Zakładowy Fundusz Świadczeń Socjalnych a regulacje RODO

Dnia 4 maja weszła w życie ustawa dostosowująca ponad sto aktów prawnych do zgodności z rozporządzeniem RODO. Ze względu na specyfikę regulacji wskazanej ustawy, a więc dokonywanie bardzo szczegółowych zmian w wielu aktach normatywnych, nie ma możliwości w sposób kompleksowy omówienia wszystkich jej postanowień, natomiast można wskazać, iż przede wszystkim jest ona ukierunkowana na prawidłową identyfikację administratorów danych osobowych na gruncie poszczególnych ustaw, ich obowiązków, a przede wszystkim zakresu danych osobowych, jakie mogą być przez nich zbierane.

Jedną z ustaw nowelizowanych przez wskazaną ustawę, w zakresie RODO, jest ustawa z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych  (ZFŚS). ZFŚS jest funduszem umożliwiającym finansowanie „działalności socjalnej organizowanej na rzecz osób uprawnionych do korzystania z Funduszu, na dofinansowanie zakładowych obiektów socjalnych oraz na tworzenie zakładowych żłobków, klubów dziecięcych, przedszkoli oraz innych form wychowania przedszkolnego.”

Ze względu na celowość powołania fundusz oraz sposób wydatkowania środków w nim zgromadzonych koniecznym jest ustalenie kryteriów związanych z udzielaniem pomocy z jego środków. Ustawa wskazuje, iż generalnie pomoc kierowaną z funduszu „uzależnia się od sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej”.

Jednakże wiedza na temat owej sytuacji pozostaje w zakresie regulacji problematyki ochrony danych osobowych. Dopiero zebranie danych we wskazanym zakresie umożliwia ustalanie ewentualnych uprawnień do pomocy ze strony funduszu oraz jej rodzaju i zakresu. Właśnie w tym zakresie funkcjonowanie ZFŚS musi być zgodne z przepisami RODO, a wskazana nowelizacja ma na celu w praktyce wyjaśnienie jakie dane osobowe mogą być zbierane, na jakich zasadach przetwarzanie i jak długo „przetrzymywane” przez pracodawcę zarządzającego funduszem.

Dlatego kluczowym jest ustalenie znaczenia pojęć sytuacji: życiowej (w tym zdrowotnej), rodzinnej i materialnej, gdyż to informacje z nimi związane może pozyskiwać, a więc i przetwarzać pracodawca na potrzeby udzielania świadczeń z ZFŚS, w zgodzie z RODO.

Stosunkowo oczywiste jest znaczenia pojęcia sytuacji rodzinnej, gdyż odnosi się do faktu pozostawiania albo i nie w związku małżeńskim (ewentualnie prowadzenia gospodarstwa domowego z inną osobą) oraz posiadanych osób na utrzymaniu, a więc najczęściej dzieci.

Sytuacja materialna odnosi się do dochodów uzyskiwanych przez danego uprawnionego, często w powiązaniu z jego sytuacją rodziną, a więc wysokości dochodu na członka gospodarstwa domowego, co pośrednio wiąże się także z ujawnieniem sytuacji zarobkowej innych osób wchodzących w skład takiego gospodarstwa. Co istotne jeśli pojawia się konieczność ustalenia składu rodziny (gospodarstwa domowego) i pojawiają się dane w tym kontekście dane osobowe innych osób, niż osoba aplikująca o pomoc, koniecznym byłoby uzyskanie ich zgód na przetwarzanie danych osobowych ich dotyczących.

Najszerszym pojęciem jest zakres danych osobowych dotyczących sytuacji życiowej osoby uprawnionej, w przypadku którego następuje wyraźne wskazanie, iż obejmuje to także stan zdrowia osoby uprawnionej. Podobnie, jak w powyższym przypadku, sytuacja rodzina może potencjalnie dotyczyć członków rodziny uprawnionego, gdyż to m.in. tworzy jego sytuację życiową. Jednocześnie więc może zajść konieczność uzyskania zgodny tych osób odnośnie przetwarzania danych osobowych ich dotyczących.

Warto zwrócić uwagę, iż w powyższym zakresie podanie danych osobowych następuje na podstawie oświadczeń osoby uprawnionej. Pracodawca może żądań potwierdzenia wskazanych okoliczności na podstawie oświadczeń danej osoby albo odpowiednich oświadczeń. Tutaj pojawia się bardzo praktyczny problem związany z ochroną danych osobowych, kiedy pracodawca może albo powinien żądać poświadczenia przede wszystkich w formie zaświadczenia. Przepisy tego nie regulują. Z pewnością żądanie zaświadczeń w powiązaniu z zasadami ochrony danych osobowych, m.in. obowiązkiem ich minimalizacji nie pozwala na zbieranie i przechowywanie owych zaświadczeń. Mowa jest tylko i wyłącznie o potwierdzeniu, które następuje w momencie przedstawienia konkretnego zaświadczenia do wglądu, i w przypadku braku wątpliwości co do jego prawidłowości, wystarczająca jest adnotacja pracownika pracodawcy odnośnie faktu udokumentowania wcześniej przedstawionych danych osobowych.

Należy także podkreślić szczególny obowiązek pracodawcy w zakresie przetwarzania danych osobowych dotyczących zdrowia przez jego pracowników rozpoznających wnioski o pomoc z ZFŚS. Mianowicie dane te mogą być przetwarzane tylko i wyłącznie przez osoby posiadające upoważnienie do przetwarzania tej szczególnej kategorii danych osobowych, a więc w upoważnieniu dla takiego pracownika musi to być wyraźnie określone. Dodatkowo, co jest raczej tylko i wyłącznie efektem szczególnego znaczenia tych danych wskazano, iż pracownik zobowiązany jest do zachowania owych danych w tajemnicy. W praktyce zawsze każda osoba przetwarzająca dane osobowe, już na podstawie samego RODO jest zobowiązana zachować je w tajemnicy, nie ujawniać osobową nieupoważnionym. Warto przy okazji nadmienić, iż ujawnienie danych osobowych osobom nieuprawnionym, i w tym zakresie ich przetwarzanie przez osoby nieuprawnione, jest traktowane w polskim porządku prawnym, jako przestępstwo zagrożone karą pozbawienia wolności do lat 2, a dotyczących stanu zdrowia nawet do 3 lat pozbawienia wolności.

Wprowadzone przepisy określają także terminy i zasady retencji danych osobowych. Mianowicie dane osobowe w zakresie wniosku o uzyskanie wsparcia z ZFŚS mogą  być przechowywane tylko przez czas konieczny do rozpatrzenia wniosku oraz a także przez okres niezbędny do dochodzenia praw lub roszczeń.

Dodatkowo ustawa wyraźnie stanowi, iż pracodawca zobowiązany jest co najmniej raz w roku dokonywać przeglądu posiadanych danych osobowych w zakresie wniosków o korzystanie z pomocy ZFŚS pod kątem konieczności ich dalszego przechowywania. Dla bezpieczeństwa pracodawcy, pod kątem przestrzegania przepisów RODO, koniecznym byłoby przygotowanie protokołu potwierdzającego realizację owego obowiązku.

Biuro – Prawno Rachunkowe Macieja Skorupińskiego sp. z o.o. oferuje Państwu niezbędną pomoc w zakresie problematyki prawa pracy i zarządzania sprawami kadrowymi Państwa przedsiębiorstwa, także w zakresie przetwarzania danych osobowych zgodnie z przepisami RODO oraz funkcjonowania w Państwa przedsiębiorstwach zakładowego funduszu świadczeń socjalnych.

usługi prawno rachunkowe

Rok obowiązywania ogólnego rozporządzenia o ochronie danych osobowych (RODO)

W maju 2019 roku minie rok od momentu wejścia w życie rozporządzenia RODO. Okres poprzedzający wejście w życie tej regulacji był poprzedzony intensywnymi działaniami ze strony przedsiębiorców (administratorów danych osobowych), mającymi na celu formalne wypełnienie obowiązków wynikających z nowych przepisów prawa.

RODO wprowadziło rewolucję w działalności przedsiębiorstw, gdyż zobowiązało ich do wdrożenia skutecznego systemu ochrony danych osobowych, w którym to administrator danych w przypadku kontroli, jest zobowiązany do udowodnienia właściwego poziomu ochrony danych osobowych. Dlatego też system ochrony danych osobowych nie jest instrumentem, które może być w sposób standardowy wdrożony u każdego administratora, a w rzeczywistości musi zostać dostosowany do realiów działania konkretnego podmiotu, gdyż ze względu na specyfikę jego działalności w inny sposób przetwarzane są dane osobowe.

Roczna praktyka związana ze stosowanie RODO wskazuje jednak, iż często działania wdrożeniowe miały charakter niepełny i pozorny, a rzeczywisty poziom ochrony danych osobowych znacznie odbiega od tego wymaganego przez przepisy prawne. Dodatkowo wiele podmiotów zobowiązanych do wprowadzenia właściwego poziomu ochrony danych osobowych nie zrobiło tego do dnia dzisiejszego.

Punktem wyjścia do dokonania prawidłowej oceny funkcjonowania systemu ochrony danych osobowych jest audyt takiego systemu. Rok obowiązywania RODO powinien skłaniać administratorów danych do dokonania sprawdzenia własnej instytucji właśnie z perspektywy przestrzegania przepisów RODO. Należy pamiętać, iż zapewnienie właściwego poziomu ochrony danych osobowych jest niekończącym się procesem, na co szczególnie należy zwracać uwagę w sytuacji rozszerzania zakresu działalności administratora danych i zatrudniania nowych pracowników. Przygotowanie dokumentów wymaganych prawem jest dopiero pierwszy krokiem w budowanie takiego systemu, jednakże najistotniejsze jest to, w jaki sposób system rzeczywiście funkcjonuje.

Audyt systemu ochrony danych osobowy obejmuje często dostęp do bardzo wielu elementów struktury zarządzania przedsiębiorstwem i wymaga znacznego zaangażowania ze strony kadry zarządzającej, ale także szeregowych pracowników administratora. Tylko w sytuacji dostępu do prawdziwych i pełnych danych możliwym będzie dokonanie wiarygodnego audytu systemu ochrony danych osobowych. Poprzez właściwie dobrane narzędzia analityczne możliwe jest dokonanie kompleksowej oceny stanu systemu ochrony danych osobowych u ich administratora.

Przeprowadzone badania kończy się określeniem poziomu ochrony danych osobowych oraz rekomendacjami umożliwiającymi wprowadzenie działań dostosowawczych zapewniających poziom ochrony danych osobowych wymaganych przez RODO. Jest to także okazja do przypomnienia pracownikom o obowiązujących przepisach oraz konieczności ich przestrzegania, co następuje chociażby poprzez udział w szkoleniach.

Cyklicznie dokonywany audyt jest ważnym elementem zapewnienia prawidłowego poziomu ochrony danych osobowych. Upływ czasu i rutyna codziennego funkcjonowania często prowadzi do obniżenia poziomu ochrony danych osobowych, co może skutkować naruszeniami prawa, a w efekcie nałożeniem wysokich kar przez Prezesa Urzędu Ochrony Danych Osobowych.

W przypadku konieczności wsparcia Państwa działalności w obszarze ochrony danych osobowych Biuro Prawno – Rachunkowe Maciej Skorupiński sp. z o.o. służy Państwu fachową wiedzą i wsparciem w celu zapewnienie pełnej zgodności Państwa działalności z regulacjami RODO.

 

działalność gospodarcza niemcy

Skutki „hard” Brexitu dla ochrony danych osobowych w Unii Europejskiej.

Proces wyjścia Wielkiej Brytanii z Unii Europejskiej jest bardzo skomplikowany od strony politycznej, przede wszystkim w zakresie daty odnoszącej się do Brexitu, oraz zasad i reguł na podstawie których wyjście Wielkiej Brytanii z  miałoby się odbyć. Jednakże z perspektywy prawnej, jeśli nie zostanie podjęta w nadchodzących dniach odmienna decyzja polityczna, to 30 marca 2019 roku o godz. 00.00 formalnie Wielka Brytania przestanie być członkiem Unii Europejskiej.

O ile przez ostatnie dwa lata Unia Europejska i państwa członkowskie przygotowywały się do opuszczenia UE przez Wielką Brytanie na podstawie uzgodnionej przez obie zainteresowane strony umowy wprowadzającej różnorakie regulacje przejściowe, to na obecną chwilę coraz szersze i bardziej gorączkowe przygotowania toczą się w zakresie rozwiązania nazywanego powszechnie „hard Brexit”,  a więc wyjścia Wielkiej Brytanii z UE bez żadnej umowy. Oznacza to, że we wskazanej dacie Wielka Brytania z perspektywy UE i już wtedy tylko 27 państw członkowskich, stanie się tzw. państwem trzecim i przestaną mieć zastosowanie do niej wszystkie regulacje prawne Unii Europejskiej.

Niepewność prawa powoduje, iż różnego rodzaju instytucje i organy UE zaczęły przygotowywać się do współpracy z Wielką Brytanią na podstawie tymczasowych rozwiązań opierając się tylko i wyłącznie na jednostronnych regulacjach unijnych, które z jednej strony zapewnią zgodność działań z prawem UE, a z drugiej strony nie będę powodowały zbyt dużych komplikacji w kontynuowaniu współpracy.

Jednym z obszarów, wzbudzających szczególnie duże zainteresowanie, jest problematyka regulacji ochrony danych osobowych, która to problematyka stała się bardzo dobrze znana w związku z wejściem w życie w maju 2018 przepisów tzw. RODO.

W związku ze wskazanym potencjalnym hard Brexitem Europejska Rada ds. Ochrony Danych Osobowych wydała dokument wskazujący na możliwe postepowanie  w zakresie przepływu danych osobowych pomiędzy Unią Europejską a Wielką Brytanią. W sposób oczywisty jest to bardzo istotny i praktyczny problem, gdyż nawet jeśli dojdzie do wyjścia Wielkiej Brytanii z UE w nocy z 29 na 30 marca 2019, nie spowoduje to w sposób automatyczny zerwania wszelkich kontaktów gospodarczych, społecznych i innych, które związane są z przepływem danych osobowych. Przygotowany dokument ma charakter zaleceń odnośnie możliwego trybu postępowania unijnych administratorów danych osobowych.

W przypadku zaistnienia wskazanej sytuacji, transfer danych osobowych może odbywać się na podstawie:

  1. Standardowych lub doraźnych klauzul ochrony danych;
  2. Wiążących reguł korporacyjnych;
  3. Kodeksu postępowania i mechanizmu certyfikacji;
  4. Derogacji, przy czym mogą one być stosowane tylko wyjątkowo, jeśli brak jest podstaw do stosowania innych odpowiednich środków.

Najbardziej użytecznym instrumentem, który może być stosowany, jako podstawa transferu danych osobowych do Wielkiej Brytanii, są standardowe klauzule ochrony danych osobowych, przygotowane przez Komisję Europejską. Są to postanowienia umowne, które gwarantują legalny transfer danych osobowych do państw trzecich. Co bardzo istotne, dla prawidłowego ich stosowania kluczowym jest dosłowne i pełne stosowanie przygotowanych klauzul. A więc nie można stosować ich w sposób częściowy, czy też dokonywać samodzielnej modyfikacji, gdyż takie działania mogą skutkować uznaniem ich niepoprawności, a w efekcie nielegalnym transferem danych osobowych. Modyfikowane klauzule mają charakter tzw. klauzul doraźnych, formalnie dostosowanych do szczególnej sytuacji administratora. Jednak jak podkreślono, zawsze modyfikacje niosą ryzyko uznania stosowanych klauzul za niewystarczające, a więc niezgodne z prawem.

Standardowe klauzule obejmują zarówno relacje pomiędzy administratorami z UE i WB oraz administratorem z UE oraz procesorem z WB,  a więc podmiotem przetwarzającym dane na zlecenie administratora. Ów instrument w praktyce jest najłatwiej dostępnym instrumentem, dodatkowo zapewniającym pełną zgodność działań z prawem UE – RODO.

Drugi i trzeci zaproponowany instrument, a więc wiążące reguły korporacyjne oraz kodeks postępowania i mechanizmy certyfikacji, są w praktyce instrumentami jeszcze mało wykorzystywanymi. Dlatego zważywszy na dłuższy okres ich wdrażania, możliwość ich zastosowania do sytuacji, jaka nastąpi w przypadku ewentualnego hard Brexitu, jest bardzo mocno ograniczona.

Ostatnim instrumentem zapewniającym możliwość przepływu danych osobowych są derogacje, przede wszystkim te wskazane w art. 49 RODO, jednakże jak już podkreślono stosowanie owych regulacji szczególnych ma charakter zupełnie wyjątkowy. Przesłanki szczególne, jako podstawa legalnego transferu danych osobowych do Wielkiej Brytanii, muszą być stosowane zawężająco i tylko w przypadku, gdy przekazywanie danych ma charakter okazjonalny i z zasady nie jest powtarzane. Oznacza to, iż poniższe wskazane sytuacje mają charakter zupełnie wyjątkowy i nie mogą być podstawą do ciągłego czy powtarzalnego przepływu danych osobowych z UE do Wielkiej Brytanii.

Art. 49 RODO wskazuje na następujące szczególne sytuacje umożliwiające transfer danych osobowych:

„a)osoba, której dane dotyczą, poinformowana o ewentualnych ryzykach, z którymi – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę; b) przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą; c) przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną; d) przekazanie jest niezbędne ze względu na ważne względy interesu publicznego; e) przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń; f) przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody”.

Ostatnim bardzo kluczowym działaniem, które musi zostać podjęte przez administratora po identyfikacji właściwego instrumentu umożliwiającego transfer danych, jest aktualizacja dokumentacji wewnętrznej ochrony danych osobowych – RODO oraz wprowadzenie klauzul informujących podmioty danych (osoby fizyczne) o transferowaniu ich danych osobowych, poza terytorium do UE, a więc konkretnie do Wielkiej Brytanii.

Na koniec warto podkreślić, iż na obecną chwilę stanowisko Wielkiej Brytanii prezentowane w obszarze danych osobowych, stwierdza iż przepływ danych osobowych z Wielkiej Brytanii do UE będzie odbywał się bez żadnych przeszkód, na podstawie dotychczasowej praktyki.

W przypadku konieczności wsparcia Państwa działalności w obszarze ochrony danych osobowych, w związku ze spodziewanym Brexitem, Biuro Prawno – Rachunkowe Maciej Skorupiński sp. z o.o. służy Państwu fachową wiedzą i wsparciem w celu kontynuowania Państwa współpracy z Wielką Brytanią zgodnie z regulacjami RODO.

poradnik biura rachunkowego

Prawo do żądanie usunięcia danych osobowych – uzasadnienie, zakres i sposób działania

Pierwsze doświadczenia związane ze stosowanie RODO wskazują na kilka kluczowych problemów związanych z funkcjonowaniem nowych regulacji prawnych odnoszących się do ochrony danych osobowych. Odnosząc się do podstawowych założeń RODO należy wskazać, iż celem tego aktu jest uniemożliwienie swobodnego dysponowania przez różne podmioty (administratorów) danymi osobowymi osób fizycznych. Z założenia ten akt prawny ma ułatwić przywrócenie kontroli podmiotów danych nad danymi osobowymi ich dotyczącymi, tak aby w szerszym kontekście przyczynić się do ochrony prywatności podmiotów danych, narażonych na ingerencje ze strony nieuprawnionych podmiotów, w tę bardzo specyficzną i dynamiczną sferę praw jednostki, jaką jest sfera danych osobowych.

Ponieważ interes ekonomiczny administratorów opiera się właśnie na przetwarzaniu Państwa danych osobowych, dlatego bardzo często nie są oni skłonni do realizacji obowiązków wynikających z przepisów prawa – RODO. Dlatego Biuro Prawno – Rachunkowe Macieja Skorupińskiego sp. z o.o. wspomaga Państwa w procesie usuwania danych osobowych i realizacji prawa do sprzeciwu oraz zapomnienia.

Bardzo mocno ograniczone uprawnienia do przetwarzania danych osobowych po stronie administratorów jednocześnie stwarzają określone możliwości kontroli przetwarzania swoich danych osobowych po stronie podmiotów danych, a więc osób fizycznych. To administrator musi zadbać o przetwarzanie danych osobowych zgodnie z RODO, a więc w pierwszej kolejności o podstawę prawną przetwarzanie danych osobowych zgodną z obowiązującym RODO. Brak takiej podstawy prawnej stanowi naruszenie prawa, które może skutkować bardzo wysokimi karami finansowymi, a w niektórych przypadkach nawet odpowiedzialnością karną za popełnienie przestępstw.

Ponieważ przetwarzanie danych osobowych jest swoistym wyjątkiem od reguły, która zakazuje przetwarzania tych danych, w związku z tym zostały stworzone szczególne instrumenty po stronie osób fizycznych, umożlwiające przeciwdziałanie niezgodnemu z prawem przetwarzaniu danych osobowych ich dotyczących. Należy jednak zaznaczyć, iż nie zawsze będzie możliwym korzystanie z takich instrumentów, gdyż prawo dopuszcza przypadki możliwości przetwarzania danych osobowych wbrew woli podmiotu danych (osoby fizycznej), jednakże muszą być to sytuacje zupełnie szczególne.

Głównym uprawnieniem związanym z kontrolą nad przetwarzaniem danych osobowych, jest możliwość żądania przez osobę fizyczną usunięcia tych danych przez administratora, który je przetwarza, a więc tzw. prawo do bycia zapomnianym. RODO wskazuje kilka przesłanek, kiedy można żądać usunięcia danych osobowych np. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane; osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie czy też dane osobowe były przetwarzanie niezgodnie z prawem. Jedna z przesłanek usunięcia związana jest z tzw. prawem do sprzeciwu w stosunku do przetwarzania danych osobowych. Natomiast sprzeciw może być wniesiony ze względu na szczególną sytuację podmiotu danych, która to sytuacja związana może być np. z ochroną prawa do prywatności. Należy z dużą ostrożnością podchodzić do tej przesłanki, gdyż nie można w sposób zasadniczy przerzucać na osobę chronioną prawem obowiązku wykazania, iż to administrator nie ma jednak prawa do przetwarzania jej danych osobowych. Z założeń RODO wynika jasno, iż generalnie to po stronie administratora ciąży obowiązek wykazania interesu, a zgłoszenie przez osobę fizyczną żądania usunięcia danych osobowych powinno być traktowane właśnie, jako powstanie owej szczególnej sytuacji, gdyż w innym wypadku dojdzie do nieuprawnionego uprzywilejowania administratora, a dodatkowo wprowadzanie wymogu przedstawiania administratorowi swojej szczególnej sytuacji przez osobę fizyczną, należałoby traktować jako potencjalne zagrożenie dla sfery prywatności i dóbr osobistych osoby fizycznej.

Żądaniem usunięcia można objąć wszystkie dane osobowe posiadane przez danego administratora, ale także można wskazać, które z posiadanych danych chcemy, aby zostały usunięte, a które administrator może nadal przetwarzać. Podobnie jednak jak w przypadku możliwości całkowitej odmowy usunięcia danych osobowych, tak i w tym przypadku mogą istnieć po stronie administratora podstawy prawne umożliwiające mu, a wręcz zobowiązujące go do odmowy usunięcia konkretnych danych odnoszących się do osoby kierującej żądanie.

Proces usunięcia danych osobowych musi rozpocząć się od wezwania administratora danych do usunięcia danych osobowych skierowanego do niego przez osobę fizyczną, której owo żądania dotyczy. Oczywiście jak wiele innych czynności, także i tę można dokonać przez pełnomocnika. W dalszej kolejności administrator ma obowiązek ustosunkować się do przesłanego wezwania, a w efekcie poinformować o podjętych działaniach albo ich braku osobę, której dane dotyczą. Reakcja administratora będzie uzależniona od tego, w oparciu o jaką podstawę prawną przetwarza dane osobowe, a więc czy jest zobowiązany zastosować się do wezwania i usunąć dane, czy też ma nadal uprawnienia, a niekiedy wręcz obowiązek, ich dalszego przetwarzania. Odpowiedź udzielona przez administratora oraz podjęte przez niego działania są jednak w znacznym stopniu determinowane przez jego znajomość i zrozumienie prawa ochrony danych osobowych. Udzielając odpowiedź odmownej administrator powinien przede wszystkim wskazać, jakie przesłanki skłoniły go do odmowy zastosowania się do wezwania. Dodatkowo kluczowym obowiązkiem istniejącym po stronie administratora jest poinformowanie wnioskującego podmiotu danych (osoby fizycznej) o przysługujących jest środkach ochrony prawnej, w tym skargach do Urzędu Ochrony Danych Osobowych oraz sądu.

A więc w przypadku uzyskania odmownej odpowiedzi od administratora w przedmiocie usunięcia naszych danych osobowych mamy możliwość złożenia skargi do Urzędu Ochrony Danych Osobowych. Ze względu na konstrukcje prawne, wydaje się iż jest to najlepszy i najbardziej efektywny środek ochrony swoich praw z zakresu danych osobowych. Skarga może być także złożona w przypadku braku jakiejkolwiek reakcji ze strony administratora, do którego zapytanie zostało skierowane. Obejmuje ona wtedy po pierwsze, brak odpowiedz na skierowane do administratora żądnie, a więc brak ustosunkowania się do żądania, do czego administrator zobowiązany jest prawnie; po drugie, dotyczy braku usunięcia żądanych danych.

Warto w tym miejscu zwrócić uwagę, iż ponieważ przepisy RODO odnoszą się do osób fizycznych, nie ma podstawy do tego, aby nie chronić ich danych, w sytuacji gdy działają one w ramach prowadzonej działalności gospodarczej, jako przedstawiciele osoby prawnej. Zgodnie z motywem 14 RODO, który ma znaczenie interpretacyjne, RODO odnosi się do danych osobowych osób fizycznych, natomiast nie stosuje się jego przepisów do „przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej”. Niniejszy zapis wyraźnie stanowi wyłączenie, ale tylko odnośnie danych identyfikacyjnych (osobowych) osoby prawnej, natomiast wyłączeniu od stosowania RODO nie podlegające dane osób fizycznych związanych z daną osobową prawną. Przyjęcie innej interpretacji stanowiłoby naruszenie podstawowych celów realizowanych przez RODO, a także byłoby niezgodne z jasnym zapisem przywołanego motywu 14, gdzie mowa o danych dotyczących danej osoby prawnej, w tym jej danych kontaktowych. Należy pamiętać, iż z punktu widzenia prawa, osoby prawne są bytami niezależnymi od osób fizycznych (czy innych osób prawnych) je tworzących. Są autonomicznym podmiotem praw i obowiązków przynależnych im, a nie ich założycielom. Owa autonomia działa także w drugą stronę, to znaczy pozwala na traktowanie osób fizycznych, jako podmiotów prawnych niezależnych od osób prawnych, nawet jeśli te osoby prawne są tworzone przez określone osoby fizyczny. Owa separacja obejmuje także regulacje odnoszące się do ochrony danych osobowych, gdyż czym innym są dane osobowe osoby prawnej, a czym innym dane osobowe osoby fizycznej, taką osobę prawną tworzącą.

Jednym z motywów wprowadzonych zmian w systemie ochrony danych osobowych w Unii Europejskiej była chęć ograniczenia wykorzystywania przez przedsiębiorców danych osobowych zupełnie nieświadomych osób fizycznych do zarabiania na tych danych, a pośrednio traktowania dobra osobistego, jakim są dane osobowe, jak normalnego towaru handlowego. Dlatego też, należy uznać, iż jeśli mamy do czynienia z de facto prowadzeniem działalności zarobkowej przez administratora w oparciu o dobro osobiste osoby fizycznej, to tak naprawdę bez wyraźnej zgodny podmiotu danych, administrator nie ma prawa przetwarzać owych danych osobowych w tych celach.

 

biuro rachunkowe w poznaniu

Zmiany RODO a prawo pracy

Propozycje zmian prawa pracy w związku z dostosowaniem prawa do regulacji RODO

 

Pomimo upływu pół roku od wejścia w życie przepisów RODO problematyka ochrony danych osobowych jest nadal jednak obiektem bardzo dużego zainteresowania nie tylko ze strony administratorów danych osobowych, ale także ustawodawcy.

Chociaż RODO, jako akt normatywny ma formę rozporządzenia UE, a więc jest aktem, który ma charakter powszechnie obowiązujący i stosuje się go bezpośrednio, to jednak koniecznym było wydanie przez władze poszczególnych państw członkowskich dodatkowych regulacji prawnych w celu zapewnienia pełnego stosowania RODO. Po pierwsze, konieczność wydana wewnętrznych aktów prawnych dotyczyła sytuacji doprecyzowania przepisów RODO w zakresie przez ten akt prawny wskazanym.  Po drugie, działanie ze strony państw członkowskich było niezbędne w celu dostosowania istniejących w Polsce regulacji do nowego stanu prawnego, jaki został ukształtowany w związku z wejściem w życie RODO. W tym pierwszy przypadku kluczowa była ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U.2018 poz. 1000). Jeśli chodzi o ten drugi element to dopiero na przełomie października i listopada 2018 roku zaprezentowany został projekt ustawy dostosowującej przepisy 168 istniejących aktów prawnych do nowych regulacji z zakresu ochrony danych osobowych.

Jedną z najbardziej oczekiwanych zmian była ta odnosiła się do przepisów prawa pracy w zakresie przetwarzania danych osobowych kandydatów do pracy, ale przede wszystkim pracowników. Proponowane zmiany mają zostać wprowadzone w Kodeksie pracy, natomiast tylko wyjątkowo w ustawach szczególnych.

I tak w pierwszej kolejności zostaje wskazane, jakich danych może żądać potencjalny pracodawca od przypadku kandydatów do pracy. Są to: imię (imiona), nazwisko (nazwiska), data urodzenia i dane kontaktowe wskazane przez kandydata. Są to obligatoryjne dane osobowe, których pracodawca może żądać przy każdej rekrutacji. Natomiast niekoniecznie już tak jest z danymi, które standardowo są pozyskiwane przy praktycznie każdej rekrutacji, a odnoszą się do: wykształcenia, kwalifikacji zawodowych i przebiegu dotychczasowego zatrudnienia. Ustawodawca nałożył na rekrutujących prawodawców obowiązek weryfikacji, czy aby na pewno pozyskiwanie tych danych osobowych jest konieczne dla konkretnej rekrutacji, a więc zgodności z zasadami RODO, takimi jak zasada celowości i minimalizacji danych. Faktycznie jest tak, iż przy rekrutacji na stanowiska pracy, gdzie np. przede wszystkim wymaga się zdolności manualnych niekoniecznie istotnym będzie wykształcenie kandydata.

W przypadku osoby, z którą ma zostać nawiązany stosunek pracy, po jego nawiązaniu można żądać podania takich danych jak: adres zamieszkania, PESEL – w przypadku jego braku informację o dokumencie tożsamości, dodatkowe dane np. o stanie rodzinnym jeśli konieczne są one do ustalenia szczególnych uprawnień pracownika przewidzianych w prawie pracy oraz dane o wykształceniu i przebiegu dotychczasowym zatrudnienia, jeśli nie zaistniała przesłanka do wcześniejszego ich pozyskania na etapie rekrutacji. Jakiekolwiek inne dane mogą być pozyskiwane tylko w przypadku, gdy takie uprawnienie dla pracodawcy wynika z szczególnych przepisów prawa.

Bardzo ważny zastrzeżeniem poczynionym w proponowanych przepisach jest wskazanie, iż dane pozyskiwanie od kandydatów i pracowników mają być pozyskiwane na podstawie ich oświadczeń, natomiast pracodawca może żądać udokumentowania danych osobowych osób, w zakresie niezbędnym do ich potwierdzenia. Należy uznać, iż oznacza to w praktyce jedynie możliwość zażądania wglądu do dokumentacji potwierdzającej określone dane osobowe, tak aby możliwym było potwierdzenie informacji złożonych w formie oświadczenia. Natomiast nie powinno mieć miejsca przechowywanie dokumentów potwierdzających owe informacje. Jest to bardzo istotna zmiana w stosunku do obecnej praktyki stosowanej przez pracodawców.

Ważnym jest podkreślenie, iż pracodawca nie będzie mógł, tak jak obecnie się dzieje, żądać od pracownika przedstawienia zaświadczenia o niekaralności z Krajowego Rejestr Karnego, gdy uzna iż ta informacja jest dla niego istotną. Jedyną sytuacją, umożliwiającą takie żądanie będzie istnienie wyraźnego upoważnienia w przepisach prawa.

Możliwym będzie pozyskiwanie także innych danych osobowych pracownika, niż wskazane powyżej, jednak tylko i wyłącznie na podstawie jego wyraźnej zgody, niezależnie czy dane zostaną przekazane na wniosek pracodawcy, czy też z inicjatywy samego pracownika. Jest to o tyle istotne, iż zgoda może być w każdej chwili cofnięta, co oznaczać będzie konieczność usunięcia powyższych danych. Cofnięcie zgody nie może być nigdy podstawą do zastosowania jakichkolwiek negatywnych konsekwencji w stosunku do kandydata czy pracownika, w szczególności tych związanych z odmową zatrudnienia czy rozwiązaniem stosunku pracy.

Szczególnym przypadkiem jest przetwarzanie danych biometrycznych pracownika, np. koniecznych do kontroli dostępu do szczególnie ważnych informacji których „ujawnienie może narazić pracodawcę na szkodę” lub także ich wykorzystanie do kontroli „dostępu do pomieszczeń wymagających szczególnej ochrony”.

Ostatnią ważną zmianą w Kodeksie pracy związaną z RODO jest doprecyzowanie przepisów odnośnie stosowania monitoringu w miejscach pracy. Już w maju została wprowadzona regulacja, która korespondując z RODO uznawała tę praktykę za legalną, jednak poddając ją dość szczególnym ograniczeniom. Obecnie proponowane zmian wyłączają możliwość prowadzenia monitoringu pomieszczeń zakładowej organizacji związkowej, gdyż tego typu sytuacja może prowadzić do naruszenia praw i wolności osobistych. Dodatkowo proponuje się wprowadzenie zapisów doprecyzowujących stosowanie monitoringu w pomieszczeniach sanitarnych. Warunkiem jego stosowania ma być zgoda zakładowej organizacji związkowej albo przedstawicieli pracowników.

Zgodnie z propozycjami, ustawa ma wejść w życie w ciągu 14 dni od jej ogłoszenia. Projekt został zaprezentowany już na posiedzeniu rządu, więc można spodziewać się szybkiego jego procedowania, szczególnie iż jeden z przepisów końcowych wskazuje, że część ustawy wchodzi w życie 1 stycznia 2019 roku.