Zmiany RODO a prawo pracy

Propozycje zmian prawa pracy w związku z dostosowaniem prawa do regulacji RODO

 

Pomimo upływu pół roku od wejścia w życie przepisów RODO problematyka ochrony danych osobowych jest nadal jednak obiektem bardzo dużego zainteresowania nie tylko ze strony administratorów danych osobowych, ale także ustawodawcy.

Chociaż RODO, jako akt normatywny ma formę rozporządzenia UE, a więc jest aktem, który ma charakter powszechnie obowiązujący i stosuje się go bezpośrednio, to jednak koniecznym było wydanie przez władze poszczególnych państw członkowskich dodatkowych regulacji prawnych w celu zapewnienia pełnego stosowania RODO. Po pierwsze, konieczność wydana wewnętrznych aktów prawnych dotyczyła sytuacji doprecyzowania przepisów RODO w zakresie przez ten akt prawny wskazanym.  Po drugie, działanie ze strony państw członkowskich było niezbędne w celu dostosowania istniejących w Polsce regulacji do nowego stanu prawnego, jaki został ukształtowany w związku z wejściem w życie RODO. W tym pierwszy przypadku kluczowa była ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U.2018 poz. 1000). Jeśli chodzi o ten drugi element to dopiero na przełomie października i listopada 2018 roku zaprezentowany został projekt ustawy dostosowującej przepisy 168 istniejących aktów prawnych do nowych regulacji z zakresu ochrony danych osobowych.

Jedną z najbardziej oczekiwanych zmian była ta odnosiła się do przepisów prawa pracy w zakresie przetwarzania danych osobowych kandydatów do pracy, ale przede wszystkim pracowników. Proponowane zmiany mają zostać wprowadzone w Kodeksie pracy, natomiast tylko wyjątkowo w ustawach szczególnych.

I tak w pierwszej kolejności zostaje wskazane, jakich danych może żądać potencjalny pracodawca od przypadku kandydatów do pracy. Są to: imię (imiona), nazwisko (nazwiska), data urodzenia i dane kontaktowe wskazane przez kandydata. Są to obligatoryjne dane osobowe, których pracodawca może żądać przy każdej rekrutacji. Natomiast niekoniecznie już tak jest z danymi, które standardowo są pozyskiwane przy praktycznie każdej rekrutacji, a odnoszą się do: wykształcenia, kwalifikacji zawodowych i przebiegu dotychczasowego zatrudnienia. Ustawodawca nałożył na rekrutujących prawodawców obowiązek weryfikacji, czy aby na pewno pozyskiwanie tych danych osobowych jest konieczne dla konkretnej rekrutacji, a więc zgodności z zasadami RODO, takimi jak zasada celowości i minimalizacji danych. Faktycznie jest tak, iż przy rekrutacji na stanowiska pracy, gdzie np. przede wszystkim wymaga się zdolności manualnych niekoniecznie istotnym będzie wykształcenie kandydata.

W przypadku osoby, z którą ma zostać nawiązany stosunek pracy, po jego nawiązaniu można żądać podania takich danych jak: adres zamieszkania, PESEL – w przypadku jego braku informację o dokumencie tożsamości, dodatkowe dane np. o stanie rodzinnym jeśli konieczne są one do ustalenia szczególnych uprawnień pracownika przewidzianych w prawie pracy oraz dane o wykształceniu i przebiegu dotychczasowym zatrudnienia, jeśli nie zaistniała przesłanka do wcześniejszego ich pozyskania na etapie rekrutacji. Jakiekolwiek inne dane mogą być pozyskiwane tylko w przypadku, gdy takie uprawnienie dla pracodawcy wynika z szczególnych przepisów prawa.

Bardzo ważny zastrzeżeniem poczynionym w proponowanych przepisach jest wskazanie, iż dane pozyskiwanie od kandydatów i pracowników mają być pozyskiwane na podstawie ich oświadczeń, natomiast pracodawca może żądać udokumentowania danych osobowych osób, w zakresie niezbędnym do ich potwierdzenia. Należy uznać, iż oznacza to w praktyce jedynie możliwość zażądania wglądu do dokumentacji potwierdzającej określone dane osobowe, tak aby możliwym było potwierdzenie informacji złożonych w formie oświadczenia. Natomiast nie powinno mieć miejsca przechowywanie dokumentów potwierdzających owe informacje. Jest to bardzo istotna zmiana w stosunku do obecnej praktyki stosowanej przez pracodawców.

Ważnym jest podkreślenie, iż pracodawca nie będzie mógł, tak jak obecnie się dzieje, żądać od pracownika przedstawienia zaświadczenia o niekaralności z Krajowego Rejestr Karnego, gdy uzna iż ta informacja jest dla niego istotną. Jedyną sytuacją, umożliwiającą takie żądanie będzie istnienie wyraźnego upoważnienia w przepisach prawa.

Możliwym będzie pozyskiwanie także innych danych osobowych pracownika, niż wskazane powyżej, jednak tylko i wyłącznie na podstawie jego wyraźnej zgody, niezależnie czy dane zostaną przekazane na wniosek pracodawcy, czy też z inicjatywy samego pracownika. Jest to o tyle istotne, iż zgoda może być w każdej chwili cofnięta, co oznaczać będzie konieczność usunięcia powyższych danych. Cofnięcie zgody nie może być nigdy podstawą do zastosowania jakichkolwiek negatywnych konsekwencji w stosunku do kandydata czy pracownika, w szczególności tych związanych z odmową zatrudnienia czy rozwiązaniem stosunku pracy.

Szczególnym przypadkiem jest przetwarzanie danych biometrycznych pracownika, np. koniecznych do kontroli dostępu do szczególnie ważnych informacji których „ujawnienie może narazić pracodawcę na szkodę” lub także ich wykorzystanie do kontroli „dostępu do pomieszczeń wymagających szczególnej ochrony”.

Ostatnią ważną zmianą w Kodeksie pracy związaną z RODO jest doprecyzowanie przepisów odnośnie stosowania monitoringu w miejscach pracy. Już w maju została wprowadzona regulacja, która korespondując z RODO uznawała tę praktykę za legalną, jednak poddając ją dość szczególnym ograniczeniom. Obecnie proponowane zmian wyłączają możliwość prowadzenia monitoringu pomieszczeń zakładowej organizacji związkowej, gdyż tego typu sytuacja może prowadzić do naruszenia praw i wolności osobistych. Dodatkowo proponuje się wprowadzenie zapisów doprecyzowujących stosowanie monitoringu w pomieszczeniach sanitarnych. Warunkiem jego stosowania ma być zgoda zakładowej organizacji związkowej albo przedstawicieli pracowników.

Zgodnie z propozycjami, ustawa ma wejść w życie w ciągu 14 dni od jej ogłoszenia. Projekt został zaprezentowany już na posiedzeniu rządu, więc można spodziewać się szybkiego jego procedowania, szczególnie iż jeden z przepisów końcowych wskazuje, że część ustawy wchodzi w życie 1 stycznia 2019 roku.

Inspektor Ochrony Danych Osobowych – pracownik wewnętrzny czy outsourcing ?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych wprowadzana nowe rozwiązania w zakresie bieżącej kontroli przestrzegania przepisów o ochronie danych osobowych przez administratorów danych osobowych.

Inspektor Ochrony Danych Osobowych obowiązkowo wyznaczany jest przez organ lub podmiot publiczny, jeśli dokonują one przetwarzania danych osobowych. Podobnie, konieczne jest powołanie IODO jeśli „główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę”; lub administrator przetwarza na dużą skalę dane osobowe „ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dokonuje przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej”.

W innych przypadkach powołanie IODO jest fakultatywne, jednakże z regulacji unijnych wynika, iż jest czynnością zalecaną, gdyż umożliwia zapewnienie wysokiego poziomu ochrony danych osobowych, zmniejszając ryzyko naruszenia prawa i narażenia się na wysoką odpowiedzialność finansową przewidzianą w regulacjach RODO.
RODO określa wymogi jakie powinna spełniać osoba pełniąca funkcję IODO jednakże, czyni to w znacznym stopniu w sposób ogólny, pozostawiające faktycznie szeroką swobodę w wyborze konkretnej osoby na to stanowisko. Jednocześnie jednak od poziomu wiedzy, kompetencji i doświadczenia IODO zależy rzeczywisty poziom ochrony danych osobowych, a tym samym przestrzeganie wiążących przepisów prawa.

Z perspektywy administratora (pracodawcy) istotnym jest, iż IODO powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny, tym samy chociaż znajduje się to stanowisko w strukturze administratora, to w praktyce działalność osoby powołanej na stanowisko IODO jest niezależna od poleceń pracodawcy, a obowiązki i zadania IODO określają przepisy prawa. Dodatkowo należy stwierdzić, iż osoba powołana na to stanowisko nie powinna realizować innych zdań dla pracodawcy, tak aby nie dochodziło do naruszenia niezależności w działaniu takiej osoby. Podsumowując więc IODO, w niektórych przypadkach funkcja obligatoryjna, w pozostałym zakresie funkcja fakultatywna jest realizowana na rzecz administratora, ale przez osobę, która w praktyce ma być od niego niezależną.

W wielu przypadkach, gdy dochodzi do powołania IODO, okazuje się, że rzeczywisty zakres jego obowiązków nie wypełnia pełnoetatowego zatrudnienia dla nowego pracownika. Natomiast w przypadku zatrudnienia takiej osoby na podstawie umowy o pracę, wiążą się z takim rozwiązaniem znaczne dodatkowe koszty dla administratora – przedsiębiorcy.
Dlatego alternatywą dla zatrudniania IODO, jako własnego pracownika, jest skorzystanie z pomocy podmiotów zewnętrznych oferujących usługi IODO. Jest to rozwiązanie optymalne, gdyż umożliwia właściwe ukształtowanie czasu pracy IODO w oparciu o rzeczywiste potrzeby administratora. Prócz tego, jako osoba niepracująca na co dzień w strukturze administratora, a pojawiająca się od czasu do czasu ma bardziej wyostrzoną uwagę, co do ewentualnych problemów związanych z ochroną danych osobowych w stosunku, do osób na stałe pracujących w strukturze administratora, które w sposób naturalny mogę pewne pojawiające się incydenty ignorować. Kolejną korzyścią jest prostsze zapewnienie niezależności w działaniu IODO, co jest warunkiem prawidłowego wykonywania zadań IODO. Natomiast zapewnienie niezależności w praktyce jest znaczenie trudniejsze, jeśli IODO znajduje się w zależności służbowej od administratora albo jednego z jego pracowników.
Najważniejszymi jednak korzyściami wynikającymi ze skorzystania z usług zewnętrznego podmiotu przy korzystaniu z usługi IODO jest optymalizacja kosztów działalności przedsiębiorstw oraz pełen profesjonalizm usług świadczonych przez podmiot zewnętrzny. Podobnie jak dziś usługi księgowe, prawnicze, informatyczne, kadrowe, itp. tak także te związane z ochroną danych osobowych mogą być outsourcingowane do wyspecjalizowanych podmiotów zewnętrznych, zapewniających profesjonalne usługi, świadczone przez wysokiej klasy specjalistów, umożliwiając jednocześnie dokonanie realnych oszczędności w działalności zlecającego przedsiębiorstwa. Dlatego też, z wyżej wskazanych powodów, rozwiązanie polegające na nawiązaniu współpracy z zewnętrznym podmiotem zapewniających usługi IODO jest z pewnością korzystnym rozwiązaniem dla zdecydowanej większości administratorów danych osobowych.

Rola pracowników w ochronie danych osobowych przetwarzanych przez przedsiębiorcę

Nowe rozwiązania unijne, funkcjonujące także w Polsce, w zakresie ochrony danych osobowych (tzw. RODO) nakładają szczególne obowiązki na podmioty przetwarzające dane osób fizycznych. System ochrony danych osobowych w Unii Europejskiej ukierunkowany jest na zapewnienie najwyższych standardów bezpieczeństwa danych odnoszących się do każdej osoby fizycznej. O ile podmiotem (administratorem) danych jest konkretny przedsiębiorca, czy to prowadzący swoją działalność w ramach jednoosobowej działalności gospodarczej, czy też w ramach spółki, to w praktyce to osoby współpracujące, najczęściej pracownicy przedsiębiorcy, są odpowiedzialni za pracę z danymi osób fizycznych. Dlatego też, od właściwego przeszkolenia pracowników, ich wiedzy oraz umiejętności praktycznych, zależy rzeczywisty poziom ochrony bezpieczeństwa danych osobowych w podmiocie je przetwarzającym, a tym samym przestrzeganie powszechnie obowiązującego prawa, które co warto podkreślić, powiązane jest z systemem kosztownych sankcji finansowych.
Analiza stopnia zaawansowania wdrażania nowych zapisów o ochronie danych osobowych w Polsce nasuwa jeden zasadniczy wniosek. Podmioty, które dokonały wdrożenia nowych zapisów, dokonały tego przede wszystkim formalnie, tzn. przygotowały dokumenty i odpowiednie klauzule informacyjne oraz poinformowały osoby, których dane przetwarzają o fakcie przetwarzania i o wejściu w życie nowych przepisów prawnych.
Jednakże dotychczasowe doświadczenie wynikające z kontaktów z administratorami danych osobowych i ich pracownikami wskazuje, iż najbardziej newralgiczny punkt całego systemu przetwarzania i ochrony danych osobowych został zaniedbany.
Niewielką uwagę poświęcono właściwemu przeszkoleniu osób (pracowników), na co dzień przetwarzających dane osobowe. Oczywiście posiadają oni właściwe upoważnia a nawet poświadczenia przeszkolenia, jednakże ich realna wiedza i umiejętności praktyczne są niewystarczające. Najczęstsze problemy dotyczą: niestosowania właściwych zabezpieczeń, braku rejestrowania wszystkich czynności przetwarzania danych, nieprawidłowych reakcji na zgłoszenia wniosków przez osoby, których dane są przetwarzane czy nieinformowania o incydentach związanych z naruszeniem danych osobowych.
Te braki narażają przedsiębiorców na ogromne ryzyko związane z naruszeniem danych osobowych czy nawet niewłaściwym albo brakiem raportowania o naruszeniach do podmiotów nadzorujących ochronę danych osobowych w Polsce. Takie zaniedbania będą natomiast skutkować znacznymi karami finansowymi, które z założenia mają mieć dotkliwy charakter dla podmiotów naruszających prawo z zakresu ochrony danych osobowych. Dodatkowo wystąpienie takich przypadków może skutkować odpowiedzialnością dyscyplinarną i odszkodowawczą pracowników, a w niektórych przypadkach może być podstawą rozwiązania stosunku pracy z pracownikiem, który dopuścił się naruszenia RODO.
Rozwiązaniem przeciwdziałającym wystąpieniu powyższych sytuacji, jest zadbanie o profesjonalne i praktyczne przeszkolenie swoich pracowników w zakresie RODO. Tylko cykliczne szkolenia i ewaluacja wiedzy pracowników pozwolą na utrzymanie właściwego poziomu ochrony danych osobowych w prowadzonej działalności gospodarczej oraz uniknięcie kar finansowych za naruszenia regulacji RODO.

RODO – informacja

Szanowni Państwo,
przypominamy, iż w dniu 25.05.2018 r. zaczęły w Polsce obowiązywać przepisy Rozporządzenia Parlamentu Europejskiego i RADY (EU) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. RODO lub GDPR).
Wspomniane przepisy nakładają na przedsiębiorców szereg obowiązków w zakresie ochrony danych osobowych, jak chociażby obowiązek prowadzenia stosownej dokumentacji oraz odpowiednich środków organizacyjnych oraz technicznych, które mają służyć zabezpieczeniu przetwarzanych danych osobowych.
Nowe regulacje dotyczą prawie wszystkich przedsiębiorców, albowiem jako przetwarzanie rozumie się jakiekolwiek działalnie na danych osobowych. Za klasyczny przykład przetwarzania w działalności gospodarczej uznaje się chociażby wystawienie faktury VAT na osobę fizyczną, w tym na osobę prowadząca jednoosobową działalność gospodarczą.
Obok nowych obowiązków oraz uprawnień RODO wprowadza również nowy katalog kar za stwierdzone naruszenia rozporządzenia.
Administracyjne kary pieniężne mają być nakładane zależnie od okoliczności każdego indywidualnego przypadku i mogą sięgać nawet do 20.000.000 euro a w przypadku przedsiębiorstwa –do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie będzie miała kwota wyższa.
Ewentualne ukaranie administratora lub procesora ww. karą pieniężną nie wyklucza przy tym jego odpowiedzialności cywilnej za ewentualne szkody, wobec osób, których dane osobowe są przetwarzane.