Rząd wciąż pracuje nad projektem ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (RODO). Kiedy te przepisy zaczną obowiązywać?

Projekt został przyjęty przez Komitet Stały Rady Ministrów i skierowany na posiedzenie rządu. Porusza bardzo ważną i trudną materię. W zakresie zmian w prawie pracy jego stworzenie poprzedzały miesiące wspólnej pracy Ministerstwa Cyfryzacji, Ministerstwa Rodziny, Pracy i Polityki Społecznej, a także innych resortów i urzędów. Teraz projekt trafi pod obrady rządu, a następnie do Sejmu. Wydaje się, że listopad to realny termin wejścia w życie tych przepisów.

Zakładają one nowelizację kodeksu pracy w zakresie danych o pracowniku, jakie może pozyskiwać firma. W trakcie prac legislacyjnych te przepisy wielokrotnie się zmieniały. Co przewidują obecnie?

Określają katalog danych, których pracodawca żąda od kandydata do pracy. Obejmuje on imię i nazwisko, datę urodzenia, dane kontaktowe wskazane przez kandydata, wykształcenie, kwalifikacje zawodowe oraz przebieg dotychczasowego zatrudnienia. Musimy przy tym pamiętać, że cały czas są przypadki rekrutacji, gdy wykształcenie, kwalifikacje czy przebieg zatrudnienia nie są kluczowe. Nie w każdym przypadku zatrudniania potrzebujemy informacji o wykształceniu. Na przykład, gdy szukamy osoby do prac sezonowych (dla której można przecież zawierać umowę o pracę). Dlatego te kategorie danych można będzie pobierać od kandydata, tylko gdy będzie to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.

Jak obecna wersja projektu normuje możliwość pozyskiwania dodatkowych danych od kandydata lub pracownika, jeśli udzieli on na to zgody?

Po pierwsze, projekt wyraźnie przesądza, że zarówno kandydat, jak i pracownik mogą udzielić zgody na przetwarzanie swoich danych osobowych. Nie możemy na siłę chronić pracowników przed nimi samymi. Projekt mówi, że brak zgody lub jej wycofanie nie mogą być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika. Nie mogą też wywoływać wobec nich żadnych negatywnych konsekwencji, zwłaszcza nie mogą stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez firmę.

Zrezygnowaliśmy przy tym z przesłanki korzystności, tzn. kandydat lub pracownik mogą przekazać za zgodą zwykłe informacje, a nie tylko te, które są dla nich korzystne. Wynika to z tego, że sam zainteresowany często nie jest w stanie ocenić, czy przekazanie konkretnych danych wywoła dla niego pozytywny efekt. Na przykład kandydat do pracy może uważać, że przedstawił świetny list referencyjny, ale nie zna listów pozostałych zainteresowanych, więc może się okazać, że przekazując ten dokument, zadziałał na własną niekorzyść.

Trzeba też pamiętać, że w przypadku danych zwykłych definicja zgody – zawarta w RODO – jest określona bardzo liberalnie. Na przykład jeśli kandydat z własnej woli przesyła pracodawcy swoje CV mimo braku organizowanej rekrutacji, to już samo jego wysłanie (pod warunkiem że nie zawiera ono danych wrażliwych) dla pracodawcy oznacza zgodę na przetwarzanie zawartych w nim informacji. Takie stanowisko przyświecało nam przy tworzeniu przepisów. Projekt wyraźnie również przesądza, że zgoda może dotyczyć danych osobowych udostępnianych zarówno z inicjatywy pracownika czy kandydata, jak i na wniosek pracodawcy. Zgoda nie będzie mogła stanowić podstawy do przetwarzania danych osobowych, o których mowa w art. 10 RODO, czyli dotyczących wyroków skazujących i naruszeń prawa.

Jak ukształtowano uzyskiwanie zgody w przypadku danych wrażliwych, np. stanu zdrowia, wyznania, światopoglądu?

Projektowane przepisy odwołują się tu do art. 9 RODO, który zawiera katalog takich danych. Wskazują, że odebranie zgody na ich pobranie (szczególnych kategorii danych) jest możliwe tylko wtedy, jeśli informacje takie są przekazywane z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Co bardzo ważne, w tym przypadku zgodnie z RODO zgoda musi być zgodą „wyraźną”, co stawia jej jeszcze większe wymogi niż w przypadku danych zwykłych.

Na pewno pojawią się wątpliwości, czy ta inicjatywa nie będzie wymuszona przez pracodawcę.

Od oceny tego są sądy, Państwowa Inspekcja Pracy, Urząd Ochrony Danych Osobowych. Staramy się zabezpieczyć pracownika, ale nie jesteśmy w stanie wyeliminować wszelkich zagrożeń. W tym miejscu warto też wskazać, że tak zredagowaliśmy omawiane regulacje, aby te zawarte w kodeksie pracy nie były przepisem szczególnym względem art. 6 i 9 RODO. Pracodawcy będą mogli więc gromadzić dane także na podstawie innych przesłanek, nie tylko tych określonych w k.p., w szczególności jeśli pozyskanie informacji jest konieczne dla zawarcia umowy albo w sytuacji prawnie uzasadnionego interesu. Na przykład firma dla własnego bezpieczeństwa gromadzi dane osób wchodzących na teren jej siedziby bez względu na to, czy chodzi o kandydata do pracy czy pracowników ekipy sprzątającej. Kodeks pracy tej kwestii nie reguluje, bo to nie jest konieczne dla wykonania umowy o pracę. Podstawą do przetwarzania danych w takim przypadku będzie prawnie uzasadniony interes.

Jak zostało uregulowane pozyskiwanie danych biometrycznych od zatrudnionych?

Podstawą do przetwarzania takich danych mogłaby być oczywiście zgoda, pod warunkiem spełnienia wskazanych wcześniej wymogów. Dodatkowo projekt wprost uprawnia do przetwarzania danych biometrycznych pracowników (nie kandydatów), gdy ich podanie jest niezbędne ze względu na kontrolę dostępu do pomieszczeń wymagających szczególnej ochrony lub do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę np. ze względu na szczególną wartość mienia.

W innym celu, np. ewidencji czasu pracy, pozyskiwanie nie będzie więc możliwe. Ale w tych dwóch przypadkach firma nie będzie musiała uzyskiwać zgody pracownika? Wystarczy, że powoła się na jeden z dwóch wspomnianych celów?

Tak, pracodawca nie będzie musiał pozyskiwać zgody na gromadzenie danych biometrycznych w tych przypadkach.

Czy zgodnie z nowymi przepisami firmy będą mogły tworzyć bazy CV?

Trzeba rozróżnić kilka sytuacji. Jeśli firma przeprowadza rekrutację na konkretne stanowisko, podstawą przetwarzania danych jest podjęcie czynności koniecznych przed zawarciem umowy, a w przypadku danych dodatkowych – najczęściej zgoda kandydata. Po zakończeniu naboru CV wyłonionej osoby oraz pozostałych kandydatów archiwizuje na czas potrzebny do ochrony przed ewentualnymi roszczeniami, np. z tytułu dyskryminacji. Po upływie tego okresu usuwa się je. Jeśli te odrzucone CV firma chce wykorzystać na potrzeby przyszłych rekrutacji, powinna uzyskać na to zgodę kandydata. Chyba że zgody takiej udzielił, wysyłając CV.

Wystarczy zgoda ogólna, czyli klauzula, która wskazuje, że zainteresowany zgadza się na wykorzystanie CV na potrzeby innych rekrutacji organizowanych w przyszłości, czy konieczna jest oddzielna zgoda na każdorazowy nabór?

Nie można zabronić kandydatowi wyrażenia zgody na wykorzystanie CV we wszystkich rekrutacjach, które będą organizowane. One zwyczajnie są często nie do przewidzenia. Wtedy do momentu, gdy ktoś tej zgody nie odwoła, jest ona bez wątpienia ważna. Dobrą praktyką jest wskazywanie okresu, na jaki zgoda jest udzielana, np. rekrutacje organizowane przez najbliższe 12 miesięcy. Możliwe jest jednak, że ktoś chce, by taka zgoda obejmowała rekrutacje tak długo, jak będą organizowane, bez ograniczeń czasowych. Trudno odebrać prawa do jej wyrażenia.

Czy pracodawcy będą mogli sprawdzać konta kandydatów lub pracowników na portalach internetowych? Teraz w praktyce często to robią, np. weryfikują w ten sposób, czy pracownik prawidłowo wykorzystuje zwolnienia lekarskie.

W naszej ocenie to zależy, o jakim portalu mówimy. Jeśli ktoś utworzył otwarte konto na portalu dotyczącym stricte kariery zawodowej po to, aby inni mogli się zapoznać z jego osiągnięciami, wyraża w ten sposób zgodę na pozyskiwanie tych informacji.

Natomiast przeglądanie prywatnych kont na portalach społecznościowych moim zdaniem nie jest możliwe. RODO nie przewiduje przesłanki powszechnej dostępności. Na etapie tworzenia rozporządzenia zastanawiano się, czy jedną z podstaw przetwarzania danych nie powinien być sam fakt tego, że dane zostały rozpowszechnione przez osobę, której dotyczą. Wprost w art. 6 RODO nie przyjęto takiego rozwiązania. Poza tym dane na portalach społecznościowych są udostępnianie w kręgu znajomych i nie są informacjami rozpowszechnionymi.

Z drugiej strony – czy pracodawca może nakazać pracownikowi założenie konta na danym portalu?

Tak, ale tylko jeśli jest to niezbędne do wykonania umowy o pracę. W praktyce może dotyczyć to nielicznych grup zawodowych, np. zatrudnionych w mediach lub biznesie rozrywkowym. Nie jest natomiast możliwe wymuszanie zakładania kont w przypadku pracowników tylko dlatego, że np. wszyscy pozostali zatrudnieni w firmie już je utworzyli i można się w ten sposób wygodnie z nimi kontaktować.

Od kilku miesięcy obowiązują nowe przepisy k.p. dotyczące monitoringu w miejscu pracy. Niektóre z nich wywołują wątpliwości. Czy możliwy jest np. monitoring ukryty, czyli sytuacja, gdy pracodawca informuje o tym, że pomieszczenie jest monitorowane, ale pracownik nie wie, gdzie jest ukryta kamera i jej nie widzi?

Tutaj mogę jedynie przytoczyć wytyczne dotyczące monitoringu wizyjnego wydane przez Urząd Ochrony Danych Osobowych. Wskazał w nich, że przepisy RODO oraz unormowania krajowe nie pozwalają, by monitoring był prowadzony za pomocą ukrytych kamer. Urząd wskazuje w wytycznych, że uprawnienia do prowadzenia niejawnego monitorowania mają jedynie służby porządkowe i specjalne prowadzące czynności na podstawie ustaw regulujących ich działalność. Wskazuje również, że stosowanie ukrytych kamer może zostać uznane za nadmiarową formę przetwarzania danych.