Unijne ogólne rozporządzenie o ochronie danych wprowadza wiele obowiązków dla przedsiębiorców przetwarzających dane osobowe osób fizycznych. Przed 25 maja działania dostosowawcze w tym zakresie należy podjąć m.in. w obszarze obejmującym przetwarzanie danych osobowych pracowników. Główne zadanie, jakie mają przedsiębiorcy, to pogodzenie obowiązków wynikających z RODO ze stosowaniem lokalnych przepisów prawa pracy. Powinny im przy tym przyświecać następujące cele: zapewnienie bezpieczeństwa informacji o pracownikach (ochrona ich prywatności), umożliwienie im wykonywania ich praw w stosunku do działań podejmowanych wobec informacji o nich samych, ale także umożliwienie pracodawcom wykonywania działań wobec pracowników z wykorzystaniem ich danych osobowych.
Dostosowaniu powinny ulec nie tylko krajowe przepisy w zakresie ochrony danych osobowych, lecz także przepisy sektorowe, w tym prawa pracy. W RODO przewidziano wprost, że w prawie państw członkowskich mogą zostać przyjęte przepisy szczegółowe dotyczące przetwarzania danych osobowych pracowników i kandydatów do pracy.
Szczególne przepisy krajowe mogą regulować: warunki wyrażenia zgody na przetwarzanie danych osobowych kandydatów do pracy do celów prowadzenia rekrutacji, przetwarzanie ich dla celów wykonywania umowy o pracę, w tym wykonywania obowiązków określonych w przepisach lub w porozumieniach zbiorowych, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy. Propozycje zmiany przepisów, w tym postanowień prawa pracy, zawarto w projekcie ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych (obecnie jest procedowany w Sejmie; dalej: projekt).
Wobec faktu, że projekt ten nie stanowi jeszcze przepisów przyjętych przez polskiego ustawodawcę, należy mieć na uwadze, iż brzmienie tych przepisów może się jeszcze zmienić.
ZASADY PRZETWARZANIA
Zasady przetwarzania danych osobowych zamieszczono na początku RODO. To jasno wskazuje, że stanowią one fundamentalną podstawę przetwarzania, której administratorzy, a więc w tym przypadku pracodawcy, muszą sprostać, aby każda operacja przetwarzania była dokonywana w zgodności z nowymi wymaganiami.
Do podstawowych zasad, którymi powinni się kierować przedsiębiorcy przy przetwarzaniu danych pracowników i kandydatów do pracy, należą niżej wymienione.
Zasada rzetelności. Rzetelność w kontekście przetwarzania danych osobowych jest rozumiana jako wypełnianie obowiązków administratora w sposób solidny, należyty i staranny. Pracodawca, kierując się zasadą rzetelności, powinien spełniać każdy z nałożonych na niego obowiązków kolejno wobec wszystkich osób, których dane przetwarza, a więc kandydatów ubiegających się o pracę oraz pracowników. Rzetelność przetwarzania ma na celu zagwarantowanie im, że operacje dokonywane na ich danych osobowych będą wykonywane z zachowaniem wszelkich środków organizacyjnych i technicznych, gwarantujących bezpieczeństwo oraz poufność.
Zasada przejrzystości. Zasada ta oznacza, że pracodawca powinien umożliwić kandydatom do pracy i pracownikom uzyskiwanie informacji o sposobie i zakresie przetwarzania ich danych, a informacje kierowane do nich powinny być łatwo dostępne, zwięzłe i zrozumiałe, formułowane prostym językiem. Wszelkie komunikaty powinny być sporządzone i ujęte tak, aby zapoznająca się z nimi osoba bez problemu zrozumiała przekaz. Chodzi o to, aby kandydaci ubiegający się o pracę oraz pracownicy byli świadomi, że ich dane osobowe są przetwarzane oraz w jakim zakresie i celu pracodawca to robi. Zasada przejrzystości ma także umożliwić zapewnienie transparentności działań pracodawcy na przetwarzanych danych osobowych.
Jednym z ważniejszych obowiązków nałożonych na administratora, który w szczególności wiąże się z zasadą przejrzystości, jest obowiązek informacyjny, który pracodawca jest zobowiązany spełnić przy pierwszym zbieraniu danych. Przykładowo, potencjalny pracodawca powinien wskazać najpóźniej w chwili otrzymania podania kandydata na pracownika informacje o swojej nazwie i danych kontaktowych, celu i podstawie prawnej przetwarzania danych osobowych, podmiotach, którym udostępnia dane osobowe (zatem o odbiorcach danych), okresie przechowywania danych oraz o prawach, jakie przysługują danej osobie w związku z operacjami dokonywanymi na jej danych. Sposób sformułowania tych informacji powinien umożliwiać odbiorcy zrozumienie, co będzie się działo z informacjami o nim i jakie kroki może podjąć, aby sprawdzić te deklaracje i wyegzekwować ewentualną zmianę sposobu działania na jego danych osobowych.
w Zasada ograniczenia celu przetwarzania danych. Oznacza ona, że pracodawcy mogą zbierać dane osobowe kandydatów na pracowników i pracowników tylko w konkretnych, wyraźnych i prawnie uzasadnionych celach. Jeśli zatem potencjalny pracodawca otrzymuje i przetwarza dane kandydata do pracy do celów rekrutacyjnych, nie może wykorzystać następnie tych danych do innych celów, np. marketingowych. Kandydat do pracy powinien zresztą zostać poinformowany przez pracodawcę o wszelkich przewidywanych celach przetwarzania jego danych osobowych podanych w związku z prowadzonym procesem rekrutacyjnym.
Zasada minimalizacji danych. Pracodawcy powinni w swoich działaniach uwzględniać zasadę minimalizacji danych. Nie powinni zatem zbierać takich danych osobowych, które nie są konieczne do wypełnienia danego celu przetwarzania. W przepisach prawa polskiego zakres podstawowych danych o kandydacie do pracy został wprost ujęty w treści art. 221 par. 1 kodeksu pracy. Pracodawca nie powinien gromadzić innych kategorii danych o kandydacie do pracy, chyba że jest w stanie wykazać niezbędność takich dodatkowych informacji do celów rekrutacyjnych.
Pracodawca jest również zobowiązany dokładać staranności, aby dane osobowe, które przetwarza o pracownikach i kandydatach do pracy, były prawidłowe i aktualne, a zatem odpowiadające faktycznemu stanowi rzeczy.
Zasada ograniczania przechowywania danych osobowych kandydatów do pracy oraz pracowników. Przechowywanie nie powinno być dłuższe, niż jest to konieczne i niezbędne do wypełnienia założonych przez pracodawcę celów, w których dane są przetwarzane, lub dłuższe niż terminy przechowywania danych określone przepisami prawa. Ustalenie okresu przechowywania danych osobowych powinno być wykonane wobec wszystkich czynności przetwarzania, jakie mają miejsce wobec danych osobowych kandydatów do pracy oraz pracowników.
Zasada integralności i poufności. Pracodawca będący administratorem powinien móc wykazać zapewnienie integralności i poufności danych osobowych (a zatem ich bezpieczeństwa) za pomocą środków technicznych i organizacyjnych, w celu uniknięcia w szczególności utraty lub usunięcia danych czy niedozwolonego lub niezgodnego z prawem ich przetwarzania. Pracodawca zapewnia takie bezpieczeństwo, wdrażając mechanizmy ochrony, w szczególności takie jak pseudonimizacja czy szyfrowanie danych.
Pracodawca będący administratorem w stosunku do przetwarzanych danych osobowych powinien móc wykazać nie tylko spełnienie wskazanych wyżej warunków, lecz także pozostałych obowiązków nałożonych przepisami RODO.
ZMIANY W ZAKRESIE GROMADZENIA DANYCH
Pracodawcy mają obowiązek zapewnić ochronę danych osobowych kandydatów do pracy w okresie prowadzonej rekrutacji oraz pracowników w czasie trwania stosunku pracy oraz po ustaniu zatrudnienia.
Jedną ze zmian, jaka została przewidziana w projekcie ustawy wdrażającej, jest nadanie nowego brzmienia treści artykułu 221 kodeksu pracy, który odnosi się do gromadzenia danych osobowych kandydatów ubiegających się o pracę oraz pracowników.
Zgodnie z propozycjami pracodawca będzie mógł żądać od kandydata do pracy podania takich danych osobowych, jak: imię (imiona) i nazwisko, data urodzenia, adres do korespondencji, adres poczty elektronicznej albo numer telefonu, wykształcenie oraz przebieg dotychczasowego zatrudnienia.
Nowością, jaka ma zostać wprowadzona, jest uprawnienie (wprost) pracodawcy do żądania podania adresu e-mail albo numeru telefonu kandydata. Zmiana ta jest jak najbardziej praktyczna i funkcjonalna. Podawanie adresu e-mail czy numeru telefonu jest powszechnie stosowaną praktyką w zakresie procedur rekrutacyjnych. Z katalogu projektowanego przepisu usunięte zostało natomiast uprawnienie pracodawcy do żądania podania imion rodziców kandydata do pracy.
W zakresie gromadzenia danych osobowych pracowników projektowany art. 221 kodeksu pracy wskazuje, że pracodawca będzie uprawniony żądać od pracownika podania takich danych osobowych, jak: adres zamieszkania, numer PESEL (a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość) oraz innych danych osobowych pracownika, a także danych osobowych dzieci i innych członków jego najbliższej rodziny, jeżeli ich podanie jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy. W obecnym stanie prawnym art. 221 kodeksu pracy nie zawiera uprawnienia do żądania danych innych członków najbliższej rodziny.
Projekt dodatkowo zakłada, że po nawiązaniu stosunku pracy przetwarzanie danych osobowych odnoszących się do adresu korespondencyjnego i adresu e-mail lub numeru telefonu, a więc danych, które zostały podane w okresie rekrutacji, będzie możliwe tylko, jeśli pracownik wyrazi na to zgodę.
Zgodnie z postanowieniami projektu pracodawca będzie mógł przetwarzać dane osobowe niewskazane w projektowanym przepisie art. 221 kodeksu pracy tylko i wyłącznie wtedy, jeśli podane dane są rzeczywiście związane ze stosunkiem pracy oraz jeśli kandydat ubiegający się o pracę bądź pracownik wyrazi zgodę na ich przetwarzanie w postaci oświadczenia w formie papierowej lub elektronicznej. Ważne jest, że brak zgody udzielonej przez kandydata do pracy lub pracownika w zakresie udostępnienia danych niewskazanych w projektowanym przepisie art. 221 kodeksu pracy nie może być ani podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie czy pracownika, ani powodować wobec tych osób negatywnych konsekwencji. Brak wyrażenia zgody na przetwarzanie danych osobowych nie powinien skutkować odmową zatrudnienia, wypowiedzeniem stosunku pracy lub rozwiązaniem go bez wypowiedzenia przez pracodawcę.
Będą także takie kategorie danych osobowych, których przetwarzanie będzie zakazane, nawet pomimo udzielonej zgody kandydata ubiegającego się o pracę czy pracownika. Projekt zakłada, że do takich kategorii danych osobowych będą należały dane o nałogach, o stanie zdrowia czy o życiu seksualnym lub orientacji seksualnej pracownika lub kandydata na pracownika.
Nawet pomimo powyższego ograniczenia pracodawca miałby uprawnienie do żądania podania danych osobowych innych niż wskazane w projektowanym przepisie art. 221 kodeksu pracy, danych biometrycznych, danych o nałogach, stanie zdrowia i życiu seksualnym lub orientacji seksualnej, jeżeli obowiązek taki będzie wynikać z odrębnych przepisów prawa bądź będzie to niezbędne do wypełnienia przez pracodawcę obowiązku nałożonego przepisem prawa. Takie dane osobowe będą mogły być przetwarzane tylko i wyłącznie w zakresie niezbędnym do realizacji wskazanego prawem obowiązku.
MONITORING UREGULOWANY
Jeśli przedsiębiorca stosuje monitoring, powinien rozważyć, czy przed wejściem RODO nie będzie musiał usunąć części kamer. Wprowadzono bowiem ograniczenia.
Monitoring jest powszechnie stosowanym przez pracodawców sposobem dbania o bezpieczeństwo i porządek w miejscu pracy oraz o mienie pracodawcy. W obecnym stanie prawnym kwestie monitoringu nie są uregulowane wprost w żadnych ustawach.
Tymczasem z monitoringiem nieodzownie łączy się przetwarzanie danych osobowych, przede wszystkim wizerunku osoby. Pracodawca, decydując się na zastosowanie wideonadzoru, nie ma wskazanych jasnych wytycznych, jakie obowiązki powinien spełnić w celu legalnego przetwarzania danych.
W projekcie podjęto starania uregulowania powyższych braków.
Określono w szczególności cele zastosowania monitoringu, sposób wykonania obowiązku informacyjnego o jego wprowadzeniu, zakresie i czasie przetwarzanych danych osobowych oraz wskazano pomieszczenia wykluczone ze stosowania monitoringu.
Wdrożenie rejestracji obrazu w miejscu pracy będzie możliwe jedynie w celu zapewnienia bezpieczeństwa pracownikom, ochrony mienia lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Nadzór tego rodzaju nie może być jednak ustanawiany jako środek kontroli pracownika i wykonywanej przez niego pracy.
Pracodawca będzie zobowiązany poinformować o wprowadzeniu monitoringu. Osoby już zatrudnione powinny dowiedzieć się o nim nie później niż w terminie 14 dni przed jego uruchomieniem, natomiast osoby dopiero przyjmowane do pracy trzeba będzie poinformować przed faktycznym dopuszczeniem ich do pracy.
Zakres stosowania monitoringu ma być ograniczony do miejsca pracy oraz terenów wokół zakładu, przy czym wyłączone będą pomieszczenia, które nie są przeznaczone do wykonywania pracy, w szczególności łazienki, szatnie, stołówki czy palarnie. Katalog nie jest zamknięty, a więc należy przyjąć zasadę, że miejsca w obrębie zakładu pracy, które nie są związane bezpośrednio z czynnościami służbowymi, nie są dopuszczone do monitorowania wizyjnego.
Przechowywanie nagrań z kamer monitoringu będzie limitowane. Ustawodawca w projekcie posługuje się ogólnym stwierdzeniem, że nagrania przechowuje się przez okres niezbędny do realizacji celów monitoringu. W praktyce więc, wobec braku wskazania przez ustawodawcę terminu przechowywania nośników z nagraniami, każdy pracodawca będzie musiał samodzielnie określić takie terminy przechowywania danych.
Warto zwrócić uwagę, że w projekcie został uregulowany tylko monitoring wizyjny. Kontrola aktywności pracowników na firmowych komputerach nie została poruszona.
DANE BIOMETRYCZNE Z OGRANICZENIAMI
Przedsiębiorcy muszą również przygotować się do nowych zasad przetwarzania danych biometrycznych.
W przepisach RODO dane biometryczne ujęto jako szczególną kategorię danych wynikającą ze specjalnego przetwarzania technicznego i dotyczącą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiającą lub potwierdzającą jednoznaczną identyfikację tej osoby. W takim ujęciu daną biometryczną może być wizerunek twarzy lub dane daktyloskopijne. W przepisach RODO zawarta została wskazówka, że objęte definicją danych biometrycznych są przykładowo fotografie, jeśli przy przetwarzaniu ich specjalnymi metodami technicznymi możliwe jest zidentyfikowanie osoby fizycznej bądź potwierdzenie jej tożsamości.
W przepisach RODO zawarte zostało wskazanie, że regulacje w zakresie danych biometrycznych mogą być uszczegółowione przez państwa członkowskie przez wprowadzenie warunków bądź ograniczeń przetwarzania danych biometrycznych. Projekt polskiej ustawy wdrażającej reguluje kwestię możliwości przetwarzania danych biometrycznych w ramach stosunku pracy.
Przetwarzanie danych biometrycznych na jego podstawie będzie możliwe tylko i wyłącznie wobec danych osobowych pracownika. Wobec tego wyłączona będzie możliwość przetwarzania takich danych wobec kandydatów ubiegających się o pracę. Możliwość przetwarzania danych biometrycznych będzie uzależniona od tego, czy dotyczą one stosunku pracy oraz od warunku w postaci udzielonej, przez pracownika zgody. Jeśli którakolwiek z tych przesłanek nie będzie spełniona, pracodawca nie będzie miał podstaw do przetwarzania takich danych.
Dane biometryczne będą udostępniane albo na wniosek pracodawcy, albo z własnej inicjatywy pracownika. Zgoda pracownika na przetwarzanie powinna być udzielona w oświadczeniu złożonym w formie papierowej bądź elektronicznej. Jeśli pracownik nie wyrazi zgody na przetwarzanie przez pracodawcę danych biometrycznych, nie powinien mieć z tego tytułu żadnych negatywnych konsekwencji, w szczególności nie będzie można z tego powodu rozwiązać stosunku pracy.
W projekcie zawarto możliwość przetwarzania danych biometrycznych pomimo braku zgody, jeśli taki obowiązek wynika z odrębnych przepisów prawnych lub jest to niezbędne do wypełnienia obowiązku pracodawcy w zakresie niezbędnym do realizacji takiego obowiązku.
W projekcie wskazano także, że sposób gromadzenia danych biometrycznych zostanie osobno uregulowany w formie rozporządzenia uwzględniającego zapewnienie ochrony przetwarzanych danych biometrycznych odpowiednio do zagrożeń.
Należy wspomnieć, że wraz z przetwarzaniem danych szczególnych kategorii wobec pracodawcy może się zaktualizować obowiązek przeprowadzenia oceny skutków takiego przetwarzania dla ochrony danych osobowych.