Wszędzie tam, gdzie w przedsiębiorstwie przetwarzane są dane osobowe, odpowiedni administrator danych musi przestrzegać przepisów o ochronie danych. Naruszenie przepisów o ochronie danych może skutkować wysokimi karami pieniężnymi. Z reguły grzywna ta nakładana jest na pracodawcę w przypadku naruszenia przepisów. Czy jednak rada zakładowa może być również administratorem danych w przypadku przetwarzania danych przez radę zakładową?

W jakim zakresie rada zakładowa przetwarza dane?

W przedsiębiorstwach, w których działa rada zakładowa (przedsiębiorstwa współzależne), większość rozporządzania danymi osobowymi należy do rady zakładowej. Rada zakładowa musi być zaangażowana przy zatrudnianiu nowych pracowników. Otrzymuje ona wszystkie dokumenty aplikacyjne (§ 99 I BetrVG). W ten sam sposób rada zakładowa jest informowana o powodach zwolnień, dłuższej niezdolności do pracy i ciążach. Ponadto rada zakładowa ma możliwość wglądu w niezanonimizowane listy płac (§ 80 II 2 BetrVG). W ten sposób rada zakładowa przetwarza nie tylko dane osobowe, lecz także dane kategorii specjalnej (art. 9 DSGVO).

Gdzie są uregulowane kwestie przetwarzania danych i rozliczalności?

Zasadniczo GDPR reguluje wszelkie przetwarzanie danych w Europie. W przypadku przetwarzania danych w kontekście zatrudnienia GDPR zawiera klauzulę otwarcia (art. 88 GDPR). Oznacza to, że w tym obszarze możliwe są regulacje krajowe. Niemiecki ustawodawca stworzył więc art. 26 BDSG. Nie zawiera on jednak żadnych regulacji dotyczących tego, czy rada zakładowa może być administratorem danych. Na stronie Definicja pojęcia "osoba odpowiedzialna zależy w całości od GDPR. Podsumowując, administrator danych to osoba, która faktycznie przetwarza dane osobowe i decyduje o celach i środkach przetwarzania (art. 4 nr 7 GDPR).

Czy rada zakładowa może ponosić odpowiedzialność?

To, że rada zakładowa przetwarza dane osobowe jest oczywiste, o czym już wspomniano.

Ponadto, jako administrator danych, musiałby również zdecydować o środkach i celach przetwarzania. Ten krok jest mentalnie poprzedzający faktyczne przetwarzanie. Wszak przetwarzanie danych osobowych jest zgodne z prawem tylko dla z góry określonych celów (art. 5 Ib GDPR). W ten sam sposób administrator danych decyduje o środkach przetwarzania, czyli przede wszystkim o metodach technicznych.

Przy przetwarzaniu danych osobowych rada zakładowa decyduje nie tylko o tym, czy lub w jakim celu przyjmuje je do wiadomości (cel), ale także o tym, jak lub co następnie dzieje się z tymi danymi (środki). Z tego punktu widzenia może być postrzegana jako administrator danych.

Krytyka w świetle prawa pracy

Krytyka tego poglądu wyrażana jest przede wszystkim przez prawników pracy. Podkreślają oni, że ustawa o konstytucji rady zakładowej (BetrVG) wyznacza wąskie granice decyzji rady zakładowej o tym, czy i jak przetwarzać dane. Tym samym nie może ona decydować swobodnie i nie może być osobą odpowiedzialną.

Konsekwencją tego poglądu byłoby to, że wszystkie dane przetwarzane przez radę zakładową musiałyby być przypisane pracodawcy. Jednak w ramach określonych przez ustawę o statucie rady zakładowej (BetrVG) rada zakładowa przetwarza dane dla siebie, a nie dla pracodawcy. Pracodawca nie ma wpływu na decyzje rady zakładowej o tym, czy i jak przetwarzać dane. Ograniczenia nałożone przez ustawę o statucie rady zakładowej nie zmieniają tej sytuacji.

Problem zdolności prawnej

Ponadto poglądowi afirmującemu odpowiedzialność przeciwstawia się fakt, że odpowiedzialność jako osoby odpowiedzialnej stoi w sprzeczności z działalnością w radzie zakładowej jako nieodpłatnym honorowym urzędzie. Sama rada zakładowa nie ponosi odpowiedzialności, a jej członkowie nie powinni ponosić odpowiedzialności osobistej z racji pełnienia funkcji honorowej. Nie można było domagać się skutecznego odszkodowania za szkody.

Zdaniem ETS, zdolność prawna osoby odpowiedzialnej nie odgrywa jednak żadnej roli. W związku z tym odpowiedzialność należy interpretować szeroko, jako tę, która jest zdolna do podejmowania decyzji. W związku z tym należy zbadać, komu można przypisać to działanie, tj. w czyim interesie dokonywane jest przetwarzanie. Zdaniem ETS, rada zakładowa w postaci jej członków może być uznana za administratora danych, jeżeli podejmuje decyzje samodzielnie. Nie jest zatem ani podmiotem przetwarzającym (art. 28 III GDPR), ani osobą podległą (art. 29 GDPR).

Konsekwencje dla rady zakładowej

Rada zakładowa, jako podmiot odpowiedzialny, podlega zatem obowiązkom wynikającym z prawa ochrony danych. Zgodnie z orzecznictwem są one również uzasadnione dla rady zakładowej. Rada zakładowa jest również adresatem praw osób, których dane dotyczą.

Jeśli rada zakładowa nie wypełnia tych obowiązków, może zostać objęta środkami dochodzeniowymi (art. 58 I GDPR), środkami zaradczymi (art. 58 II GDPR) i w ostateczności grzywnami (art. 83 GDPR przeciwko poszczególnym członkom) w przypadku odpowiednio wysokiego poziomu naruszenia. Co do zasady pracodawca nie ponosi odpowiedzialności obok rady zakładowej w przypadku naruszenia.

Chcesz uzyskać poradę w zakresie ochrony danych osobowych w swojej firmie? Nasz zespół ekspertów z chęcią Ci pomoże!

pl_PLPolski