Czy lista obecności może być wyłożona w miejscu ogólnie dostępnym? Jakie oznaczenia są dozwolone na liście obecności? Czy znajdujące się na liście podpisy pracowników będą stanowiły dane biometryczne?
1.Symbol absencji a lista obecności
Przykład 1. Czy obowiązujące od 25 maja br. rozporządzenie dotyczące danych osobowych (RODO) będzie miało wpływ na odnotowywanie na liście obecności symbolu absencji pracownika w pracy spowodowanej chorobą – art. 4 pkt 15RODO, ze szczególnym uwzględnieniem urlopu rehabilitacyjnego – informacje o niepełnosprawności (motyw 35 preambuły RODO)?
Odpowiedź
Tak, rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej RODO, ma wpływ na odnotowywanie na liście obecności symbolu absencji pracownika w pracy. Symbol absencji nie powinien być zamieszczany na liście obecności.
RODO wprowadza m.in. zasadę minimalizacji danych, bardzo mocno podkreśla również poufność informacji. Zakres przetwarzanych danych powinien być zawsze adekwatny do celu, w jakim dana czynność jest wykonywana. Wskazywanie na listach obecności, dostępnych dla szerokiego kręgu pracowników, powodu absencji może stanowić naruszenie tych zasad. Dostęp do informacji na temat powodu nieobecności powinna mieć tylko kadra zarządzająca oraz pracownicy działu kadr i płac. Tym samym, symbol absencji nie powinien być zamieszczany na liście obecności. Wystarczającą informacją jest samo wskazanie, czy dany pracownik jest danego dnia obecny, czy też nie w pracy.
Baranowska -Górecka Aleksandra
Przykład 2. Czy na liście obecności, kiedy lista już na koniec miesiąca trafia do kadr, kadrowa może wpisywać rodzaj nieobecności? Czy jest to poprawne działanie i zgodne z obowiązującymi przepisami RODO?
Odpowiedź
Pracodawca nie powinien w liście obecności zamieszczać danych o nieobecnościach pracownika.
Zgodnie z art. 149 ustawy z 26.06.1974 r. - Kodeks pracy – dalej k.p., pracodawca ma obowiązek prowadzić ewidencję czasu pracy do celów prawidłowego ustalenia wynagrodzenia i innych świadczeń związanych z pracą. Dodatkowo przepisy kodeksu pracy odnoszące się do regulaminu pracy wyraźnie wskazują, że to pracodawca- między innymi w regulaminie pracy powinien określić sposób przybycia i obecności w pracy oraz usprawiedliwiania nieobecności w pracy. Można by więc stwierdzić, że pracodawca ma dużą dowolność w tym zakresie, jednak nie do końca.
Po pierwsze lista obecności ma potwierdzić fakt przybycia i wyjścia pracownika, co jest możliwe w sytuacji wpisania w takim dokumencie godziny wejścia i wyjścia wraz z podpisem pracownika przy każdym z tych zdarzeń. Po drugie potwierdzenie obecności ogranicza się do potwierdzenia, że ktoś był w pracy obecny, a nie do ewidencji jego nieobecności, gdyż do tego celu służy karta ewidencji czasu pracy. Zdaniem autorki nie ma znaczenia fakt, że informacje o nieobecnościach są nanoszone na koniec miesiąca, już po zamknięciu listy, co nie zmienia statusu takiego dokumentu. Dodatkowo należy pamiętać, że zgodnie z art. 149 k.p. ewidencja czasu pracy (w tym zdaniem autorki lista, gdyż ewidencja jest prowadzona na jej podstawie) musi być udostępniona na każde żądanie pracownika.
Wobec powyższego nie należy w liście obecności dokonywać wpisów o rodzaju nieobecności, gdyż wykraczają one poza zakres informacji, które tam powinny się znaleźć. Natomiast zupełnie inną kwestią jest ochrona danych osobowych. W kontekście RODO i krajowych przepisów o ochronie danych osobowych autorka jest zdania, iż takie działanie pracodawcy wykracza poza zasadę minimalizacji danych i zasadę rozliczalności. Oznacza to tyle, że pracodawca nie będzie w stanie wykazać na jakiej podstawie dokonuje przetwarzania danych o nieobecnościach w takim zakresie na takim dokumencie jak lista obecności. Dodatkowo takie informacje mogą naruszać dobra osobiste pracownika, gdyż wpisanie informacji o zwolnieniu lekarskim stanowić przetwarzanie danych związanych ze zdrowiem pracownika. I choć z takiej informacji nie odczytamy nic na temat stanu zdrowia pracownika to ujawnienie samego faktu choroby w tym kontekście nie powinno mieć miejsca.
Maria Sobieska
2.Dostępność listy obecności
Przykład 1. Czy listy obecności pracowników mogą być wyłożone w miejscu ogólnie dostępnym zarówno dla pracowników, jak i osób trzecich?
W związku z przepisami o RODO, proszę o odpowiedź w sprawie list obecności w firmie. Jako szpital posiadamy ponad trzydzieści komórek organizacyjnych (w tym oddziały szpitalne). Dowodem obecności w pracy są listy obecności, w których pracownik podpisuje fakt przybycia do pracy, w tej liście przy każdym pracowniku są podane godziny pracy, w jakich winien się stawić do pracy z rozpisem na cały miesiąc. Listy są wyłożone w holu głównym szpitala w godz. 14.00-8.00 dnia następnego, listy są podzielone na poszczególne komórki organizacyjne. Pracownik działu kadr zabiera listy do działu o godz. 8.00 rano i dokonuje ich weryfikacji (podpis pracownika, zmiana godzin pracy zgłoszona przez przełożonych, nanosi nieobecności pracownika wynikające z tytułu urlopu, choroby itp).
Czy listy obecności, w których znajduje się imię i nazwisko pracownika, nazwa komórki organizacyjnej oraz godziny pracy poszczególnych pracowników rozpisane na cały miesiąc, a także wpisywane na bieżąco wszystkie zmiany grafikowe jak również nieobecności pracowników, mogą być wyłożone w miejscu ogólnie dostępnym zarówno dla pracowników jak i osób postronnych (pacjentów, odwiedzających)?
Odpowiedź
Listy obecności są dla pracodawcy, a nie dla osób trzecich. Listy powinny być wyłożone w takim miejscu, lub w taki sposób, aby pacjenci szpitali i osoby odwiedzające szpital, nie miały możliwości zapoznania się z nimi. Zasady w tym zakresie reguluje np. regulamin pracy.
Uzasadnienie
Dane wrażliwe, które należy chronić szczególnie są to zgodnie z RODO dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
W sytuacji przedstawionej w pytaniu nie chodzi o ujawnianie tej szczególnej kategorii danych ale chodzi o listę imienną pracowników szpitala wraz z podaniem ich komórki zatrudnienia i czasu pracy. Taka lista o ile sporządzona jest zgodnie z prawem, nie zawiera danych typu „choroba”, „leczenie domowe”, „opieka na dziecko” itp., a jedynie wskazuje obecności i nieobecności pracowników, oraz ewidencjonuje czas pracy, nie stanowi informacji wymagającej szczególnych zabezpieczeń. Nie oznacza to jednak, że wskazane informacje przetwarzane dla celów kadrowych przez pracodawcę mogą być powszechnie dostępne. Jeśli lista wyłożona jest w portierni/rejestracji, trudno z pytania wywnioskować co oznacza stwierdzenie „w holu głównym szpitala”, wówczas odpowiedź na pytanie zależy od tego jak listy są udostępniane postronnym osobom. Jeśli bez jakiegokolwiek wysiłku każdy może wyczytać wszystkie wskazane w pytaniu informacje o każdym pracowniku szpitala, wówczas należy uznać, że udostępnienie jest nadmierne. Pracodawca nie ma żadnego celu w informowaniu osób trzecich o danych osobowych niezbędnych dla działu kadr. Jeżeli jednak pracownicy podpisują listę po okazaniu jej na żądanie np. recepcjonistki sprawującej nadzór nad listą i pacjent szpitala nie ma do listy obecności bezpośredniego wglądu, to dane osobowe z list w zasadzie nie są przetwarzane przez inne niż pracownicy osoby. Wszystko zależy od konkretnej sytuacji faktycznej, która nie jest do końca wyjaśniona. Z jednej strony wyłożenie list, które służy jednocześnie ewidencji czasu pracy pracownika, tuż przy wejściu jest korzystane dla pracownika ponieważ czas pracy liczony jest od chwili wejścia do zakładu pracy, a nie od chwili podpisania listy np. w dziale kadr. Inna sprawa, że zasady postępowania związane z listami obecności muszą być określone w regulaminie pracy bądź układzie zbiorowym pracy, a te powinny być zgodne z powszechnie obowiązującym prawem. Regulamin pracy określa organizacje i porządek w procesie pracy.
Zaznaczyć należy, że co do zasady za przetwarzanie danych osobowych pracowników odpowiada dział kadrowy i sposób w jaki odbywa się przetwarzanie w tym wypadku danych z list, należałoby bardziej szczegółowo prześledzić w oparciu o analizę regulaminu pracy bądź układu zbiorowego pracy.
Ewa Podgórska-Rakiel
Przykład 2. Czy listy obecności można wysyłać mailem?
Odpowiedź
Nie ma przeciwskazań aby listy obecności przekazywane były w wiadomościach e-mail. Ważne, aby polityka przetwarzania danych osobowych w danym zakładzie pracy zapewniała ochronę zawartych na listach danych osobowych.
RODO wymaga ochrony danych osobowych osób fizycznych. Wprowadzone u pracodawcy zasady dotyczące ochrony osób fizycznych (pracowników) w związku z przetwarzaniem ich danych osobowych, nie mogą naruszać praw tych osób. Najważniejsze z punktu widzenia przepisów RODO jest właściwe zabezpieczenie pobieranych od pracowników zgodnie z Kodeksem pracy i ich przetwarzanych w związku z realizacją obowiązków pracodawcy.
Niewątpliwie polityka ochrony danych obowiązująca u pracodawcy musi uwzględniać specyfikę danego zakładu. Jeżeli komórka kadrowo-płacowa znajduje się w innym miejscu niż składane są podpisy na listach obecności i droga przesyłania list w wiadomościach e-mail jest w tym wypadku najszybsza, należy w odpowiedni sposób określić zasady postępowania z takimi mailami, sposób ich oznaczania i osobę lub osoby odpowiedzialne za wysyłanie i odbieranie maili. Chodzi o to, aby lista obecności z danymi osobowymi pracowników nie była wysyłana w sposób dowolny, aby nie dochodziło do nieupoważnionego dostępu do listy osób nieupoważnionych. Postępowanie z listą obecności ma być określone w taki sposób by trafiała ona bezpośrednio do osoby odpowiedzialnej za przetwarzanie informacji z tychże list.
Ewa Podgórska-Rakiel
3.Podpis na liście obecności
Przykład. Czy podpis własnoręczny (np. na liście obecności pod szkoleniem) jest daną osobową (biometryczną)?
Odpowiedź
"Dane biometryczne" oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne (art. 4 pkt 14 RODO). "Grupa Robocza Art. 29 wskazuje zaś na dwie kategorie technik biometrycznych... pierwsza służy mierzeniu cech fizycznych lub fizjologicznych człowieka... druga – właściwości behawioralnych... Do pierwszej grupy... zaliczyć można przykładowo weryfikację odcisków palców, analizę siatkówki oka czy tęczówki oka, rozpoznanie twarzy, kształtu ucha czy głosu, wykrycie zapachu ciała oraz analizę wzoru DNA, zaś do drugiej grupy m.in. analizę pisma czy sposobu poruszania się. Dzięki zastosowaniu którejś z technik biometrycznych pozyskiwany jest wzorzec określonej danej biometrycznej osoby fizycznej, który następnie jest na ogół zapisywany... w postaci cyfrowej... i przechowywany w urządzeniu biometrycznym (np. czytniku odcisków palców), centralnej bazie bądź ewentualnie na przenośnym nośniku (np. na karcie). Pozwala to... dokonać porównania pewnej... cechy biometrycznej z utrwalonym wzorcem danej biometrycznej." (E. Bielak-Jomaa (red.), D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Warszawa 2018, str. 275-276).
W ocenie autorki zatem własnoręczny podpis określonej osoby, złożony np. na liście obecności, nie jest daną biometryczną. Taki podpis nie jest bowiem przetwarzany (przynajmniej z opisu pytania Czytelnika to nie wynika) za pomocą specjalnej behawioralnej techniki biometrycznej umożliwiającej bądź pozwalającej na jednoznaczną identyfikację autora tego podpisu. Nie jest on mianowicie przetwarzany na sygnał cyfrowy, tzw. podpis biometryczny. Tylko w takim przypadku zaś taki wzór podpisu mógłby zostać uznany za daną biometryczną.
Anna Borysewicz
Źródło: A. Baranowska, A. Borysewicz, E. Podgórska-Rakiel, M. Sobieska, Lista obecności a RODO w pytaniach i odpowiedziach, LEX/el. 2018.