Kategorie tematyczne
EventyPrawo spółekPodatkiPrawo gospodarczePrawo pracyPrawo cywilneZMIANY W ZASADACH PRZETWARZANIA DANYCH OSOBOWYCH cz. 3. z 3. Zmiany w prawie pracy, umowa powierzenia danych
W poprzednich artykułach przedstawiono definicje związane z ochroną danych osobowych, podmioty dokonujące ich przetwarzania oraz kontroli jej zgodności, a także podstawowe zasady oraz obowiązki związane z nowymi przepisami dotyczącymi tej materii. W niniejszym opracowaniu zostaną przedstawione zmiany, które powinny zainteresować pracodawców.
1. Zmiany w prawie pracy
Jak wcześniej wskazano, ustawa wprowadzająca zmienia ponad 130 aktów prawnych, jednak największe znaczenie praktyczne dla przedsiębiorców mają prawdopodobnie zmiany w prawie pracy, choć od razu należy dodać, że nie jest to rewolucja w tej sferze.
Nowelizację kodeksu pracy przewiduje art. 5 ustawy wprowadzającej. Przede wszystkim, zmianie uległ zakres danych osobowych, których pracodawca może żądać od kandydata na stanowisko w procesie rekrutacyjnym, jak również danych dotyczących pracownika. Warto przypomnieć, że pracodawca jest administratorem danych osobowych i powinien przestrzegać wszelkich obowiązków wynikających ze znowelizowanych przepisów.
Zgodnie z nowymi zasadami, pracodawca od osoby ubiegającej się o zatrudnienie żąda podania: imienia i nazwiska, daty urodzenia, adresu do korespondencji, adresu poczty elektronicznej albo numeru telefonu, wykształcenia oraz dotychczasowego zatrudnienia. W porównaniu do poprzedniego stanu prawnego, dodano możliwość uzyskania numeru telefonu lub adres e-mail – obecnie kodeks pracy nie daje takiej możliwości (mimo powszechności umieszczania tych informacji w CV).
Natomiast w stosunku pracownika pracodawca (osoby już zatrudnionej) powinien domagać się podania następujących danych: adresu zamieszkania, numeru PESEL oraz innych danych osobowych pracownika, a także danych osobowych dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy (np. premii świątecznych).
Inne niż wymienione powyżej dane mogą być przetwarzane jedynie wtedy, gdy pracownik lub kandydat wyrażą na to zgodę – powinna ona być wyraźna, złożona na piśmie lub w formie dokumentu elektronicznego. W związku z tym, warto podczas procesu rekrutacyjnego żądać dodania odpowiedniej klauzuli w treści CV, natomiast jeżeli chodzi o pracownika – oświadczenia na piśmie. Poza tym ustawa wprowadza bezwzględny zakaz żądania danych wrażliwych, tj. informacji o nałogach, stanie zdrowia, życiu seksualnym lub orientacji seksualnej – nie można ich przetwarzać nawet za zgodą zainteresowanej osoby.
Warto podkreślić, że według nowych zasad pracodawca jest zobowiązany (ma obowiązek) uzyskania powyższych danych.
Ponadto nowelizacja wprowadza podstawę prawną do monitoringu pracowników, którego obecnie kodeks pracy nie przewiduje. Po wejściu w życie nowych przepisów, pracodawca będzie mógł „wprowadzić środki szczególnego nadzoru nad miejscem pracy lub terenem wokół zakładu pracy” poprzez rejestrowanie obrazu (ustawa milczy o dźwięku). Podstawą do wprowadzenia monitoringu może być zapewnienie bezpieczeństwa dla pracowników, ochrona mienia lub konieczność zachowania tajemnicy przedsiębiorstwa. Warto dodać, że kamery nie będą mogły być montowane w pomieszczeniach, które nie służą do wykonywania pracy, np. w toaletach czy palarniach, a także nie mogą służyć do kontrolowania pracowników (np. rozliczania czasu pracy). Pracodawca ma obowiązek poinformowania pracowników o zamiarze zainstalowania monitoringu na 14 dni przed planowanym terminem jego wprowadzenia.
Podsumowując, nowelizacja wprowadziła zmiany w kodeksie pracy, które wynikały z potrzeby dostosowania przepisów do powszechnej praktyki. Innymi słowy, wcześniej dochodziło do naruszenia przepisów, jednak nie miały one większego znaczenia, gdyż ochrona nie była zbyt restrykcyjna. W nowym stanie prawnym, gdy organy otrzymały większą możliwość nakładania kar, nowelizacje kodeksu stały niezbędne.
Warto przypomnieć, że pracodawca powinien umieścić stosowną klauzulę informacyjną w ogłoszeniu o pracę i w nowych umowach o pracę. Natomiast dotychczasowi pracownicy powinni przynajmniej otrzymać maila z niezbędnymi informacjami (więcej w artykule nr 2).
Na zakończenie należy podkreślić, że ustawa uważa za naruszenie ochrony danych osobowych ich przetwarzanie po upływie okresu ich uprawnionego przechowywania. W związku z tym, powinny być one usuwane, jeżeli dalsze ich przechowywanie jest bezcelowe. W konsekwencji, należy przedstawić czas, w jakim poszczególne kategorie danych mogą być przetwarzane:
a. dokumentacja pracownicza (akta osobowe) – 50 lat (według planowanej nowelizacji innych przepisów – okres ma być skrócony do 10 lat),
b. listy obecności i wnioski urlopowe – 2 lata,
c. dokumentacja związana z wypadkami zbiorowymi, śmiertelnymi i powodującymi inwalidztwo – 25 lat,
d. dokumenty płatnicze potwierdzające opłacenie składek na ubezpieczenia społeczne, zdrowotne – 5 lat.
2. Umowa powierzenia
Nowe przepisy o ochronie danych osobowych wprowadzają obowiązek podpisania umowy z każdym podmiotem, który dokonuje przetwarzania danych osobowych w imieniu administratora. W związku z szerokim znaczeniem terminu „przetwarzanie” zauważyć należy, że umowa powierzenia powinna być zawierana np. z księgową dokonującą rozliczeń kadrowo-płacowych.
Wymagania stawiane tego typu umowom reguluje art. 28 RODO. Zgodnie z nim, powierzenie przetwarzania danych osobowych może nastąpić jedynie na rzecz podmiotów, które zapewniają należyty poziom ochrony. Powinno ono odbywać się na podstawie umowy lub „innego instrumentu prawnego”, która powinna zawierać co najmniej:
a. przedmiot i czas trwania przetwarzania,
b. charakter i cel przetwarzania,
c. rodzaj danych osobowych,
d. kategorie osób, których dane dotyczą,
e. obowiązki i prawa administratora,
Ponadto umowa powinna zawierać dodatkowe elementy przewidziane w art. 28 RODO ust. 3, w szczególności:
f. adnotację, że podmiot przetwarzający dokonuje tego na wyraźnie polecenie administratora,
g. zapewnienie, że osoby zatrudnione u podmiotu przetwarzającego zobowiązane są do zachowania tajemnicy,
h. gwarancję, że podmiot przetwarzający podejmuje wszelkie środki organizacyjne i prawne dla zachowania bezpieczeństwa danych osobowych,
Warto wskazać, że procedura przekazania przetwarzania danych nie musi być szczególnie sformalizowana, jednak powinna zwierać wyszczególnione powyżej założenia. Nie jest wymagane zatem np. opracowywanie dodatkowej dokumentacji przetwarzania danych (podobnej do tej, jaką powinien sporządzić administrator pod rządami poprzedniej ustawy), choć w przypadku dużych jednostek takie rozwiązanie może zostać ocenione jako niezachowanie należytej staranności.
Bartosz Szrama, aplikant radcowski
Łódź, dnia 23 maja 2018 roku
Podstawa prawna:
- Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.2016.922),
- Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),
- Projekt ustawy zmieniającej ustawę o ochronie danych osobowych z dnia 12 września 2017 r.
- Projekt ustawy wprowadzającej ustawę o ochronie danych osobowych z dnia 12 września 2017 r.