Przy tworzeniu raportów ESG firmy muszą przestrzegać RODO, aby chronić dane osobowe pracowników i interesariuszy. W związku z tym pojawia się wiele pytań i wątpliwości – jednym z głównych wyzwań jest ustalenie, jak przekazać niezbędne informacje, jednocześnie przestrzegając surowych przepisów dotyczących ochrony danych osobowych.
Z artykułu dowiesz się:
- Jakie dane osobowe są przetwarzane w trakcie przygotowywania raportu ESG?
- Jakie techniki można zastosować, aby chronić prywatność pracowników i interesariuszy?
- Jakie konsekwencje grożą firmom za naruszenie przepisów RODO w raportach ESG?
Firmy aktywnie przygotowują się do nowego wyzwania, jakim jest raportowanie czynników ESG. Ten obowiązek obecnie dotyczy największych spółek giełdowych, ale już od 2026 r. obejmie kolejne 3,5 tys. firm w Polsce. Część informacji zawartych w sprawozdaniach niefinansowych dotyczy pracowników, sygnalistów, kontrahentów lub innych interesariuszy. Organizacje muszą zadbać o ochronę ich danych osobowych. Przestrzeganie przepisów RODO (Rozporządzenie o Ochronie Danych Osobowych) nie tylko chroni te osoby, ale także pomaga firmom uniknąć kar finansowych i reputacyjnych związanych z naruszeniami przepisów.
Jakie dane są ujawniane w raporcie ESG?
Raportowanie ESG wymaga zbierania danych dotyczących trzech głównych aspektów: środowiskowych (E), społecznych (S) i związanych z ładem korporacyjnym (G). Najbardziej ryzykowne w kwestii naruszenia danych osobowych są dwa ostatnie obszary. Mniej wymagający pod tym względem jest obszar wpływu firmy na środowisko, ale i tu mogą pojawić się niejasności.
Aspekt środowiskowy
W obszarze środowiskowym raportowanie ESG koncentruje się na działalności firmy mającej wpływ na środowisko naturalne. Choć bezpośrednie powiązania z danymi osobowymi są tu rzadsze, to jednak można zidentyfikować pewne zagadnienia, w których przetwarzanie danych osobowych jest nieuniknione. Raporty środowiskowe mogą zawierać dane o śladzie węglowym firmy, w tym dane o podróżach służbowych pracowników, np. częstotliwości i celach podróży, czy rodzaju transportu. Takie informacje mogą być łatwo powiązane z konkretnymi osobami.
Aspekt społeczny
W obszarze społecznym ochrona danych osobowych odgrywa szczególną rolę, ponieważ pojawiają się tu informacje dotyczące m.in. płci, wieku, narodowości, wykształcenia, czy stopnia niepełnosprawności pracowników. Na przykład, raporty mogą pokazać, jak firma wspiera równość szans poprzez zwiększanie udziału kobiet na stanowiskach kierowniczych czy wprowadzanie programów zatrudnienia osób z niepełnosprawnościami. Chociaż dane te są zazwyczaj prezentowane w formie zagregowanej, czyli w ujęciu ogólnym, istnieje ryzyko, że w mniejszych organizacjach lub działach mogą prowadzić do niezamierzonej identyfikacji jednostek. Kombinacja danych demograficznych, jak np. wiek i płeć, w połączeniu z innymi szczegółami, np. stopień niepełnosprawności może pozwolić na zidentyfikowanie konkretnej osoby, co stanowi naruszenie zasad RODO.
Organizacje powinny przetwarzać tylko te dane, które są niezbędne do osiągnięcia celu raportu. Jednak, jak pokazuje najnowszy raport McDonald’s, różnie z tym bywa. W opublikowanej grafice w raporcie ESG za 2023 r. podano wiek, stanowisko, imię oraz miejsce pracy zatrudnionej osoby. Aby dane tej pracownicy mogły być upublicznione w takiej formie, konieczne było uzyskanie jej wyraźnej, dobrowolnej zgody na przetwarzanie i publikowanie jej danych osobowych w takim zakresie. W kontekście RODO, takie prezentacje w raporcie ESG mogą rodzić pewne ryzyka.
Ład korporacyjny
Informacje o strukturze zarządu, składzie organów nadzorczych, wynagrodzeniach i premiach kierownictwa to dane, które często są objęte raportowaniem w ramach ładu korporacyjnego. Pojawiają się tu również informacje dotyczące naruszeń regulacji, polityk antykorupcyjnych, wyników audytów, które na etapie gromadzenia informacji obejmują dane osobowe zarówno pracowników, jak i kontrahentów. Może to prowadzić do wielu naruszeń.
Zestawienie zgłoszonych incydentów dotyczących dyskryminacji, molestowania, prania pieniędzy oraz polityki antykorupcyjnej opublikowane w raporcie ESG Allegro.
Filar „G” może także zawierać dane osób zgłaszających nieprawidłowości (czyli sygnalistów). Na przykład w raporcie ESG Allegro za 2023 r. przedstawiono dane dotyczą incydentów związanych z polityką przeciwdziałania dyskryminacji, molestowaniu, zastraszaniu oraz przemocy, a także polityką przeciwdziałania praniu pieniędzy, finansowaniu terroryzmu i polityką antykorupcyjną. Dane są prezentowane w sposób zagregowany, co uniemożliwia identyfikację konkretnych pracowników czy osób zaangażowanych w zgłaszanie incydentów.
Jak chronić dane osobowe w raporcie ESG?
Przetwarzanie danych osobowych w raportach ESG niesie ryzyko naruszenia prywatności, zwłaszcza jeśli dane nie są odpowiednio chronione. Błędy, takie jak brak szyfrowania plików lub zbyt szeroki dostęp do danych, mogą prowadzić do naruszeń. Aby temu zapobiec, firmy muszą stosować zasady RODO, takie jak:
- Minimalizacja danych: Ograniczanie zbieranych danych osobowych do minimum, np. stosowanie techniki anonimizacji (30 proc. zatrudnionych kobiet to Ukrainki) lub techniki pseudonimizacji (pracownik B34 zarabia 5 tys. zł brutto).
- Legalność przetwarzania: Dane muszą być przetwarzane na podstawie jednej z przesłanek prawnych, np. umowy lub uzasadnionego interesu, jak monitorowanie polityki równości szans.
- Przejrzystość: Osoby, których dane są przetwarzane, muszą być jasno poinformowane o celu i podstawie przetwarzania. Firmy powinny prowadzić rejestr przetwarzania, wprowadzać polityki prywatności i wyznaczyć Inspektora Ochrony Danych (IOD).
- Bezpieczeństwo danych: Wdrożenie środków technicznych i organizacyjnych, takich jak szyfrowanie danych i ograniczony dostęp. Szczególnie w przypadku przetwarzania wrażliwych danych takich jak zdrowie pracowników czy tożsamość sygnalistów.
Warto aby w strukturze organizacji powstał dedykowany zespół do przygotowania raportu ESG, który będzie odpowiednio przeszkolony w zakresie przepisów RODO. Działanie to pozwoli zminimalizować ryzyko naruszeń prywatności.
Czy raportowanie ESG wymaga zgody pracowników na przetwarzanie danych?
Każde przetwarzanie danych osobowych w ramach raportowania ESG musi mieć podstawę prawną zgodną z RODO. Firma może przetwarzać dane na podstawie umowy (np. dane pracowników wynikające z zatrudnienia) lub uzasadnionego interesu firmy (czyli sytuacji, w której przetwarzanie danych jest konieczne do realizacji celów firmy, np. monitorowanie wyników pracy pracowników). Jeśli jednak te podstawy nie są wystarczające, konieczne jest uzyskanie zgody od pracowników lub innych osób, których dane dotyczą. Na przykład, jeśli raport ESG ujawnia dane związane z różnorodnością i zdrowiem pracowników, niezbędne jest uzyskanie ich wyraźnej zgody na takie przetwarzanie.
Zgoda na przetwarzanie danych osobowych musi być dobrowolna, konkretna, świadoma i jednoznaczna. Oznacza to, że osoba, której dotyczą dane, musi być w pełni poinformowana o celu przetwarzania i mieć możliwość wyrażenia zgody w sposób swobodny. Może ona brzmieć na przykład w ten sposób:
„Wyrażam zgodę na przetwarzanie moich danych osobowych w ramach raportu ESG firmy XYZ, w tym danych dotyczących mojego stanowiska, płci oraz wyników mojej pracy, wyłącznie do celów raportowania zgodnego z wymogami prawnymi i regulacyjnymi.”
Co jeśli dane zostaną ujawnione bez zgody pracownika?
Naruszenia RODO w kontekście raportowania ESG mogą skutkować poważnymi konsekwencjami, zarówno finansowymi, jak i reputacyjnymi. Na przykład, jeśli w raporcie ESG pada stwierdzenie, że kobiety na stanowiskach zarządczych zarabiają powyżej 20 tys. zł, a dana organizacja zatrudnia tylko jedną kobietę w zarządzie, takie ujawnienie informacji jednoznacznie określa jej wynagrodzenie. Tego typu nieodpowiednia anonimizacja danych może narazić firmę na sankcje związane z niewłaściwym przetwarzaniem danych osobowych i być uznane za naruszenie prywatności pracownika.
Zgodnie z RODO, kary za naruszenie mogą wynosić nawet do 20 mln EUR lub do 4 proc. rocznych, globalnych przychodów firmy, w zależności od tego, która kwota jest wyższa. Wysokość kary zależy od charakteru i wagi naruszenia.
Naruszenie RODO w kontekście raportowania ESG może prowadzić również do poważnych strat wizerunkowych. Ujawnienie, że firma nie chroni prywatności danych osobowych, może spowodować utratę zaufania klientów, pracowników, partnerów biznesowych i inwestorów, co w dłuższej perspektywie może być bardziej kosztowne niż sama kara finansowa.