Kontynuując wątek wdrożenia Rozporządzenia RODO w przedsiębiorstwach energetycznych warto zwrócić uwagę na konsekwencje przetwarzania informacji o wyrokach skazujących przez przedsiębiorstwa energetyczne, w tym dane osobowe zawarte w zaświadczeniach o niekaralności swoich pracowników i osób uprawnionych do reprezentacji, w szczególności gdy okaże się że wobec którejś z ww. osób zapadł wyrok skazujący, który wprawdzie nie uniemożliwia wykonywania określonej funkcji np. przestępstwo przeciwko bezpieczeństwu w ruchu drogowym w odniesieniu do tradera pracującego w przedsiębiorstwie energetycznym ale będzie powodował przetwarzanie danych osobowych określonych w art. 10 Rozporządzenia RODO.
Wymogi RODO w zakresie przetwarzania danych o osobowych dotyczących wyroków skazujących – art. 10 Rozporządzenia RODO
W artykule 10 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej: Rozporządzenie RODO) przewidziana została szczególna regulacja w zakresie przetwarzania danych dotyczących wyroków skazujących. Zgodnie z art. 10 Rozporządzenia RODO :
„Przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa (…) wolno dokonywać (…) jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą”.
Jak widać zapisy art. 10 Rozporządzenia RODO wprost wskazują, że przetwarzanie danych osobowych dotyczących wyroków skazujących może odbywać się tylko w sytuacji gdy konieczność uzyskania np. zaświadczenia o niekaralności wynika z przepisów prawa. W polskim porządku prawnym źródłem prawa na podstawie, którego będzie można przetwarzać dane osobowe obejmujące zaświadczenia o niekaralności będą aktu źródła prawa wskazane w art. 87 Konstytucji RP tj. ustawy, ratyfikowane umowy międzynarodowe oraz rozporządzenia.
W świetle warunków Rozporządzenia RODO w zakresie dopuszczalności przetwarzania danych osobowych dotyczących wyroków skazujących w tym danych zawartych w zaświadczeniach o niekaralności, warto zastanowić się w jakim zakresie dopuszczalne będzie przetwarzanie danych w działalności przedsiębiorstwa energetycznego. Na pewno aktualne pozostaną obecne generalne zasady w zakresie gromadzenia danych osobowych i zaświadczeń o niekaralności, czyli pracodawca jakim jest przedsiębiorstwo energetyczne nie będzie mogło żądać zaświadczenia o niekaralności w sytuacji gdy obowiązek przedstawienia takiego zaświadczenia nie wynika z ustawy. Aktualna pozostanie np. poniższa teza zawarta w wyroku NSA z 6.11.2011 r., I OSK 1476/10, Legalis).
„Na przeciwnym biegunie znajduje się zakaz występowania przez pracodawcę do kandydata do pracy o informacje o jego karalności, jeżeli odrębne przepisy dotyczące zawodu, sektora lub stanowiska, na które aplikuje kandydat nie wymagają niekaralności za określone przestępstwa”
Co więcej warto wskazać, że część autorów wskazuje, że nie ma możliwości przetwarzania danych osobowych określonych w art. 10 Rozporządzenia RODO na podstawie zgody – patrz. dr hab. Paweł Fajgielski Zgoda na przetwarzanie danych osobowych w przepisach ogólnego rozporządzenia o ochronie danych, Legalis 2018).
„Konsekwencją ujęcia danych sensytywnych w dwie odrębne grupy, a co za tym idzie – odmiennego potraktowania danych o karalności w art. 10 OchrOsFizR, będzie brak możliwości przetwarzania danych o karalności opartych na przesłankach zgody – przetwarzanie tego rodzaju danych dopuszczalne jest tylko na podstawie przepisów prawa.”
W toku działalności przedsiębiorstwa energetycznego już na etapie uzyskiwania koncesji (np. przy składaniu wniosku o udzielenie koncesji na obrót energią, koncesja na obrót gazem, koncesja na obrót paliwami ciekłymi) przetwarzane są dane osobowe. Na podstawie art. 33 ust. 3 pkt 3 ustawy prawo energetyczne w związku z art. 33 ust. 3a ustawy prawo energetyczne na etapie składania wniosku o uzyskanie koncesji należy przedstawić Prezesowi URE zaświadczenia o niekaralności dla osób uprawnionych do reprezentacji wnioskodawcy. Dodatkowo już po uzyskaniu koncesji bardzo często Prezes URE wzywa przedsiębiorstwa energetyczne na podstawie art. 28 ustawy prawo energetyczne do przedstawienia zaświadczeń o niekaralności osób uprawnionych do reprezentacji. Szerzej na ten temat pisaliśmy w naszej publikacji.
Również w przypadku złożenia wniosku o przedłużenie koncesji, który Prezes URE traktuje jak wniosek o udzielenie koncesji na nowy okres, przedsiębiorstwo energetyczne ma obowiązek przedstawić zaświadczenia o niekaralności dla osób uprawnionych do reprezentacji.
Część spółek obrotu energią lub gazem ziemnym które są bezpośrednio członkami Towarowej Giełdy Energii i prowadzą rachunki lub rejestry towarów giełdowych art. 50b ustawy o giełdach towarowych ma obowiązek przedłożyć Komisji Nadzoru Finansowego w trakcie procesu uzyskania zezwolenia na prowadzenia rachunku lub rejestru towarów giełdowych, oświadczenia osób o niekaralności w zakresie przestępstw i wykroczeń określonych w art. 41a ust. 1 pkt 4 ustawy o giełdach towarowych.
Dodatkowo na podstawie art. 41a ustawy giełdach towarowych przedsiębiorstwa energetyczne mają obowiązek zatrudniać traderów spełniających określone kryteria, wśród których jest m.in. brak karalności za określone kategorie przestępstw. Co więcej to na przedsiębiorstwie energetycznym spoczywa obowiązek weryfikacji niekaralności na podstawie wewnętrznej regulacji określonej w art. 41a ust. 3 ustawy o giełdach towarowych – a jak rzetelnie zweryfikować ta kwestie bez uzyskania zaświadczenia o niekaralności?
Jak widać z powyższych przykładów (które nie są oczywiście wyczerpujące) każde przedsiębiorstwo energetyczne w toku prowadzenia swojej działalności może przetwarzać dane osobowe określone w art. 10 Rozporządzenia RODO czyli dane osobowe dotyczące wyroków skazujących w tym dane osobowe zawarte w zaświadczeniach o niekaralności swoich pracowników, w szczególności gdy okaże się że wobec którejś z ww. osób zapadł wyrok skazujący, który nie uniemożliwia wykonywania określonej funkcji np. przestępstwo przeciwko bezpieczeństwu w ruchu drogowym w odniesieniu do tradera pracującego w przedsiębiorstwie energetycznym.
Konsekwencje przetwarzania danych o wyrokach wynikające z Rozporządzenia RODO
W związku z tym, że każde przedsiębiorstwo energetyczne może w mniejszym lub większym zakresie przetwarzać dane osobowe o wyrokach skazujących, przy wdrażaniu RODO, należy uwzględnić warunki Rozporządzenia RODO do przetwarzania danych osobowych w tym zakresie. Poniżej przedstawimy główne kwestie, na które warto zwrócić uwagę. Nie jest oczywiście celem niniejszej publikacji generalne określenie zakresu stosowania wskazanych poniżej obowiązków, a raczej zasygnalizowanie tych kwestii osobom odpowiedzialnym za wdrażanie RODO a następnie dokonanie indywidualnej oceny przez każde przedsiębiorstwo energetyczne.
Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych – art. 30 ust. 1 Rozporządzenia RODO
Ze względu na przetwarzanie danych osobowych w zakresie wyroków skazujących danych osobowych zawartych w zaświadczeniach o niekaralności przedsiębiorstwo energetyczne nie będzie mogło skorzystać z wyłączenia z obowiązku prowadzenia rejestru czynności przetwarzania danych osobowych.
Zgodnie z art. 30 ust. 5 Rozporządzenia RODO przedsiębiorstwa zatrudniające poniżej 250 osób oraz po spełnieniu dodatkowych warunków, mogą nie prowadzić rejestru czynności przetwarzania danych osobowych, jednakże wyłączenie to nie dotyczy sytuacji w której przedsiębiorca przetwarza dane osobowe dane osobowe o wyrokach skazujących określone w art.10 Rozporządzenia RODO.
Obowiązek przeprowadzenia oceny ryzyka w zakresie przetwarzania danych osobowych o wyrokach skazujących – art. 32 Rozporządzenia RODO
Tak jak wskazałem powyżej, w toku wdrażania Rozporządzenia RODO w przedsiębiorstwie energetycznym, oceniając zakres obowiązków wynikających z RODO należy uwzględnić proces przetwarzania danych osobowych w zakresie wyroków skazujących danych osobowych zawartych w zaświadczeniach o niekaralności. Dotyczy to zarówno przeprowadzenia oceny ryzyka w tym zakresie jak i uwzględnienia przetwarzania danych określonych w art. 10 RODO w regulacjach wewnętrznych przedsiębiorstwa energetycznego.
Na pewno należy ograniczyć do minimum krąg osób, które będą miały dostęp do danych osobowych w tym zakresie, zapewnić bezpieczną formę przechowywania kopii zaświadczeń o niekaralności, określić maksymalny czas ich archiwizowania.
Należy również pamiętać, by proces przetwarzania danych osobowych dotyczących wyroków skazujących określonych w art. 10 Rozporządzenia RODO uwzględnić w trakcie sporządzenia oceny ryzyka w zakresie bezpieczeństwa danych osobowych. Przeprowadzając właściwą ocenę ryzyka zgodną z Rozporządzeniem RODO przedsiębiorstwo energetyczne uzyska odpowiedź czy obecnie stosowane zabezpieczenia, procedury oraz środki techniczne zapewniają odpowiedni stopień bezpieczeństwa dla tej szczególnej kategorii danych osobowych zgodnych z wymogami Rozporządzenia RODO.
Zgodnie z Rozporządzeniem RODO – pkt 83 preambuły „przy ocenie ryzyka należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych”
Wydaje się, że informacje o wyrokach skazujących powinny być szczególnie chronione, np. w sytuacji gdy skazanie za dane przestępstwo nie wyklucza sprawowania określonej funkcji, natomiast ujawnienie tej informacji wśród współpracowników może doprowadzić defacto do utraty reputacji, poważania i dobrego imienia wśród współpracowników. (np. ujawnienie informacji o skazaniu za przestępstwa przeciwko rodzinie).
Obowiązek przeprowadzenia oceny skutków dla ochrony danych – art. 35 Rozporządzenia RODO
Zgodnie z art. 35 Rozporządzenia RODO jeżeli na podstawie przeprowadzonej oceny ryzyka okaże się że dany rodzaj przetwarzania danych osobowych ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Jak widać art. 35 ust. 1 Rozporządzenie RODO nie daje nam wprost odpowiedzi czy przetwarzanie danych osobowych w zakresie wyroków skazujących określonych w art. 10 Rozporządzenia RODO może powodować wysokie ryzyko naruszenia praw lub wolności a tym samym konieczność przeprowadzenia oceny skutków dla ochrony danych. Art. 35 ust. 3 lit. b Rozporządzenia RODO wskazuje już natomiast, że ocena skutków dla ochrony danych wymagana jest w szczególności w przypadku:
– przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 Rozporządzenia RODO, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 Rozporządzenia RODO.
Wydaje się, że przedsiębiorstwa energetyczne nie będą spełniać tych przesłanek przetwarzając tylko dane osobowe w odniesieniu do kilku lub kilkunastu osób z których żadna może nie być skazana.
Oceniając obowiązek przeprowadzenia oceny skutków dla ochrony danych przedsiębiorstwo energetyczne może również sięgnąć pomocniczo po Wytyczne Grupy Roboczej Art. 29 Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679, gdzie przykładowo wskazano, że przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy „danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika. W takich przypadkach ocena skutków dla ochrony danych nie powinna być obowiązkowa.”
Wydaje się, że powyższy zapis Wytycznych może stanowić wskazówkę dla przedsiębiorstw energetycznych, że nieregularne przetwarzanie danych osobowych w odniesieniu do kilku lub kilkunastu osób z których żadna może nie być skazana nie będzie stanowić samodzielnej podstawy do sporządzenia oceny skutków regulacji. Oczywiście w toku wdrażania RODO może się okazać, że obowiązek przeprowadzenia oceny skutków dla ochrony danych o której mowa w art. 35 Rozporządzenia RODO zaistnieje ze względu na spełnienie innych przesłanek.
Obowiązek wyznaczenia inspektora ochrony danych osobowych w przedsiębiorstwie energetycznym – art. 37 ust. 1 Rozporządzenia RODO
Przedsiębiorstwo energetyczne w toku wdrażania RODO powinno również dokonać oceny konieczności wyznaczenia inspektora ochrony danych osobowych ze względu na poruszoną w niniejszym artykule kwestię przetwarzania danych osobowych w zakresie wyroków skazujących określonych w art. 10 Rozporządzenia RODO.
Zgodnie z art. 37 ust. 1 lit. b) i c) Rozporządzenia RODO obowiązek wyznaczenia inspektora ochrony danych powstanie w sytuacji gdy:
– główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10
Jak widać powyższa przesłanka jest bardzo podobna do przesłanki określonej w art. 35 ust. 3 lit. b Rozporządzenia RODO w zakresie obowiązku sporządzenia oceny skutków dla ochrony danych – dodany został warunek określający że „główną działalnością administratora” jest przetwarzanie określonych danych.
Biorąc pod uwagę dotychczasowe rozważania w zakresie podlegania pod obowiązek przeprowadzenia oceny skutków dla ochrony danych, może się również okazać, że nieregularne przetwarzanie danych osobowych w odniesieniu do kilku lub kilkunastu osób z których żadna może nie być skazana, nie będzie stanowić samodzielnej podstawy do wyznaczenia inspektora ochrony danych.
Oczywiście w toku wdrażania RODO może się okazać, że obowiązek wyznaczenia inspektora ochrony danych o którym mowa w art. 37 Rozporządzenia RODO zaistnieje ze względu na spełnienie się innych przesłanek. O kwestiach wyznaczenia inspektora ochrony danych osobowych na podstawie art. 37 Rozporządzenia RODO pisaliśmy w poniższym artykule.
PODSUMOWANIE
Sygnalizujemy że niniejszy artykuł nie wyczerpuje w całości tematyki uzyskiwania zaświadczeń o niekaralności w kontekście Rozporządzenia RODO. Przykładowo można wskazać, iż ustawa o krajowym rejestrze karnym nie pozwala na uzyskanie przez spółki zaświadczenia o niekaralności dla innych osób uprawnionych do reprezentacji danego podmiotu (innych aniżeli członkowie zarządu oraz członkowie rad nadzorczych) czyli np. pełnomocników lub prokurentów w konsekwencji uzyskanie takiego zaświadczenia może odbywać się tylko na podstawie zgody tych osób, co część poglądów doktryny uznaje za niedopuszczalne w świetle Rozporządzenia RODO.
Celem niniejszego artykułu było zwrócenia uwagi na proces przetwarzania danych osobowych określonych w art. 10 Rozporządzenia RODO, który może odbywać się w każdym przedsiębiorstwie z branży energetycznej. Proces ten należy uwzględnić przy wdrażaniu RODO i każde przedsiębiorstwo energetyczne musi indywidualnie dokonać wewnętrznej oceny konieczności stosowania wskazanych powyżej obowiązków wynikających z RODO.
