Poradnik Przedsiębiorcy

Przepisy RODO – zmiany w 2019 roku

Choć nie minęło dużo czasu od wejścia w życie przepisów RODO wiosną ubiegłego roku, nadszedł już czas na zmiany. Od maja 2019 r. obowiązuje ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania ogólnego rozporządzenia o ochronie danych, która znowelizowała blisko 170 różnych ustaw obowiązujących w Polsce, od przepisów KP aż po Prawo bankowe.

Kandydat na pracownika określa zakres danych

Nowelizacja zmodyfikowała katalog danych osobowych, których podania pracodawca może żądać od pracowników oraz kandydatów na pracowników.

Zgodnie z nowymi zasadami pracodawca może żądać od osoby ubiegającej się o zatrudnienie:

  • imienia i nazwiska;
  • daty urodzenia;
  • wskazanych przez pracownika danych kontaktowych;
  • informacji o posiadanym wykształceniu;
  • informacji o kwalifikacjach zawodowych;
  • informacji o przebiegu dotychczasowego zatrudnienia.

Pracodawca może żądać podania ostatnich trzech rodzajów danych jedynie wówczas, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.Pracodawca może żądać podania od kandydata w trakcie procesu rekrutacyjnego danych kontaktowych, ale zgodnie z nowymi zasadami to kandydat określa zakres tych danych. Może to być na przykład tylko adres e-mail lub numer telefonu.

W odniesieniu do osoby już zatrudnionej katalog danych osobowych rozszerza się – pracodawca może żądać podania również adresu zamieszkania (a nie wyłącznie wskazanych przez potencjalnego pracownika danych kontaktowych), numeru PESEL, numeru rachunku bankowego, a nawet innych danych pracownika lub jego najbliższej rodziny, jeżeli jest to konieczne z uwagi na korzystanie przez pracownika ze szczególnych uprawnień wynikających z przepisów prawa pracy (na przykład z urlopu rodzicielskiego).

Jednocześnie dane zostają udostępnione pracodawcy poprzez oświadczenie pracownika – potwierdzenia.

RODO wymaga zgody pracownika

Określone kategorie danych pracowników i kandydatów do podjęcia pracy mogą być przetwarzane tylko za ich zgodą.Art. 22(1a) § 1 Kodeksu pracy
„Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione w art. 22(1) § 1 i 3, z wyjątkiem danych osobowych, o których mowa w art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.2)), zwanego dalej »rozporządzeniem 2016/679«”.
Pracodawca może przetwarzać inne dane osobowe pracowników niż te wymienione powyżej (z wyjątkiem danych wskazanych w przepisie art. 10 RODO, tj. danych dotyczących wyroków skazujących i naruszeń prawa), jeżeli uzyska zgodę pracownika. Przepis znajduje analogiczne zastosowanie względem kandydatów do zatrudnienia w trakcie procesu rekrutacyjnego.

Inne zasady dotyczą danych biometrycznych (przepis art. 9 ust. 1 RODO) – pracodawca może przetwarzać te dane, opierając się na zgodzie osoby ubiegającej się o zatrudnienie lub pracownika tylko wówczas, gdy przekazanie tych danych osobowych następuje z inicjatywy tej osoby. Ponadto przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wówczas, gdy ich podanie jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony. Nowelizacja wprowadza również istotne ograniczenie w zakresie przetwarzania tej szczególnej kategorii danych – do ich przetwarzania mogą być dopuszczone wyłącznie osoby, które posiadają pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy.

Inspektor ochrony danych może mieć zastępcę

W przypadkach wskazanych w przepisie art. 37 RODO (na przykład wówczas, gdy administrator danych przetwarza dane osób fizycznych na dużą skalę) administrator ma obowiązek powołania inspektora ochrony danych osobowych. Jego zadaniem jest głównie monitorowanie przestrzegania przepisów RODO w przedsiębiorstwie oraz bieżące informowanie administratora danych o potrzebach w zakresie ochrony danych. Przed wejściem w życie nowelizacji poważne wątpliwości budziła kwestia zastępstwa inspektora ochrony danych osobowych w przypadku jego nieobecności w pracy spowodowanej na przykład urlopem lub chorobą, tym bardziej że monitorowanie sposobu przestrzegania zasad ochrony danych jest bez wątpienia zadaniem ciągłym.

Zgodnie z nowymi zasadami, administrator danych ma prawo do wyznaczenia osoby zastępującej inspektora w trakcie jego nieobecności, przy uwzględnieniu wymogów nałożonych przez RODO.Przedsiębiorca, który wyznaczył inspektora ochrony danych osobowych, może również wyznaczyć zastępcę inspektora na czas jego nieobecności w pracy.Podobnie jak sam inspektor, również jego zastępca może być członkiem personelu administratora lub podmiotu przetwarzającego bądź wykonywać zadania na podstawie umowy o świadczenie usług. Przedsiębiorca ma obowiązek zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych o wyznaczeniu zastępcy i udostępnienia jego danych na stronie internetowej albo w sposób ogólnie dla siebie przyjęty (na przykład na tablicy informacyjnej w zakładzie pracy).

RODO w postępowaniu administracyjnym

Nowelizacja objęła również przepisy Kodeksu postępowania administracyjnego i przepisy Ordynacji Podatkowej. Zgodnie z ogólnymi założeniami organy administracji publicznej oraz organy podatkowe mają obowiązek stosowania zasad RODO – przestrzeganie zasad ochrony danych osobowych jest niezależne od własnych obowiązków tych organów i nie może wpływać na przebieg czy wynik prowadzonych przez nich postępowań.

Zgodnie z przepisem art. 61 § 5 Kodeksu postępowania administracyjnego organ administracji publicznej ma obowiązek przekazania stronie informacji wynikających z obowiązku administracyjnego (wspomniany poniżej przepis art. 13 RODO) przy pierwszej czynności skierowanej do strony, chyba że strona posiada te informacje, a ich zakres lub treść nie uległy zmianie.

Nowelizacja objęła swoim zasięgiem również przepisy ustawy o prawach konsumentów w zakresie mikroprzedsiębiorców (tj. przedsiębiorców zatrudniających średniorocznie mniej niż 10 pracowników i osiągających roczny obrót netto ze sprzedaży towarów, wyrobów i usług oraz z operacji finansowych nieprzekraczający równowartości w złotych 2 milionów euro). Jeżeli przedsiębiorca w zakresie swojej działalności przetwarza dane konsumentów w zakresie zawierania umów, ma obowiązek podania do wiadomości konsumentów klauzul informacyjnych poprzez:

  • wywieszenie informacji w widocznym miejscu w lokalu przedsiębiorstwa lub
  • udostępnienie ich na swojej stronie internetowej.

Mikroprzedsiębiorcy mogą wykonywać obowiązki informacyjne wynikające z przepisów RODO poprzez wywieszenie informacji w lokalu przedsiębiorstwa albo zamieszczenie stosownego ogłoszenia na stronie internetowej.

Przepis ten nie znajduje zastosowania, jeżeli osoba fizyczna, której dane dotyczą, nie ma możliwości zapoznania się z tymi informacjami – w takim wypadku przedsiębiorca musi bezpośrednio wykonać swoje obowiązki informacyjne (na przykład poprzez doręczenie konsumentowi kopii tej informacji), jak również wówczas, gdy:

  • przedsiębiorca przetwarza szczególne kategorie danych;
  • przedsiębiorca udostępnia szczególne kategorie danych innym administratorom, chyba że konsument wyraził zgodę na to udostępnienie albo udostępnienie jest niezbędne do wypełnienia obowiązku ciążącego na administratorze.

Zakres informacji wynika z przepisu art. 13 RODO – są to wszystkie dane, które administrator danych ma obowiązek udostępnić osobom, których dane przetwarza (m.in. informacje o celu przetwarzania, zakresie i okresie przetwarzania, obowiązkach administratora danych, prawie konsumenta do bycia zapomnianym itd.).