Decyzja Prezydium KK nr 151/17 ws. opinii o projekcie ustawy o ochronie danych osobowych oraz o projekcie ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych

Prezydium Komisji Krajowej NSZZ „Solidarność” przedstawia uwagi do projektu ustawyo ochronie danych osobowych oraz do projektu ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych.

 

Projekt ustawy o ochronie danych osobowych

Opracowanie projektu nowej ustawy o ochronie danych osobowych wynika
z konieczności zapewnienia stosowania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane dalej RODO.

RODO w sposób kompleksowy reguluje kwestie ochrony danych osobowych, wyznaczając zakres kompetencji państw członkowskich wdrażania jego przepisów. RODO będzie w polskim porządku prawnym obowiązywało bezpośrednio i znajdzie zastosowanie od dnia 25 maja 2018 r. Od tego dnia przepisy polskie powinny zapewnić skuteczne stosowanie przepisów RODO, nie powielając jego rozwiązań ani nie będąc z nimi sprzecznymi.

Rozdział 2.

Zgodnie z zakresem przedmiotowym, wskazanym w art. 2 pkt 1) projektu, ustawa ma określać podmioty obowiązane do wyznaczenia inspektora ochrony danych osobowych oraz tryb zawiadamiania o wyznaczaniu. Podmioty obowiązane do wyznaczania inspektora danych osobowych wskazane są w art. 37 ust. 1 RODO. Projekt ustawy doprecyzowuje jak należy rozumieć organy i podmioty publiczne, o których mowa w art. 37 ust. 1 lit a) RODO.

Niestety poza zakresem regulacji znalazło się doprecyzowanie podmiotów wskazanych w pkt. b i c przywołanego przepisu. Szczególną trudność w wykładni przepisu art. 37 lit b i c sprawiają kryteria, jakimi posłużył się prawodawca unijny definiując podmioty zobowiązane do wyznaczania inspektora danych osobowych. Trudność w wykładni rodzą sformułowania „główna działalność”, „regularne i systematyczne monitorowanie” i „na dużą skalę”.  Wątpliwości interpretacyjnych nie rozwiewają wskazówki zawarte w motywach 91 i 97 RODO. W ocenie Prezydium, skoro RODO nakłada na podmioty wskazane w art. 37 ust.
1 obowiązek wyznaczenia inspektora danych osobowych, a wykładnia kryteriów, które charakteryzować będą podmioty objęte wskazanym obowiązkiem, to w postanowieniach projektu powinny znaleźć się stosowne definicje. W przeciwnym razie podmioty objęte zakresem RODO, takie jak np. związki zawodowe, będą miały problemy z ustaleniem, czy są objęte obowiązkiem wyznaczenia inspektora danych osobowych oraz, ewentualnie, od jakiego momentu ten obowiązek powstaje.

Rozdział 4

RODO w Rozdziale VI przewiduje ustanowienie niezależnych organów nadzorczych. Art. 51 RODO przewiduje utworzenie co najmniej jednego niezależnego organu publicznego w celu ochrony podstawowych praw i wolności osób fizycznych. Art. 52 RODO przewiduje niezależność organu nadzorczego. Polskim organem nadzorczym ma być Prezes Urzędu Ochrony Danych Osobowych. Prezesa Urzędu ma powoływać i odwoływać Sejm RP za zgodą Senatu na wniosek Prezesa Rady Ministrów (art. 20 ust. 3 projektu). Zgodnie z art. 22 ust. 1 projektu Prezes Urzędu Ochrony Danych Osobowych ma wykonywać swoje zadania przy pomocy trzech zastępców. Zastępcy mają być zgodnie z ust. 2 i 3 powoływani przez Prezesa Rady Ministrów na wniosek właściwych ministrów. W ocenie Związku zaproponowany tryb powoływania zastępców Prezesa Urzędu nie gwarantuje wymaganej przez RODO niezależności działania urzędu nadzoru. Owa niezależność jest konieczna, gdyż urząd nadzoru będzie kontrolował przetwarzanie danych osobowych również przez organy państwa.

Rozdział 5

Art. 45 projektu przewiduje udział organizacji społecznych w postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych. Organizacji społecznej ma przysługiwać prawo wszczęcia postępowania lub dopuszczenia organizacji do udziału w postępowaniu jeśli jest to uzasadnione celami statutowymi tej organizacji i gdy przemawia za tym interes osoby, której prawa zostały naruszone. W uzasadnieniu wskazano, iż wskazana regulacja ma na celu zapewnienie stosowania art. 80 RODO. 

Zgodnie z art. 80 ust. 2 RODO państwa członkowskie mogą przewidzieć, że podmiot, organizacja lub zrzeszenie – o których mowa w ust. 1, mają – niezależnie od upoważnienia otrzymanego od osoby, której dane dotyczą – prawo wnieść skargę do organu nadzorczego oraz wykonywać prawa, o których mowa w art. 78 i 79 RODO jeżeli uznają, że w wyniku przetwarzania naruszone zostały prawa osoby, której dane dotyczą, wynikające z niniejszego rozporządzenia.

Jeżeli przewiduje to prawo państwa członkowskiego uprawnione do wniesienia skargi, wykonywania praw osoby oraz żądania odszkodowania, zgodnie z ust. 1, są takie podmioty, jak organizacje lub zrzeszenie, które nie mają charakteru zarobkowego, zostały należycie ustanowione zgodnie z prawem państwa członkowskiego, mają cele statutowe leżące
w interesie publicznym i działają w dziadzinie ochrony praw i wolności osób, których dane dotyczą, w związku z ochroną danych osobowych tych osób.

Przesłanki uregulowane w RODO, których spełnienie otworzy organizacji prawo wszczęcia lub udziału w postępowaniu są inne niż te w projekcie ustawy. W przeciwieństwie do projektu ustawy, RODO nie przewiduje obowiązku wykazania przez organizację interesu osoby, której prawa zostały naruszone. Podstawą udziału organizacji jest samo naruszenie
w wyniku przetwarzania danych prawa osoby, której dane dotyczą.

Drugą kwestią wywołująca wątpliwości wykładni jest wskazanie w art. 45 projektu przesłanki w postaci celów statutowych organizacji. RODO nie wymaga aby cele statutowe organizacji polegały na ochronie danych osobowych. Motyw 142 RODO co prawda wskazuje, iż uprawnionymi do wszczęcia lub udziału w postępowaniu mogą być organizacje, które mają statutowo na celu interes publiczny i działają w dziedzinie ochrony danych osobowych, jednak już art. 80 ust. 1 szerzej definiuje uprawnione organizacje, wskazując iż celami statutowymi organizacji ma być działanie w interesie publicznym i działanie
w dziedzinie ochrony praw i wolności osób, których dane dotyczą, w związku z ochroną ich danych osobowych. Mając na względzie wskazówki zawarte w art. 80 RODO wnosimy
o takie ukształtowanie w projekcie ustawy prawa organizacji do wszczęcia lub udziału
w postępowaniu przed organem nadzorczym, by z prawa tego mogły korzystać również związki zawodowe tj. organizacje, których cele statutowe nie ograniczają się tylko do ochrony danych osobowych, lecz dla których ochrona wrażliwych danych osobowych członków (przynależność związkowa) jest w sposób bezpośredni związana z realizacją celów statutowych, będących celami publicznymi. 

W tym miejscu Prezydium KK proponuje zawarcie w projekcie rozwiązania, które pozwoliłoby na wszczęcie postępowania prewencyjnego, które stanowiłoby skuteczny środek ochrony prawnej przeciwdziałający naruszeniom praw osób w wyniku niezgodnego z prawem prób pozyskania danych np. wrażliwych. Z praktykami prób nielegalnego pozyskania wiedzy przez pracodawców nt. przynależności związkowej pracowników Związek spotyka się na co dzień. Nie wydaje się, aby regulując w art. 77 RODO środki prawne ochrony przetwarzania danych osobowych prawodawca unijny wykluczał postępowanie prewencyjne. NSZZ „Solidarność” znane są praktyki prób sprzecznego z prawem pozyskiwania wrażliwych danych osobowych dotyczących np. przynależności związkowej. Nie można wykluczyć, iż
w innych obszarach również mogą występować podobne praktyki usiłowań pozyskania niezgodnie z prawem danych osobowych, dlatego wydaje się, iż wprowadzenie wskazanego środka zwiększyłoby ochronę danych osobowych osób fizycznych.

Rozdział 7

Związek bardzo pozytywnie ocenia zasady przeprowadzania postępowania kontrolnego, w szczególności możliwość przeprowadzenia kontroli pod nieobecność kontrolowanego oraz nową regulację zawartą w art. 69 ust. 4, która pozwoli kontrolującym korzystać z pomocy funkcjonariuszy innych organów kontroli lub Policji.

W zakresie przeprowadzania kontroli u przedsiębiorców pozytywnie oceniamy wyłączenie stosowania przepisów art. 79, 82 i 83 ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej. Brak zastosowania do kontroli przestrzegania przepisów
o ochronie danych osobowych przepisów dotyczących zawiadomienia o zamiarze wszczęcia kontroli, zakazu podejmowania i prowadzenia więcej niż jednej kontroli działalności przedsiębiorcy oraz ograniczeń w zakresie czasu trwania wszystkich kontroli organu kontroli u przedsiębiorcy w jednym roku kalendarzowym zasługuje na zdecydowaną aprobatę.  Podzielamy opinię projektodawcy, iż zastosowanie ww. przepisów mogłoby uniemożliwić rzetelne i przeprowadzone we właściwym czasie postępowanie kontrolne, czyniąc ochronę prawa podstawowego – jakim jest prawo do ochrony danych osobowych – iluzją. Jednocześnie wyrażamy nadzieję, iż wskazane zasady kontroli znajdą zastosowanie w przypadku projektowania kontroli przestrzegania przepisów przez inne organy państwa np. przez PIP.

Rozdział 8

Rozdział 8 reguluje zasady odpowiedzialności cywilnej z tytułu naruszenia przepisów
o ochronie danych osobowych. Uwaga dotyczy relacji miedzy zakresem odpowiedzialności wskazanym w art. 78 projektu ustawy o ochronie danych osobowych, a skutkami odmowy wyrażenia zgody na pobranie danych osobowych na gruncie prawa pracy. Art. 78 ust. 1 i 2 stanowi, iż wystąpienie z roszczeniem przysługuje z tytułu naruszenia praw przysługujących na mocy przepisów o ochronie danych osobowych. Zgodnie z ust. 3 w zakresie nieuregulowanym rozporządzeniem 2016/679 (RODO) oraz niniejszą ustawą dochodzenie roszczeń, o których mowa w ust. 1 (zaniechania działania i dopełnienia czynności) następuje na zasadach określonych przepisami kodeksu cywilnego. Kwestie odpowiedzialności
i odszkodowawcze reguluje art. 82 RODO. Podstawą odpowiedzialności jest przetwarzanie danych osobowych w sposób sprzeczny z RODO i zawinienie.Przepis nie reguluje kwestii powstania szkody, gdy do przetwarzania danych osobowych nie doszło, gdyż osoba, której dane dotyczyły nie wyraziła zgody na przetwarzanie danych osobowych i w konsekwencji nie doszło do zawarcia umowy. Chodzi o taką sytuację, o jakiej mowa w art. 5 pkt. 2 projektu ustawy przepisy wprowadzające ustawę o ochronie danych osobowych. Dodawany
w Kodeksie pracy art. 22 2 § 2 przewiduje możliwość przetwarzania przez pracodawcę danych biometrycznych pracownika, jeśli dotyczą one stosunku pracy i pracownik wyrazi na to zgodę. Jednocześnie § 3 ma zapewnić, iż brak zgody nie może być podstawą m.in. niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika. Odnosząc się do proponowanych regulacji dotyczących odpowiedzialności cywilnej należy wskazać, iż odmowa nawiązania stosunku pracy z osobą ubiegającą się o zatrudnienie z wyłącznej przyczyny nie wyrażenia przez nią zgody na przetwarzanie jej danych biometrycznych przez pracodawcę stanowiłaby naruszenie przepisów prawa pracy a nie przepisów o ochronie danych osobowych. W konsekwencji, w żadnym z opiniowanych projektów ustaw: o ochronie danych osobowych ani w Przepisach wprowadzających ustawę o ochronie danych osobowych, nie została uregulowana odpowiedzialność z tytułu odmowy zawarcia stosunku pracy z powodu odmowy wyrażenia zgody przez osobę ubiegającą się o zatrudnienie na podanie danych biometrycznych, które nie są niezbędne do zawarcia lub wykonania umowy. W konsekwencji przepisy o zakazie niekorzystnego traktowania osoby ubiegającej się
o zatrudnienie w przypadku odmowy przetwarzania danych biometrycznych stanowią iluzoryczną ochronę osób, których te dane dotyczą.

 

Przepisy wprowadzające ustawę o ochronie danych osobowych

Art. 5 dotyczący zmian w Kodeksie pracy

Pkt. 1 dotyczy zmian art. 221.Przepis ten zawiera wskazanie danych osobowych, których pracodawca może żądać od osoby ubiegającej się o zatrudnienie (§ 1) oraz od pracownika (§2). Zastrzeżenia budzi utrzymanie obowiązku podawania daty urodzenia oraz propozycja wprowadzenia obowiązku podania adresu e-mail lub telefonu.

Odnosząc się do danej dotyczącej daty urodzenia, nie ulega wątpliwości, iż dana ta może być konieczna na etapie realizacji obowiązków ustawowych w trakcie trwania stosunku pracy. Na etapie podejmowania decyzji o zatrudnieniu pracodawca nie realizuje obowiązku ustawowego, wobec tego brak podstaw do żądania tej danej osobowej. Dodatkowo,
w kontekście przepisów zakazujących nierównego traktowania ze względu na wiek
w zakresie nawiązywania stosunku pracy, uzasadniony jest wniosek, iż pracodawca podejmując decyzję o zatrudnieniu nie powinien kierować się kryterium wieku osoby ubiegającej się o zatrudnienie. To z kolei prowadzi do wniosku, iż dana ta na etapie rekrutacji nie jest daną konieczną, zaś jej przetwarzanie przez pracodawcę będzie sprzeczne z zasadą minimalizmu.

Odnosząc się do propozycji żądania (czyli realizacji obowiązku ustawowego) danych dotyczących adresu e-mail lub numeru telefonu, również brak jest podstaw do ich żądania, gdyż kwestię kontaktu z kandydatem realizuje dana dotycząca adresu do korespondencji. Zatem aktualna jest uwaga, iż przetwarzanie danych: adresu e-mailowego lub nr telefonu jest sprzeczne z zasadą minimalizmu. Konsekwencją wprowadzenia proponowanych przez Związek zmian powinno być wykreślenie pkt. 2 i 4 z § 1 i odpowiednio uzupełnienie § 2
o daną dotyczącą daty urodzenia pracownika.

W pkt. 2 proponuje się dodanie art. 22 2 – 22 4.

Norma zawarta w nowym art. 22 2 § 1 ma umożliwiać przetwarzanie przez pracodawcę m.in. danych biometrycznych o ile dotyczyć one będą stosunku pracy i osoba ubiegająca się
o zatrudnienie lub pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej.

Na wstępie wskazujemy, iż Związek wyraża negatywną opinię odnośnie zaproponowanych zasad dopuszczalności przetwarzania danych biometrycznych pracowników. Dane biometryczne są szczególną kategorią danych, gdyż są to dane niepowtarzalne w odniesieniu do konkretnej osoby. Ze względu na niepowtarzalny charakter danych i ich nierozerwalny związek z integralnością osoby człowieka, dane biometryczne mogą być wykorzystywane tylko w wyjątkowych, nadzwyczajnych sytuacjach, w celu ochrony dobra wyższego. Związek stoi na stanowisku, iż wykorzystywanie danych biometrycznych osób fizycznych w stosunkach pracy prowadzi do nadmiernej ingerencji
w prywatność człowieka, do swoistego uprzedmiotowienia, gdy ich indywidualne, niepowtarzalne cechy osób, których dane dotyczą wykorzystywane są jako element składowy jakiegoś zewnętrznego systemu, stworzonego dla osiągnięcia korzyści majątkowych. Dlatego, w ocenie Związku wykorzystywanie danych biometrycznych w stosunkach pracy powinno odbywać się w drodze wyjątku i nie powinno być regułą. 

Argumentem przemawiającym przeciw wykorzystywaniu danych biometrycznych
w stosunkach pracy jest również to, iż nie można w stu procentach zagwarantować bezpieczeństwa przetwarzania tych danych. Utrata kontroli nad dostępem do nich lub dalszym przekazywaniem może mieć niewyobrażalnie negatywne konsekwencje dla osób, których dane dotyczą. Ryzyko i skutki utraty kontroli nad przewarzaniem danych biometrycznych  tj. kradzieży tożsamości biometrycznej pracownika jest niewspółmierne wyższe niż uzysk pracodawcy z przetwarzania danych biometrycznych. W szczególności, iż te same cele można osiągnąć w inny sposób, bez użycia danych biometrycznych. Nie należy zapominać, iż projektodawca zakłada, iż dane biometryczne będą mogły być przetwarzane wyłącznie za zgodą (dobrowolną), która mogłaby być odwołana w każdym momencie. Oznaczało by to, iż pracodawca w każdej sytuacji zobowiązany byłby do utrzymania dwóch systemów np. bezpieczeństwa – takiego, który działa bez użycia danych biometrycznych i takiego, który wykorzystuje dane biometryczne. Uzasadnione wątpliwości rodzi ekonomika takiego rozwiązania. Pewna racjonalność ekonomiczna pozwala przypuszczać, iż albo pracodawcy będą rezygnowali z przetwarzania danych biometrycznych albo będzie dochodzić do przetwarzania danych biometrycznych z naruszeniem przepisów. Każdy ze scenariuszy prowadzi do wniosku, iż przetwarzanie danych biometrycznych w stosunkach pracy jest niekonieczne i nie powinno mieć miejsca na zaproponowanych w projekcie zasadach kodeksowych.

Zaproponowane zmiany w Kodeksie pracy obejmują ogólne zasady dopuszczania przetwarzania m.in. danych biometrycznych, Nowy art. 222 § 1 i 2 dopuszcza przetwarzanie danych osobowych, w tym danych biometrycznych, o ile dotyczyć one będą stosunku pracy
i osoba ubiegająca się o zatrudnienie lub pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej. W ocenie Prezydium KK zaproponowane zasady nie spełniają szeregu wymogów RODO, w tym są zbyt niedookreślone, co uzasadnia ich negatywną ocenę.

Prezydium KK wskazuje, iż art. 6 RODO regulujący zasady zgodnego z prawem przetwarzania danych osobowych przewiduje w ust. 1 pkt. a) iż osoba, której dane dotyczą wyraża zgodę na przetwarzanie danych osobowych w jednym lub większej liczbie określonych celów. Wskazanie w projekcie ustawy celu przetwarzania danych biometrycznych – „gdy dotyczą one stosunku pracy” – jest nieprecyzyjne, zbyt szerokie, zawiera w sobie wiele celów szczegółowych, tym samym nie spełnia wymogu RODO określoności celu. Dodatkowym warunkiem dopuszczającym przetwarzanie szczególnych kategorii danych osobowych jest odpowiednie zabezpieczenie praw podstawowych
i interesów osoby, której dane dotyczą. Proponowana treść przepisu art. 222 k.p. uzależnia dopuszczenie przetwarzania danych biometrycznych pracownika lub osoby ubiegającej się
o zatrudnienie od zgody tej osoby. RODO wymaga aby zgoda była dobrowolna (art. 7). Podkreślenia przymiotu dobrowolności zgody zabrakło w propozycji treści § 1. Odnosząc się do dobrowolności zgody, dotychczasowy dorobek orzeczniczy stawał na stanowisku, iż
w sytuacji braku równowagi w relacji pracodawca – pracownik, dobrowolność zgody jest stawiana pod znakiem zapytania. Na takim samym stanowisku stanęła Grupa Robocza art. 29 w Opinii 2/2017 r. ws. przetwarzania danych w pracy z dnia 8 czerwca 2017 r. wskazała, iż zgoda pracownika, ze względu na podleganie pracodawcy, nie będzie mogła być uznana za
w pełni dobrowolną. W tym kontekście dopuszczenie przetwarzania danych osobowych
w stosunkach pracy na zasadzie zgody nie stanowi odpowiedniego zabezpieczenia praw
i interesów osoby, której dane dotyczą. Owo ustalenie odpowiednich zabezpieczeń jest wskazanym w art. 9 ust. 2 pkt. b) warunkiem dozwolenia przetwarzania danych biometrycznych. Nie zabezpiecza w sposób wystarczający prawa i interesów pracownika lub osoby ubiegającej się o zatrudnienie zakaz wyprowadzania negatywnych konsekwencji
w przypadku braku zgody na przetwarzanie jego danych biometrycznych zaproponowany
w § 3. Zakaz ten nie jest wzmocniony sankcją odszkodowawczą, co czyni zaproponowany mechanizm prawny pozorem ochrony.

W przypadku gdyby pracownicy uznali, iż wykorzystanie ich danych biometrycznych jest niezbędne i uzasadnione, pracodawca zapewni zadawalający poziom ochrony tych danych oraz byliby skłonni ponieść ryzyko, jakie niesie przetwarzanie przez pracodawcę danych biometrycznych, ogólne przyzwolenie na przetwarzanie danych biometrycznych mogłoby być wyrażone w zakładowym lub ponadzakładowym układzie zbiorowym pracy. Przyzwolenie to oczywiście nie zastępowałoby indywidualnej zgody osób, od których dane te miałyby pochodzić. Jednak w układzie wskazane byłyby rodzaje danych biometrycznych jakie mogłyby być przetwarzane, ściśle określony byłby cel i zakres przetwarzania. Na dopuszczenie przetwarzanie danych biometrycznych w porozumieniu zbiorowym wskazuje RODO w art. 9 ust. 2 pkt. b) i Związek wyraża przekonanie, iż jest to najskuteczniejszy sposób odpowiedniego zabezpieczenia praw i interesów osób, których dane będą dotyczyć, gdyż tego samego poziomu szczegółowości informacji i zabezpieczeń nie da się osiągnąć na poziomie przepisów Kodeksu pracy.

Podtrzymując sprzeciw wobec regulowania dopuszczalności przetwarzania danych biometrycznych w stosunkach pracy na poziomie ustawy, za potwierdzeniem tezy o tym, iż do regulowania kwestii ewentualnego przetwarzania danych biometrycznych w stosunkach pracy bardziej właściwy jest poziom zakładu pracy lub branży przemawia propozycja zmian ustawy branży finansowej (art. 41 dotyczący zmiany ustawy Prawo bankowe i art. 111 dotyczący ustawy o usługach płatniczych), w których doprecyzowano cel i zakres danych biometrycznych, które proponuje się przetwarzać. Wyrażamy sprzeciw wobec zaproponowanych rozwiązań, podtrzymując przekonanie o tym, iż właściwym aktem do uregulowania tej kwestii powinien być układ zbiorowy pracy.

W uzasadnieniu do projektu ustawy wskazywano, iż dane te miałyby być wykorzystywane w celu kontroli dostępu do informacji i pomieszczeń. Nie należy zapominać, iż w niektórych przypadkach możliwe jest pobranie danych biometrycznych bez wiedzy osoby, której dane dotyczą (odciski palców, nagranie próbki głosu). Dodatkowo, jeśli danymi biometrycznymi miałby być zabezpieczany dostęp do informacji o szczególnej wartości lub do pomieszczeń o szczególnej ważności, to pracowników, których dane biometryczne miałyby być w tym celu wykorzystane naraża się na ryzyko i niebezpieczeństwo prób pobrania tych danych przez osoby trzecie podstępem lub z użyciem przemocy fizycznej. Rozważając wykorzystywanie danych biometrycznych do zabezpieczeń nie należy zapominać o ciągłych zmianach technologicznych. To co dziś wymaga zwiększonych nakładów w celu pobrania danych biometrycznych bez wiedzy osoby, której dane dotyczą, za kilka lat
w wyniku postępu technicznego może być znacznie ułatwione. W literaturze przedmiotu wskazuje się, iż użycie danych biometrycznych do zabezpieczeń staje się problematyczne
w przypadku przełamania zabezpieczeń. W takiej sytuacji można zmienić kod dostępu do pomieszczenia, ale np. odciska palca osoby już się nie zmieni.

Oprócz wyrażonych powyżej zastrzeżeń do dobrowolności wyrażenia zgody na przetwarzanie danych osobowych, w tym danych biometrycznych, zastrzeżenia Związku budzi forma wyrażenia zgody na przetwarzanie danych biometrycznych. Projektodawca przewidział wyrażenie zgody poprzez złożenie oświadczenia w postaci papierowej lub elektronicznej. Prawo polskie nie przewiduje takiej formy składania oświadczeń woli. Nie ma pewności czy chodzi tu o formę pisemną czy też podpis osoby składającej oświadczenie nie jest konieczny. Brak jest również regulacji dotyczącej sposobu odwołania zgody oraz wskazania rodzaju danych biometrycznych, które mogłyby być przetwarzane. Zaproponowane przepisy są nieostre, zaś ich błędna wykładnia będzie dotkliwa zarówno dla pracowników jak i pracodawców. 

Projektowany art. 222 § 4 przewiduje, iż przetwarzanie danych osobowych, w tym danych biometrycznych, ma dotyczyć danych osobowych udostępnionych na wniosek pracodawcy lub danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Wskazany przepis zatem dopuszczałby przetwarzanie danych osobowych, które nie są konieczne do realizacji celów. Nie należy zapominać, iż przetwarzając dane osobowe pracodawca powinien kierować się zasadą minimalizmu. Zaproponowane rozwiązanie wydaje się pozostawać w sprzeczności ze wskazaną zasadą. Nowy art. 224 wprowadzający do porządku prawnego zasady wykorzystywania monitoringu w stosunkach pracy. Pozytywnie oceniamy wyłączenie monitoringu jako sposobu oceny pracy pracowników. Pozwalamy sobie wskazać, iż kwestie stosowania, wprowadzania czy zmian monitoringu powinny być przedmiotem regulaminu pracy, zatem wnosimy o uzupełnienie projektu o stosowne postanowienia.

            Ponadto Prezydium KK NSZZ „Solidarność” wskazuje, iż art. 23 ust. 1 lit i) RODO  umożliwia ograniczenie zakresu obowiązków i praw  przewidzianych w art. 12–22 i w art. 34, a także w art. 5 RODO o  ile  Prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, aktem prawnym ograniczy wskazany  zakres obowiązków i praw. W związkach zawodowy przeważają dane osobowe członków organizacji, w związku z realizacją celów jakimi  jest reprezentowanie
i obrona praw, interesów zawodowych i socjalnych ludzi pracy. Ograniczenie zakresu obowiązków i praw w zakresie wskazanym w art. 23 RODO w odniesieniu do administratora danych jakim jest związek zawodowy służyłoby ochronie osób, których dane dotyczą oraz praw i wolności innych osób. W związku z tym wnosimy o uzupełnienie projektu ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych, o wyłączenie obowiązków,
o których mowa w art. 23 RODO w odniesieniu do administratora danych osobowych jakim jest związek zawodowy.