Aby organizacja odzysku mogła złożyć sprawozdanie za firmę, musi dostać dostęp do BDO jako użytkownik główny firmy. Ale w ten sposób zyskuje dostęp do innych tajemnic przedsiębiorstwa.
Już wkrótce wiele firm będzie musiało skorzystać z nowej funkcjonalności Bazy danych o produktach i opakowaniach oraz o gospodarce odpadami (BDO), czyli z modułu sprawozdawczego. Został on uruchomiony w czerwcu, a sprawozdania od pierwszych grup przedsiębiorców muszą spłynąć do BDO już w końcu sierpnia. Jednak jak informują nas przedstawiciele branży odpadowej, korzystanie z nowego modułu bazy rodzi wiele problematycznych sytuacji. Dotyczą one nie tylko firm zajmujących się odpadami czy wprowadzających na rynek opakowania i niektóre inne produkty, lecz także obsługujących je organizacji odzysku.
Jak wywiadownia
W najgorszej sytuacji są przedsiębiorcy zajmujący się sprzętem elektrycznym i elektronicznym. Zdecydowana większość z nich przy rozliczeniach korzysta z organizacji odzysku. Praktycznie tylko w ten sposób mogą obniżyć opłaty – inaczej musieliby uiszczać wysokie kwoty za wprowadzenie na teren Polski lamp, komputerów, odkurzaczy, telefonów komórkowych, telewizorów czy paneli fotowoltaicznych. Mają więc niekiedy od lat podpisane z umowy z organizacjami odzysku i przy ich pomocy nie tylko rozliczają się z obowiązków, lecz także składają doroczne sprawozdania. Zgodnie bowiem z ustawą z 11września 2015 r. o zużytym sprzęcie elektrycznym i elektronicznym (t.j. Dz.U. z 2019 r. poz. 1895; ost.zm. Dz.U. z 2020 r. poz. 875) przedsiębiorca nie ma możliwości samodzielnego złożenia sprawozdania, o ile zlecił rozliczanie obowiązku organizacji odzysku (może rozliczać się i składać sprawozdanie sam, ale to się wiąże na ogół z ponoszeniem opłat recyklingowych, trudno sobie bowiem wyobrazić, żeby firma wprowadzająca sprzęt zajmowała się jednocześni jego recyklingiem). Sęk w tym, że aby jedna firma mogła złożyć sprawozdanie za drugą firmę, musi mieć dostęp do bazy jako użytkownik główny ze strony tejże firmy. A mając go, zyskuje wgląd do innych danych o przedsiębiorcy i może dużo dowiedzieć się jego o działalności.
Konto jak klucz do sezamu
Wszystko to przez źle skonstruowany, nie do końca przemyślany system logowania do BDO. Chociaż system BDO dopuszcza korzystanie z dwóch różnych poziomów, czyli użytkownika głównego i użytkownika podrzędnego, to ‒ jak tłumaczy Aleksandra Gembora z CCR – składającym sprawozdanie może być tylko użytkownik główny. Poziom użytkownika głównego może, a w większych firmach nawet musi mieć kilka osób. Inaczej prezes musiałby się cały czas zajmować tylko bazą. – My jako organizacja odzysku sprzętu jesteśmy ustawowo zobowiązani do złożenia takiego sprawozdania za naszego klienta. Możemy to zrobić wyłącznie z poziomu użytkownika głównego i z konta klienta – podkreśla Aleksandra Gembora. Kłopot w tym, że użytkownicy główni, logując się do bazy z poziomu firmy, widzą wszystko, co jest w niej zapisane, nie tylko to, co jest potrzebne do sprawozdania sprzętowego. – Możemy bez problemu się dowiedzieć, ile odpadów wytwarza firma, poznać ich kody, dowiedzieć się, komu je przekazuje. Dla osób znających się na rzeczy może być np. jasne, z jakich technologii korzysta firma, w jakiej jest kondycji finansowej, komu jakie działania zleca. Główni użytkownicy widzą, z kim firma podpisała umowy, kto ma jakie pełnomocnictwa, także numery dowodów osobistych czy PESEL. Poziom bezpieczeństwa jest zerowy – podkreśla przedstawicielka organizacji odzysku. Co więcej, takie osoby mogą coś w systemie świadomie (ale również nieświadomie) skasować. Na jednym ze spotkań z przedsiębiorcami przedstawiciele Instytutu Ochrony Środowiska – Państwowego Instytutu Badawczego, który prowadzi BDO, przyznali, że taki problem występuje, ale dodali, że niestety tego się nie zmieni.
Jedyna nadzieja w umowie
Trudno się więc dziwić, że część firm, zwłaszcza tych większych, które z zagrożeń zdają sobie sprawę, nie chce przekazywać organizacjom odzysku dostępów z poziomu własnej firmy, co organizacjom blokuje możliwość złożenia sprawozdań. I powstaje klincz. Z jednej strony za firmę sprawozdanie musi złożyć organizacja (zwłaszcza że rozliczenia dotyczą 2019 r.). Z drugiej – firma ze zrozumiałych powodów nie chce dać dostępu. Co w takiej sytuacji można zrobić? Najprościej byłoby albo pozwolić rozliczać się tak jak za 2018 r., albo zmienić ustawę o zużytym sprzęcie, aby przedsiębiorcy mogli sami składać sprawozdania obliczone przez organizacje odzysku.
Co zatem można radzić? Niewiele. Doraźnie eksperci zalecają zmianę umowy między firmą a organizacją odzysku, dodanie do niej klauzuli poufności, przewidującej ograniczenie dostępu do tych danych i odpowiedzialność za jej naruszenie. ‒ Jest to kwestia odpowiedniego zredagowania umowy oraz doprecyzowania uprawnień organizacji odzysku i zakresu informacji, które może wykorzystywać – mówi Krzysztof Gruszecki, radca prawny zajmujacy się ochroną środowiska. – Jeżeliby organizacja wyszła poza te informacje, to byłoby naruszenie warunków umowy wiążącej wytwórcę z organizacją i wobec tego byłyby podstawy do żądania odszkodowania. Nawet jeśli ze względu na funkcjonalność bazy ktoś ma dostęp do większej ilości danych, to nie znaczy, że może to wykorzystywać.
To oczywiście połowiczne rozwiązanie, które nie rozwiąże podstawowego problemu.
Z prywatnego profilu zaufanego
Innym problemem, uciążliwym dla wielu osób obsługujących system, jest to, że logując się do bazy jako użytkownik główny, muszą przy tym korzystać z prywatnego profilu zaufanego, służącego co do zasady do kontaktów z administracją przy realizacji spraw osobistych, np. wydaniu dowodu osobistego, aktu urodzenia, e-recepty itp. Nie ma możliwości założenia takiego profilu dla celów służbowych. Dotyczy to dużej grupy pracowników firm zajmujących się niektórymi produktami czy odpadami oraz organizacji odzysku.
Wielu pracowników nie chce zgodzić się na łączenie profilu prywatnego ze sprawami służbowymi. Firmy mają zatem kolejny problem. Zwłaszcza że posiadanie profilu zaufanego nie jest obowiązkiem obywatela i niektórzy pracownicy musieliby go specjalnie zakładać, aby obsługiwać bazę. A już na pewno pracownicy nie chcą udostępniać swojego profilu pracodawcy, żeby mógł on z niego skorzystać, gdy np. zachorują lub pojadą na urlop, a w firmie zdarzy się wyjątkowa sytuacja i do BDO trzeba się będzie w tym czasie zalogować. Żeby tego uniknąć, osoby, które miałyby w zastępstwie realizować obowiązki użytkowników głównych, też mogą mieć nadane prawa użytkownika głównego, ale tym samym liczba osób mających dostęp do bazy i tajemnic firmy wzrasta.
Czy w ogóle pracodawca może wymagać korzystania z własnego loginu? Okazuje się, że tylko wtedy, kiedy pracownik wyraża na to zgodę. [opinia]
opinia eksperta
Prawo pracy w precyzyjnie określa zasady przetwarzania danych osobowych. Przepisy kodeksu pracy wymieniając enumeratywnie rodzaje danych osobowych, których może żądać pracodawca zarówno na etapie rekrutacji, jak i w późniejszym okresie zatrudnienia, wskazują, że inne dane mogą być pozyskiwane wyłącznie za zgodą osoby ubiegającej się o zatrudnienie lub pracownika, a w przypadku danych biometrycznych używanie ich jest możliwe wyłącznie z inicjatywy samego pracownika.
Kodeks pracy nie wymienia przy tym profilu zaufanego pracownika jako danych osobowych, do których pracodawca ma swobodny dostęp. Profil taki zgodnie z informacjami zamieszczonymi na stronie Ministerstwa Cyfryzacji jest metodą potwierdzania tożsamości obywatela, działa jak odręczny podpis, podobnie jak kwalifikowany podpis elektroniczny. Ma on charakter identyfikatora internetowego, a zatem to dane osobowe i podlega stosownej ochronie zarówno w przestrzeni publiczno-prawnej, jak i w relacjach pracy. I tak w przypadku gdy do obowiązków pracowników należy praca z bazą danych, do której dostęp jest możliwy wyłącznie przy użyciu profilu zaufanego, korzystanie z niego do celów służbowych możliwe jest wyłącznie za zgodą pracownika. Oczywiście należy podkreślić, że w przypadku gdyby powszechnie obowiązujące przepisy prawa, tj. rangi ustawowej, przewidywały konieczność używania profilów zaufanych w celu dostępu do baz danych, które pracownik zobowiązany jest przetwarzać, pracodawca powołując się na te przepisy, mógłby jednostronnie żądać od pracowników używania ich własnych profili do celów służbowych.
Łatwo się pomylić, trudno wykryć
To że baza jest niedopracowana, potwierdza jeszcze inny mankament modułu sprawozdawczego: zebrane w nim dane można wydobyć tylko w formie plików PDF. Jeśli ktoś więc chce coś sprawdzić, przeanalizować, to nie może pobrać danych w formie umożliwiającej edycję, musi w zasadzie przepisać je ręcznie, co zabiera dużo czasu. Jak twierdzą nasi rozmówcy, ta wada uniemożliwia choćby kontrolę dużych firm. Czas na przygotowanie odpowiednich danych może się bowiem okazać dużo dłuższy niż czas przewidziany na kontrolę. Na pewno system nie weryfikuje też żadnych danych wprowadzonych do systemu, nie wylicza ponadto opłat produktowych, do czego przedsiębiorcy i organizacje odzysku były od dawna przyzwyczajone. Na stronach urzędów marszałkowskich do ubiegłego roku można było bowiem skorzystać z interaktywnych formularzy lub kalkulatorów i wyliczyć opłatę w ekspresowym tempie. Teraz wszystko to trzeba liczyć samodzielnie, co dodatkowo zwiększa możliwość pomyłki. A przynajmniej jeśli chodzi o przedsiębiorców zajmujących się sprzętem elektrycznym i elektronicznym, to ‒ mimo że sprawozdanie wykonuje organizacja odzysku ‒ za błędy odpowiada ten, kto sprzęt wprowadza. I on płaci grzywnę.
