W praktyce spółek pojawiają problemy z brakiem uregulowania monitoringu pracowników oraz zamieszanie wywołane wyrokiem Trybunału w Strasburgu w sprawie Facebooka.
Sprawa monitoringu w miejscu pracy od lat budzi kontrowersje. Dr Arwid Mednis, partner kancelarii Wierzbowski Eversheds twierdzi, że jeśli celem pracodawcy ustawiającego kamery jest bezpieczeństwo pracowników, to taki system monitorowania jest dopuszczalny. Ale już wątpliwości nasuwa monitoring , tego co pracownik robi w sieci.

Trzeba napisać ustawę
W tej kwestii jest stanowisko ministra pracy i Generalnego Inspektora Ochrony Danych Osobowych. Mówi się w nich, że podstawą monitoringu są przepisy prawa pracy, które dotyczą kontroli sprzętu powierzonego pracownikom a także przepisy dotyczące obowiązku pozostawania do dyspozycji pracodawcy w czasie pracy.
Zdaniem dr Mednisa sprawa wymaga bardziej precyzyjnego uregulowania, gdyż w świetle orzecznictwa Europejskiego Trybunału praw Człowieka w Strasburgu taka interpretacja ostać się nie może.
- Należałoby znowelizować kodeks pracy w tym zakresie  - postuluje dr Mednis. - Po pierwsze trzeba uregulować katalog danych, jakie mogą być przetwarzane przez pracodawcę, a po drugie - należałoby uchwalić ustawę o monitoringu, o czym mówimy od wielu lat. Pracuje się nad ustawą o monitoringu, ale w miejscach publicznych, a nie w pracy  - wyjaśnia dr Mednis.
Poważną kwestią jest whistleblowing - czyli sygnalizowanie zachowań nieetycznych lub wręcz bezprawnych w praktyce korporacyjnej,. - W Polsce istnieje obowiązek zawiadomienia, że się dane przetwarza, co nie jest zbyt skuteczne, bo inspektor  musi  poinformować szefa, kto doniósł na niego w firmie - twierdzi dr Mednis.  

Przekazywanie danych poza UE
Zmieniły się od początku roku zasady przekazywania danych do państw trzecich, czyli państw spoza europejskiego obszaru gospodarczego. Można już teraz skorzystać ze standardowych klauzul umownych bez każdorazowej zgody Generalnego Inspektora Ochrony Danych Osobowych . Dawniej trzeba było w umowie  zawrzeć klauzulę o transferze danych do państwa trzeciego. Druga możliwość  to są wiążące reguły korporacyjne. Jeśli korporacja międzynarodowa przyjmie reguły odnośnie wymiany informacji  i zabezpieczeń dotyczące danych  osobowych, to po zatwierdzeniu jednorazowo przez GIODO, każde kolejne transfery nie wymagają jego zgody.


Big Data. Rewolucja, która zmieni nasze myślenie, pracę i życie>>>

Według dr. Mednisa  sprawa się nieco skomplikowała po wyroku Trybunału Sprawiedliwości UE wydanym 6 października br. w sprawie Maximiliana Schremsa przeciwko Facebookowi. Pozwał on Facebooka za przetrzymywanie bez jego zgody danych – również tych, które sam już usunął z serwisu – na amerykańskich serwerach i naruszanie w ten sposób jego prywatności. Trybunał przyznał mu rację, stwierdzając, że ani Facebook, ani inne firmy, przetrzymujące dane na amerykańskich serwerach w oparciu o prawo „bezpiecznej przystani” z 2000 r., nie zapewniają dostatecznej ochrony danych swoich użytkowników i klientów przed inwigilacją ze strony amerykańskiego rządu. Trybunał unieważnił więc porozumienie, na mocy którego firmy miały prawo przetwarzać dane europejskich klientów na amerykańskich serwerach, o ile zgodziły się na politykę prywatności z tej strony Atlantyku. Wyrok ETS jest wiążący dla wszystkich państw członkowskich UE, a zwłaszcza przedsiębiorców, którzy transferują dane do USA. Ale jest to jednocześnie obalenie prawa, którego naginanie pozwalało na masową inwigilację

Badać standardy ochrony danych
- W tej chwili przekazywanie danych do Stanów Zjednoczonych w oparciu o prawo bezpiecznej przystani - nie ma podstawy prawnej - twierdzi Adwid Mednis. - Ponadto decyzja Komisji w sprawie wymiany danych osobowych z państwem trzecim, np. Szwajcarią, nie zwalnia firm od badania adekwatności ochrony danych osobowych w tym państwie spoza UE. A to z kolei oznacza, że przedsiębiorstwa, który wysyła dane do państwa trzeciego będzie badał, czy kraj docelowy ma te same standardy ochrony co UE - wyjaśniał dr. Mednis. - Poddaje się w wątpliwość, czy przesyłanie standardowych klauzul jest dozwolone.
I tak np. w USA standardy klauzul umownych w zakresie ochrony danych osobowych w służbie zdrowia są bardziej rygorystyczne niż w Unii, ale w innych sektorach już nie. Unia zmusza USA do przyjęcia wyższego poziomu ochrony. Być może tak się stanie. Prezydent Obama przygotowuje trzy projekty ustaw dotyczące prywatności konsumenckiej.

Żródło: Seminarium zorganizowane przez Iron Mountain, z udziałem GIODO i BCC, 21 października 2015 r.p.t." Skuteczne przetwarzanie informacji".