Drugi etap wdrożenia RODO - zmiany w przepisach dotyczących przetwarzania danych osobowych w zatrudnieniu
Tym wpisem rozpoczynam cykl kilku artykułów dotyczących zmian, jakie niesie ze sobą ustawa z dnia 21 lutego 2019 roku o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679. Ustawa zmienia około 160 aktów prawnych w Polsce i liczy 173 artykuły. Wprowadza zmiany m. in. w prawie pracy, w sektorze telekomunikacyjnym, medycznym, bankowości, ubezpieczeniach, oświacie, postępowaniu administracyjnym.
Jakie zmiany w przepisach czekają pracodawców po 5 maja 2019 roku w zakresie przetwarzania i ochrony danych osobowych pracowników?
Zmiany zaczynają się od art.221. § 1 i § 2 Kodeksu Pracy i dotyczą danych osobowych jaki może żądać pracodawca od kandydata do pracy oraz osoby zatrudnionej.
W pierwszym wypadku są to imię (imiona) i nazwisko, data urodzenia, dane kontaktowe wskazane przez taką osobę; wykształcenie kwalifikacje zawodowe oraz przebieg dotychczasowego zatrudnienia. Ale dane dotyczące wykształcenia czy przebiegu dotychczasowego zatrudnienia pracodawca może przetwarzać tylko wówczas jeśli jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku (np. prawny wymóg wykształcenia czy określonych kwalifikacji).
Jeśli pracodawca podejmie decyzję o zatrudnieniu konkretnego kandydata, wówczas żąda dodatkowo danych takich jak: adres zamieszkania, numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość (paszport, prawo jazdy), innych danych osobowych pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy, wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie, numer rachunku bankowego, chyba że pracownik złożył wniosek o wypłatę wynagrodzenia do rąk własnych.
W celu spełnienia obowiązku prawnego na niego nałożonego, pracodawca może wymagać od pracownika podania również innych danych.
Inne dane poza wyżej wymienionymi (z wyjątkiem danych osobowych dotyczących karalności) pracodawca może przetwarzać tylko za wyraźną zgodą pracownika, a jej brak lub wycofanie nie mogą być podstawą do odmowy zatrudnienia.
Co w takim razie z danymi wrażliwymi (szczególne kategorie danych - art. 9 RODO) pracownika i kandydata do pracy?
Również te dane pracodawca może przetwarzać ale tylko za wyraźną zgodą pracownika i jeżeli pracownik udostępnił je z własnej inicjatywy. Wyłom ustawodawca czyni dla danych biometrycznych (odcisk palca, tęczówka/siatkówka oka) i daje pracodawcy możliwość ich przetwarzania, jeśli podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony (tajemnica przedsiębiorstwa, ochrona informacji niejawnych).
Ustawa z 21 lutego, kierując się zasadą minimalizmu, pozostawia (z niewielkimi korektami) art. 229 § 11 stanowiący, iż osoby przyjmowane do pracy u innego pracodawcy na dane stanowisko w ciągu 30 dni po rozwiązaniu lub wygaśnięciu poprzedniego stosunku pracy, jeżeli posiadają aktualne orzeczenie lekarskie stwierdzające brak przeciwwskazań do pracy w warunkach pracy opisanych w skierowaniu na badania lekarskie i pracodawca ten stwierdzi, że warunki te odpowiadają warunkom występującym na danym stanowisku pracy, z wyłączeniem osób przyjmowanych do wykonywania prac szczególnie niebezpiecznych, nie podlegają wstępnym badaniom lekarskim. Natomiast pracodawca żąda od nich orzeczenia lekarskiego wydanego na wniosek poprzedniego pracodawcy.
Tym samym dobrnęliśmy do bardzo ważnego zapisu ustawy zmieniającej Kodeks Pracy - do przetwarzania szczególnych kategorii danych osobowych (wrażliwych) mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy. Czyli po ponad roku sporów i dyskusji ekspertów nt upoważnień do przetwarzania danych (brak takiego obowiązku wprost wyrażonego w Ogólnym Rozporządzeniu) ustawodawca unormował te kwestię częściowo - pracownicy, którzy przetwarzają w ramach swoich obowiązków dane wrażliwe muszą otrzymać upoważnienia od pracodawcy na piśmie. Oznacza to, że do przetwarzania danych osobowych tzw. zwykłych pracownik nie musi posiadać odrębnego, pisemnego upoważnienia.
Kolejna zmiana dotyczy kwestii monitoringu wizyjnego - jeżeli pracodawca uzna za konieczne (zapewnienie bezpieczeństwa) zainstalowanie kamery w pomieszczeniu sanitarnym czy pomieszczeniu zakładowej organizacji związkowej i nie narusza dóbr osobistych pracowników, może to zrobić po uzyskaniu zgody zakładowej organizacji związkowej, a w razie jej braku przedstawicieli pracowników.
Zmiany dotykają także zakładowego funduszu świadczeń socjalnych. Pracownik ubiegający się o ulgę, świadczenie czy dopłatę z funduszu składa oświadczenie o swojej sytuacji rodzinnej i majątkowej jednak pracodawca może żądać udokumentowania danych osobowych w zakresie koniecznym do ich potwierdzenia. Może więc żądać oświadczeń i zaświadczeń o sytuacji życiowej (w tym zdrowotnej), rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu. Nie jest jasne czy pracodawca te zaświadczenia może przechowywać, czy tylko dysponuje nimi do wglądu - wydaje się że, w ślad za dotychczasowymi interpretacjami, ustawodawca miał na myśli wgląd w dokumentację, a nie przechowywanie jej kserokopii czy oryginałów.
Ustawa nie określa jak długo pracodawca może przetwarzać te dane - w przepisie mowa jet o „...okresie niezbędnym do przyznania ulgowej usługi i świadczenia, dopłaty z Funduszu oraz ustalenia ich wysokości, a także (...) do dochodzenia praw lub roszczeń.” Dodatkowo ustawodawca nakłada na pracodawcę obowiązek dokonywania przeglądu danych osobowych zbieranych do celów pomocy materialnej pracownikowi nie rzadziej niż raz w roku kalendarzowym w celu ustalenia niezbędności ich dalszego przechowywania oraz, w razie ich zbędności, usuwania.
Przepisy zmieniające ustawę o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych nadają pracodawcy status administratora danych o stanie zdrowia konkretnych kategorii pracowników (m. in. stażyści, wykonujący prace nakładczą, byłych pracowników, członków ich rodzin). Przepisy dają też możliwość zautomatyzowanego przetwarzania danych osobowych osób niepełnosprawnych, jeśli te korzystają ze świadczeń i refundacji z Funduszu Pracy. Pracodawca jest zobowiązany do przeglądu tych danych nie rzadziej niż raz na pięć lat kalendarzowych.
Jak więc widzimy na przykładzie przepisów prawa pracy, zmiany są znaczne a pracodawcy będą z ich wdrożenia rozliczani nie tylko przez Prezesa Urzędu Ochrony Danych Osobowych ale także Państwową Inspekcję Pracy czy też sądy pracy. Zwłaszcza, że na wdrożenie zmian zostało zaledwie 2 tygodnie.
Zobacz nasze pozostałe posty z tamatu RODO:
