Zmiany w przepisach dotyczących przetwarzania danych osobowych wynikające z Unijnego Rozporządzenia o Ochronie Danych Osobowych (zwane w dalszej części artykułu „RODO”) nakładają na przedsiębiorców wiele nowych obowiązków, a czasu na ich wdrożenie zostało niewiele - RODO zaczyna obowiązywać w całej Unii Europejskiej już od 25 maja 2018 roku. Jeżeli firma nie jest przygotowana na zmiany w przepisach powinna jak najszybciej nadrobić zaległości, aby uniknąć wysokich kar. O RODO słyszał już chyba każdy przedsiębiorca. Niniejszy artykuł jest próbą usystematyzowania wiedzy dotyczącej wdrażania RODO z perspektywy działu kadrowego.

Definicja danych osobowych

Zgodnie z RODO danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Rozporządzenie wymienia takie dane jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy, jeden bądź kilka szczególnych czynników określających: fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Zgoda na przetwarzanie danych osobowych

Zgoda wg RODO to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli w formie oświadczenia (pisemnego, elektronicznego bądź ustnego) lub wyraźnego działania potwierdzającego, że pracownik  przyzwala na przetwarzanie jego danych osobowych. Zgoda nie może być domyślna, czyli musi wiązać się z działaniem. Powinna ona dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele.  

Zgoda, która nie została wyrażona dobrowolnie nie wywołuje skutku, jakim jest zalegalizowanie procesu przetwarzania danych osobowych. Pracodawca nie powinien zatem uzależniać zawarcia umowy o pracę lub umowy cywilnoprawnej od udzielenia zgody, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie. W takiej sytuacji administrator danych (jeśli nie ma innej podstawy do przetwarzania danych, jak np. konieczność wykonania zawartej umowy) musi zaprzestać przetwarzania danych tej osoby.

 

Zasady przetwarzania danych osobowych

  1. zasada zgodności z prawem, rzetelności i przejrzystości – przetwarzanie  danych osobowych wyłącznie na podstawie obowiązujących przepisów lub uzyskanej zgody, informowanie pracownika o sposobie i celach przetwarzania jego danych, przy czym informacje oraz komunikaty związane z przetwarzaniem danych osobowych powinny być zrozumiałe i sformułowane jasnym i prostym językiem

  2. zasada  ograniczenia celu przetwarzania danych - zbierane danych osobowych w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami

  3. zasada minimalizacji danych -  przetwarzanie danych należy ograniczyć do niezbędnego minimum. Należy określić cele i odpowiadające im rodzaje danych oraz ustalić termin usuwania i okresowego przeglądu danych

  4. zasada prawidłowości danych – stworzenie odpowiednich rozwiązań technicznych oraz organizacyjnych umożliwiających korygowanie nieprawidłowych lub nieaktualnych danych

  5. zasada  ograniczenia przechowania danych – ograniczenie okresu przetwarzania danych do czasu jaki jest niezbędny do tego, aby osiągnąć założony cel przetwarzania danych

  6. zasada  integralności i poufności danych - przetwarzanie musi się odbywać w sposób gwarantujący odpowiedni poziom bezpieczeństwa: dane nie mogą być modyfikowane, usuwane, rozszerzane czy niszczone w sposób nieautoryzowany

  7. zasada rozliczalności -  administrator musi być w stanie wykazać, że podejmowane przez niego działania związane z przetwarzaniem danych są zgodne z pozostałymi zasadami.


Dane osobowe należy przetwarzać z zachowaniem procedur privacy by design (uwzględnianie ochrony danych w fazie projektowania nowych rozwiązań), privacy by default (domyślnej ochrony danych osobowych – bez dodatkowych działań ze strony pracownika) oraz privacy impact assessment (obowiązek dokonania oceny skutków operacji przetwarzania dla ochrony danych osobowych, uwzględniająca takie czynniki, jak: charakter, zakres, kontekst i cele operacji przetwarzania oraz zastosowanie technologii).

Uprawnienia pracowników

Obieg dokumentów dziale kadrowym oraz systemy informatyczne służące do przetwarzania danych kadrowo-płacowych należy tak dostosować, aby możliwe było realizowanie praw, które RODO gwarantuje osobom fizycznym, których dane są przetwarzane, czyli:

  • prawo do bycia zapomnianym,

  • prawo do przeniesienia danych do innego podmiotu,

  • prawo do sprzeciwu wobec przetwarzania danych,

  • prawo do uzupełniania i żądania korekty danych.

Kontrowersje może budzić realizacja prawa do bycia zapomnianym zgłoszonego przez byłego pracownika. Realizując to prawo należy mieć na uwadze przepisy, które wprost nakazują przechowywać pewne dane przez określony czas, np. przechowywanie akt osobowych czy danych płacowych do celów podatkowych i ZUS. Część danych można jednak poddać anonimizacji czy pseudonimizacji czyniąc zadość żądaniom pracownika.

Ważne zmiany w Kodeksie Pracy

Ustawodawca jeszcze nie uchwalił przepisów nowelizujących Kodeks Pracy w związku z RODO, jednak zgodnie z projektem ustawy z dnia 28.03.2018 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO zmieni się katalog danych osobowych zbieranych od pracownika, a także uściślone zostaną zasady ich przetwarzania.

Pracodawca będzie mógł żądać od kandydata podania danych osobowych obejmujących:

  1. imię (imiona) i nazwisko;

  2. datę urodzenia;

  3. dane kontaktowe wskazane przez taką osobę (np. numer telefonu, adres e-mail adres korespondencyjny, przy czym należy pozostawić kandydatowi swobodę wyboru, które z tych danych chce udostępnić);

  4. wykształcenie;

  5. przebieg dotychczasowego zatrudnienia.

Dodatkowo dane osobowe, których może żądać pracodawca od już zatrudnionego pracownika mają obejmować:

  1. adres zamieszkania;

  2. numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;

  3. inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.

Pracodawca może żądać udokumentowania powyższych danych osobowych jedynie w zakresie niezbędnym do ich potwierdzenia – czyli nieuzasadnione jest kserowanie dowodu osobistego, który zawiera więcej danych niż te wymienione.

Poza wymienionymi już danymi pracodawca może żądać podania innych danych osobowych, gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa.

Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą.

  • Przetwarzanie przez pracodawcę innych danych osobowych (nie uregulowanych w żadnych przepisach prawnych) jest dopuszczalne za zgodą osoby ubiegającej się o zatrudnienie lub pracownika i tylko wtedy, gdy jest to dla nich korzystne. Brak zgody lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.
  • Przetwarzanie szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 i art. 10 RODO, jest dopuszczalne tylko wtedy, gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa. Przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub dostępu do pomieszczeń wymagających szczególnej ochrony.
  • Jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci monitoringu. Monitoring będzie mógł obejmować pomieszczeń sanitarnych, szatni, stołówek, palarni. Może obejmować pomieszczenia udostępnianych zakładowej organizacji związkowej tylko w szczególnych przypadkach.
  • Nagrania obrazu pracodawca może przetwarzać wyłącznie do celów, dla których zostały zebrane i przechowywać przez okres nieprzekraczający 3 miesięcy, chyba że mają stanowić dowód w postępowaniu.
  • Dopuszczony przepisami Kodeksu Pracy będzie także monitoring poczty elektronicznej pracownika, który jednak nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika.
  • Po nowelizacji mają zostać także uregulowane przepisy dotyczące wykorzystania aktualnego orzeczenia lekarskiego stwierdzającego brak przeciwwskazań do pracy w warunkach pracy opisanych w skierowaniu na badania lekarskie u nowego pracodawcy i będą one wprost sankcjonowały obowiązek przechowywania skierowania na badania lekarskie pracownika.

Inspektor Ochrony Danych (IOD) na etacie?

Po  RODO rolę fachowego wsparcia dla administratorów danych i podmiotów przetwarzających odgrywać będą inspektorzy ochrony danych. Zadaniem inspektorów ochrony danych będzie działanie na rzecz zgodnego z przepisami o ochronie danych przetwarzania danych, IOD odpowiadać mają także za kontakt z Urzędem Ochrony Danych Osobowych.

Obowiązek wyznaczenia IOD będzie ciążył na administratorach danych, których główna działalność polega na operacjach przetwarzania danych osobowych, które ze względu na ich charakter, zakres lub cele przetwarzania wymagają regularnego i systematycznego monitorowania na dużą skalę osób, których dane te dotyczą, bądź przetwarzaniu na dużą skalę tzw. szczególnych kategorii danych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Inspektorem nie musi być pracownik firmy, może to być ekspert zewnętrzny. Ekspert taki może pełnić funkcje IOD w kilku różnych firmach. Ważne jest, aby każda z tych firm miała z nim łatwy i stały kontakt.

Przykłady dobrych praktyk związanych z RODO

- nie przechowywanie kserokopii aktów ślubu czy zgonu związanych z udzieleniem urlopu okolicznościowego – wystarczy oświadczenie pracownika, przedstawienie aktu do wglądu i spisanie jego numeru,

- skasowanie imiennego adresu e-mail po zwolnieniu pracownika,

- usunięcie wszelkich danych z komputera używanego uprzednio przez innego pracownika,

- zgoda na umieszczenie zdjęcia na stronie internetowej pracodawcy czy w intranecie powinna być dobrowolna,

- usunięcie nadmiarowo zebranych danych osobowych z systemów informatycznych oraz akt osobowych (chociażby przez anonimizację).

Podstawa prawna:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)