Wprowadzenie RODO 26 maja 2018 r.
W maju 2018 r. w całej Unii Europejskiej zacznie obowiązywać nowe Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). Rozporządzenie ma być spójnym narzędziem do stosowania we wszystkich państwach członkowskich, a co za tym idzie wszyscy przedsiębiorcy w każdym państwie będą stosować się do tych samych zasad ochrony danych osobowych.
W celu pełnej implementacji ww. rozporządzenia do polskiego systemu prawnego ustawodawca obecnie opracowuje zarówno projekt nowej ustawy o ochronie danych osobowych, jak i ustawy wprowadzającej, której celem jest dostosowanie obecnie obowiązujących przepisów, zawartych w licznych innych ustawach, do nowych standardów ochrony danych osobowych.
ZMIANY W PRAWIE PRACY
Zakres zmian objął 133 ustawy, a wśród nich także Kodeks Pracy. Celem zmian w zakresie prawa pracy jest dostosowanie obowiązujących przepisów do art. 6 ust. 1 lit c. rozporządzenia 2016/679 o ochronie danych, który wprowadził przesłankę istnienia „obowiązku prawnego” jako podstawy przetwarzania danych osobowych. Przesłanka ta stanowi główną podstawę legalizującą przetwarzanie danych osobowych pracowników lub kandydatów do pracy. Kolejną kwestią, która ulegnie zmianie jest stosowanie przez pracodawców monitoringu oraz kwestie związane z orzeczeniami lekarskimi.
Nowe brzmienie projektowanych przepisów Kodeksu pracy w art. 22¹ § 1 i 2 wskazuje na kategorie danych osobowych, które są niezbędne do pozyskania przez pracodawcę w związku z podejmowaniem przez niego działań przed zawarciem umowy o pracę oraz po jej zawarciu. W związku z tym, pracodawca może żądać ich udostępnienia przez pracownika. Tak też zgodnie z projektowanym art. 22¹ § 1 pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko; 2) datę urodzenia; 3) adres do korespondencji; 4) adres poczty elektronicznej albo numer telefonu; 5) wykształcenie; 6) przebieg dotychczasowego zatrudnienia.
Natomiast § 2 obejmie fakultatywne informacje jakich pracodawca ma prawo żądać w przypadku jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy. Pracodawca żąda od pracownika wówczas podania danych osobowych obejmujących: 1) adres zamieszkania; 2) numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość; 3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny.
Wedle § 3 udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca żąda udokumentowania danych osobowych osób, o których mowa w § 1 i 2, jeżeli uzna za konieczne ich potwierdzenie. Zgodnie z § 4 przetwarzanie danych osobowych, o których mowa w § 1 – 3, jest możliwe tylko w zakresie niezbędnym do realizacji stosunku pracy.
Niezwykle istotny wydaje się być § 5, który stanowi, że przetwarzanie danych osobowych, uzyskanych na podstawie § 1 pkt 3 i 4 po nawiązaniu stosunku pracy jest możliwe tylko w przypadku, gdy pracownik wyrazi na to zgodę, o której mowa w art. 22² § 1”. Paragraf ten wskazuje, że w przypadku pracowników będzie wymagana odrębna zgoda na przetwarzanie danych wskazanych osobowych. Oznacza to w praktyce ,że jeżeli pracodawca będzie chciał komunikować się z pracownikiem za pomocą kanałów komunikacji udostępnionych na poziomie rekrutacji, będzie musiał otrzymać odrębną zgodę pracownika.
Zgodnie z projektowanym art. 22² przetwarzanie przez pracodawcę innych danych osobowych niż wymienione powyżej będzie dopuszczalne tylko wtedy, gdy będą one dotyczyły stosunku pracy i osoba ubiegająca się o zatrudnienie lub pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej. Osobna zgoda będzie także wymagana w przypadku przetwarzania przez pracodawcę danych biometrycznych pracownika, które ponadto będą mogły być przetwarzane tylko, gdy będą dotyczyć stosunku pracy. Wobec tego, nie będzie możliwe żądanie takich danych od osoby ubiegającej się o pracę. W przypadku gromadzenia danych biometrycznych konieczne będzie zapewnienie konkretnych warunków technicznych, wskazanych w rozporządzeniu ministra właściwego do spraw informatyzacji. Co ważne, brak zgody pracownika na przetwarzanie tych informacji nie będzie mógł stanowić podstawy do odmowy zatrudnienia, wypowiedzenia stosunku pracy lub jego rozwiązania bez wypowiedzenia, ani żadnych innych negatywnych konsekwencji.
W projekcie ustawy wskazuje się także dane, których pozyskanie będzie nie możliwe nawet za zgodą pracownika. Są to dane obejmujące informacje o nałogach, stanie zdrowia, życiu seksualnym lub orientacji seksualnej. Wyjątek od tej reguły ma stanowić będą sytuacje, gdy obowiązek ich podania wynikać będzie z odrębnych przepisów lub gdy jest to niezbędne do wypełnienia obowiązku pracodawcy nałożonego przepisami prawa.
Nowością w przepisach prawa pracy ma być wprowadzona w art. 22 4 instytucja monitoringu. Zgodnie z opublikowanym projektem pracodawca dla zapewnienia bezpieczeństwa lub ochrony mienia czy też zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca podejmuje decyzję o wprowadzeniu szczególnego nadzoru nad miejscem pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu, czyli monitoring, jeżeli uzna to za koniczne. Monitoring nie będzie mógł stanowić środka kontroli wykonywania pracy przez pracownika. Stosowanie monitoringu w pomieszczeniach, które nie są przeznaczone do wykonywania pracy, w szczególności pomieszczeniach sanitarnych, szatniach, stołówkach lub palarniach będzie zakazane.
Ponadto pracodawca będzie zobowiązany do poinformowania pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy nie później niż 14 dni przed uruchomieniem monitoringu, a gdy monitoring będzie już stosowany u pracodawcy przed nawiązaniem stosunku pracy, to pracodawca będzie zobowiązany do poinformowania o tym fakcie nowego pracownika, przed dopuszczeniem go do pracy.
Z początkiem obowiązywania nowych przepisów dotyczących danych osobowych ulegną zaostrzeniu sankcje za ich nie przestrzeganie. Dzisiejsze kary za nieprzestrzeganie przepisów są względnie niskie – aby doszło do nałożenia grzywny trzeba uparcie nie przywracać stanu zgodnego z prawem.
W przypadku stwierdzenia naruszeń RODO organ nadzorczy (według projektu ustawy o ochronie danych osobowych będzie to Prezes Urzędu Ochrony Danych Osobowych) dysponuje szeregiem środków naprawczych oraz administracyjnych kar pieniężnych, które mogą być stosowane łącznie, w zależności od okoliczności każdego indywidualnego przypadku. Zgodnie z projektem ustawy o ochronie danych osobowych, głównymi źródłami informacji na temat grożących sankcji za nieprzestrzeganie przepisów dotyczących ochrony danych osobowych będzie nie tylko RODO, ale również ustawa o ochronie danych osobowych, kodeks cywilny oraz kodeks karny (rozdział 10, 11 i 12 projektu ustawy z dnia 8 lutego 2018 r.).
