Na ZRG: Dane osobowe a związek zawodowy. Jak je zabezpieczać i chronić

W maju br. minie rok od wprowadzenia zasad RODO. Przynależność do związków zawodowych jest w grupie danych, które zostały objęte szczególną ochroną ze względu na konieczność zagwarantowania swobody przynależności i wolności organizacji. Komisje związku powinny już przygotować się do przyjęcia polityki zasad opracowywania i przechowywania danych osobowych oraz prowadzenia rejestru zbiorów danych. Na poziomie Zarządu Regionu Gdańskiego taki zbiór reguł obowiązuje od chwili wprowadzenia zasad RODO w maju ub.r.

_DSC0883

_DSC0894

Poniedziałkowe obrady ZRG NSZZ „S” poprzedziła szczegółowa informacja radcy prawnego Lucyny Świętochowskiej na temat obowiązków organizacji związkowej w kontekście ochrony danych osobowych.

Administratorem danych osobowych członków NSZZ „S” jest wyłącznie osoba wskazana i upoważniona przez związek zawodowy. W strukturach ZRG NSZZ „S” administratorem danych osobowych jest jego przewodniczący Krzysztof Dośla, a pełnomocnikiem ds. danych osobowych kierownik działu personalnego.

Osoby administrujące danymi, czyli pełnomocnicy ds. ochrony danych osobowych, powinny być też powołane na poziomie zakładowych organizacji związkowych.

Dane osobowe i ich ochrona służą nie tylko ochronie prywatności. Ma na celu też zapewnienie swobody działalności organizacji i jej członków.

Przy informacjach z życia publicznego tyczących instytucji publicznych (!) często dochodzi do absurdów. Stąd konieczne bywa uciekanie się do prawa dostępu do informacji publicznej, gdy urzędnicy czy politycy zasłaniają się RODO. Tak stało się w przypadku drążenia przez media wysokości zarobków dwóch dyrektorek w NBP w powiązaniu z ich poddawanymi w wątpliwość kompetencjami. W tym przypadku konieczna była specustawa. Choć teoretycznie wystarczyłaby ustawa o dostępie do informacji z 2001 roku.

Przy prowadzeniu sporu zbiorowego i konieczności przeprowadzenia referendum jest jednak kolizja ustaw. Można wyjść z pata między RODO a ustawą o prowadzeniu sporów zbiorowych zawierając umowę powierzenia danych między związkiem a dyrekcją, czy prezesem zarządu. Najpierw trzeba i warto powołać się o ustawę o rozwiązywaniu sporów zbiorowych.

Należy pamiętać, że dane osobowe są też towarem, wymiernie wycenianym. Nie należy ich zbyt pochopnie podawać. Nie należy też gromadzić zbyt wielu danych osobowych a tyle, ile jest niezbędne do prowadzenia działalności.

Zdarzają się incydenty wycieku danych osobowych. Jeśli tak się stanie należy poinformować Urząd Ochrony Danych Osobowych. jest na to 72 godziny od stwierdzenia faktu wycieku tych danych.

Przy organizacji szkoleń lub wycieczek czy umów ubezpieczenia (z osobami trzecimi) warto pamiętać o zawarciu umowy o powierzeniu danych osobowych i wpisać do rejestru danych osobowych powierzonych do przetwarzania.

Jak zatem pogodzić wymogi ochrony danych osobowych z działalnością związkowa. Przede wszystkim należy dołożyć wszelkich starań, by się zabezpieczyć dane przed ich wyciekiem. To jednak trudne w dobie wyspecjalizowanych hakerów, potrafiących złamać najbardziej przemyślane zabezpieczenia oraz powszechnego dostępu do rozmaitych rejestrów i zbiorów danych. Czy zatem RODO to fikcja? Otóż nie. Na dodatek za ich ujawnienie lub wyciek grozi odpowiedzialność karna i finansowa.

Dane osobowe członków związku, jak i pozyskiwane i gromadzone dane osobowe innych osób, z którymi organizacja współpracuje muszą być zabezpieczone. Warto pamiętać przy tym, że osobę można zidentyfikować z imienia i nazwiska przy pomocy np. adresu (loginu) poczty elektronicznej z elementami imienia i nazwiska.

Czym innym jest jednak posiadanie informacji, a czym innym jest ich wykorzystywanie i udostępnianie.

- Kartoteki muszą być tak zabezpieczone by nie było dostępu osób trzecich, tak kartoteki bieżące jak i historyczne. Powinny one być zamknięte, a klucze zabezpieczony z dostępem doń tylko osób upoważnionych. W systemie informatycznym dane muszą być zabezpieczone na poziomie co najmniej zaszyfrowanego hasła dostępu – przypomina ABC postępowania z danymi Lucyna Świętochowska.

Nie zapominajmy, że utrata telefonu np. z danymi teleadresowymi, mogącymi identyfikować osoby, jest też obwarowana odpowiedzialnością i musi być zgłoszone do inspektora ochrony danych osobowych.

Dane członków związków zawodowych są danymi wrażliwymi. Komisja zakładowa musi zatwierdzić decyzją czy uchwałą wprowadzenie polityki ochrony danych osobowych. Trzeba w niej zawrzeć opis podstawowych terminów oraz zbiór zasad gromadzenia, przechowywana i udostępniania danych osobowych. Organizacja związkowa powinna wyznaczyć osobę odpowiedzialną za ochronę danych w charakterze pełnomocnika ds. ochrony danych osobowych. Taka osoba będzie miała zadanie dopilnowania skutecznej ochrony danych.

A co ze składkami, które są odprowadzanie przez działy księgowe? Otóż tu obowiązuje zasada nieujawniania danych. Z kolei jeżeli pracodawca odmawia potrącania składek związkowych wskazując na przepisy RODO, to jest to sprzeczne z RODO i z ustawą o związkach zawodowych.

Pamiętajmy przy tym, że zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej.

W art. 9 ust 2 RODO wskazano, iż zakaz nie dotyczy sytuacji, gdy przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą.

Zwrócić należy uwagę, że przynależność do związków zawodowych zaliczona została do danych, które zostały objęte szczególną ochroną, a to ze względu na konieczność zagwarantowania swobody przynależności i działalności organizacji związkowych, a ustawodawca (krajowy, ale także europejski) wymienił ją jako daną szczególnie chronioną; podstawą szczególnej ochrony jest ustawa z dnia 23 maja 1991 roku o związkach zawodowych (tj. z dnia 22 października 2015 roku, Dz. U. z 2015 roku, poz. 1881) i Rozporządzenie Parlamentu Europejskiego i Rady (EU) 2016/679 z dnia 27 kwietnia 2016 roku, w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.

Ustawa o związkach zawodowych daje możliwość posiadania przez pracodawcę informacji o przynależności konkretnego pracownika do związku zawodowego, art. 31 ustawy o związkach zawodowych gwarantujący działaczom związkowym zgłoszonym przez organizację związkową prawo do zwolnienia z obowiązku świadczenia pracy przez okres kadencji, a na mocy art. 32 w/w. ustawy ochronie trwałości stosunku pracy podlegają imiennie wskazani w uchwale zarządu członkowie zarządu zakładowej organizacji związkowej, imiennie wskazani pracownicy będący członkami zakładowej organizacji związkowej, upoważnieni do reprezentowania tej organizacji względem pracodawcy.

Ponadto należy zwrócić uwagę, że w przypadku, w którym pracownik złoży odpowiednie oświadczenie, pracodawca jest zobowiązany potrącać z wynagrodzenia pracownika składkę związkową w zadeklarowanej przez niego wysokości (art. 331 ustawy o związkach zawodowych).

Art. 30 ust. 21 ustawy o związkach zawodowych daje podstawę do przetwarzania danych osobowych tak przez związek zawodowy, jak i przez pracodawcę, gdyż upoważnia on pracodawcę do uzyskania danych pracowników objętych ochroną.

Jednak na mocy orzecznictwa sądów powszechnych i administracyjnych pracodawca nie ma prawa żądać od związków zawodowych podania imiennej listy osób członków związku ani tych, których zwolnienie należy z nimi konsultować.  

Co ważne to kontakt z Inspektorem Ochrony Danych. Po drugie dane członków związku i innych osób są przetwarzane wyłącznie w celach statutowych Związku oraz w celu realizacji zgłoszenia, w szczególności – poprzez ich dekretowanie przez adresatów zgłoszeń i przekazywane są kompetentnym strukturom i jednostkom organizacyjnym Związku, odpowiedzialnym merytorycznie za przedmiot zgłoszenia. Podstawę przetwarzania danych osobowych stanowi wyrażona zgoda w myśl art. 6 ust. 1 pkt a), b), c) i f) oraz art. 9 ust. 2 a), b) i c) RODO.

Tu uwaga! Ważna jest zasada poufności danych osobowych. Nie wolno ich udostępniać osobom nieupoważnionym.

Zespół zasad tyczących opracowywania i przechowywania danych osobowych wraz ze wzorami upoważnień RODO i zgód oraz rejestrów danych zostanie wkrótce przesłany do komisji zakładowych i międzyzakładowych.

ASG

 

Download PDF
Powrót Drukuj stronę