W dniu 1 kwietnia 2015 r. przyjęto Rekomendację CM/REC (2015) 5 Komitetu Ministrów dla państw członkowskich na temat ochrony danych osobowych wykorzystywanych dla celów zatrudnienia określającą zasady, które wszystkie 47 krajów członkowskich powinny wdrożyć w swoim krajowym porządku prawnym dotyczącym przetwarzania danych osobowych pracowników oraz kandydatów do pracy, np. w odniesieniu do danych zdrowotnych oraz monitorowania komunikacji w miejscu pracy.

Przyjęty przez Komitet Ministrów tekst, jest zmienioną wersją Rekomendacji dotyczącej tego samego tematu z 1989 r., to jest okresu w którym Internet znajdował się dopiero na początku swojego rozwoju. Celem zaktualizowanego tekstu jest odpowiedź na wyzwania dla prywatności, które wynikają z wykorzystania nowych technologii informacyjnych oraz komunikacyjnych.

Rekomendacja, która znajduje zastosowanie zarówno do sektora publicznego jak i prywatnego stanowi, że pracodawcy powinni unikać nieuzasadnionej ingerencji w prawo do prywatności pracownika w miejscu pracy, w odniesieniu do wszystkich informacyjnych środków technologicznych. Zawiera różne środki ochronne zapewniające, że dane osobowe pracowników są odpowiednio chronione, jak również dostarcza wytyczne w kwestii tego jak pracodawcy powinny zbierać, przechowywać oraz przekazywać dane osobowe na zewnątrz, np. do instytucji publicznych.

Stosownie do Rekomendacji, pracownicy powinni posiadać dostęp do danych osobowych, które są przechowywane przez pracodawców na ich temat oraz do informacji na temat ich pochodzenia oraz celu ich przetwarzania. Powinni być również uprawnieni do tego, aby ich dane zostały poprawione lub usunięte, jeżeli są niedokładne lub były przetwarzane w sposób sprzeczny z prawem.

Ponadto tekst Rekomendacji określa szereg zaleceń skierowanych do państw członkowskich w odniesieniu do konkretnych form przetwarzania:

- w celu monitorowania dostępu do stron Internetowych lub Intranetowych przez pracowników pracodawcy powinni preferować środki zapobiegawcze, takie jak filtry, mające na celu zapobieżenie danej operacji;

- dostęp przez pracodawców do zawodowej komunikacji elektronicznej pracowników może nastąpić tylko wtedy, gdy pracownicy zostali uprzednio poinformowani o takiej możliwości oraz dla celów bezpieczeństwa lub z innych uzasadnionych względów. Prywatna komunikacja elektroniczna w pracy nie powinna być monitorowana w żadnych okolicznościach;

- wykorzystanie systemów informacyjnych, obejmujących nadzór wideo, wykorzystywanych do monitorowania działalności oraz zachowań pracowników, jest co do zasady zabronione. Zezwolenie na taką formę monitorowania może się odbyć pod ścisłymi warunkami;

- zbieranie oraz dalsze przetwarzanie danych biometrycznych, takich jak odciski palców lub wzory twarzy powinno być podejmowane tylko jeśli jest to konieczne do ochrony uzasadnionych interesów pracodawców, pracowników lub stron trzecich, oraz tylko jeśli nie są dostępne inne mniej inwazyjne środki;

- pracownikom powinno się zagwarantować prawo dostępu do danych ewaluacyjnych, obejmujących dane odnoszące się do oceny wyników, produktywności oraz zdolności pracowników;

- dane genetyczne nie mogą być przetwarzane w celu określenia tego czy pracownik lub kandydat do pracy nadaje się na stanowisko. Dane te mogą być przetwarzane tylko w wyjątkowych okolicznościach określonych przez prawo oraz przy zastosowaniu ścisłych środków ochrony prawnej;

- jakiekolwiek dane dotyczące zdrowia przetwarzane przez pracodawcę muszą być ściśle związane ze zdolnością pracownika do wykonywania swoich obowiązków oraz być konieczne do zapobiegania zagrożeniom wobec osoby, której dane dotyczą lub innych osób.

Zobacz:

- Rekomendacja CM/REC (2015) 5 - wersja angielska,

- Rekomendacja CM/REC (2015) 5 - wersja polska.