresztą także dlatego, że decyzje o przetwarzaniu danych może podejmować organ kolegialny, a wtedy proponowany przepis staje się bezwartościowy bo nieefektywny.
Powyższa uwaga dotyczy także pracodawcy osoby fizycznej. Jak bowiem już wyżej wspomniałem i nie wchodząc w tym miejscu w szczegóły podkreślam, że wbrew błędnie przetłumaczonej polskiej wersji językowej RODO, administratorami danych osobowych pracowników są przedsiębiorstwa/zakłady pracy a nie pracodawcy/przedsiębiorcy. Z tego też powodu przeciwdziałanie niezgodnemu z prawem przetwarzaniu danych osobowych w RODO dokonywane jest za pomocą kar administracyjnych nakładanych na przedsiębiorstwa, a nie grzywien nakładanych na osoby fizyczne. Dokładnie takie same rozwiązania sankcyjne przewiduje dyrektywa 2023/970 w art. 23 i motywie 55, w których nie ma mowy o grzywnach w rozumieniu polskiego prawa karnego. A przecież komentowany tu przepis ma na celu jej wdrożenie. Z tego też powodu nie mają nic wspólnego z dyrektywą dwa inne proponowane wykroczenia tj. nieprzekazywanie informacji osobie ubiegającej się o zatrudnienie, o których mowa w art. 18(3ca) par. 1 k.p. oraz niestosowanie nazw stanowisk neutralnych pod względem płci w ogłoszeniach.
Jak wyżej wspomniałem, analizowany tu projekt przepisu ustawy jest niepokojący z uwagi na jego ułomności merytoryczne i legislacyjne. Zasadnym byłoby jego usunięcie lub zmiana. Niestety jego treść rodzi obawę, czy inne regulacje wdrażające tę trudną dyrektywę zostały dostatecznie przemyślane.
Prof. dr hab. Arkadiusz Sobczyk, radca prawny, partner zarządzający w kancelarii Sobczyk & Współpracownicy, wykładowca w Katedrze Prawa Pracy i Polityki Społecznej Uniwersytetu Jagiellońskiego
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
