Poradnik Przedsiębiorcy

RODO - rewolucja w Kodeksie pracy w zakresie ochrony danych osobowych

25 maja 2018 r. zacznie obowiązywać w prawie polskim Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane w Polsce RODO. Rozporządzenie będzie obowiązywać w 28 krajach Unii Europejskiej. Powyższe przepisy będą istotne w kwestii nowych reguł przetwarzania danych osobowych pracowników.

Należy zaznaczyć, że projekt ustawy o ochronie danych osobowych w Polsce jest jeszcze na etapie legislacyjnym. Wobec braku przepisów przejściowych już od 25 maja 2018 r. pracodawcy i przedsiębiorcy powinni wprowadzić zmiany w zakresie przetwarzania danych osobowych w oparciu o wspomniane wyżej rozporządzenie unijne.

Przygotowania pracodawców do wprowadzenia RODO

Należy podkreślić, że wobec pracodawców nowe przepisy o RODO nakładają większą odpowiedzialność za przetwarzanie danych. Zatem powinni oni dokonać analizy ryzyka przetwarzania danych w celu przygotowania procedur, sposobu zabezpieczenia dokumentacji, a w dalszej części zastosowania w zakładach pracy stosownych zabezpieczeń informatycznych oraz organizacyjnych. Informacje o pracownikach i klientach firmy powinny być objęte procedurami, które zapewnią należyty standard bezpieczeństwa.

W pierwszej kolejności pracodawcy powinni zlecić administratorom danych osobowych przygotowanie audytu, który określi, jakie dane są przetwarzane, przez kogo, skąd są pobierane i dokąd trafiają. Warto pamiętać o stworzeniu stosownej polityki przetwarzania danych osobowych.

Następnym krokiem powinno być przejrzenie klauzul o udostępnianiu danych osobowych, z uwagi na to, że przepisy rozporządzenia obligują pracodawców do dostosowania klauzul informacyjnych dla osób, których dane będą przetwarzane. Ponadto trzeba przygotować pakiet informacji z podaniem okresu przechowywania, celu przetwarzania danych i osób, którym będą udostępniane. Osoby, których dane są przetwarzane, powinny mieć kontrolę nad przetwarzaniem swoich danych, w szczególności posiadać prawo do ich usunięcia czy przekazania do innego administratora danych.

W przypadku pobierania i przetwarzania danych osób na potrzeby procesów rekrutacyjnych, pracodawcy powinni wprowadzić stosowne procedury.

Obecna instytucja Administratora Danych Osobowych (ABI) zostaje zastąpiona Inspektorem Danych Osobowych, który powinien posiadać ekspercką wiedzę popartą doświadczeniem zawodowym w tym zakresie. Zgodnie z powyższym rozporządzeniem inspektorzy będą odpowiedzialni za dokumentację i rejestry danych osobowych oraz czynności przetwarzania tych danych. Powyższe będzie niezbędne w celach potwierdzenia prawidłowości działania procesów przetwarzania danych osobowych w firmie zgodnie z wprowadzanymi przepisami.

Rejestry danych osobowych powinny obejmować:

  • najważniejsze dane administratora;

  • cel przetwarzania danych;

  • podstawę prawną przetwarzania danych;

  • listę osób, których dane są przetwarzane;

  • okres przechowywania danych osobowych;

  • listę odbiorców danych osobowych;

  • szczegółowy dostęp innych osób do danych osobowych;

  • listę osób, które będą mogły przetwarzać zgromadzone dane osobowe;

  • czas, po którym nastąpi usunięcie danych osobowych.

Ponadto niezbędne będzie utworzenie procedury na wypadek przecieku danych osobowych, trybu postępowania zgłoszeniowego w sytuacji naruszenia ochrony danych osobowych do odpowiedniego organu, przygotowanie procedur w przypadku kontroli UODO (Urząd Ochrony Danych Osobowych).

Pracodawcy, którzy zatrudniają ponad 250 osób, będą zobowiązani do stworzenia listy administratorów zajmujących się bezpieczeństwem przetwarzanych danych osobowych.

Każdy wypadek naruszający ochronę danych osobowych będzie musiał być zgłoszony w trybie pilnym (72 godziny od powstania naruszenia). Zgłoszenie stosownemu organowi i osobie, której to naruszenie dotyczy, będzie musiało przebiegać zgodnie z opracowaną wcześniej procedurą.

Zmiany RODO w Kodeksie pracy

Przede wszystkim warto zwrócić uwagę na zmiany dotyczące art. 221 i następnych Kodeksu pracy, który dawał możliwość żądania informacji od pracownika biorącego udział w procesie rekrutacyjnym. W szczególności na tym etapie pracodawca nie może żądać informacji o imionach rodziców czy adresu zamieszkania. Ważne, że w zamian tych informacji pracodawca może zobowiązać osobę do podania adresu do korespondencji i adresu e-mail czy numeru telefonu. W przypadku zatrudnienia pracownika żądanie podania adresu zamieszkania będzie zasadne. Należy zaznaczyć, iż powyższe dane mogą być przetwarzane jedynie po wyrażeniu zgody przez pracownika w stosownym oświadczeniu. Przetwarzane dane osobowe pracownika powinny mieć wyłączny związek z wykonywaniem stosunku pracy. W przypadku pozyskania innych danych, niewskazanych w powyższym przepisie, pracodawca będzie musiał uzyskać od pracownika zgodę w postaci oświadczenia.

Zgody na przetwarzanie danych osobowych mogą być wyrażane w oświadczeniach w formie papierowej lub elektronicznej. Warto jednak zwrócić uwagę, że brak zgody na przetwarzanie danych nie może stanowić podstawy negatywnego traktowania kandydata do pracy czy pracownika, w szczególności nie może stanowić przyczyny do rozwiązania umowy o pracę czy odmowy zatrudnienia. 

Należy zwrócić uwagę na kwestię danych biometrycznych, które będą mogły być przetwarzane tylko w stosunku do zatrudnionych pracowników wraz z pozyskaną od nich w oświadczeniu zgodą. Pracodawca nie powinien pozyskiwać danych osobowych dotyczących stanu zdrowia (wyjątkiem jest zaświadczenie o zdolności do pracy), uzależnień czy orientacji seksualnej.

Warto dodać, że nowe uregulowania w kwestii monitoringu wskazują, że powinien on służyć określonym celom, takim jak bezpieczeństwo pracowników, zachowanie tajemnicy przedsiębiorstwa, ochrony mienia. Monitoring nie powinien służyć kontroli pracy pracownika, zatem pracodawca w przypadku odkrycia naruszeń spowodowanych przez pracownika, nie będzie mógł wykorzystać zdobytych w ten sposób materiałów przeciwko niemu. Urządzenia monitorujące nie mogą znajdować się w pomieszczeniach niezwiązanych ze świadczeniem pracy, takimi jak szatnie, kuchnia pracownicza, pomieszczenia sanitarne itp. Pracodawca, który zamierza zainstalować monitoring, powinien poinformować pracowników w zwyczajowy dla danego zakładu pracy sposób, najpóźniej na 14 dni przed jego uruchomieniem.

Wykorzystanie dotychczasowych zgód

Co do zasady pracodawca może wykorzystać zgromadzone dotychczas zgody pobrane w celu przetwarzania danych osobowych przed 25 maja 2018 r., jeśli osoby wyraziły tę zgodę dobrowolnie, świadomie, jednoznacznie i konkretnie, ponadto były poinformowane o możliwości ich wycofania w każdym momencie (art. 4 pkt 11 RODO). Pozyskane dotychczas zgody powinny spełniać standardy określone również w nowych przepisach. 

Zgodnie z punktem 171 preambuły RODO, jeżeli przetwarzanie danych osobowych ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie jej wyrażać, jeżeli pierwotny tego sposób odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia. Zatem jeśli dotychczasowe zgody spełniają powyższe warunki, zachowają ważność. 

Po 25 maja 2018 r. zgody na przetwarzanie danych osobowych powinny być wyrażone w sposób wyraźny. Sposób wycofania zgody powinien być możliwy w każdym momencie, bez zbędnych utrudnień. Pracodawcy powinni zadbać o podstawę prawną udzielonych dotychczas zgód.

Pracodawcy powinni być przygotowani na to, że w przypadku kontroli Urzędu Ochrony Danych Osobowych (UODO) muszą wykazać nie tylko zgody aktualne, lecz także historyczne zgody na przetwarzanie danych osobowych wraz z podstawą prawną.

Zgodnie z art. 5 ust. 1 pkt a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) dane osobowe muszą być:

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość");

  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność") (por. art. 5 ust. 1 pkt f).

Wobec powyższego pracodawca został zobowiązany do przechowywania dokumentacji w sposób, który zapewnia zachowanie poufności, dostępności, kompletności i integralności (art. 94 pkt 9 b Kodeksu pracy).

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

  • pseudonimizację i szyfrowanie danych osobowych;

  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych, i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (por. art. 32 ust. 1 pkt b RODO).

Naruszenie przepisów o ochronie danych osobowych zagrożone jest wysokimi karami

Warto wskazać, że nowe przepisy o RODO przewidują wysokie kary za naruszenia ochrony danych osobowych. Zgodnie z art. 83 ust. 5 o RODO naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa:

  • podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9;

  • praw osób, których dane dotyczą, o których mowa w art. 12-22;

  • przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, o którym to przekazywaniu mowa w art. 44-49;

  • wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX;

  • nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1.

Zatem pracodawcy i przedsiębiorcy powinni szczególnie zadbać o należyte zabezpieczenie danych osobowych, przygotowanie polityki ochrony danych osobowych i stosownych procedur z uwagi na ogromne kary, które mogą być nakładane w wyniku kontroli po 25 maja 2018 r.

Konkludując, warto pamiętać o katalogu danych osobowych, które będzie mógł pozyskać pracodawca od kandydata do pracy. W szczególności są to: imię i nazwisko, data urodzenia, adres do korespondencji, adres e-mail, numer telefonu, wykształcenie, informacje o dotychczasowym zatrudnieniu. Jeśli chodzi o pracownika, pracodawca w celu przetwarzania jego danych może pozyskać takie informacje jak: adres zamieszkania, numer PESEL lub rodzaj i numer dowodu tożsamości, dane dzieci czy innych członków rodziny, jeśli są niezbędne do uzyskania innych uprawnień pracowniczych. Powołani inspektorzy danych osobowych powinni posiadać wiedzę ekspercką, z uwagi na prowadzone rejestry, gromadzone dokumenty i czynności przetwarzania danych osobowych. Zgłoszenie naruszenia ochrony danych osobowych będą musiały następować w trybie pilnym w ciągu 72 godzin. Monitoring w miejscu pracy i pozyskiwanie danych biometrycznych będzie możliwy po uzyskaniu stosownych zgód i poinformowaniu pracowników o powyższym. Dotychczasowe zgody na przetwarzanie danych osobowych zachowają swoją ważność, jeśli odpowiadają przepisom rozporządzenia. Pracownicy powinni mieć prawo do wycofania zgody w każdym momencie, natomiast brak zgody na przetwarzanie danych osobowych nie powinien mieć negatywnych dla nich skutków.