e-TOLL, RODO, a monitoring pracowniczy

1 grudnia 2021 r. uległ zmianie pobór opłat na części państwowych odcinkach płatnych dróg w związku z wprowadzeniem systemu e-TOLL. Na odcinkach Konin – Stryków (autostrada A2) i Wrocław – Sośnica (autostrada A4) kierowcy pojazdów nie mają obecnie już możliwości opłacenia przejazdu przy tzw. bramkach. W sytuacji zatem, gdy lokalizacja pracownika będzie podlegała monitoringowi, należy zapewnić przetwarzanie danych osobowych zgodnie z przepisami RODO1 , jak i Kodeksu pracy2 .

System e-TOLL

Czym jest e-TOLL? System e-TOLL opierający się na technologii pozycjonowania satelitarnego zastąpił dotychczasowy viaTOLL, który wykorzystywał technologie komunikacji bliskiego zasięgu (DSRC). Obecnie kierowcy mają możliwość opłacenia przejazdu za pomocą:
– urządzenia pokładowego OBU, który wymaga wyposażenia pojazdu w urządzenie pokładowe lub zewnętrznego systemu lokalizacyjnego (ZSL). Dane geolokalizacyjne przesyłane są do systemu e-TOLL za pośrednictwem transmisji danych;
– zewnętrznego systemu lokalizacyjnego (ZSL), który wymaga instalacji w pojeździe i aktywacji usługi e-TOLL;
– aplikacji mobilnej e-TOLL;
– opłacenia przejazdu w punkcie stacjonarnym lub poprzez inne aplikacje mobilne.
Brak uiszczenia opłaty w terminie zagrożone jest karą w wysokości do 500 złotych. Kolejno, oprócz obowiązku uiszczenia opłaty za przejazd, w sytuacji, gdy pracodawca otrzymuje informacje o lokalizacji pracownika, zobowiązany jest do wdrożenia przepisów dotyczących ochrony danych osobowych. Nowy system poboru opłat wiąże zatem wielu pracodawców do uregulowania przedmiotu monitoringu pracowniczego w organizacji w związku z wprowadzeniem systemu e-TOLL.

e-TOLL a ochrona danych osobowych

Zgodnie z art. 4 ust. 1 lit. a) RODO do danych osobowych należy zaliczyć m.in. dane o lokalizacji. W polskim porządku prawnym, krajowy ustawodawca w art. 22[3] Kodeksu pracy określił możliwość stosowania monitoringu wyłącznie w dwóch celach. Do celów tych zalicza się niezbędność przetwarzania do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. Niewątpliwie, monitoring lokalizacji pracownika w związku z użytkowaniem przez niego mienia organizacji znajduje się w katalogu celów wskazanych przez ustawodawcę krajowego. Na marginesie należy wskazać, iż podstawę przetwarzania należy każdorazowo określić w dostosowaniu do celu przetwarzania, jak i podmiotu danych.

Niemniej, w związku z monitoringiem wiąże się szereg obowiązków, które zobowiązany jest zrealizować przedsiębiorca. W szczególności należą do nich:

1. Realizacja obowiązku informacyjnego z art. 13 i 14 RODO

Dla nowych pracowników rekomendowanym jest przekazanie obowiązku informacyjnego uwzględniającego cel przetwarzania związany z monitoringiem na etapie onboardingu. W stosunku zaś do obecnych pracowników, pracodawca również zobowiązany jest do realizacji obowiązku informacyjnego z uwagi na określenie nowego celu przetwarzania. Oznacza to, iż w związku z wprowadzeniem monitoringu, może zachodzić konieczność ponownego realizowania obowiązku informacyjnego, gdy nie dochodzi do wyłączenia określonego w art. 13 i 14 RODO. Jednocześnie należy wskazać, iż Europejska Rada Ochrony Danych w wytycznych 01/2020 wskazuje, iż dozwolonym jest również ograniczenie pisemnej informacji poprzez wprowadzenie na przykład ikon w celu zwiększenia przejrzystości informacji.

2. Poinformowanie pracowników o stosowaniu monitoringu przed przystąpieniem pracownika do pracy lub co najmniej 2 tygodnie przed jego uruchomieniem

Zgodnie z art. 22[2] Kodeksu pracy, pracodawca zobowiązany jest do poinformowania pracowników o stosowaniu monitoringu w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu. Jednocześnie warto zwrócić uwagę, iż ustawodawca wprowadził obowiązek przekazania informacji na piśmie o celach, zakresie oraz sposobie stosowania monitoringu wobec pracowników, którzy zostaną dopuszczeni do pracy.

3. Pojazd, który jest monitorowany powinien zostać odpowiednio oznakowany

Kodeks pracy w art. 22[2] wskazuje również obowiązek odpowiedniego oznaczenia pojazdu, który jest objęty monitoringiem. Oznaczenie powinno być widoczne i czytelne. Ustawodawca wprowadził możliwość oznaczenia za pomocą znaków, jak i ogłoszeń dźwiękowych. Dodatkowo, określono, iż termin nie powinien przekraczać jednego dnia przed jego uruchomieniem.

4. Określenie okresu retencji danych osobowych

Pracodawca jako niezależny administrator danych zobowiązany jest do określenia okresu przetwarzania danych osobowych dotyczących lokalizacji pracownika. Okres ten nie powinien być dłuższy, niż jest to konieczne do celów, dla których dane zostały pobrane lub dla których są przetwarzane.

5. Przeprowadzenie testu DPIA

Zgodnie z komunikatem Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony3 , przetwarzanie danych lokalizacyjnych zostało zakwalifikowane jako rodzaj operacji przetwarzania wymagający przeprowadzania oceny skutków dla ochrony danych. Administrator zatem dokonując przetwarzania, został zobligowany przez organ nadzorczy do przeprowadzania dodatkowej analizy. Test DPIA pozwoli administratorowi zweryfikować podatności, jak i wdrożyć odpowiednie środki w celu zmniejszenia wysokiego ryzyka naruszenia praw lub wolności podmiotów danych.

Konkludując, wraz z wprowadzeniem systemu płatności e-TOLL w organizacji, kluczowym jest również właściwa implementacja przepisów dotyczących ochrony danych osobowych. Odpowiednie wprowadzenie monitoringu w przedsiębiorstwie zapewni zgodność z prawem przy jednoczesnym dostosowaniu do nowych możliwości technologicznych.


[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

[2] Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy, Dz. U. z 2020 r., poz. 1320, z 2021 r. poz. 1162

[3] Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony (Dz. U. poz. 666)

Autor

Klaudia Dryja

Prawnik, specjalizujący się w ochronie danych osobowych oraz prawie nowych technologii, obecnie sprawuje funkcję Inspektora Ochrony Danych u klientów Audytel S.A.
Doświadczenie zdobywała w renomowanych kancelariach prawnych. W trakcie swojej pracy przeprowadziła wdrożenie wymogów unijnego rozporządzenia o ochronie danych osobowych (RODO), w ponad 60 przedsiębiorstwach z różnych sektorów i branż. Ponadto, realizowała audyty oraz oceny zgodności z przepisami RODO w j. angielskim. W dotychczasowej pracy doradzała również klientom w zakresie incydentów bezpieczeństwa i naruszeń ochrony danych osobowych oraz postępowań przed Prezesem Urzędu Ochrony Danych Osobowych. Prowadziła również negocjacje umów powierzenia przetwarzania danych, szkolenia z ochrony danych osobowych oraz zapewniała bieżące wsparcie z zakresu ochrony danych osobowych w spółkach.

Z tej samej kategorii

Kategorie