Jakie zmiany w zakresie ochrony danych osobowych pracowników wprowadza RODO

Od 25 maja 2018 r. zacznie obowiązywać unijne ogólne rozporządzenie o ochronie danych, zwane RODO. Rozporządzenie to będzie stosowane bezpośrednio w prawie polskim i nie wymaga implementacji do porządku krajowego. Zwiększa ono ochronę danych osobowych osób fizycznych, w tym pracowników.

RODO zawiera całość przepisów o ochronie danych osobowych, z wyjątkiem pewnych zagadnień, które pozostawiono regulacji poszczególnych państw członkowskich Unii Europejskiej. Przykładem tego są zasady przetwarzania danych osobowych w kontekście zatrudnienia. Zgodnie z regulacjami zawartymi w RODO państwa członkowskie mogą zawrzeć w swoich przepisach lub w porozumieniach zbiorowych szczegółowe regulacje mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem (art. 88 RODO). Odnosi się to w szczególności do:

• celów rekrutacji,
• wykonania umowy o pracę, w tym wykonania obowiązków określonych przepisami lub porozumieniami zbiorowymi,
• zarządzania, planowania i organizacji pracy,
• równości i różnorodności w miejscu pracy,
• bezpieczeństwa i higieny pracy,
• ochrony własności pracodawcy lub klienta,
• celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem,
• celów zakończenia stosunku pracy.

Polska może więc przyjąć przepisy krajowe bardziej szczegółowe niż przepisy RODO, mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem. Jeżeli nie zostaną przyjęte inne szczególne przepisy dotyczące danych pracowników, takie dane będą traktowane na równi z innymi danymi osobowymi.

Obecnie w przygotowaniu są projekt ustawy o ochronie danych osobowych z 12 września 2017 r. oraz projekt - Przepisy wprowadzające ustawę o ochronie danych osobowych - z 12 września 2017 r. Prace nad projektami ciągle trwają i nie trafiły one jeszcze do Sejmu.

 

Zasady ochrony danych osobowych

 

RODO wskazuje podstawowe zasady prawa ochrony danych osobowych (art. 5 RODO). Wśród nich można wyróżnić następujące zasady:

• przetwarzania zgodnego z prawem, rzetelnego i przejrzystego,
• ograniczenia celu zbierania danych,
• minimalizacji danych,
• ograniczenia celu przetwarzania danych,
• prawidłowości przetwarzania danych,
• integralności i poufności przetwarzania,
• rozliczalności przetwarzania.

 

RODO wprowadza także zestaw ogólnych zasad, które należy stosować w odniesieniu do administratora bądź innego podmiotu przetwarzającego w zakresie zabezpieczenia danych i poszanowania praw osoby, której dane dotyczą. Są to obowiązki:

• oszacowania ryzyka i przeprowadzenia w sytuacjach tego wymagających analizy ryzyka oraz konsultacji z organem nadzorczym,
• uwzględnienia kwestii związanych z ochroną danych osobowych na etapie projektowania danej czynności.

 

Definicja danych osobowych

Definicja danych osobowych zawarta w RODO jest po części zbieżna z obecną definicją zawartą w ustawie o ochronie danych osobowych. Zgodnie z RODO za dane osobowe uważa się wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (art. 4 pkt 1 RODO).

 

Przykład

Podanie adresu e-mail pracownika danej firmy składającego się z jego imienia i nazwiska oraz nazwy firmy pozwala już na zidentyfikowanie konkretnej osoby. Adres e-mail stanowi zatem dane osobowe.

 

Jako mechanizm zabezpieczenia danych osobowych RODO wprowadza pojęcie pseudonimizacji danych osobowych. Należy przez to rozumieć pozbawienie informacji o osobie elementów pozwalających na ustalenie jej tożsamości w taki sposób, że administrator zachowuje możliwość ponownego zidentyfikowania osoby.

Z daną spseudonimizowaną możemy mieć do czynienia np. w sytuacji, gdy dane pozwalające na identyfikację osoby zostaną zaszyfrowane, natomiast administrator będzie posiadał klucz pozwalający na ponowne odczytanie takich danych. Pracodawca może np. stosować numery wewnętrzne ewidencyjne pracowników w celu uniknięcia ujawnienia ich nazwisk na listach wynagrodzeń przekazywanych związkom zawodowym, np. ID 129971 = wynagrodzenie 3700 zł.

Z kolei dane zanonimizowane cechuje trwałość pozbawienia ich możliwości identyfikacji osoby.

 

Szczególna kategoria danych osobowych

 

Zarówno RODO, jak i obecna ustawa o ochronie danych osobowych wyróżniają dwie kategorie danych osobowych. Obok tzw. danych zwykłych możemy wyróżnić kategorię danych, o których na podstawie RODO mówimy jako o szczególnych kategoriach danych osobowych, a na podstawie obecnej ustawy o ochronie danych osobowych - o danych wymagających szczególnych zasad ochrony (dane wrażliwe lub dane sensytywne).

Przetwarzanie takich szczególnych kategorii danych jest poddane dodatkowym wymaganiom w zakresie ich zbierania, a w przypadku obecnej ustawy o ochronie danych osobowych także rejestracji danych.

Katalog szczególnych kategorii danych osobowych został zawarty w art. 9 RODO. Należy do nich zaliczyć dane, które dotyczą:

1) pochodzenia rasowego lub etnicznego,

2) poglądów politycznych,

3) przekonań religijnych lub światopoglądowych,

4) przynależności do związków zawodowych,

5) danych genetycznych,

6) danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej,

7) danych dotyczących zdrowia,

8) danych dotyczących seksualności lub orientacji seksualnej osoby.

 

Zatem katalog danych wrażliwych w RODO jest częściowo odmienny od określonego w art. 27 ust. 1 obecnej ustawy o ochronie danych osobowych, który wymienia dane dotyczące:

1) pochodzenia rasowego bądź etnicznego,

2) poglądów politycznych,

3) przekonań religijnych lub filozoficznych,

4) przynależności wyznaniowej, partyjnej lub związkowej,

5) danych o stanie zdrowia,

6) danych o kodzie genetycznym,

7) danych o nałogach i życiu seksualnym,

8) skazań, orzeczeń o ukaraniu i mandatów karnych oraz innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

 

W porównaniu z obecnie obowiązującą regulacją wynikającą z ustawy o ochronie danych osobowych w katalogu zawartym w RODO, który ma charakter zamknięty, nie zostały zawarte dane ujawniające przynależność partyjną, dane dotyczące nałogów czy dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

W RODO przewidziano oddzielną regulację związaną z przetwarzaniem danych osobowych dotyczących wyroków skazujących i naruszeń prawa. Przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa, na podstawie art. 6 ust. 1 RODO (tzn. na zasadach dotyczących danych zwykłych), wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem UE albo prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą (art. 10 RODO).

Jeżeli chodzi o przesłanki uchylające zakaz przetwarzania szczególnych kategorii danych osobowych w kontekście zatrudnienia, zakaz ten nie będzie miał zastosowania wówczas, gdy przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, jeżeli jest to dozwolone przez prawo UE lub prawo państwa członkowskiego albo porozumienie zbiorowe na mocy prawa państwa członkowskiego, przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. b RODO).

W porównaniu z dotychczasową regulacją (art. 27 ust. 2 pkt 6 obecnej ustawy o ochronie danych osobowych), zgodnie z którą przetwarzanie danych wrażliwych jest dopuszczalne wówczas, gdy jest to niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie, nastąpiło znaczne poszerzenie tego wyjątku, tj.:

• dodane zostały sytuacje, w których przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez osobę, której dane dotyczą;
• pojawiają się dodatkowe podstawy przetwarzania danych osobowych.

 

Pojęcia danych biometrycznych i danych dotyczących zdrowia

Danymi biometrycznymi są te dane osobowe, które dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej (art. 4 pkt 14 RODO). Dane te powinny być rezultatem specjalnego przetwarzania z wykorzystaniem środków technicznych pozwalających na zebranie takich danych, przetworzenie ich za pomocą algorytmu w matematyczną reprezentację takiej cechy. Dane te powinny być następnie przetwarzane w konkretnym celu, którym jest bądź określenie tożsamości jednostki, bądź potwierdzenie tożsamości ustalonej w inny sposób. Danymi biometrycznymi w szczególności mogą być wizerunek twarzy lub dane daktyloskopijne, o ile tylko są przetwarzane we wskazanym powyżej celu.

Dane dotyczące zdrowia oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej, w tym o korzystaniu z usług opieki zdrowotnej, ujawniające informacje o stanie jej zdrowia (art. 4 pkt 15 RODO). Dane te są istotne dla pracodawców jako podmiotów włączonych w system profilaktycznej ochrony zdrowia pracowników.

 

Administrator danych osobowych

W stosunkach pracy, co do zasady, pracodawca jest administratorem danych osobowych zebranych w związku z zatrudnieniem. Dotyczy to pracowników i osób wykonujących czynności na podstawie umów cywilnoprawnych. Nie ma znaczenia, czy takie dane zostały powierzone innemu podmiotowi, np. w celu prowadzenia księgowości, obsługi płacowo-kadrowej itp.

RODO wprowadza dodatkowe rozwiązanie, bezpośrednio powiązane z pojęciem administratora danych - współadministratorów danych. O współadministratorach mówimy wówczas, gdy dwa lub więcej podmiotów wspólnie ustala cele i środki przetwarzania danych osobowych (art. 26 RODO). Dotyczyć to będzie zatem w szczególności takich przypadków, gdy np. kilka spółek należy do określonej grupy i korzystają z tego samego zbioru danych, każda dla swoich celów.

 

Przykład

Pracodawcy należący do tej samej grupy kapitałowej prowadzą wspólny proces rekrutacyjny na te same stanowiska. W takiej sytuacji są współadministratorami danych osobowych.

 

W przypadku gdy podmioty działają jako współadministratorzy, RODO nakłada na nie obowiązek określenia w sposób przejrzysty i jasny zakresów odpowiedzialności za wypełnienie wymogów dotyczących danych.

 

Przetwarzanie danych osobowych

 

Przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Taką operacją jest zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO).

Czynności, które będzie należało uznać za przetwarzanie danych na gruncie obecnej ustawy o ochronie danych osobowych, pozostaną takimi po rozpoczęciu stosowania RODO.

 

Podstawy przetwarzania danych osobowych

Podstawy przetwarzania danych osobowych zwykłych na gruncie RODO to:

• przetwarzanie dokonywane na podstawie zgody osoby, której dane dotyczą,
• przetwarzanie danych w celu wykonania lub zawarcia umowy z osobą, której dane dotyczą,
• przetwarzanie niezbędne dla wypełnienia obowiązku prawnego ciążącego na administratorze,
• przetwarzanie niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
• przetwarzanie niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
• przetwarzanie niezbędne dla zrealizowania prawnie usprawiedliwionych celów wypełnianych przez administratora bądź stronę trzecią; interes ten powinien być wyważony z interesami i prawami osoby, której dane dotyczą.

 

Zgoda na przetwarzanie danych powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności. Może mieć np. formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia bądź może polegać na:

• zaznaczeniu okienka wyboru podczas przeglądania strony internetowej,
• wyborze ustawień technicznych lub na innym oświadczeniu bądź na zachowaniu, które jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.

 

UWAGA!

Zgoda pracownika na przetwarzanie danych osobowych powinna być wyrażona jednoznacznie.

 

Nie może być podstawą przetwarzania danych osobowych zgoda dorozumiana, wyrażona przez milczenie, okienka domyślnie zaznaczone lub niepodjęcie działań. Jeżeli przetwarzanie danych służy różnym celom, potrzebna jest zgoda na wszystkie te cele (motyw 32 preambuły RODO).

Dopuszczalna będzie zgoda na przetwarzanie danych ustna lub wyrażona poprzez działanie, np. wręczenie wizytówki lub przesłanie aplikacji do potencjalnego pracodawcy (może ona stanowić wyrażenie zgody na przetwarzanie danych dla celu prowadzonej aktualnie rekrutacji).

RODO w sposób wyraźny dopuszcza przetwarzanie danych osobowych pracowników na podstawie zgody. Motyw 155 preambuły RODO określa, że w prawie państwa członkowskiego lub w porozumieniach zbiorowych, w tym zakładowych porozumieniach z przedstawicielami pracowników, mogą być przewidziane przepisy szczegółowe o przetwarzaniu danych osobowych pracowników w związku z zatrudnieniem. Mogą to być w szczególności warunki, na których dane osobowe w związku z zatrudnieniem można przetwarzać za zgodą pracownika do celów:

• procedury rekrutacyjnej,
• wykonywania umowy o pracę, w tym wykonywania obowiązków określonych w przepisach lub w porozumieniach zbiorowych,
• zarządzania, planowania i organizacji pracy,
• równości i różnorodności w miejscu pracy,
• bezpieczeństwa i higieny pracy,
• indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem,
• zakończenia stosunku pracy.

Przykład

Kandydat na pracownika złożył pracodawcy CV w procesie rekrutacji na stanowisko handlowca. Pracodawca wybrał jednak inne osoby. Pracownik w świetle RODO może wyrazić zgodę na przechowywanie jego CV po zakończeniu procesu rekrutacji, przez określony czas, dla celów przyszłych rekrutacji.

 

Osoba, której dane są przetwarzane, ma prawo w dowolnym momencie wycofać zgodę na ich przetwarzanie (art. 7 ust. 3 RODO). W takich przypadkach pracodawca będzie zobowiązany zaprzestać dalszego przetwarzania jej danych. Nie dotyczy to tych danych, do przetwarzania których pracodawca jest uprawniony na podstawie innych przesłanek uprawniających do przetwarzania danych. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania danych, którego pracodawca dokonał przed datą cofnięcia zgody.

Na podstawie RODO zasadą jest zakaz przetwarzania danych osobowych wrażliwych. Podstawę przetwarzania danych wrażliwych stanowią więc wyjątki od zakazu przetwarzania tych danych. Są to:

1) wyraźna zgoda osoby, której takie dane dotyczą, na ich przetwarzanie,

2) sytuacja, w której przetwarzanie jest niezbędne dla wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą,

3) przetwarzanie danych w zakresie niezbędnym do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody,

4) przetwarzanie danych do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy,

5) przetwarzanie danych ze względów związanych z ważnym interesem publicznym, na podstawie prawa UE lub prawa państwa członkowskiego,

6) przetwarzanie danych do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej albo zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej bądź zabezpieczenia społecznego na podstawie prawa UE lub prawa państwa członkowskiego albo zgodnie z umową z pracownikiem służby zdrowia,

7) przetwarzanie danych ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych albo wyrobów medycznych, na podstawie prawa UE lub prawa państwa członkowskiego,

8) przetwarzanie danych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych albo do celów statystycznych.

 

Powierzenie przetwarzania danych osobowych

Powierzenie przez administratora przetwarzania danych osobowych w dziedzinie zatrudnienia podmiotowi trzeciemu dotyczy np. zewnętrznej obsługi kadrowo-płacowej, a także występującego w grupach kapitałowych przechowywania danych osobowych zatrudnionych osób na serwerach będących własnością przetwarzającego w ramach jednego globalnego systemu administracji personalnej.

W RODO został w znaczący sposób doprecyzowany zakres podstaw prawnych powierzenia przetwarzania danych osobowych, w tym treść umowy powierzenia przetwarzania. Obecnie do elementów koniecznych umowy, o której mowa w art. 31 ustawy o ochronie danych osobowych, zaliczono zakres i cel przetwarzania.

Zgodnie z RODO przetwarzanie danych osobowych przez podmiot przetwarzający będzie dopuszczalne wówczas, gdy będzie się ono odbywać na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu UE lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora oraz określają:

1) przedmiot przetwarzania,

2) czas trwania przetwarzania,

3) charakter i cel przetwarzania,

4) rodzaj danych osobowych,

5) kategorie osób, których dane dotyczą,

6) obowiązki i prawa administratora.

 

Umowa lub inny akt prawny, na podstawie których nastąpi powierzenie przetwarzania danych, muszą mieć formę pisemną, w tym formę elektroniczną.

Instytucja powierzenia przetwarzania danych osobowych podmiotowi trzeciemu polega m.in. na tym, że nie jest wymagane uzyskanie zgody osoby, której dane dotyczą, na powierzenie jej danych. Powierzenie przetwarzania danych osobowych nie wymaga również informowania osób zainteresowanych o takiej czynności.

 

Przykład

Pracodawca powierza obsługę kadrowo-płacową firmie zewnętrznej. Na zawarcie takiej umowy nie jest potrzebna zgoda pracowników, których administratorem danych osobowych jest pracodawca.

 

Rejestrowanie czynności przetwarzania danych przez administratora i przetwarzającego

Każdy administrator będzie zobowiązany do prowadzenia rejestru czynności przetwarzania danych osobowych, za które odpowiada. W rejestrze tym trzeba będzie zamieszczać wszystkie następujące informacje:

1) imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także inspektora ochrony danych,

2) cele przetwarzania,

3) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,

4) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,

5) gdy ma to zastosowanie - przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej,

6) jeżeli jest to możliwe - planowane terminy usunięcia poszczególnych kategorii danych,

7) jeżeli jest to możliwe - ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

 

Również podmiot, któremu powierzono przetwarzanie danych osobowych, będzie zobowiązany do prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierającego następujące informacje:

1) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, inspektora ochrony danych,

2) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,

3) gdy ma to zastosowanie - przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej,

4) jeżeli jest to możliwe - ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

 

Rejestry te mają mieć formę pisemną, w ramach której ustawodawca unijny przewiduje również formę elektroniczną (art. 30 ust. 3 RODO). Rejestr będzie podlegał obowiązkowi udostępnienia na żądanie organu nadzorczego.

Z obowiązku prowadzenia rejestru czynności przetwarzania danych osobowych, obciążającego administratora i przetwarzającego, zwolnieni będą tylko ci przedsiębiorcy lub podmioty zatrudniające mniej niż 250 osób, którzy łącznie będą spełniać następujące kryteria: przetwarzanie, którego dokonują, nie powoduje ryzyka naruszenia praw lub wolności osób, których dane dotyczą, ma charakter sporadyczny i nie obejmuje szczególnych kategorii danych osobowych ani danych osobowych dotyczących wyroków skazujących i naruszeń prawa (art. 30 ust. 5 RODO).

 

Definicja zbioru danych osobowych

 

Aby można było mówić o zbiorze danych osobowych, niezbędne jest łączne wypełnienie dwóch warunków:

1) musi to być zestaw danych o charakterze osobowym,

2) zbiór taki musi być uporządkowany, a dane w nim zawarte muszą być dostępne według określonego kryterium (art. 4 pkt 6 RODO).

 

Przykładowymi typami zbiorów danych osobowych mogą być:

• zbiór danych pracowników - obejmujący dane zebrane w związku z zatrudnieniem, w tym zwłaszcza dane kadrowo-płacowe,
• zbiór danych kandydatów do pracy - obejmujący dane osób ubiegających się o przyjęcie na stanowisko.

 

Obowiązki informacyjne pracodawcy w zakresie ochrony danych osobowych

Pracodawca ma obowiązki informacyjne wobec osób, których dane są przetwarzane. Obowiązek informacyjny w stosunku do osoby, której dane dotyczą, powstaje w dwóch sytuacjach:

• przy zbieraniu danych osobowych,
• przez cały okres przetwarzania danych osobowych.

 

Zakres obowiązków informacyjnych pracodawcy związanych z gromadzeniem danych osobowych został ukształtowany odmiennie w sytuacji zbierania danych od osób, których dane dotyczą, oraz w sytuacji, w której zbieranie danych następuje niebezpośrednio od tych osób. Jednocześnie zakres tych obowiązków w formie, w jakiej został przewidziany w RODO, jest wyraźnie rozszerzony w porównaniu z przepisami obecnej ustawy o ochronie danych osobowych.

Na podstawie RODO w przypadku zbierania danych od osób, których dane dotyczą, administrator danych przekazuje tym osobom następujące informacje:

1) o swojej tożsamości, wraz z danymi kontaktowymi, oraz gdy jest to konieczne o tożsamości i danych kontaktowych przedstawiciela;

2) o ile został powołany - o tożsamości inspektora danych osobowych;

3) o celu przetwarzania danych oraz o tym, jaka jest podstawa prawna przetwarzania danych. W przypadku gdy podstawą przetwarzania jest prawnie usprawiedliwiony interes administratora, to powinien on także wskazać, jaki jest to interes;

4) informacje o odbiorcach danych, tj. innych administratorach, do których dane są lub mogą być przesyłane. W tym zakresie można wskazać jedynie kategorie podmiotów, którym dane będą przekazywane, jeżeli jest to szerszy krąg podmiotów bądź w chwili zbierania danych podmioty te nie zostały jednoznacznie ustalone, a administrator potrafi wskazać jedynie kryteria, na podstawie których zostanie ustalona lista odbiorców;

5) w przypadku gdy dane będą przekazywane do państwa trzeciego:

a) informację o tym, jakie będzie to państwo,

b) informację o podstawie przekazania danych (a zatem o tym, czy zostało stwierdzone, że państwo zapewnia odpowiedni poziom ochrony, a jeżeli nie, to w jaki sposób taki odpowiedni poziom ochrony będzie gwarantowany przy przekazaniu danych),

c) informację o możliwości uzyskania kopii danych oraz o miejscu ich udostępnienia;

6) informację o okresie, przez jaki dane będą przechowywane, bądź jeżeli nie jest on wyznaczony, kryteria dla ustalenia tego okresu;

7) informację o przysługujących jednostce prawach: do dostępu do danych, do ich sprostowania, usunięcia lub ograniczenia przetwarzania, gdy ma to zastosowanie do wniesienia sprzeciwu wobec przetwarzania danych, do przenoszenia danych oraz gdy podstawą dla przetwarzania jest zgoda - o prawie do cofnięcia takiej zgody w każdym momencie;

8) informację o prawie do wniesienia skargi do organu nadzorczego;

9) informację o tym, czy podanie danych jest wymogiem prawnym bądź jest niezbędne dla zawarcia umowy, oraz o tym, jakie będą ewentualne konsekwencje niepodania danych;

10) informacje o zasadach automatycznego podejmowania decyzji, jeżeli takie decyzje są w danym przypadku podejmowane;

11) w przypadku przetwarzania danych w kolejnym celu administrator powinien poinformować osobę, której dane dotyczą, o takim dodatkowym celu oraz udzielić ponownie wymienionych uprzednio informacji, o ile uległy one zmianie.

 

Informacja ta powinna zostać udzielona na piśmie bądź, jeżeli jest to uzasadnione formą zbierania informacji, w postaci elektronicznej. Udzielenie informacji w formie ustnej jest możliwe jedynie na wniosek osoby, której dane dotyczą, po wcześniejszym potwierdzeniu jej tożsamości.

W przypadku natomiast zbierania danych osobowych niebezpośrednio od osób, których dane dotyczą, administrator danych ma dodatkowo, tj. oprócz informacji wskazanych powyżej, obowiązek poinformowania osoby, której dane dotyczą, o:

• kategoriach danych, które pozyskał administrator,
• źródle pozyskania danych, w tym wskazania, czy pochodzą one ze źródła ogólnodostępnego.

 

Powołanie inspektora ochrony danych osobowych

 

Na podstawie RODO pracodawca będzie musiał wyznaczyć inspektora danych osobowych. Obowiązek wyznaczenia takiego inspektora będzie dotyczył:

• organów lub podmiotów publicznych (wyjątek stanowią sądy w zakresie sprawowania wymiaru sprawiedliwości),
• podmiotów, których główna działalność polega na przetwarzaniu danych i które ze względu na swój charakter, zakres lub cel wymagają regularnego i systematycznego monitorowania osób na dużą skalę,
• podmiotów zajmujących się przede wszystkim przetwarzaniem na dużą skalę danych wrażliwych.

Pracodawca będzie mógł powierzyć zadania inspektora danych osobowych osobie ze swojego personelu albo komuś spoza firmy. Taką osobę będzie można zatrudnić na umowę o pracę albo umowę o świadczenie usług. Dane kontaktowe wybranej osoby będą musiały być opublikowane i przesłane do organu nadzorczego (GIODO).

UWAGA!

Pracodawca będzie mógł zatrudnić inspektora danych osobowych na umowę o pracę lub umowę o świadczenie usług.

Do zadań inspektora danych osobowych będzie należeć m.in. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach związanych z danymi osobowymi i doradzanie im w tej sprawie oraz monitorowanie przestrzegania przepisów w zakresie ochrony danych i współpraca z organem nadzorczym.

Sankcje za naruszenie przepisów RODO

 

Osobie fizycznej, która sądzi, że przetwarzanie jej danych osobowych nastąpiło z naruszeniem przepisów RODO, będzie przysługiwać prawo do wniesienia skargi do odpowiedniego organu nadzorczego. Obecnie takim organem jest GIODO.

W przypadku stwierdzenia przez organ nadzoru naruszenia przepisów RODO będzie miał on dwie formy reakcji na stwierdzoną nieprawidłowość. Może on:

• zastosować finansowe środki represji lub
• poprzestać na niepieniężnej formie egzekucji odpowiedniego zachowania.

Do sankcji niepieniężnych należy możliwość nakazania przez organ nadzoru w drodze decyzji:

• uwzględnienia żądań zawartych w skardze osoby, której dane dotyczą;
• dostosowania operacji przetwarzania danych osobowych do przepisów RODO, ze wskazaniem sposobu i terminu dostosowania;
• zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych;
• wprowadzenia czasowego lub całkowitego ograniczenia przetwarzania danych osobowych lub zakazu przetwarzania;
• sprostowania lub usunięcia danych osobowych;
• powiadomienia odbiorców, którym dane osobowe zostały ujawnione, o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych;
• zawieszenia przepływu danych do odbiorców w państwie trzecim lub do organizacji międzynarodowej.

 

Zależnie od okoliczności konkretnej sprawy organ może też obok lub zamiast kar o charakterze niepieniężnym sięgnąć po kary finansowe. Ich wysokość jest ściśle uzależniona od tego, jakiego rodzaju obowiązki naruszył administrator i przetwarzający dane osobowe, i wynosi:

• do 10 000 000 euro, a w przypadku przedsiębiorstwa - w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego,
• do 20 000 000 euro, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

 

Podstawa prawna:

• art. 27, art. 31 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych - j.t. Dz.U. z 2016 r. poz. 922

• art. 4-7, art. 9-10, art. 13-15, art. 26, art. 28-30, art. 37-39, art. 88 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) - Dz.U. UE. L. z 2016 r. Nr 119, str. 1

Małgorzata Mędrala-Natkaniec,

radca prawny, doktor nauk prawnych, autorka wielu publikacji z zakresu prawa pracy