Blog

RODO: wpływ przepisów na przetwarzanie danych osobowych w Działach Personalnych

6 marca 2018
Szymon Goździk
Blog, Ochrona danych osobowych

RODO: wpływ przepisów na przetwarzanie danych osobowych w Działach Personalnych

Od 25 maja 2018 r. będziemy stosować nowe zasady ochronnych danych osobowych, które wprowadza unijne rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, zwane w skrócie „RODO”. Zmiany obejmą również zatrudnianie pracowników.

Outsourcing przetwarzania danych pracowników i kandydatów

Coraz częściej zdarza się, że dane pracowników są przetwarzane przez podmioty zewnętrzne świadczące np. usługi outsourcingu kadr, płac, księgowości. W myśl przepisów RODO tacy przedsiębiorcy będą podmiotem przetwarzającym, ponieważ przetwarzają dane osobowe w imieniu pracodawcy, będącego administratorem danych osobowych swoich pracowników.

W takim wypadku pracodawca, powierzając przetwarzanie danych osobowych, powinien korzystać z usług tylko takich podmiotów przetwarzających, którzy zapewniają wystarczające gwarancje przestrzegania przepisów RODO. Chodzi tu w szczególności o fachową wiedzę, wiarygodność i zasoby, mające zapewnić bezpieczeństwo przetwarzania danych osobowych. Przetwarzanie powinno odbywać się na podstawie pisemnej umowy lub innego instrumentu prawnego. Taka umowa ma określać m. in. przedmiot i czas trwania przetwarzania, charakter i cele przetwarzania, rodzaj danych osobowych i kategorie osób, których dane dotyczą oraz zasady współpracy pomiędzy administratorem i podmiotem przetwarzającym w zakresie wypełniania obowiązków wynikających z RODO. Pracodawcy jako administratorzy danych pracowników powinni więc zweryfikować podmioty przetwarzające, z których usług korzystają oraz przejrzeć łączące ich umowy pod kątem zgodności z nowymi przepisami, ewentualnie sporządzić odrębną umową o powierzeniu przetwarzania danych osobowych.

Polecenia pracownicze w ramach rekrutacji

Powyższe zasady znajdują zastosowanie również w sytuacji, w której kandydat do pracy został polecony. Jednym z najważniejszych problemów prawnych w kontekście programów poleceń rekrutacyjnych, z jakim muszą sobie poradzić pracodawcy, jest kwestia prawidłowego pozyskania zgody na przetwarzanie danych osobowych od potencjalnego pracownika. Ponadto przy zbieraniu danych osobowych w ramach polecenia pracodawca powinien również mieć na względzie konieczność spełnienia wobec kandydatów obowiązków informacyjnych określonych w Rozporządzeniu.

Profilowanie w ramach zatrudniania

RODO wprowadza także niewystępujące wcześniej w polskim prawie pracy pojęcie „profilowania”. Oznacza ono dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej. Profilowanie nie dotyczy więc wyłącznie sytuacji zatrudniania pracowników, ale bezpośrednio dotyka tej sfery przy przetwarzaniu danych pracownika lub kandydata do pracy w celu analizy lub prognozy aspektów dotyczących efektów pracy. Rozporządzenie wprowadza jednak szczegółowe regulacje w zakresie profilowania. Konieczne jest wskazanie osobie której dane są profilowane, że proces ten ma miejsce oraz jakie są jego konsekwencje. Zgodnie z przepisami RODO, osoba, której to dotyczy, ma prawo nie podlegać decyzji, którą wydano wyłącznie w oparciu o zautomatyzowane przetwarzaniu, o ile decyzja ta wywołuje wobec tej osoby skutki prawne lub istotnie na nią wpływa.

Planowane zmiany w Kodeksie pracy

W związku z wejściem w życie RODO polski ustawodawca przygotowuje projekty ustaw, które mają towarzyszyć jego stosowaniu oraz dostosować polskie akty prawne do wymagań reformy. Przewiduje się zmianę ok. 150 ustaw, w tym także Kodeksu pracy. Zgodnie z projektem z dnia 12 września 2017 r. planowane zmiany w dużym stopniu wychodzą naprzeciw oczekiwaniom pracodawców, między innymi poprzez zaktualizowanie listy danych, których będzie można wymagać od pracowników czy kandydatów do pracy w procesie rekrutacji.

Dane kandydata, których może żądać pracodawca

Tak jak do tej pory uzyskanie podstawowych danych osób ubiegających się
o pracę, jak imię i nazwisko, data urodzenia, miejsce zamieszkania, wykształcenie lub przebieg dotychczasowego zatrudnienia nie będzie wymagało zgody kandydata, ponieważ odpowiednie uprawnienie dla pracodawcy w tym zakresie przewidują przepisy Kodeksu pracy. Pracodawca będzie mógł w dalszym ciągu żądać od kandydata do pracy podania imion i nazwiska, daty urodzenia, adresu do korespondencji, wykształcenia czy przebiegu dotychczasowego zatrudnienia. Nowością jest dodanie do tej listy także adresu poczty elektronicznej albo numeru telefonu przy jednoczesnym usunięciu z niej imion rodziców pracownika.

Z uwagi na fakt, że informacje przekazywane przez kandydatów do pracy często wykraczają poza zakres przewidziany w Kodeksie pracy, a typowe CV zawiera zdjęcie osoby ubiegającej się o pracę, należy uzyskać zgodę takich osób na przetwarzanie danych osobowych na potrzeby rekrutacji, np. poprzez zamieszczenie odpowiedniej klauzuli w CV. Co do zasady dane osobowe uzyskane w związku z prowadzoną rekrutacją należy usunąć po jej zakończeniu. W przypadku chęci przechowywania takich danych na potrzeby przyszłych rekrutacji należy uzyskać odrębną, wyraźną zgodę w tym zakresie oraz spełnić obowiązki informacyjne określone w RODO.

Dane pracownika, których może żądać pracodawca

Pracodawca będzie mógł żądać od pracownika podania danych osobowych obejmujących jego adres zamieszkania, numer PESEL (a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość), innych danych osobowych pracownika jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy (dotyczy to również danych osobowych dzieci pracownika i innych członków jego najbliższej rodziny).

Przetwarzanie danych pracownika lub kandydata do pracy, innych niż wymienione powyżej, będzie możliwe tylko jeśli pracownik albo kandydat wyrazi na to zgodę (na piśmie lub elektronicznie). Dane te jednak będą musiały dotyczyć stosunku pracy. Wyjątkiem od tej nowej zasady będą dane osobowe dotyczące nałogów, stanu zdrowia, życia seksualnego i orientacji seksualnej pracownika lub kandydata (tzw. dane wrażliwe). Tych danych pracodawcy nie będzie wolno przetwarzać, nawet gdyby pracownik lub kandydat wyraził na to zgodę. Nie dotyczy to oczywiście sytuacji, kiedy odrębny przepis prawa wymaga podania takich danych osobowych.

Monitoring

Kolejną nowością będzie dodanie do Kodeksu pracy przepisu dotyczącego monitoringu pracowników. Zgodnie z nim monitoring będzie mógł być stosowany wyłącznie dla zapewnienia bezpieczeństwa pracowników lub ochrony mienia, lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Zabronione będzie natomiast stosowanie monitoringu w celu kontroli wykonywania pracy przez pracowników, jak również monitorowanie pomieszczeń niesłużących do wykonywania pracy, np. pomieszczeń sanitarnych, szatni, stołówek lub palarni.

Zdaniem prawnika

Szymon Goździk
Prawnik, doktorant na WPAiE UWr

Ochrona danych osobowych w prawie pracy to szczególne zagadnienie z punktu widzenia stosowania prawa, ponieważ to właśnie na tym polu stykają się przepisy dwóch bardzo różnych dziedzin prawa. Jednak mają one wspólny cel, jakim jest ochrona słabszych stron stosunku prawnego (odpowiednio pracownika i osoby fizycznej dysponującej danymi o sobie). Należy więc zachować w tym wypadku szczególną ostrożność. Może bowiem dojść do sytuacji, kiedy pracodawca naruszający prawa pracownika odpowie nie tylko za naruszenie norm prawa pracy, ale także zasad ochrony danych osobowych.