Poradnik Przedsiębiorcy

RODO - rewolucja w Kodeksie pracy w zakresie ochrony danych osobowych

25 maja 2018 r. zacznie obowiązywać w prawie polskim Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane w Polsce RODO. Rozporządzenie będzie obowiązywać w 28 krajach Unii Europejskiej. Powyższe przepisy będą istotne w kwestii nowych reguł przetwarzania danych osobowych pracowników.

Należy zaznaczyć, że projekt ustawy o ochronie danych osobowych w Polsce jest jeszcze na etapie legislacyjnym. Wobec braku przepisów przejściowych już od 25 maja 2018 r. pracodawcy i przedsiębiorcy powinni wprowadzić zmiany w zakresie przetwarzania danych osobowych w oparciu o wspomniane wyżej rozporządzenie unijne.

Przygotowania pracodawców do wprowadzenia RODO

Należy podkreślić, że wobec pracodawców nowe przepisy o RODO nakładają większą odpowiedzialność za przetwarzanie danych. Zatem powinni oni dokonać analizy ryzyka przetwarzania danych w celu przygotowania procedur, sposobu zabezpieczenia dokumentacji, a w dalszej części zastosowania w zakładach pracy stosownych zabezpieczeń informatycznych oraz organizacyjnych. Informacje o pracownikach i klientach firmy powinny być objęte procedurami, które zapewnią należyty standard bezpieczeństwa.

W pierwszej kolejności pracodawcy powinni zlecić administratorom danych osobowych przygotowanie audytu, który określi, jakie dane są przetwarzane, przez kogo, skąd są pobierane i dokąd trafiają. Warto pamiętać o stworzeniu stosownej polityki przetwarzania danych osobowych.

Następnym krokiem powinno być przejrzenie klauzul o udostępnianiu danych osobowych, z uwagi na to, że przepisy rozporządzenia obligują pracodawców do dostosowania klauzul informacyjnych dla osób, których dane będą przetwarzane. Ponadto trzeba przygotować pakiet informacji z podaniem okresu przechowywania, celu przetwarzania danych i osób, którym będą udostępniane. Osoby, których dane są przetwarzane, powinny mieć kontrolę nad przetwarzaniem swoich danych, w szczególności posiadać prawo do ich usunięcia czy przekazania do innego administratora danych.

W przypadku pobierania i przetwarzania danych osób na potrzeby procesów rekrutacyjnych, pracodawcy powinni wprowadzić stosowne procedury.

Obecna instytucja Administratora Danych Osobowych (ABI) zostaje zastąpiona Inspektorem Danych Osobowych, który powinien posiadać ekspercką wiedzę popartą doświadczeniem zawodowym w tym zakresie. Zgodnie z powyższym rozporządzeniem inspektorzy będą odpowiedzialni za dokumentację i rejestry danych osobowych oraz czynności przetwarzania tych danych. Powyższe będzie niezbędne w celach potwierdzenia prawidłowości działania procesów przetwarzania danych osobowych w firmie zgodnie z wprowadzanymi przepisami.

Rejestry danych osobowych powinny obejmować:

  • najważniejsze dane administratora;

  • cel przetwarzania danych;

  • podstawę prawną przetwarzania danych;

  • listę osób, których dane są przetwarzane;

  • okres przechowywania danych osobowych;

  • listę odbiorców danych osobowych;

  • szczegółowy dostęp innych osób do danych osobowych;

  • listę osób, które będą mogły przetwarzać zgromadzone dane osobowe;

  • czas, po którym nastąpi usunięcie danych osobowych.

Ponadto niezbędne będzie utworzenie procedury na wypadek przecieku danych osobowych, trybu postępowania zgłoszeniowego w sytuacji naruszenia ochrony danych osobowych do odpowiedniego organu, przygotowanie procedur w przypadku kontroli UODO (Urząd Ochrony Danych Osobowych).

Pracodawcy, którzy zatrudniają ponad 250 osób, będą zobowiązani do stworzenia listy administratorów zajmujących się bezpieczeństwem przetwarzanych danych osobowych.

Każdy wypadek naruszający ochronę danych osobowych będzie musiał być zgłoszony w trybie pilnym (72 godziny od powstania naruszenia). Zgłoszenie stosownemu organowi i osobie, której to naruszenie dotyczy, będzie musiało przebiegać zgodnie z opracowaną wcześniej procedurą.

Zmiany RODO w Kodeksie pracy

Przede wszystkim warto zwrócić uwagę na zmiany dotyczące art. 221 i następnych Kodeksu pracy, który dawał możliwość żądania informacji od pracownika biorącego udział w procesie rekrutacyjnym. W szczególności na tym etapie pracodawca nie może żądać informacji o imionach rodziców czy adresu zamieszkania. Ważne, że w zamian tych informacji pracodawca może zobowiązać osobę do podania adresu do korespondencji i adresu e-mail czy numeru telefonu. W przypadku zatrudnienia pracownika żądanie podania adresu zamieszkania będzie zasadne. Należy zaznaczyć, iż powyższe dane mogą być przetwarzane jedynie po wyrażeniu zgody przez pracownika w stosownym oświadczeniu. Przetwarzane dane osobowe pracownika powinny mieć wyłączny związek z wykonywaniem stosunku pracy. W przypadku pozyskania innych danych, niewskazanych w powyższym przepisie, pracodawca będzie musiał uzyskać od pracownika zgodę w postaci oświadczenia.

Zgody na przetwarzanie danych osobowych mogą być wyrażane w oświadczeniach w formie papierowej lub elektronicznej. Warto jednak zwrócić uwagę, że brak zgody na przetwarzanie danych nie może stanowić podstawy negatywnego traktowania kandydata do pracy czy pracownika, w szczególności nie może stanowić przyczyny do rozwiązania umowy o pracę czy odmowy zatrudnienia. 

Należy zwrócić uwagę na kwestię danych biometrycznych, które będą mogły być przetwarzane tylko w stosunku do zatrudnionych pracowników wraz z pozyskaną od nich w oświadczeniu zgodą. Pracodawca nie powinien pozyskiwać danych osobowych dotyczących stanu zdrowia (wyjątkiem jest zaświadczenie o zdolności do pracy), uzależnień czy orientacji seksualnej.

Warto dodać, że nowe uregulowania w kwestii monitoringu wskazują, że powinien on służyć określonym celom, takim jak bezpieczeństwo pracowników, zachowanie tajemnicy przedsiębiorstwa, ochrony mienia. Monitoring nie powinien służyć kontroli pracy pracownika, zatem pracodawca w przypadku odkrycia naruszeń spowodowanych przez pracownika, nie będzie mógł wykorzystać zdobytych w ten sposób materiałów przeciwko niemu. Urządzenia monitorujące nie mogą znajdować się w pomieszczeniach niezwiązanych ze świadczeniem pracy, takimi jak szatnie, kuchnia pracownicza, pomieszczenia sanitarne itp. Pracodawca, który zamierza zainstalować monitoring, powinien poinformować pracowników w zwyczajowy dla danego zakładu pracy sposób, najpóźniej na 14 dni przed jego uruchomieniem.

Wykorzystanie dotychczasowych zgód

Co do zasady pracodawca może wykorzystać zgromadzone dotychczas zgody pobrane w celu przetwarzania danych osobowych przed 25 maja 2018 r., jeśli osoby wyraziły tę zgodę dobrowolnie, świadomie, jednoznacznie i konkretnie, ponadto były poinformowane o możliwości ich wycofania w każdym momencie (art. 4 pkt 11 RODO). Pozyskane dotychczas zgody powinny spełniać standardy określone również w nowych przepisach. 

Zgodnie z punktem 171 preambuły RODO, jeżeli przetwarzanie danych osobowych ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie jej wyrażać, jeżeli pierwotny tego sposób odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia. Zatem jeśli dotychczasowe zgody spełniają powyższe warunki, zachowają ważność.