01.10.2020 Portal prawo.pl published a few comments of Artur Piechocki in the article “Firms are afraid of personal data breach of their employees during inspections”.
W dobie zdalnej pracy wielu firm i instytucji inspektorzy pracy żądają zwykle wcześniejszego przesłania mailem dokumentacji pracowniczej. Takie dane firmy muszą odpowiednio zabezpieczyć przed wyciekiem. To istotne, gdyż w tym roku doszło już do prawie dwóch tysięcy naruszeń ochrony danych w sektorze publicznym.
Z sygnałów, jakie docierają do redakcji Prawo.pl wynika, że coraz częściej pracodawcy muszą wybierać: przekazać całą, żądaną przez inspektora pracy dokumentację pracowniczą ponosząc ryzyko ewentualnego wycieku dokumentów zawierających dane osobowe, czy pertraktować, narażając się na ryzyko kary za utrudnianie kontroli. Epidemia COVID-19 sprawiła bowiem, że kontrolujący pracodawców inspektorzy pracy proszą o przekazanie im wskazanej przez nich dokumentacji mailem. Chcą się z nią zapoznać zanim jeszcze sami osobiście pojawią się w firmie.
Mailem, kurierem, osobiście
Jak twierdzą prawnicy, z którymi rozmawialiśmy, firmy na różne sposoby starają się sprostać oczekiwaniom kontrolujących, dbając przy tym o bezpieczeństwo przesyłanych danych. Jedne decydują się więc na wysłanie dokumentów mailem, ale zaszyfrowanych i zabezpieczonych hasłem. Inne wysyłają je kurierem bezpośrednio do rąk kontrolującego ich inspektora. Jeszcze inne wysyłają pracownika, by wręczył je urzędnikowi za potwierdzeniem odbioru.
Problemów i wątpliwości jest jednak wiele, a obawy pracodawców – jak się okazuje – są uzasadnione. Jak poinformował nas Adam Sanocki, rzecznik prasowy Urzędu Ochrony danych Osobowych, w sektorze publicznym, podobnie jak w sektorze prywatnym, dochodzi do naruszeń ochrony danych. – Te, które są zgłaszane do Prezesa UODO najczęściej dotyczą zagubienia lub niewłaściwego dostarczenia korespondencji przez operatora pocztowego, przesłania dokumentów zawierających dane osobowe na niewłaściwy adres pocztowy lub adres e-mail, czy zagubienia dokumentów bądź nośników z danymi – podkreśla Sanocki. Jak twierdzi, często powodem tego typu naruszeń są błędy ludzi, które trudno całkowicie wyeliminować. Ważne jest jednak, by administratorzy podejmowali działania zmierzające do ograniczenia takich przypadków, np. przeprowadzali regularne szkolenia pracowników.
W 2020 roku (do tej pory) doszło do około 1900 naruszeń w sektorze publicznym. UODO nie prowadzi jednak statystyk pod kątem tego, czy dane naruszenie w sektorze publicznym, było związane z kontrolą np. u przedsiębiorcy, czy w związku z realizacją innych zadań wykonywanych przez pracowników.
Czy „inspektor” to rzeczywiście inspektor?
Kontrolujący inspektor lub pracownik Państwowej Inspekcji Pracy ma obowiązek okazania legitymacji służbowej i upoważnienia do kontroli. Tak stanowi art. 24 ust. 2 ustawy o PIP. Zgodnie z mim, kontrolę przeprowadza się po okazaniu legitymacji służbowej potwierdzającej tożsamość i uprawnienia inspektora pracy lub innego upoważnionego pracownika Państwowej Inspekcji Pracy. Z kolei ust. 3 ww. artykułu 24 mówi wyraźnie, że kontrolę przedsiębiorcy przeprowadza się po okazaniu legitymacji służbowej i upoważnienia do jej przeprowadzenia.
Nie ma problemu, gdy inspektor pojawia się w firmie. Jak jednak zweryfikować osobę, która dzwoni do firmy, przedstawia się jako inspektor pracy i żąda przesłania dokumentów mailem?
Pół biedy, jeśli dzwoniącym jest ten sam inspektor pracy, który firmę kontroluje od lat. Ale jak może go zweryfikować przedsiębiorca, który słyszy człowieka po raz pierwszy? Czy ma prosić o skan legitymacji służbowej i skan upoważnienia do kontroli?
– Ze względu na przepisy RODO na pewno nie radziłby pracodawcom udostępniania dokumentów zawierających dane osobowe, np. dokumentacji pracowniczej, na podstawie samej tylko rozmowy telefonicznej. W takim przypadku należy poprosić urzędnika, w tym przypadku – inspektora pracy – o przesłanie maila w tej sprawie razem z skanem upoważnienia do kontroli oraz wskazaniem zakresu informacji, jakie mają zostać przekazane. W ten sposób pracodawca będzie mógł udowodnić, że przekazał dane w zakresie, w którym był upoważniony – mówi Michał Kibil, adwokat, senior partner w kancelarii DGTL Kibil Piecuch i Wspólnicy.
Skontroluj kontrolera
Jak podkreśla, zabezpieczając się przed potencjalnym wyłudzeniem danych przez osoby podszywające się pod urzędy czy urzędników (czyli tzw. phishingiem) przedsiębiorca powinien zadbać nie tylko o weryfikację osoby, która zwróciła się do firmy o przekazanie danych, ale i zabezpieczenie udostępnianych danych. – Najprostszą metodą jest telefon do inspektoratu pracy z prośbą o połączenie z daną osobą, by sprawdzić, czy rzeczywiście taka osoba jest tam zatrudniona i jest inspektorem pracy oraz czy kierowała do nas żądanie udostępnienia dokumentów. W ten sposób kontrolujemy kontrolującego – podkreśla mec. Kibil.
Weryfikowanie osoby podającej się za inspektora pracy radzi też Artur Piechocki, radca prawny, założyciel kancelarii APLAW. – Pracodawca, który chce sprawdzić osobę, która wystąpiła do niego z żądaniem udostępnienia np. akt osobowych, może poprosić o skan legitymacji służbowej. Najprostszym jednak sposobem sprawdzenia wiarygodności osoby jest chociażby oddzwonienie do inspektoratu pracy i sprawdzenie, czy osoba o takim imieniu i nazwisku faktycznie tam pracuje. Można dodatkowo poprosić o wysłanie maila i po jego otrzymaniu sprawdzić domenę, z której został wysłany – mówi mec. Artur Piechocki.
O to, jak w dobie COVID-19 inspektor pracy żądający przesłania akt pracowniczych mailem ma uwiarygodnić swoją funkcję i czy powinien przesłać skan legitymacji i upoważnienia, a także jak pracodawca może sprawdzić, że osoba dzwoniąca i podająca się za inspektora pracy, rzeczywiście tym inspektorem, jest zapytaliśmy Główny Inspektorat Pracy. Na odpowiedź czekamy.
Jak bezpiecznie przesłać dane pracownicze
– Jeżeli adres mailowy nie budzi wątpliwości i po upewnieniu się telefonicznym, czy na pewno mail został wysłany przez inspektora, nie widzę przeszkód, aby takie kopie (w formie elektronicznej – skanu) przesłać. Zgodnie bowiem z art. 23 pkt 8 ustawy o PIP, inspektor ma prawo do żądania od podmiotu kontrolowanego odpisów lub wyciągów dokumentu. Jeżeli zatem organ publiczny w ramach posiadanych kompetencji zwraca się o przesłanie dokumentów (kopii), to podmiot kontrolowany może (i powinien) takie dokumenty (kopie) przesłać – mówi Paweł Korus, radca prawny, partner w kancelarii Sobczyk & Współpracownicy, były wieloletni sędzia sądu pracy. Według niego, słuszne jest przy tym działanie polegające na zaszyfrowaniu tych dokumentów i wysłaniu hasła sms’em. – Mam natomiast obiekcje przed wysłaniem oryginałów akt osobowych. Nie ma wprost przewidzianej kompetencji dla PIP do żądania „wydania” akt osobowych – akta osobowe mają być przedłożone inspektorowi, co oznacza, że powinny być przeglądane w siedzibie podmiotu kontrolowanego – zaznacza mec. Korus.
Z kolei mec. Michał Kibil uważa, że pracodawca, który chce wysłać żądane dokumenty, może to zrobić na wiele sposobów. – Można np. przesłać dokumenty zaszyfrowane mailem lub udostępnić je do pobrania z chmury pamiętając jednak, aby hasło dostępowe zostało przekazane innym kanałem komunikacji, niż dokumenty zostały wysłane – mówi mec. Kibil. Jak twierdzi, można nawet wysłać je na numer służbowego telefonu komórkowego urzędnika albo na ogólny adres mailowy urzędu. – Przy tej okazji warto też ten fakt odnotować, czy to w odrębnym rejestrze żądań kierowanych do danego podmiotu, czy przechować te dane choćby w formie zdigitalizowanej lub wydrukowanej, celem udowodnienia w przyszłości, że takie dane zostały udostępnione i na jakiej podstawie – przypomina.
Na wymogi techniczne i organizacyjne zwraca uwagę także mec. Artur Piechocki. – Przed dostępem do przesyłanych danych i ich modyfikacją przez osoby niepowołane może zabezpieczyć przesłanie tych danych w postaci zaszyfrowanego pliku wymagającego podania hasła umożliwiającego odczytanie treści. Można też udostępnić je w chmurze lub na zewnętrznym dysku, ale obawiam się, że takie formy udostępnienia mogą w praktyce być niewykonalne. Urzędnik może nie być uprawniony do ściągania dokumentów z chmury na swój służbowy komputer, zaś w przypadku przesłania hasła, np. sms trzeba dysponować jego numerem służbowego telefonu komórkowego, a z tym może być problem – podkreśla mec. Artur Piechocki. I dodaje, że można np. wysłać zaszyfrowany pendrive z danymi (o ile w urzędzie można używać zewnętrzne pendrive-y), a osobno wysłać mailem do urzędnika hasło. Ważne, by rozdzielić obie te czynności, aby utrudnić dostęp do danych osobom niepowołanym na wypadek np. zagubienia przesyłki przez firmę kurierską czy pocztę albo zgubienia pendrive’a przez samego urzędnika.
Zdaniem mec. Piechockiego, pracodawca powinien dołożyć wszelkich starań, aby przekazywane dokumenty z danymi osobowymi były zabezpieczone. – Po otrzymaniu danych administratorem będzie Państwowa Inspekcja Pracy i to ona będzie odpowiadać za ewentualny wyciek danych osobowych spowodowany przez jej pracownika – mówi.
Urząd jest administratorem danych
Maciej Gawroński, radca prawny, partner zarządzający w kancelarii Gawroński & Partners przypomina, że kontrolujący organ, któremu przedsiębiorca udostępnia dane osobowe pracowników staje się – z chwilą ich otrzymania – administratorem danych osobowych i to na nim spoczywa odpowiedzialność za ich przetwarzanie zgodnie z celem i obowiązki informacyjne. – To, co może zrobić pracodawca, to zabezpieczyć przekazywane dane. Prawidłowym postępowaniem jest zaszyfrowanie dokumentów hasłem – podkreśla mec. Maciej Gawroński. Jak mówi, w urzędach powinna obowiązywać zasada „w miarę czystego biurka”. Nie oznacza to, że inspektor pracy musi chować otrzymane dokumenty przed swoimi kolegami w godzinach pracy, ale po zakończeniu pracy powinien schować je tak, aby nie miały do nich dostępu osoby z firmy sprzątającej. – Te kwestie bezpieczeństwa powinny być uregulowane w wewnętrznych regulaminach – zaznacza mec. Gawroński.
Widmo kary nie może paraliżować pracodawcy
– Przepis art. 283 par. 2 pkt 8 Kodeksu pracy przewidujący karę grzywny od 1 tys. zł do 30 tys. zł za utrudnianie działalności organu Państwowej Inspekcji Pracy, w szczególności uniemożliwianie prowadzenia wizytacji zakładu pracy lub nie udzielanie informacji niezbędnych do wykonywania jej zadań, oraz wynikające z tego przepisu obawy pracodawców co do możliwości potraktowania ich odmowy udostępnienia informacji w żądanej przez kontrolującego formie czy zakresie jako utrudnianie kontroli, nie powinny jednak powstrzymać pracodawców od prób weryfikacji osoby kontrolującej i ustalenia, czy i jaki zakres danych faktycznie jest mu niezbędny – mówi dr Dominika Dörre-Kolasa, radca prawny, partner w kancelarii Raczkowski.
Z jej praktyki wynika bowiem, że można dojść do porozumienia rozmawiając i przedstawiając argumenty. – Jeden z moich klientów został poproszony o przesłanie mailem całych akt osobowych kilku pracowników. Byli to pracownicy długoletni, z bogatą historią zawodową. Ich dokumentacja pracownicza była bardzo obszerna. Wiele dokumentów było w wersji papierowej, wypisanych jeszcze na maszynie do pisania. Inspektor po rozmowie zgodził się otrzymać tylko część tej dokumentacji, a resztę – tę najbardziej narażoną na zniszczenie – zgodził się przejrzeć już na miejscu, w firmie – mówi.
Zdaniem dr Dörre-Kolasy, pracodawcy podejmując decyzję o przekazywaniu dokumentacji pracowniczej mailem powinni zachować zasady dotyczące ochrony poufności danych osobowych zawartych w tych dokumentach. – Dlatego pracodawca powinien potwierdzić, że osoba jest faktycznie tą, za którą się podaje. Tu nie należy dopatrywać się niczego złego w takim zachowaniu przedsiębiorcy i jego służb kadrowych. Co więcej należy dopytać, czy aby na pewno mamy skanować całą dokumentację danego pracownika – mówi dr Dominika Dörre-Kolasa.
Katarzyna Siemienkiewicz, ekspert ds. prawa pracy Pracodawców RP przypomina, że kary za wyciek danych osobowych są bardzo dotkliwie. Dlatego też pracodawcy udostępniając akta pracownicze, które zawierają dane pracowników powinni dochować przy tym należytej staranności. – Inspekcja pracy zgodnie z ustawowymi kompetencjami ma prawo wglądu do dokumentacji pracowniczej. Z uwagi na istniejącą pandemię, literalna realizacja tego uprawnienia jest utrudniona. Z pewnością prośba o przesłanie dokumentacji przez e-maila ma celu zminimalizowanie ryzyka zarażenia COVID-19, jednak na pracodawcach też ciąży określone ryzyko, chociażby ujawnienia danych osobowych, które jest zwiększone w przypadku udostępniania dokumentów drogą elektroniczną bez odpowiedniego zabezpieczenia technicznego – uważa Siemienkiewicz. Ponadto, jak zauważa, w wytycznych PIP dotyczących kontroli w zakresie udostępniania dokumentacji wskazano, że dokumenty udostępnione inspektorowi pracy przez pracodawcę do kontroli poza terenem zakładu zostaną poddane 24-godzinnej kwarantannie w szczelnie zamykanych pojemnikach. – W tych wytycznych brakuje informacji o wymianie dokumentów drogą elektroniczną. Moim zdaniem, pracodawcy powinni powoływać się na te zalecenia i udostępniać akta osobowe za pośrednictwem tradycyjnej poczty lub kuriera (za poświadczeniem odbioru) – mówi Katarzyna Siemienkiewicz. Jej zdaniem, jeżeli PIP zwraca się z tego typu prośbami do pracodawców, to jako organ administracji publicznej ma możliwość udostępnienia platformy elektronicznej do celów kontaktowych. Niektóre okręgowe inspektoraty posługują się elektroniczną skrzynką podawczą. – Oczywiście należy zachęcać przedsiębiorców do kontaktów z urzędem w formie on-line, jednak uprzednio powinny zostać stworzone w tym celu odpowiednie narzędzia, które mają zapewniać bezpieczeństwo przesyłanych danych – podkreśla.