Charakter prawny kontroli niezdolności do pracy przez pracodawcę – część II
Kontynuując rozważania (część I dostępna jest tutaj) dotyczące charakteru prawnego kontroli niezdolności do pracy warto zastanowić się nad tym, czy RODO w ogóle powinno tutaj znaleźć zastosowanie.
Kto jest administratorem danych?
Zgodnie z definicją administratora danych osobowych zawartą w Ogólnym rozporządzeniu o ochronie danych jest to podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, a w przypadku gdy cele i sposoby takiego przetwarzania są określone w przepisach prawa, administrator może zostać w tych przepisach wyznaczony. Tymczasem w omawianym procesie, niewątpliwie cel przetwarzania danych osobowych jest wyznaczony ustawowo, a w znacznej mierze i sam sposób przetwarzania danych został zdeterminowany w przepisach rozporządzenia wykonawczego. Ustala ono bowiem zakres zbieranych danych, jak i wzór protokołu stwierdzającego nieprawidłowości ustalone w trakcie kontroli nie pozostawiając płatnikowi znacznej swobody w tym zakresie. Jednocześnie ustawa bezpośrednio nie wyznacza płatnika składek uprawnionego do przeprowadzenia kontroli jako administratora danych osobowych, a wręcz sugeruje jednoznacznie, że nim nie jest.
ZUS jako Administrator
Ustawa zasiłkowa wskazuje bowiem w art. 61a, że w celu ustalenia prawa do zasiłku i jego wypłaty Zakład Ubezpieczeń Społecznych ma prawo do przetwarzania danych i informacji niezbędnych do ustalenia prawa do zasiłków, ich wysokości, podstawy wymiaru oraz do ich wypłaty. Tymczasem sama kontrola z uwagi na jej cel, de facto mieści się w obszarze pojęcia ustalaniu prawa do zasiłków, czy też jego potwierdzania. Brak jednoznacznego odwołania się również do płatnika składek, przy jednoczesnym zrównaniu go w kompetencjach kontrolnych z organem rentowym w art. 68 ustawy sugeruje, że intencją ustawodawcy nie było to, aby uczynić go administratorem pozyskanych w wyniku kontroli danych osobowych osób ubezpieczonych.
Jednocześnie może pojawić się pytanie, czy w takim razie płatnik nie występuje tutaj w charakterze procesora organu rentowego – tym bardziej, że przekazuje on protokół z kontroli do ZUS który to w razie wątpliwości jest uprawniony do wydania rozstrzygającej decyzji. W moim przekonaniu jednak odpowiedź powinna być negatywna. Płatnik składek nie działa bowiem tutaj w imieniu organu rentowego. Zgodnie z brzmienie art. 68 ustawy ma on przyznaną własną kompetencję do działania i realizuje własne zadanie publiczne. Stąd nie można przyjąć, aby działał tutaj z umocowania ZUS.
Kiedy pracodawca będzie administratorem?
Z kolei zupełnie inną kwestią jest to, że odmiennie należy ocenić sytuację gdy pracodawca decyduje się wykorzystać pozyskane w wyniku kontroli informacje celem rozwiązania z pracownikiem stosunku pracy chociażby z uwagi na utratę zaufania do pracownika. W takim przypadku pracodawca ustala własny cel przetwarzania i w tym procesie najprawdopodobniej będzie już administratorem przetwarzanych danych osobowych. Ale to już inny wątek. Dane zostaną bowiem wykorzystane w zupełnie innym celu niż zostały zebrane przez płatnika, a co za tym idzie, inna będzie podstawa ich przetwarzania.
Czy dane będą chronione?
Jednocześnie należy podkreślić, że teza że być może RODO nie powinno mieć zastosowania do działań płatnika oczywiście nie oznacza, że dane osobowe ubezpieczonych pracowników nie będą chronione. Po pierwsze należy pamiętać, że dane osobowe podlegają ochronie także na gruncie Kodeksu cywilnego, jako dobra osobiste i jest to ochrona niezależna od ochrony wynikającej z Ogólnego rozporządzenia o ochronie danych. Po drugie płatnik składek w dalszym ciągu może przetwarzać dane w tym procesie tylko w takim zakresie w jakim jest to niezbędne do realizacji zadania publicznego i „czyniąc coś więcej” wychodzi poza ramy ustawowe, łamiąc ciążące na nim zobowiązanie do zachowania poufności (co skutkować może nawet odpowiedzialnością karną z art. 266 kodeksu karnego), a ocena legalności tego działania zależy już od okoliczności konkretnej sprawy.
Delegowanie kontroli na podmioty zewnętrzne
Kończąc wątek dotyczący analizy zagadnienia charakteru prawnego kontroli sposobu wykorzystywania zwolnień od pracy należy wskazać, że zakładając poprawność tezy stawianej przeze mnie w pierwszej części artykułu, tj. że płatnik składek działa w ramach swojej własnej kompetencji do działania, a tym samym realizuje zadanie publiczne, wysoce wątpliwa w mojej ocenie jest dopuszczalność powierzenia realizacji tego zadania podmiotom zewnętrznym. Nie znajdziemy bowiem wyraźnej podstawy prawnej uprawniającej płatnika składek do delegowania swojej kompetencji na inny podmiot. Tymczasem rynek usług w tym zakresie prężnie się rozwija, zwłaszcza że Urząd Ochrony Danych Osobowych we wspomnianej przeze mnie wcześniej decyzji nie zakwestionował tego modelu. Wręcz przeciwnie wydaje się, że potwierdził poprawność tego typu praktyk pod warunkiem zawarcia odpowiedniej umowy powierzenia przetwarzania danych osobowych.
[Stan prawny na: 05.02.2020 r. ]