RODO to jeden z najgorętszych tematów ostatnich miesięcy. Jaki jest wpływ nowych przepisów o ochronie i przetwarzaniu danych osobowych na floty?
Dnia 25 maja 2018 r. rozpoczął się okres obowiązywania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, czyli słynnego RODO. Czy nowe przepisy zmieniają coś w zakresie monitoringu we flotach i wpływają na stosowane dotychczas rozwiązania?
Problemy z przeszłości
Nie ma żadnych wątpliwości, że informacje pozyskiwane z monitoringu pojazdów we flotach samochodowych – czy to za pomocą lokalizatorów GPS, czy też systemów telematyki – stanowią dane osobowe pracowników, którzy kierują pojazdami. Ujawniają one przecież m.in. bieżącą lokalizację danej osoby, trasy, jakimi się porusza, a w przypadku telematyki również styl jazdy i nawyki drogowe. Z tych przyczyn informacje te, a patrząc szerzej – same procesy monitoringu są czymś, co wchodzi w zakres zastosowania RODO.
Rozporządzenie samo w sobie nie mówi wprost nic o monitoringu flot samochodowych czy nawet szerzej – o monitoringu w stosunkach zatrudnienia. Dlatego też – z braku dodatkowych regulacji krajowych – monitoring pojazdów należałoby oceniać przez pryzmat ogólnych zapisów RODO (tak jak każdy inny proces przetwarzania danych). Zresztą, podobnie było dotychczas. W braku szczegółowych regulacji prawnych dotyczących monitoringu analizowano go z perspektywy ogólnych przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, która została uchylona z chwilą rozpoczęcia obowiązywania RODO. Każdy, kto zajmował się tą tematyką, wie, jakich problemów nastręczała ta analiza i ile wątpliwości wywoływało to, czy, w jakim zakresie i pod jakimi warunkami monitoring flotowy jest dopuszczalny.
Na szczęście obecnie sytuacja zmieniła się na lepsze. Co prawda, jak wspomniałem, samo RODO milczy na temat flotowego monitoringu, lecz kwestia ta została uregulowana w przepisach krajowych. Polski ustawodawca, w ramach towarzyszącej RODO nowej ustawy o ochronie danych osobowych z dnia 10 maja 2018 r., postanowił dodać kilka dodatkowych przepisów do kodeksu pracy (nowe art. 222 i 223 k.p.). W przepisach tych przesądzono o tym, kiedy monitoring jest dopuszczalny, i wskazano – krok po kroku – jak należy go wprowadzić.
Trzy rodzaje monitoringu
Nowe przepisy kodeksu pracy wyodrębniają trzy rodzaje monitoringu: monitoring wizyjny, monitoring poczty elektronicznej i inne formy monitoringu. Monitoring flotowy za pośrednictwem lokalizatorów GPS czy telematyki będzie mieścił się właśnie wśród tych innych form.
Ustawodawca przesądził, że stosowanie monitoringu flotowego jest dopuszczalne w dwóch celach:
– jeżeli jest to niezbędne do zapewnienia organizacji pracy zapewniającej pełne wykorzystanie czasu pracy (np. w celu kontroli doboru optymalnych tras przejazdu przez przedstawicieli handlowych),
– jeżeli jest to niezbędne do zapewnienia właściwego użytkowania udostępnionych pracownikowi narzędzi pracy (np. w związku z kontrolą obowiązującej w firmie polityki eco drivingu).
Monitoring nie może powodować naruszenia dóbr osobistych pracownika, w tym jego prawa do prywatności. W tym kontekście aktualne pozostają wymogi, by nie monitorować przejazdów prywatnych (po godzinach pracy, w weekend, w czasie urlopu), o ile oczywiście pracodawca zezwala na wykorzystanie pojazdów w tym celu. W praktyce będzie to – jak dotychczas – wiązać się z obowiązkiem takiego doboru systemów monitorujących, by użytkownik miał możliwość przełączyć je w tryb prywatny.
Nowe przepisy wymagają, aby cele, zakres i sposób stosowania monitoringu zostały określone w układzie zbiorowym pracy, regulaminie pracy lub w obwieszczeniu, jeśli pracodawca nie jest objęty układem zbiorowym lub nie jest zobowiązany do ustalenia regulaminu pracy. Takim obwieszczeniem może być w szczególności polityka flotowa. Natomiast jeśli w firmie obowiązuje układ zbiorowy lub regulamin pracy, sama polityka flotowa nie wystarczy. Oczywiście, może i powinna ona pozostać jako dokument normujący kwestie korzystania z pojazdów służbowych. Niemniej postanowienia dotyczące monitoringu powinny zostać włączone do układu zbiorowego lub regulaminu pracy.
Obowiązek informacyjny
W związku z monitoringiem na pracodawcę nałożono liczne obowiązki informacyjne. I tak, o wprowadzeniu monitoringu powinien on poinformować pracowników, w sposób przyjęty w danym zakładzie pracy, nie później niż 2 tygodnie przed jego uruchomieniem. Ponadto przed dopuszczeniem pracownika do pracy pracodawca jest zobowiązany przekazać mu dodatkowo w sposób indywidualny (na piśmie, pocztą elektroniczną) informacje o monitoringu, zawarte w układzie zbiorowym, regulaminie pracy lub odrębnym obwieszczeniu. Co istotne, aktualny pozostaje też obowiązek informacyjny określony w RODO, w ramach którego pracodawca powinien przekazać pracownikowi wiele dalszych informacji, m.in. o tym, komu przekazuje takie dane (np. dostawcy systemu GPS lub telematyki), jaki jest okres przechowywania danych i jakie prawa przysługują pracownikowi na gruncie RODO.
Nowością jest to, że pracodawca ma obowiązek oznaczenia pojazdów, które są monitorowane, w sposób widoczny i czytelny, za pomocą odpowiednich znaków, nie później niż na jeden dzień przed uruchomieniem monitoringu. Wydaje się, że obowiązek ten może być zrealizowany np. poprzez umieszczenie odpowiednich (wyraźnych i czytelnych) naklejek na osłonie przeciwsłonecznej na miejscu kierowcy.
Jak widać, choć samo RODO nic o monitoringu wprost nie mówi, to jednak nowe polskie przepisy uporządkowały znacznie sytuację w tym obszarze, ustanawiając jasne reguły postępowania i określając cele, dla których monitoring jest dopuszczalny. W mojej ocenie regulacje te znacznie ułatwią życie menadżerom flot i pozwolą uniknąć wielu wątpliwości. Niemniej należy pamiętać, że monitoring stanowi jeden z procesów przetwarzania danych osobowych w firmie i jako taki powinien również spełniać ogólne wymogi stawiane przez RODO. W szczególności chodzi tutaj o ujęcie go w ramy prowadzonej wewnętrznie dokumentacji przetwarzania danych (m.in. w rejestrze czynności przetwarzania), przeprowadzenie analizy ryzyka czy oceny skutków dla ochrony danych jak również ustanowienie odpowiednich zabezpieczeń technicznych i organizacyjnych. Ponieważ aspekty te nie leżą w gestii fleet managera, powinien on ściśle współdziałać w tym zakresie z osobami odpowiedzialnymi za ochronę danych w firmie.
r.pr. Piotr Grzelczak
Kancelaria GFP Legal z Wrocławia
Artykuł pierwotnie ukazał się w magazynie Menadżer Floty: Forum Biznesowe, nr 5/2018