Od dnia 21 lutego 2023 roku pracodawcy zyskali możliwość stosowania prewencyjnej kontroli trzeźwości pracowników. Nowe przepisy wprowadzone do Kodeksu Pracy wzbudzały obawy i wątpliwości, związane przede wszystkim z kwestią ochrony danych osobowych, a także niektórymi aspektami technicznymi badania. Kwestia możliwości badania trzeźwości pracowników od lat była przedmiotem rozważań doktryny prawniczej pod kątem jej dopuszczalności. Obecnie prawodawca przesądził o tym, że takie badanie jest dopuszczalne, jednak wprowadził też istotne ograniczenia w jego przeprowadzeniu. Dodatkowo, pracodawca, który wprowadza kontrolę trzeźwości musi mieć na uwadze nie tylko przepisy Kodeksu Pracy, ale także wziąć pod uwagę uregulowania RODO.
Ustawa z o zwalczaniu alkoholizmu z dnia 10 grudnia 1959 r. (Dz.U. 1959 nr 69 poz. 434) wprowadziła zakaz sprzedaży i spożywania napojów alkoholowych w zakładach pracy, uchylała jednak ten przepis, jeśli odbywało się to za zgodą kierownika podczas np. wyjątkowych okazji. Złamanie tego przepisu mogło skończyć się karą grzywny. Przedsiębiorcy nie przysługiwało jednak, wprowadzone bezpośrednio poprzez ustawę, prawo do przeprowadzenia kontroli trzeźwości.
Zmiany przyniosła Ustawa o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi z dnia 26 października 1982 r. (Dz. U. 1982 Nr 35 poz. 230 z późn. zm.), która wprowadziła możliwość kontroli, ale na życzenie pracownika. Pracodawca już przy podejrzeniu staniu spożycia mógł nie dopuścić do wykonywania pracy, wtedy podwładny miał prawo zażądać takiego badania. Kolejne nowelizacje ustawy nie przynosiły w tej kwestii zmian. Coraz większa waga przywiązywana była do ustawy ochrony danych osobowych z 29 sierpnia 1997 r. (Dz.U. 1997 nr 133 poz. 883), w związku z czym wprowadzono zasadę, że przetwarzanie takich danych było możliwe tylko i wyłącznie, gdy osoba badana wyraziła taką zgodę na piśmie, a ewentualnego testu trzeźwości mógł dokonywać jedynie odpowiedni organ – Policja[1].
Kluczową zmianę przyniosło RODO, a dokładnie art. 9 ust. 1 i ust 2 lit. b, który wprowadził generalną zasadę zakazu przetwarzania danych osobowych wrażliwych:
Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Nie każdy zdaje sobie bowiem sprawę, że przetwarzanie danych dotyczących spożycia alkoholu albo środków działających podobnie do alkoholu (narkotyków, środków odurzających) może stanowić dane dotyczące zdrowia, o których mowa w powyższym przepisie. Jest wiedzą powszechną, że alkoholizm, czy też uzależnienie od narkotyków lub innych środków jest chorobą. W związku z powyższym należy uznać, że przetwarzanie takich danych osobowych jest co do zasady zabronione.
Nad kwestią tą pochylił się zresztą Urząd Ochrony Danych Osobowych, który w stanowisku z dnia 27.06.2019 r. wskazał, że jedyną podstawą do zbierania danych w zakresie kontroli na obecność alkoholu lub środków działających podobnie do alkoholu może stanowić wyłącznie zgoda pracownika[i]. W związku z powyższym, przepisy RODO przesądziły o tym, że nie ma możliwości stosowania kontroli trzeźwości pracowników w przypadku, gdy pracownik takiej zgody nie wyrazi. Pracodawca nie miałby bowiem wówczas ważnej podstawy do przetwarzania takich danych osobowych.
Poza wskazaną wyżej zgodą, która może uchylić bezprawność przetwarzania danych osobowych wrażliwych, uchylenie zakazu z art. 9 RODO może wiązać się z wystąpieniem kilku innych podstaw. W przypadku ochrony trzeźwości znaczenie będzie miał art. 9 ust. 1 lit b, tj. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego.
W związku z powyższym właśnie wprowadzenie odpowiedniego prawa miało zmienić dotychczasową sytuację i dać pracodawcy prawo do prowadzenia kontroli trzeźwości, która nie łamałaby RODO, ale też jednocześnie nie wymagałaby uprzedniej zgody pracownika.
Tak też się stało, gdyż już w uzasadnieniu do nowelizacji Kodeksu Pracy jako jeden z celów ustawy wymienione jest zmierzanie do „umożliwienia pracodawcom – w uzasadnionych przypadkach – wprowadzenia prewencyjnej kontroli pracowników na obecność w ich organizmach alkoholu lub środków działających podobnie do alkoholu”[2]. Za podstawę posłużył cytowany powyżej art. 9 ust. 2 lit. b RODO, który dał wyjątek do możliwości przetwarzania wrażliwych danych, jakimi są właśnie dane dotyczące zdrowia:
Przeprowadzenia kontroli trzeźwości możliwe jest, jeżeli jest to niezbędne do zapewnienia ochrony życia i zdrowia pracowników lub innych osób lub ochrony mienia (art. 22 1c KP). Wprowadzenie tego przepisu dało podstawę prawną pracodawcy, który według KP ma obowiązek zapewnić takie warunki pracownikom i jednocześnie ponosi za to odpowiedzialność (art. 15 oraz art. 207 KP).
Wprowadzając kontrolę trzeźwości pracodawca musi mieć na uwadze nie tylko to, co przewiduje Kodeks Pracy, ale także mieć na uwadze zasady wynikające z RODO, przede wszystkim zasadę minimalizacji danych (art. 5 ust. 1 lit. c RODO), ograniczenia celu (art. 5 ust. 1 lit. b RODO) oraz zasadę rozliczalności (art. 5 ust. 2 RODO). Kodeks Pracy przewiduje dość wąskie przesłanki wprowadzenia kontroli trzeźwości, ale musimy także pamiętać o tym, że administrator jest uprawniony tylko do przetwarzania takich danych, jakie są niezbędne do celów przetwarzania. Musimy zatem spojrzeć na przesłanki z Kodeksy Pracy pod tym kątem i zastanowić się, kiedy rzeczywiście kontrola trzeźwości będzie wypełniała przesłankę zapewnienia ochrony życia i zdrowia lub mienia – czy jej przeprowadzenie jest do tego niezbędne. Przez ten pryzmat musimy ocenić pracę wykonywana przez pracowników i kontrolę wprowadzić w jak najwęższym możliwym zakresie, wypełniającym przesłanki ustawowe.
Kodeks pracy przewiduje, że powinniśmy wskazać m.in. „grupę” lub „grupy” pracowników, którzy będą podlegali kontroli. W związku z tym powinniśmy w taki sposób określić tę grupę, aby faktycznie wypełniała przesłanki wskazane w przepisie. Dodatkowo, wprowadzając kontrolę trzeźwości, trzeba określić jej „czas i częstotliwość”, w związku z czym wydaje się, że pracodawca powinien rzeczywiście rozważyć jak często i w jakim okresie takie kontrole mogą być stosowane. Informacje te powinny być zawarte w regulaminie, w treści układu zbiorowego pracy lub w stosownym obwieszczeniu, które zostanie ogłoszone przynajmniej z 2 tygodniowym wyprzedzeniem.
W zakresie danych osobowych przetwarzanych przez pracodawcę w związku z kontrolą trzeźwości prawodawca jest dość restrykcyjny. Pracodawca przetwarza bowiem wyłącznie dane o dacie, godzinie i minucie badania oraz o jego wyniku wskazującym na jego pozytywny wynik – stan po użyciu alkoholu albo nietrzeźwości. Pracodawca przetwarza te dane wyłącznie w wypadku, gdy jest to niezbędne do ochrony dóbr będących przesłankami do wprowadzenia kontroli. Pracodawca może zatem gromadzić dane wyłącznie na temat pozytywnych wyników testów i wyłącznie z uwagi na ww. dobra.
Jeżeli natomiast wynik badania jest negatywny to pracodawca takich danych przetwarzać nie może. Moim zdaniem rozwiązanie takie jest jednak zbyt daleko idące i niekorzystane dla pracodawców. Pracodawca powinien mieć możliwość przechowywania wyników badań „granicznych” albo niepewnych. Dla pracodawcy taka informacja jest cenna, ponieważ może się obawiać, że w przyszłości ten wynik będzie inny, a dodatkowo wielu pracodawców wychodzi z założenia, że pracownik nie powinien w ogóle spożywać alkoholu przed lub w czasie pracy. Niestety stosowanie takiego podejścia zostało przez obecne przepisy dość mocno utrudnione, a pracodawca nie może swobodnie przechowywać informacji o przeprowadzonych badaniach.
Na żądanie pracodawcy lub pracownika badanie może przeprowadzić organ powołany do ochrony porządku publicznego, zazwyczaj będzie to Policja. Wówczas zakres danych osobowych przetwarzanych w trakcie badania jest znacznie szerszy. Organ który przeprowadza badanie, przekazuje pracownikowi oraz pracodawcy dane osobowe obejmujące imię, nazwisko, numer PESEL badanego albo serię i numer dowodu tożsamości, datę, godzinę i minutę badania, a także jego wynik. Jeżeli przeprowadzono kilka pomiarów to w informacji zawarte są dane kilku pomiarów.
Nawet jednak jeżeli mamy do czynienia z danymi przekazanymi przez organ, który przeprowadzał pomiary to pracodawcę obowiązują te same zasady w zakresie ich przechowywania. Oznacza to, że pracodawca nie może przechowywać danych, które wskazują na negatywny wynik przeprowadzonej kontroli ani takich, których zachowanie nie jest niezbędne do ochrony dóbr wskazanych w Kodeksie Pracy. Tutaj znów należy podkreślić, że tak wąski zakres możliwości przetwarzania danych osobowych przez pracodawcę nie jest korzystny, często bowiem kilka wyników badań może wskazywać na to, jaki był poziom alkoholu we krwi na wcześniejszym etapie. Takie informacje mogłyby być potencjalnie przydatne zarówno dla pracodawcy, jak i dla pracownika.
Zgodnie z przepisami możliwe jest niedopuszczenie pracownika do pracy w przypadku zarówno wtedy, gdy kontrola trzeźwości dała wynik pozytywny, jak i wówczas gdy zachodzi uzasadnione podejrzenie, że pracownik stawił się do pracy w stanie po spożyciu alkoholu albo w stanie nietrzeźwości lub spożywał alkohol w czasie pracy. Należy przy tym podkreślić, że przepis ten w swojej drugiej części odnosi się także do tych pracowników, którzy nie są objęci kontrolą trzeźwości, na co wprost wskazano w uzasadnieniu do nowelizacji. W przypadku niedopuszczenia do pracy na tej podstawie kontrola trzeźwości może zostać przeprowadzona przez odpowiedni organ na żądanie pracownika lub pracodawcy. W związku z powyższym nawet w przypadku braku formalnego wprowadzenia kontroli trzeźwości pracownik ma obowiązek zachować trzeźwość w miejscu pracy i potencjalnie może nie zostać dopuszczony do pracy.
Osoby, które w imieniu pracodawcy będą dokonywały badania trzeźwości, muszą dysponować odpowiednim upoważnieniem do przetwarzania takich danych osobowych, wydanym przez pracodawcę. Osoby dopuszczone do przechowywania takich danych powinny zostać zobligowane do dochowania tajemnicy. Pracodawca nie może zatem przeprowadzać badania w obecność osób postronnych lub informować o jego wyniku osoby nieupoważnione. Wprowadzając kontrolę trzeźwości w organizacji pracodawcy powinni zwrócić uwagę na to, aby uaktualnić stosowane dotychczas upoważnienia, jeżeli chcą upoważnić daną osobę (np. kierownika) do przeprowadzania kontroli trzeźwości.
Jak już zostało wyżej wspomniane, dane przechowywane są tylko i wyłącznie w wypadku jeżeli wynik testu wskazujący stan po spożyciu alkoholu albo stan nietrzeźwości okaże się pozytywny. Takie dane – data, godzina, minuta oraz wynik badania – przechowywane są w aktach osobowych pracownika przez okres nie dłuższy niż 1 rok od dnia ich zebrania. W przypadku zastosowania kary upomnienia, kary nagany lub kary pieniężnej pracodawca przechowuje powyższe informacje w aktach osobowych pracownika do czasu uznania kary za niebyłą. Natomiast w przypadku, w którym te informacje mogą stanowić lub stanowią dowód w postępowaniu prowadzonym na podstawie prawa, a pracodawca jest stroną tego postępowania lub powziął wiadomość o wytoczeniu powództwa lub wszczęciu postępowania, okres przez który przechowywane są dane ulega przedłużeniu do czasu prawomocnego zakończenia postępowania[3].
Przed podjęciem działań kontrolnych na pracodawcy leży również obowiązek informacyjny. Według art. 13 RODO pracownik powinien wiedzieć, kto jest administratorem jego danych oraz jak się może z nim skontaktować, kto jest Inspektorem Ochrony Danych (jeśli został taki powołany), jaki jest cel przetwarzania danych oraz ich okres retencji, a także jaka jest podstawa prawna przetwarzania jego danych (wspomniany wyżej art. 9 ust. 2 lit. b RODO). Informacje takie mogą zostać wprowadzone do standardowych klauzul informacyjnych, stosowanych w organizacji albo powinny zostać przedstawione pracownikom w odrębnym dokumencie. Najważniejsze jest jednak, aby pracownik faktycznie uzyskał te informacje.
Wprowadzenie kontroli trzeźwości, podobnie jak w przypadku innych procesów opisanych w RODO, powinno wiązać się z przeprowadzeniem analizy ryzyka, w której administrator oceni bezpieczeństwo przetwarzania danych osobowych w zakresie kontroli trzeźwości. Zgodnie z art. 32 ust. 1 RODO przeprowadzając analizę ryzyka pracodawca powinien wziąć pod uwagę następujące parametry:
– stan wiedzy technicznej;
– koszt wdrażania;
– charakter, zakres, kontekst i cele przetwarzania;
– ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze.
Mając na uwadze powyższe czynniki pracodawca powinien wdrożyć takie środki techniczne oraz organizacyjne w zakładzie pracy, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku. Pracodawca, który wdraża kontrolę trzeźwości powinien zastanowić się, jakie ryzyka wiążą się z przeprowadzaniem takiej kontroli oraz czy w związku z kontrolą konieczne jest wprowadzenie dodatkowych środków o charakterze technicznym lub organizacyjnym. W przypadku środków o charakterze organizacyjnym już sam kodeks pracy wymusza ich wprowadzenie, ponieważ pracodawca musi wprowadzić kontrolę trzeźwości i określić jej zasady w odpowiednim dokumencie – regulaminie pracy, układzie zbiorowym pracy albo obwieszczeniu. Dodatkowo, pracodawca powinien pamiętać o wspomnianych wyżej dokumentach – upoważnieniach oraz klauzuli informacyjnej dotyczącej przetwarzania danych osobowych. Jeżeli chodzi natomiast o środki techniczne to pracodawca powinien rozważyć, czy stosowane dotychczas środki są wystarczające, czy w związku z kontrolą należałoby wprowadzić środki dodatkowe. Jest to jednak kwestia specyficzna dla danej organizacji, nie da się zatem w sposób aprioryczny wskazać, czy i jakie środki mogą być niezbędne w tym zakresie.
Jeżeli po przeprowadzeniu zwykłej analizy ryzyka pracodawca uzna, że wprowadzenie kontroli trzeźwości może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych z uwagi na swój charakter, zakres, kontekst i cele to powinien dodatkowo przeprowadzić ocenę skutków dla ochrony danych. Ocena skutków dla ochrony danych jest kwalifikowaną formą oceny ryzyka, którą należy przeprowadzać w przypadkach wskazanych w art. 35 RODO. Taka ocena zawiera co najmniej następujące elementy:
a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
d) środki planowane w celu zaradzenia ryzyku.
Pracodawca powinien zatem, najlepiej w formie odpowiedniego dokumentu z uwagi na zasadę rozliczalności (czyli zasadę, zgodnie z którą należy zadbać nie tylko o przestrzeganie zasad ochrony danych osobowych, ale także o możliwość udowodnienia tego przestrzegania) zastanowić się, na czym będzie polegała dokładnie „operacja przetwarzania”, czyli kontrola trzeźwości oraz wszystkie czynności z nią związane (takie jak przechowywanie danych o wynikach kontroli), a następnie ocenić czy te operacje będą proporcjonalne w stosunku do celów przetwarzania, z uwzględnieniem obowiązujących w tym zakresie przepisów. Pracodawca powinien także zastanowić się, czy wiąże się to dla podmiotów danych z ryzykiem i w jaki sposób to ryzyko może zostać zmitygowane. Nie jest możliwe jednoznaczne stwierdzenie, że kontrola trzeźwości będzie musiała wiązać się z przeprowadzeniem oceny skutków dla ochrony danych. Takiej oceny musi dokonać samodzielnie pracodawca, biorąc pod uwagę analizę ryzyka przeprowadzoną w ramach organizacji. Dopiero na tej podstawie będzie on w stanie stwierdzić, czy jest to konieczne, czy nie.
Wprowadzenie kontroli trzeźwości rozstrzygnęło wątpliwości w zakresie dopuszczalności przeprowadzania kontroli trzeźwości pracowników przez pracodawców, której dopuszczalność była czasem poddawana w wątpliwość. Prawodawca obecnie jednoznacznie przesądził, że prowadzenie kontroli trzeźwości jest dopuszczalne i możliwe, jednak obwarował jej przeprowadzenie licznymi wymaganiami i warunkami, które w zamyśle mają chronić prawa pracowników i nie pozwalać pracodawcom na dowolność. Pracodawcy, w związku z wprowadzeniem kontroli mają szereg obowiązków, o których nie mogą zapominać. Przed wprowadzeniem kontroli powinni przeprowadzić analizę ryzyka, a następnie przygotować wewnętrzne dokumenty zakładowe, określające zasady prowadzenia kontroli. Ważne jest także, aby wprowadzić odpowiednie upoważnienia do przetwarzania danych osobowych dla osób, które będą przetwarzać dane osobowe w związku z kontrolami, a wobec osób kontrolowanych – odpowiednie informacje o przetwarzaniu danych osobowych. Pracodawca musi zatem pamiętać nie tylko o obowiązkach wynikających z kodeksu pracy, ale także z RODO.
Artykuł ukazał się w publikacji „Poradnik prenumeratora. 5 lat z RODO – przewodnik” wydanej przez „Rzeczpospolitą” w dniu 21.06.2023 r.
Interesujesz się zagadnieniami związanymi z RODO? Przeczytaj koniecznie o sztucznej inteligencji jako narzędziu marketingowym tutaj, o prowadzeniu działań marketingowych z perspektywy przepisów ochrony danych osobowych tutaj, o profilowaniu zgodnym z RODO tutaj oraz o jak prawidłowo stosować cookies tutaj.
[1] Porównaj: M. Gładoch, Praca zdalna. Kontrola trzeźwości. Nowelizacja Kodeksu pracy. Komentarz, Warszawa 2023, Legalis.
[2] https://www.sejm.gov.pl/sejm9.nsf/druk.xsp?nr=2335.
[3] Zobacz art. 22 lit. c § 6-9 KP.
[i] A. Sobczyk (red.), Kodeks pracy. Komentarz. Wyd. 6, Warszawa 2023