Książki 8/2018, data dodania: 11.05.2018

RODO dla kadrowych i HR

Rozdział I. RODO - podstawowe informacje

W kwietniu 2016 r. weszły w życie, a od 25 maja 2018 r. zaczną obowiązywać w krajach członkowskich Unii Europejskiej, w tym w Polsce, przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego popularnie RODO lub GDPR (General Data Protection Regulation). Rozporządzenie to będzie stosowane bezpośrednio w prawie polskim i nie wymaga implementacji do porządku krajowego. Głównym celem rozporządzenia jest ujednolicenie zasad ochrony danych osobowych w Unii Europejskiej.

RODO zwiększa ochronę danych osobowych osób fizycznych, w tym pracowników. Regulacje tego rozporządzenia cechują się ogólnością i sporą elastycznością. Ideą jest bowiem nadążanie za zmieniającą się rzeczywistością oraz nowymi wyzwaniami technologicznymi. Jednocześnie oznacza to nałożenie na przechowujących i przetwarzających dane większej odpowiedzialności. To oni będą musieli wykazać, że zastosowane metody ochrony danych są skuteczne.

RODO jest aktem bardzo obszernym, zawiera bowiem 173 motywy oraz 99 artykułów. Dla prawidłowej wykładni RODO artykuły powinny być czytane łącznie z odpowiednimi motywami.

Na gruncie prawnomiędzynarodowym sfera ochrony danych osobowych podlega do 25 maja 2018 r. regulacjom dyrektywy nr 95/46/WE. Dyrektywa ta została uchwalona przez Parlament Europejski i Radę 24 października 1995 r. (Dz.Urz. WE L 281 z 23.11.1995 r., s. 31 ze zm.) z uwzględnieniem Traktatu ustanawiającego Wspólnotę Europejską. Stanowiła ona podstawowy akt prawny regulujący kwestię ochrony danych osobowych w UE. Dyrektywa ta wymagała implementacji do porządku krajowego przez państwa członkowskie. W Polsce kwestie te były do tej pory regulowane przez ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych (j.t. Dz.U. z 2016 r. poz. 922 ze zm.), Kodeks pracy, rozporządzenia wykonawcze, w szczególności rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024) czy, na gruncie pracowniczym, rozporządzenie Ministra Pracy i Polityki Socjalnej z 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (j.t. Dz.U. z 2017 r. poz. 894).

RODO jest ogólnym rozporządzeniem o ochronie danych osobowych, ponieważ nie odnosi się wprost do pracowniczych danych, lecz do danych osobowych ogólnie. Zmiany wprowadzone przez RODO będą miały olbrzymi wpływ na przetwarzanie danych osobowych w zatrudnieniu, a jednocześnie spora część kwestii pracowniczych nadal będzie regulowana przepisami sektorowymi, w szczególności polskim Kodeksem pracy.

RODO zawiera całość przepisów o ochronie danych osobowych, z wyjątkiem pewnych zagadnień, które pozostawiono regulacji poszczególnych państw członkowskich Unii Europejskiej. Przykładem tego są zasady przetwarzania danych osobowych w kontekście zatrudnienia. Zgodnie z regulacjami zawartymi w RODO państwa członkowskie mogą zawrzeć w swoich przepisach lub w porozumieniach zbiorowych szczegółowe regulacje mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem (art. 88 RODO). Odnosi się to w szczególności do:

● celów rekrutacji,

● wykonania umowy o pracę, w tym wykonania obowiązków określonych przepisami lub porozumieniami zbiorowymi,

● zarządzania, planowania i organizacji pracy,

● równości i różnorodności w miejscu pracy,

● bezpieczeństwa i higieny pracy,

● ochrony własności pracodawcy lub klienta,

● celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem,

● celów zakończenia stosunku pracy.

Polska może przyjąć przepisy krajowe bardziej szczegółowe niż przepisy RODO, mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem. Jeżeli nie zostaną przyjęte inne szczególne przepisy dotyczące danych pracowników, takie dane będą traktowane na równi z innymi danymi osobowymi.

Obecnie w przygotowaniu znajduje się projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 oraz projekt ustawy o ochronie danych osobowych. Prace nad projektami ciągle trwają.

Pozostałe zagadnienia pozostaną przedmiotem regulacji prawa krajowego - w szczególności kwestie ustrojowe (powołanie i zasady działania organu ochrony danych osobowych), kwestie proceduralne (postępowanie przed GIODO) oraz zapewne przepisy karne.

Rozdział II. Zakres podmiotowy i przedmiotowy RODO a dane pracowników

RODO określa ochronę osób fizycznych w związku z przetwarzaniem danych osobowych oraz stanowi o swobodnym przepływie danych osobowych. Dotyczy jednak przetwarzania danych osobowych osób fizycznych, a więc także pracowników, ale nie dotyczy przetwarzania danych osób prawnych.

RODO nie ma zastosowania do przetwarzania danych osobowych:

● w ramach działalności nieobjętej zakresem prawa Unii;

● przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdziału 2 TUE (polityki dotyczące kontroli granicznej, azylu i imigracji);

● przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;

● przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

Terytorialny zakres stosowania RODO został określony dość szeroko, co oznacza, że może dotyczyć także podmiotów, a zwłaszcza pracodawców mających swoje siedziby poza państwami członkowskimi UE, jak np. USA. RODO ma zastosowanie do przetwarzania danych osobowych:

● w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiot przetwarzający w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii;

● osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z:

- oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii - niezależnie od tego, czy wymaga się od tych osób zapłaty, lub

- monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii;

● przez administratora niemającego jednostki organizacyjnej w Unii, ale posiadającego jednostkę organizacyjną w miejscu, w którym na mocy międzynarodowego prawa publicznego ma zastosowanie prawo państwa członkowskiego.

W związku z szerokim terytorialnym zakresem stosowania RODO należy zbadać, czy dane pracowników, zwłaszcza w systemach informatycznych, nie wychodzą poza granice UE, jak również, czy do danej organizacji nie spływają dane pracownicze z innych krajów. W każdym bowiem przypadku poziom zabezpieczenia tych danych powinien odpowiadać standardom RODO.

Pracodawca przetwarza dane osobowe swoich pracowników, co oznacza, że jest administratorem danych osobowych.

Rozdział III. Najważniejsze pojęcia i definicje

1. Definicja danych osobowych

Zawarta w RODO definicja danych osobowych jest po części zbieżna z obecną definicją znajdującą się w ustawie o ochronie danych osobowych. Zgodnie z RODO za dane osobowe uważa się wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

RODO wyróżnia dwa rodzaje informacji, które przesądzają, że mamy do czynienia z danymi osobowymi:

1) informacje, które pozwalają na natychmiastowe zidentyfikowanie osoby,

2) informacje, które nie pozwalają na jej natychmiastową identyfikację, ale przy pewnym nakładzie kosztów, czasu i działań są wystarczające do jej ustalenia.

Informacje stanowiące dane osobowe nie są zamkniętym katalogiem. Przy rozstrzyganiu, czy określona informacja/informacje stanowią dane osobowe, nieuniknione jest dokonanie zindywidualizowanej oceny.

Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (art. 4 pkt 1 RODO).

Przykład

W danej firmie adresy e-mail pracowników składają się z ich imion i nazwisk oraz nazwy firmy. Pozwala to już na zidentyfikowanie konkretnej osoby.

Tak skonstruowany adres e-mail stanowi zatem daną osobową, np. anna.nowak@abc.com.pl.

Przykłady innych danych osobowych pracowników:

● linie papilarne,

● numer PESEL,

● numer NIP,

● dyrektor Działu Personalnego w X Sp. z o.o.,

● zdjęcie pracownika.

1.1. Pseudonimizacja

Jako mechanizm zabezpieczenia danych osobowych RODO wprowadza pojęcie pseudonimizacji danych osobowych. Należy przez to rozumieć pozbawienie informacji o osobie elementów pozwalających na ustalenie jej tożsamości w taki sposób, że administrator zachowuje możliwość ponownego zidentyfikowania osoby.

Z daną pseudonimizowaną możemy mieć do czynienia np. w sytuacji, gdy dane pozwalające na identyfikację osoby zostaną zaszyfrowane, natomiast administrator będzie posiadał klucz pozwalający na ponowne odczytanie takich danych.

Pseudonimizacja to proces odwracalny, który polega na zastąpieniu jednego atrybutu innym atrybutem, co nadal umożliwia wyodrębnienie konkretnej osoby fizycznej przez dodanie dodatkowych danych i tworzenie w odniesieniu do tej osoby powiązań między różnymi bazami danych.

Przykład

Pracodawca stosuje wewnętrzne numery ewidencyjne pracowników w celu uniknięcia ujawnienia ich nazwisk na listach wynagrodzeń przekazywanych związkom zawodowym, np. ID 129971 = wynagrodzenie 3700 zł. W takim przypadku mamy do czynienia z pseudonimizacją danych osobowych.

1.2. Anonimizacja

Z kolei dane zanonimizowane cechuje trwałość pozbawienia ich możliwości identyfikacji osoby, np. zniszczenie w niszczarce niepotrzebnej dokumentacji zawierającej dane pracownicze po zakończonym procesie rekrutacji, całkowite usunięcie danych z serwera pocztowego itp.

2. Szczególne kategorie danych osobowych

Zarówno RODO, jak i obecna ustawa o ochronie danych osobowych wyróżniają dwie kategorie danych osobowych. Obok tzw. danych zwykłych możemy wyróżnić kategorię danych, o których na podstawie RODO mówimy jako o szczególnych kategoriach danych osobowych, a na podstawie obecnej ustawy o ochronie danych osobowych - o danych wymagających szczególnych zasad ochrony (dane wrażliwe lub dane sensytywne).

Przetwarzanie takich szczególnych kategorii danych jest poddane dodatkowym wymaganiom w zakresie ich zbierania, a w przypadku obecnej ustawy o ochronie danych osobowych także rejestracji danych.

Katalog szczególnych kategorii danych osobowych został zawarty w art. 9 RODO. Należy do nich zaliczyć dane, które dotyczą:

● pochodzenia rasowego lub etnicznego,

● poglądów politycznych,

● przekonań religijnych lub światopoglądowych,

● przynależności do związków zawodowych,

● danych genetycznych,

● danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej,

● danych dotyczących zdrowia,

● danych dotyczących seksualności lub orientacji seksualnej osoby.

Zatem katalog danych wrażliwych wymienionych w RODO jest częściowo odmienny od określonego w art. 27 ust. 1 obecnej ustawy o ochronie danych osobowych, który wymienia dane dotyczące:

● pochodzenia rasowego bądź etnicznego,

● poglądów politycznych,

● przekonań religijnych lub filozoficznych,

● przynależności wyznaniowej, partyjnej lub związkowej,

● stanu zdrowia,

● kodu genetycznego,

● nałogów i życia seksualnego,

● skazań, orzeczeń o ukaraniu i mandatów karnych oraz innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

W porównaniu z obowiązującą obecnie regulacją wynikającą z ustawy o ochronie danych osobowych, w katalogu zawartym w RODO, który ma charakter zamknięty, nie zostały zawarte dane ujawniające przynależność partyjną, dane dotyczące nałogów czy dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

2.1. Dane dotyczące wyroków skazujących i niekaralności

W RODO przewidziano oddzielną regulację związaną z przetwarzaniem danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa, na podstawie art. 6 ust. 1 RODO (tzn. na zasadach dotyczących danych zwykłych), wolno dokonywać:

● wyłącznie pod nadzorem władz publicznych lub

● jeżeli przetwarzanie jest dozwolone prawem UE albo prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą (art. 10 RODO).

Prawo do uzyskania informacji o osobach, których dane osobowe zostały zgromadzone w Krajowym Rejestrze Karnym, przysługuje pracodawcom w zakresie niezbędnym dla zatrudnienia pracownika, co do którego z przepisów regulacji krajowych lub unijnych wynika wymóg niekaralności, korzystania z pełni praw publicznych, a także ustalenia uprawnienia do zajmowania określonego stanowiska, wykonywania określonego zawodu lub prowadzenia określonej działalności gospodarczej.

Przykład

Pracownikiem samorządowym zatrudnionym na podstawie wyboru lub powołania może być osoba, która nie była skazana prawomocnym wyrokiem sądu za umyślne przestępstwo ścigane z oskarżenia publicznego lub umyślne przestępstwo skarbowe. Natomiast pracownikiem samorządowym zatrudnionym na podstawie umowy o pracę na stanowisku urzędniczym może być osoba, która nie była skazana prawomocnym wyrokiem sądu za umyślne przestępstwo ścigane z oskarżenia publicznego lub umyślne przestępstwo skarbowe. W tym zakresie pracodawca może więc żądać od pracownika zaświadczenia o niekaralności, ponieważ wynika to ze szczególnych przepisów ustawowych.

W przypadku braku odpowiedniego przepisu prawa krajowego przetwarzanie danych pracowniczych dotyczących niekaralności pozostaje wątpliwe nawet za zgodą pracownika.

UWAGA!

Pracodawca, nawet za zgodą pracownika, nie może przechowywać zaświadczenia o niekaralności pracownika, jeśli taki obowiązek nie wynika z przepisów prawa.

Z tych też powodów przechowywanie danych dotyczących karalności pracowników nie będzie uzasadnione na podstawie usprawiedliwionego interesu administratora danych.

W tym kontekście na uwagę zasługują projektowane zmiany w zakresie ustaw sektorowych, przewidziane w projekcie ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, tj. w:

1) ustawie z 29 sierpnia 1997 r. - Prawo bankowe (j.t. Dz.U. z 2016 r. poz. 1988 ze zm.). W ustawie Prawo bankowe proponuje się dodać art. 13c, na podstawie którego w przypadku pracownika i osoby ubiegającej się o zatrudnienie na stanowisku umożliwiającym dostęp do danych dotyczących banku lub klientów banku, bank może żądać od pracownika i tej osoby przedłożenia informacji dotyczących karalności, w tym informacji, czy ich dane osobowe są zgromadzone w Krajowym Rejestrze Karnym. Bank ma prawo przechowywania tych informacji i danych wyłącznie przez okres zatrudnienia pracownika;

2) ustawie z 19 sierpnia 2011 r. o usługach płatniczych (j.t. Dz.U. z 2016 r. poz. 1572 ze zm.), poprzez dodanie art. 10a, na podstawie którego w przypadku pracownika i osoby ubiegającej się o zatrudnienie na stanowisku umożliwiającym dostęp do danych dotyczących instytucji płatniczej, instytucji pieniądza elektronicznego lub klientów instytucji płatniczej lub instytucji pieniądza elektronicznego, instytucja ta może żądać od pracownika i tej osoby przedłożenia informacji dotyczących karalności, a w szczególności informacji, czy ich dane osobowe są zgromadzone w Krajowym Rejestrze Karnym. Instytucja płatnicza oraz instytucja pieniądza elektronicznego mają prawo przechowywania informacji i danych wyłącznie przez czas zatrudnienia pracownika.

2.2. Pojęcie danych biometrycznych

Danymi biometrycznymi są te dane osobowe, które dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej (art. 4 pkt 14 RODO). Dane te powinny być rezultatem specjalnego przetwarzania z wykorzystaniem środków technicznych pozwalających na zebranie takich danych, przetworzenie ich za pomocą algorytmu w matematyczną reprezentację takiej cechy. Dane te powinny być następnie przetwarzane w konkretnym celu, którym jest bądź określenie tożsamości jednostki, bądź potwierdzenie tożsamości ustalonej w inny sposób. Danymi biometrycznymi mogą być w szczególności wizerunek twarzy lub dane daktyloskopijne, skany siatkówki oka, nagrania głosu, o ile tylko są przetwarzane we wskazanym powyżej celu.

2.3. Pojęcie danych dotyczących zdrowia

Dane dotyczące zdrowia oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej, w tym o korzystaniu z usług opieki zdrowotnej, ujawniające informacje o stanie jej zdrowia (art. 4 pkt 15 RODO). Dane te są istotne dla pracodawców jako podmiotów włączonych w system profilaktycznej ochrony zdrowia pracowników.

2.4. Pojęcie danych genetycznych

Dane genetyczne oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej, np. próbki krwi, tkanek, umożliwiające analizę DNA lub ustalenie pokrewieństwa.

2.5. Przetwarzanie danych szczególnej kategorii w świetle RODO

Jeżeli chodzi o przesłanki uchylające zakaz przetwarzania szczególnych kategorii danych osobowych w kontekście zatrudnienia, zakaz ten nie będzie miał zastosowania wówczas, gdy przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, jeżeli jest to dozwolone przez prawo UE lub prawo państwa członkowskiego albo porozumienie zbiorowe na mocy prawa państwa członkowskiego, przewidujące odpowiednie zabezpieczenie praw podstawowych i interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. b RODO).

W porównaniu z dotychczasową regulacją (art. 27 ust. 2 pkt 6 obecnej ustawy o ochronie danych osobowych), zgodnie z którą przetwarzanie danych wrażliwych jest dopuszczalne wtedy, gdy jest to niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie, nastąpiło znaczne poszerzenie tego wyjątku, tj.:

● dodane zostały sytuacje, w których przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez osobę, której dane dotyczą;

● pojawiają się dodatkowe podstawy przetwarzania danych osobowych.

Na podstawie RODO zasadą jest zakaz przetwarzania danych osobowych wrażliwych. Podstawę przetwarzania danych wrażliwych stanowią więc wyjątki od zakazu przetwarzania tych danych. Są to:

● wyraźna zgoda osoby, której takie dane dotyczą, na ich przetwarzanie,

● sytuacja, w której przetwarzanie jest niezbędne dla wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą,

● przetwarzanie danych w zakresie niezbędnym do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody,

● przetwarzanie danych do ustalenia, dochodzenia lub obrony roszczeń albo w ramach sprawowania wymiaru sprawiedliwości przez sądy,

● przetwarzanie danych ze względów związanych z ważnym interesem publicznym, na podstawie prawa UE lub prawa państwa członkowskiego,

● przetwarzanie danych do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej albo zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej bądź zabezpieczenia społecznego na podstawie prawa UE lub prawa państwa członkowskiego albo zgodnie z umową z pracownikiem służby zdrowia,

● przetwarzanie danych ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych albo wyrobów medycznych, na podstawie prawa UE lub prawa państwa członkowskiego,

● przetwarzanie danych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych albo do celów statystycznych.

3. Administrator danych osobowych

W stosunkach pracy, co do zasady, pracodawca jest administratorem danych osobowych zebranych w związku z zatrudnieniem. Dotyczy to pracowników i osób wykonujących czynności na podstawie umów cywilnoprawnych. Nie ma znaczenia, czy takie dane zostały powierzone innemu podmiotowi, np. w celu prowadzenia księgowości, obsługi płacowo-kadrowej itp.

Administrator danych osobowych to podmiot kontrolujący przetwarzanie danych osobowych oraz samodzielnie ustalający cel i sposoby przetwarzania danych osobowych. Administrator danych osobowych to zatem podmiot, a nie pracownicy tego podmiotu. Pracownicy dopuszczeni do przetwarzania danych powinni posiadać odpowiednie upoważnienie w tym zakresie.

Administratorem danych osobowych jest każdy przedsiębiorca, jak również każdy podmiot, który przetwarza dane osobowe, w tym organy publiczne, np. spółka handlowa, szkoła, szpital, biblioteka, policja, spółka, sąd, urząd wojewódzki, sklep internetowy itp.

3.1. Współadministratorzy danych osobowych

RODO wprowadza dodatkowe rozwiązanie, bezpośrednio powiązane z pojęciem administratora danych - współadministratorów danych. O współadministratorach mówimy wówczas, gdy dwa lub więcej podmiotów wspólnie ustala cele i środki przetwarzania danych osobowych (art. 26 RODO). Będzie to zatem dotyczyć w szczególności takich przypadków, gdy np. kilka spółek należy do określonej grupy i korzysta z tego samego zbioru danych, każda dla swoich celów.

Przykład

Pracodawcy należący do tej samej grupy kapitałowej prowadzą wspólny proces rekrutacyjny na te same stanowiska. W takiej sytuacji są współadministratorami danych osobowych.

W przypadku gdy podmioty działają jako współadministratorzy, RODO nakłada na nie obowiązek określenia w sposób przejrzysty i jasny zakresów odpowiedzialności za wypełnienie wymagań dotyczących danych.

4. Przetwarzanie danych osobowych

Zakres przedmiotowy rozporządzenia RODO określa poprzez definicję przetwarzania danych osobowych.

Przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Takimi operacjami są:

● zbieranie,

● utrwalanie,

● organizowanie,

● porządkowanie,

● przechowywanie,

● adaptowanie lub modyfikowanie,

● pobieranie,

● przeglądanie,

● wykorzystywanie,

● ujawnianie poprzez przesłanie,

● rozpowszechnianie lub innego rodzaju udostępnianie,

● dopasowywanie lub łączenie,

● ograniczanie,

● usuwanie lub niszczenie (art. 4 pkt 2 RODO).

Czynności, które będzie należało uznać za przetwarzanie danych na gruncie obecnej ustawy o ochronie danych osobowych, pozostaną takimi po rozpoczęciu stosowania RODO.

Przykłady operacji w trakcie przetwarzania danych pracowników:

1) zbieranie danych osobowych - uzyskanie faktycznego władztwa nad danymi przez inny podmiot niż osoba, której dane dotyczą. Rozpoczęcie przetwarzania może mieć miejsce poprzez zbieranie danych uzyskanych w procesie rekrutacji przez pracodawcę, zakup przez firmę bazy danych dotyczących kandydatów do pracy;

2) utrwalanie danych osobowych - zapisanie danych osobowych na materialnym nośniku, np. na papierze lub w systemie informatycznym, np. dane umieszczane w aktach osobowych pracownika;

3) organizowanie i porządkowanie danych osobowych - wykonanie takich operacji na danych, które nie prowadzą do zmiany treści danych, a jedynie porządkują, grupują zebrane dane, np. kto nie może pracować w godzinach nocnych, kto otrzyma dofinansowanie do zakupu okularów korekcyjnych;

4) modyfikowanie danych osobowych - wykonanie takich operacji na zebranych danych, które prowadzą do zmiany ich treści, np. sprostowanie przez pracodawcę nazwiska pracownika, zmiana nazwiska pracownika, zgłaszanie pracodawcy nowo urodzonego dziecka;

5) przeglądanie danych osobowych - zapoznanie się z zebranymi danymi, np. wystawienie upoważnienia dla pracownika w celu sprawdzenia poprawności danych;

6) przekazanie danych osobowych pomiędzy jednostkami organizacyjnymi tego samego podmiotu, np. lista pracowników zakwalifikowanych na szkolenia, lista osób, u których zostanie wymieniony sprzęt IT;

7) wykorzystanie danych osobowych - zastosowanie danych osobowych w celu, w jakim zostały zebrane, np. numer telefonu w procesie rekrutacji pracownika, telefoniczne potwierdzenie zatrudnienia i zarobków u pracodawców w celu uzyskania kredytu;

8) ujawnienie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie danych osobowych, np. wysłanie do pracownika wypowiedzenia umowy o pracę, przesłanie danych e-mailem;

9) powierzenie danych osobowych - przekazanie danych osobowych w celu realizacji umowy, np. zlecenie na zewnątrz usług IT, kadr, płac, księgowości, serwisowanie systemów IT, medycyna pracy;

10) usuwanie danych osobowych - polega na kasowaniu danych z nośnika, np. usunięcie służbowego adresu e-mail ze strony internetowej pracodawcy,

11) niszczenie danych osobowych - sprowadza się do fizycznej destrukcji nośnika danych, na którym znajdują się dane osobowe, w zależności od rodzaju przetwarzania zmechanizowane lub papierowe, np. zniszczenie papierowej listy osób upoważnionych do pobierania kluczy.

5. Definicja zbioru danych osobowych

Aby można było mówić o zbiorze danych osobowych, niezbędne jest łączne wypełnienie dwóch warunków:

1) musi to być zestaw danych o charakterze osobowym,

2) taki zbiór musi być uporządkowany, a dane w nim zawarte muszą być dostępne według określonego kryterium (art. 4 pkt 6 RODO).

Przykładowymi typami zbiorów danych osobowych mogą być:

● zbiór danych pracowników - obejmujący dane zebrane w związku z zatrudnieniem, w tym zwłaszcza dane kadrowo-płacowe,

● zbiór danych kandydatów do pracy - obejmujący dane osób ubiegających się o przyjęcie na stanowisko.

Rozdział IV. Upoważnienie do przetwarzania danych osobowych

Pracodawca jako administrator decyduje o tym, kogo dopuścić do przetwarzania danych. Przepisy RODO nie określają w sposób wyraźny i jednoznaczny obowiązku nadawania upoważnień do przetwarzania danych osobowych. Jednak art. 29 RODO nakłada na każdą osobę działającą z upoważnienia administratora bądź podmiotu przetwarzającego, mającą dostęp do danych, obowiązek przetwarzania danych wyłącznie na polecenie (zgodnie z instrukcjami) administratora, chyba że przetwarzanie jest wymagane przez prawo. Podobny obowiązek przewiduje obecny art. 37 ustawy o ochronie danych osobowych.

W upoważnieniu powinna zostać wskazana osoba uprawniona do przetwarzania danych oraz określony zakres dostępu do tych danych.

Upoważnienie powinno odnosić się nie do zbiorów, lecz do procesów, w ramach których dane są przetwarzanie (np. lepszym rozwiązaniem jest wskazanie w upoważnieniu realizacji zadań związanych z zatrudnieniem niż odesłanie do zbiorów danych przetwarzanych w związku z zatrudnieniem).

Nadanie upoważnienia do przetwarzania danych pociąga za sobą możliwość faktycznego dopuszczenia osoby upoważnionej do przetwarzania danych. Uprawnia ponadto tę osobę do dostępu do danych oraz wykonywania czynności na danych w zakresie określonym w upoważnieniu. Przetwarzanie danych bez upoważnienia bądź w zakresie wykraczającym poza ramy określone w upoważnieniu stanowi naruszenie przepisów RODO.

Osoby, które zostały upoważnione do przetwarzania danych, są zobowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. Warto również wskazać, że na pracodawcy ciąży obowiązek zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru oraz komu są one przekazywane.

Jak wskazał Naczelny Sąd Administracyjny w wyroku z 4 kwietnia 2003 r. (II SA 2935/02):

NSA

(...) administrator odpowiada za czyny swoich pracowników w zakresie naruszenia ustawy o ochronie danych osobowych. Nie może się przy tym ekskulpować, w oparciu o art. 26 ustawy o ochronie danych osobowych, że dołożył szczególnej staranności w celu ochrony tych danych.

Przetwarzanie danych osobowych pracowników bez odpowiedniego upoważnienia jest zagrożone karą grzywny, ograniczenia wolności lub pozbawienia wolności do 2 lat. Ta sama kara grozi pracodawcy, który nie wyda stosownego upoważnienia pracownikowi mającemu kontakt z danymi osobowymi znajdującymi się w dokumentacji pracowniczej.

Wprawdzie na gruncie RODO prowadzenie ewidencji upoważnień nie jest obowiązkowe, to jednak w praktyce warto nadal prowadzić ewidencję mimo braku wymogu prawnego w tym zakresie, gdyż ewidencja pozwala w łatwy sposób zarządzać upoważnieniami.

Ewidencja osób upoważnionych do przetwarzania danych osobowych powinna zawierać: imię i nazwisko osoby upoważnionej, datę nadania i ustania upoważnienia, zakres upoważnienia do przetwarzania danych osobowych, identyfikator, jeżeli dane osobowe są przetwarzane w systemie informatycznym.

UWAGA!

Pracodawca, podobnie jak na gruncie obecnych regulacji, powinien utrzymywać dotychczasową praktykę nadawania upoważnień do przetwarzania danych oraz prowadzić ewidencję tych upoważnień.

Osoby fizyczne, które mają przetwarzać dane osobowe na polecenie (zgodnie z instrukcjami) administratora, powinny uzyskać dostęp do danych. Dotyczy to nie tylko osób zatrudnionych w strukturach organizacyjnych administratora (pracowników oraz osób zatrudnionych na podstawie umów cywilnoprawnych), ale także praktykantów, stażystów bądź innych osób, które administrator dopuszcza do przetwarzania danych.

Wymagania RODO dotyczące upoważnień w zakresie przetwarzania danych osobowych odnoszą się także do podmiotu przetwarzającego dane na zlecenie, który powinien upoważnić osoby dopuszczane do przetwarzania.

Wzór upoważnienia do przetwarzania danych osobowych

infoRgrafika

Ewidencja osób upoważnionych do przetwarzania danych osobowych

Lp.

Imię
i nazwisko

Data nadania upoważnienia

Data ustania upoważnienia

Zakres upoważnienia

Login/identyfikator w systemie informatycznym

Uwagi

1.

2.

3.

4.

...

30.

Rozdział V. Podmioty przetwarzające dane osobowe

Od dopuszczenia do przetwarzania danych osobowych należy odróżnić powierzenie przetwarzania danych, a więc sytuację, gdy administrator danych zleca podmiotowi zewnętrznemu przetwarzanie danych osobowych (art. 28 RODO).

Podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Podmiot przetwarzający dane osobowe dokonuje czynności przetwarzania na podstawie umowy zawartej z administratorem danych osobowych na rzecz i w imieniu administratora danych osobowych. W zakresie zatrudnienia może to polegać np. na zleceniu przez pracodawcę podmiotom zewnętrznym usług IT czy zleceniu usług kadrowo-płacowych lub księgowych wyspecjalizowanej firmie.

RODO wprowadza szczególne wymagania dotyczące umowy powierzenia przetwarzania danych osobowych innym podmiotom, w tym przez pracodawców. Podmiot, któremu administrator danych powierzył przetwarzanie danych osobowych, jest nazywany procesorem.

Powierzenie przez administratora przetwarzania danych osobowych w zakresie zatrudnienia podmiotowi trzeciemu dotyczy np. występującego w grupach kapitałowych przechowywania danych osobowych zatrudnionych osób na serwerach będących własnością przetwarzającego w ramach jednego globalnego systemu administracji personalnej.

W RODO został w znaczący sposób doprecyzowany zakres podstaw prawnych powierzenia przetwarzania danych osobowych, w tym treść umowy powierzenia przetwarzania. Obecnie do koniecznych elementów takiej umowy zaliczono jedynie zakres i cel przetwarzania (art. 31 ust. 2 ustawy o ochronie danych osobowych).

Zgodnie z RODO przetwarzanie danych osobowych przez podmiot przetwarzający będzie dopuszczalne wówczas, gdy będzie się ono odbywać na podstawie umowy lub innej podstawy prawnej, które podlegają prawu UE lub prawu państwa członkowskiego oraz wiążą podmiot przetwarzający i administratora.

RODO - w porównaniu z obecnie obowiązującymi przepisami - znacznie rozszerza katalog elementów koniecznych, które należy zawrzeć w umowie o powierzenie przetwarzania danych osobowych.

Elementami obligatoryjnymi umowy powierzenia przetwarzania danych zgodnie z RODO są:

● przedmiot przetwarzania,

● czas trwania przetwarzania,

● charakter i cel przetwarzania,

● rodzaj danych osobowych,

● kategorie osób, których dane dotyczą,

● obowiązki i prawa administratora,

● obowiązki podmiotu przetwarzającego.

Umowa lub inny akt prawny, na podstawie których nastąpi powierzenie przetwarzania danych, muszą mieć formę pisemną, w tym formę elektroniczną (art. 28 ust. 9 RODO).

Instytucja powierzenia przetwarzania danych osobowych podmiotowi trzeciemu polega m.in. na tym, że nie jest wymagane uzyskanie zgody osoby, której dane dotyczą, na powierzenie jej danych. Powierzenie przetwarzania danych osobowych nie wymaga również informowania osób zainteresowanych o takiej czynności.

UWAGA!

Na zawarcie umowy dotyczącej przetwarzania danych osobowych nie jest potrzebna zgoda pracowników, których administratorem danych osobowych jest pracodawca.

W sytuacji korzystania z outsourcingu administratorem danych osobowych nadal pozostaje pracodawca, który jedynie przekazuje te dane innemu podmiotowi na podstawie umowy o powierzenie przetwarzania danych. RODO wprowadza nowy istotny obowiązek dla takiego administratora, a mianowicie nakazuje sprawdzenie podmiotu, któremu powierza się przetwarzanie danych osobowych.

Administrator powinien korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymagania RODO i chroniło prawa osób, których dane dotyczą. Oznacza to obowiązek uprzedniego zbadania podmiotu, z którym planuje się zawrzeć umowę o powierzenie przetwarzania danych, w szczególności pod kątem jego fachowej wiedzy, wiarygodności i zasobów. Może to oznaczać konieczność wprowadzenia do umowy postanowień wskazujących na możliwość kontroli i sprawdzania takiego podmiotu (w szczególności poprzez regularne kontrole, audyty w jego siedzibie).

To pracodawca jako administrator danych osobowych powinien wykazać, że wybrał odpowiedni podmiot do przetwarzania danych.

Ponadto w umowie dotyczącej przetwarzania danych osobowych powinny się znaleźć w szczególności zapisy:

● obligujące podmiot przetwarzający do tego, by osoby upoważnione przez niego do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,

● określające, że podmiot przetwarzający powinien w miarę możliwości pomagać administratorowi poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych w wywiązaniu się z jego poszczególnych obowiązków, np. obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw,

● stanowiące, że podmiot przetwarzający dane, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków związanych z: zabezpieczeniem danych, informowaniem o naruszeniach ochrony danych oraz dokonywaniem oceny skutków dla ochrony danych (określonych w art. 32-36 RODO),

● określające, czy podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem danych usuwa lub zwraca administratorowi wszelkie dane osobowe oraz czy usuwa wszelkie ich istniejące kopie,

● wskazujące, że podmiot przetwarzający może przetwarzać dane wyłącznie na udokumentowane polecenie administratora. Pracodawcy korzystający z outsourcingu powinni zdecydować, czy chcą, by takie polecenie stanowiło element umowy o powierzenie przetwarzania danych, czy by było odrębnym dokumentem.

Dalsze podpowierzenie przetwarzania danych osobowych pracowników wymaga pisemnej zgody administratora-pracodawcy.

Pracodawcy powierzający dane innym podmiotom powinni mieć na względzie ciążące na nich obowiązki dotyczące kontroli podmiotu przetwarzającego dane oraz rozszerzony katalog elementów obligatoryjnych umowy o powierzenie przetwarzania danych.

W przypadku gdy podmiot, któremu administrator zamierza powierzyć przetwarzanie danych, nie jest w stanie spełnić wymagań dotyczących ochrony danych określonych w RODO powierzenie takiemu podmiotowi przetwarzania danych jest niedopuszczalne.

Uchybienia w tym zakresie mogą prowadzić do szeregu ujemnych konsekwencji, w szczególności nałożenia wysokich kar pieniężnych, tj. w postaci administracyjnej kary pieniężnej w wysokości do 10 mln euro, a w przypadku przedsiębiorstwa - w wysokości do 2 jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (art. 83 ust. 4 RODO).

Prawodawca unijny przewidział możliwość wykorzystania w konstrukcji powierzenia przetwarzania ustanowionych kodeksów postępowania, zatwierdzonych mechanizmów certyfikacji oraz standardowych klauzul umownych. Jednak obecnie skorzystanie z tych mechanizmów nie jest jeszcze możliwe z uwagi na brak polskich przepisów, które w tym zakresie będą uzupełniały przepisy RODO. Do tej pory nie zostały wydane także tego rodzaju standardowe klauzule.

W przypadku gdy podmiot, któremu administrator powierzył przetwarzanie danych, naruszy przepisy RODO w zakresie określenia celów i sposobów przetwarzania danych podmiot ten zostanie uznany za administratora w odniesieniu do tego przetwarzania (art. 28 ust. 10 RODO).

Przykład

Pracodawca zawarł z innym podmiotem umowę o powierzenie przetwarzania danych pracowników i zleceniobiorców w zakresie kwestii związanych z bhp. Podmiot ten rozpoczął jednak przetwarzanie tych danych w celach związanych z rekrutacją dla siebie i innych podmiotów. W tym zakresie podmiot ten staje się samodzielnym administratorem tych danych osobowych.

Wzór umowy powierzenia przetwarzania danych osobowych

infoRgrafika

infoRgrafika

infoRgrafika

Umowa powierzenia (bądź porozumienie) nie musi ograniczać się do kwestii powierzenia przetwarzania, może być ona elementem szerszej umowy (np. umowy o współpracę, umowy serwisowej).

Nie zawsze powierzenie przetwarzania danych osobowych będzie możliwe. Nie dotyczy to sytuacji, gdy pracownicy sami decydują o przystąpieniu do oferowanych usług. Potwierdził to GIODO w swojej decyzji z 15 lipca 2015 r.

Decyzja GIODO z 15 lipca 2015 r. (DIS/DEC-594/15/62961) w sprawie powierzenia przetwarzania danych osobowych:

GIODO

Jak ustalono w toku kontroli, Spółka prowadzi program M., w ramach którego oferuje pracodawcom (klientom Spółki) możliwość skorzystania przez ich pracowników oraz osoby wskazane przez tych pracowników (osoby towarzyszące i dzieci) z programu dostępu do obiektów sportowych partnerów B. S.A. Klienci (pracodawcy) zawierają ze Spółką umowę o świadczenie usług, której przedmiotem jest świadczenie usług na rzecz pracowników klienta w ramach programu korzyści pracowniczych przez partnerów Spółki oraz Spółkę.

Należy zauważyć, że istotą programu M. jest to, że posiadacze kart M. w pełni dobrowolnie decydują o sposobie korzystania z produktów i usług oferowanych przez Spółkę w ramach tego programu. To pracownicy klientów Spółki decydują, czy chcą przystąpić do tego programu oraz czy chcą, aby inne osoby (określone jako osoby towarzyszące i dzieci) również korzystały z tych produktów i usług. Pracodawca nie może udostępnić Spółce danych tych osób bez ich wiedzy i zgody.

Z definicji administratora danych, określonej w art. 7 pkt 4 ustawy o ochronie danych osobowych, zgodnie z którym ilekroć w ustawie o ochronie danych osobowych jest mowa o administratorze danych - rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 ustawy o ochronie danych osobowych, decydujące o celach i środkach przetwarzania danych osobowych, wynika, iż decydując o celach i środkach przetwarzania tych danych w przypadku ich powierzenia, nie może być on ograniczony zgodą osoby, której dane dotyczą. Tym samym uznać należy, że klient nie może powierzyć Spółce przetwarzania danych posiadaczy kart M. w ramach umowy powierzenia, o której mowa w art. 31 ustawy o ochronie danych osobowych, gdyż przetwarzanie tych danych jest uzależnione właśnie od zgody osób, których one dotyczą. Należy bowiem jeszcze raz podkreślić, że instytucja powierzenia przetwarzania danych osobowych podmiotowi trzeciemu polega m.in. na tym, iż nie jest wymagane uzyskanie zgody osoby, której dane dotyczą, na powierzenie jej danych. Powierzenie przetwarzania danych osobowych nie wymaga również informowania osób zainteresowanych o takiej czynności, zgodnie z art. 24 ust. 1 pkt 2 lub art. 25 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Wynika to z faktu, że zgodnie z art. 7 pkt 6 ustawy o ochronie danych osobowych podmiot, któremu powierzono przetwarzanie danych osobowych, nie jest traktowany jako odrębny "odbiorca" danych. A zatem, z uwagi na to, iż klient jedynie za wiedzą i zgodą może udostępnić Spółce dane pracowników, osób towarzyszących i dzieci, którzy chcą skorzystać z usług Spółki, nie może to się odbywać w drodze umowy powierzenia Spółce przetwarzania danych przez klienta, o której mowa w art. 31 ustawy o ochronie danych osobowych. Zauważyć należy, iż pracodawca przetwarza dane osobowe pracowników w zakresie i celu niezbędnym dla wykonania ciążących na nim obowiązków wynikających ze stosunku pracy. A zatem jako administrator danych może jedynie w tym celu powierzyć innemu podmiotowi przetwarzanie tych danych. Umożliwienie natomiast pracownikowi uczestnictwa w zajęciach sportowych w ramach programu M. nie należy do takich obowiązków.

Rozdział VI. Profilowanie i automatyczne podejmowanie decyzji wobec pracowników

W przypadku zatrudniania pracowników może dochodzić do profilowania ich niektórych zachowań, co może wiązać się z dodatkowymi obowiązkami pracodawcy, jak również dodatkowymi uprawnieniami pracowników.

Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się (art. 4 pkt 4 RODO).

Profilowanie opisuje się jako zbieranie niepowiązanych ze sobą danych, a także wyciąganie z nich wzorów oraz korelacji z wykorzystaniem matematycznych i statystycznych modeli. W przypadku profilowania danych osobowych celem profilowania jest umieszczenie osoby, której dane dotyczą, w konkretnej kategorii, a także przewidzenie lub dokonanie oceny:

● możliwości realizacji przez nią zadań,

● jej zainteresowań czy też

● jej prawdopodobnych zachowań.

Z procesowego punktu widzenia wyodrębnia się trzy etapy profilowania:

1) zbieranie danych,

2) budowanie profilu oraz

3) analizę profilu pod kątem podjęcia decyzji w indywidualnych sprawach.

Aby przetwarzanie było profilowaniem, musi wystąpić efekt przetwarzania w postaci oceny niektórych czynników osobowych. Polega to w szczególności na analizie i prognozie (wyciąganiu wniosków na przyszłość) aspektów dotyczących tej osoby.

Przykład

Urząd pracy rejestruje bezrobotnych. Posiada ich dane osobowe. Profilowanie polega w tym przypadku na profilowaniu bezrobotnych pod kątem dopasowania ofert pracy.

Przykład

Firma chce wprowadzić premię regulaminową dla pracowników. Profilowaniem jest opieranie systemu premiowego na statystyce spóźnień do pracy. Natomiast nie jest profilowaniem elektroniczne rejestrowanie obecności pracowników w pracy.

Przy zautomatyzowanym profilowaniu na podstawie profilu przygotowanego przez algorytm człowiek podejmuje konkretne decyzje.

RODO przewiduje kilka istotnych obowiązków związanych z trzema sytuacjami: profilowaniem, automatycznym podejmowaniem decyzji, podejmowaniem decyzji w oparciu o profilowanie. Należą do nich:

● informowanie o decydowaniu automatycznym i na podstawie profilowania - zarówno podejmowanie decyzji na podstawie profilowania, jak i automatyczne podejmowanie decyzji wymagają poinformowania osoby o takiej praktyce, w jaki sposób takie profilowanie i decydowanie automatyczne działa i co dla tej osoby oznacza. Informacja powinna być przekazana przy zbieraniu danych i w wykonaniu żądania dostępu do danych (art. 13 ust. 2 lit. f, art. 14 ust. 2 lit. g, art. 15 ust. 1 lit. h RODO);

● informowanie o prawach sprzeciwu - należy poinformować osobę o prawie sprzeciwu, w tym względem profilowania ze względu na jej szczególną sytuację, gdy profilowanie odbywa się na podstawie uzasadnionego interesu administratora lub osoby trzeciej albo na podstawie sprawowania władzy publicznej lub realizacji zadania publicznego, oraz o prawie sprzeciwu "dowolnego", gdy profilowanie ma cel marketingu bezpośredniego;

● prawo sprzeciwu - osoba może się sprzeciwić profilowaniu (art. 21 RODO);

● prawo do ludzkiej interwencji - art. 22 RODO wprowadza prawo do niepodlegania decyzji automatycznej lub opartej wyłącznie na profilowaniu wywołującej skutki prawne lub podobne, ale gdy jest wyrażona zgoda, jest to potrzebne do zawarcia lub wykonania umowy lub prawo tak stanowi, można podejmować decyzje wyłącznie automatycznie lub wyłącznie w oparciu o profilowanie; w takiej sytuacji należy jednak zapewnić drogę reklamacyjną z udziałem kompetentnego i decyzyjnego człowieka;

Przykład

System premiowania u pracodawcy odbywa się wyłącznie na podstawie automatycznych decyzji powstałych w wyniku profilowania zachowań pracowników, np. wyników premiowych i ich wykonania. Przy decyzji o przyznaniu premii nie ma żadnego udziału człowieka. W takiej sytuacji konieczna jest zgoda pracownika na taki system premiowania.

Przykład

System premiowania u pracodawcy opiera się wyłącznie na automatycznych decyzjach powstałych w wyniku profilowania zachowań pracowników, np. wynikach premiowych i ich wykonaniu. Oprócz automatycznego profilowania pracowników częścią procesu decyzyjnego o przyznaniu pracownikowi premii występuje ocena bezpośredniego przełożonego. W takiej sytuacji zgoda pracownika nie jest konieczna, gdyż decyzja o przyznaniu premii nie odbywa się w sposób całkowicie zautomatyzowany.

● ocena skutków - art. 35 RODO wymaga przeprowadzenia oceny skutków dla ochrony danych, jeżeli dokonuje się systematycznego i kompleksowego profilowania w celu podejmowania decyzji wywołujących skutki prawne lub podobne.

Administrator, stosując systemy do wydawania zautomatyzowanych decyzji, zgodnie z motywami RODO jest zobowiązany stosować:

● środki techniczne i organizacyjne zapewniające w szczególności korektę nieprawidłowości przy wydawaniu decyzji i maksymalnie zmniejszające ryzyka błędów, a także

● środki zabezpieczające dane osobowe w sposób uwzględniający potencjalne ryzyko dla interesów i praw osoby, której dane dotyczą, oraz zapobiegające m.in. skutkom w postaci dyskryminacji osób fizycznych z uwagi na pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania, przynależność do związków zawodowych, stan genetyczny lub zdrowotny, orientację seksualną.

Wzór klauzuli informacyjnej dla pracownika dotyczącej zautomatyzowanego podejmowania decyzji

infoRgrafika

infoRgrafika

Rozdział VII. Zasady ochrony danych osobowych

RODO wskazuje podstawowe zasady prawne ochrony danych osobowych (art. 5 RODO). Zasady te powinny być traktowane jako podstawowe kierunki i wytyczne interpretacyjne. Rangę zasad podkreśla okoliczność, że za ich nieprzestrzeganie ustawodawca unijny przewidział jedną z najostrzejszych sankcji, tj. administracyjną karę pieniężną w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa - w wysokości do 4 jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (art. 83 ust. 5 RODO). Zatem w sprawach dotyczących przedsiębiorstw maksymalna wysokość kary pieniężnej jest jednocześnie kształtowana przez oba wskazane powyżej mechanizmy, tj. poprzez określenie jej górnej granicy kwotowo (do 20 mln euro) oraz jako procent rocznego światowego obrotu z poprzedniego roku obrotowego (do 4). Rozstrzygając o wysokości możliwej do nałożenia sankcji finansowej, organ nadzorczy jako jej górną granicę przyjmie wyższą z tych kwot. Oznacza to, że np. w przypadku najcięższych przewinień będzie możliwe nałożenie administracyjnej kary pieniężnej w wysokości powyżej 20 mln euro, jeśli tylko 4 rocznego światowego obrotu przedsiębiorstwa, które ma zostać dotknięte taką sankcją, przekroczy tę kwotę.

Do zasad przetwarzania danych osobowych na gruncie RODO zaliczamy:

● zasadę przetwarzania zgodnego z prawem (zasadę legalności),

● zasadę rzetelnego i przejrzystego przetwarzania,

● zasadę celowości (zasadę ograniczenia celu zbierania i przetwarzania danych),

● zasadę czasowości (ograniczenia czasowego),

● zasadę minimalizacji danych (zasadę adekwatności),

● zasadę prawidłowości (poprawności merytorycznej) przetwarzania danych,

● zasadę integralności i poufności przetwarzania,

● zasadę rozliczalności przetwarzania danych.

Większość wskazanych zasad funkcjonowała na gruncie dotychczas obowiązujących przepisów. Nowością, którą wprowadza RODO, są zasady przejrzystości i rozliczalności.

1. Zasada przetwarzania zgodnego z prawem (zasada legalności)

Zgodnie z tą zasadą przetwarzanie danych osobowych jest zgodne z prawem, jeżeli istnieje podstawa prawna przetwarzania danych, tzw. przesłanka legalizująca, oraz odbywa się ono zgodnie z zasadami RODO.

Na podstawie art. 6 RODO przetwarzanie danych osobowych jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - jest spełniony co najmniej jeden z poniższych warunków (tzw. przesłanka legalizująca):

a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Nie dotyczy to sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Nie dotyczy to sytuacji przetwarzania danych, którego dokonują organy publiczne w ramach realizacji swoich zadań.

W przypadku każdej ze wskazanych przesłanek legalizujących występuje przesłanka "niezbędności", co oznacza, że bez przetwarzania danych we wskazanych sytuacjach nie można osiągnąć celu.

Podstawy przetwarzania, o których mowa w pkt c i e, muszą być określone w:

● prawie Unii lub

● prawie państwa członkowskiego, któremu podlega administrator.

W projekcie ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 zaproponowano zmianę art. 221 Kodeksu pracy poprzez nałożenie na pracodawcę obowiązku prawnego pozyskania niektórych danych osobowych pracownika.

Ponadto w wielu sytuacjach przetwarzanie danych jest obowiązkiem pracodawcy w celu realizacji określonych zadań lub ustawowych obowiązków, np. obowiązków płatnika podatku dochodowego czy składek ZUS dla pracowników.

Cel przetwarzania danych musi być określony w tej podstawie prawnej lub, w przypadku przetwarzania, o którym mowa w lit. e - musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

Podstawa prawna może zawierać przepisy szczegółowe dostosowujące stosowanie przepisów RODO, w tym:

● ogólne warunki zgodności z prawem przetwarzania przez administratora;

● rodzaj danych podlegających przetwarzaniu;

● osoby, których dane dotyczą;

● podmioty, którym można ujawnić dane osobowe;

● cele, w których można je ujawnić;

● ograniczenia celu;

● okresy przechowywania;

● operacje i procedury przetwarzania, w tym środki zapewniające zgodność z prawem i rzetelność przetwarzania, również w innych szczególnych sytuacjach związanych z przetwarzaniem, o których mowa w rozdziale IX RODO "Przepisy dotyczące szczególnych sytuacji związanych z przetwarzaniem".

Prawo Unii lub prawo państwa członkowskiego muszą służyć realizacji celu leżącego w interesie publicznym oraz być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu.

W przypadku danych pracowników najczęstszą podstawą do przetwarzania danych będą dla pracodawcy:

● obowiązek prawny, np. podanie danych pracodawcy wynikających z art. 221 § 1-2 Kodeksu pracy,

● zgoda danej osoby, np. dotycząca podania innych danych niż przetwarzane na podstawie obowiązku ustawowego,

● wykonanie umowy, np. dane konieczne w celu naliczenia wynagrodzenia pracowników,

● uzasadniony interes administratora.

1.1. Warunki wyrażenia zgody (art. 7 RODO)

RODO dopuszcza w sposób wyraźny przetwarzanie danych osobowych pracowników na podstawie zgody. Motyw 155 preambuły RODO określa, że w prawie państwa członkowskiego lub w porozumieniach zbiorowych, w tym zakładowych porozumieniach z przedstawicielami pracowników, mogą być przewidziane przepisy szczegółowe o przetwarzaniu danych osobowych pracowników w związku z zatrudnieniem. Mogą to być w szczególności warunki, na których dane osobowe w związku z zatrudnieniem można przetwarzać za zgodą pracownika do celów:

● procedury rekrutacyjnej,

● wykonywania umowy o pracę, w tym wykonywania obowiązków określonych w przepisach lub w porozumieniach zbiorowych,

● zarządzania, planowania i organizacji pracy,

● równości i różnorodności w miejscu pracy,

● bezpieczeństwa i higieny pracy,

● indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem,

● zakończenia stosunku pracy.

Przykład

Kandydat na pracownika złożył pracodawcy CV w procesie rekrutacji na stanowisko handlowca. Pracodawca wybrał jednak inne osoby. Pracownik na podstawie RODO może wyrazić zgodę na przechowywanie jego CV po zakończeniu procesu rekrutacji przez określony czas do celów przyszłych rekrutacji.

W aktualnym art. 221 Kodeksu pracy zostało określone, jakich danych pracodawca może żądać od kandydata do pracy oraz pracownika. Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:

1) imię (imiona) i nazwisko;

2) imiona rodziców;

3) datę urodzenia;

4) miejsce zamieszkania (adres do korespondencji);

5) wykształcenie;

6) przebieg dotychczasowego zatrudnienia.

Niezależnie od powyższych danych osobowych pracodawca ma prawo żądać od pracownika podania także:

● innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;

● numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).

Od 1 stycznia 2019 r. pracodawca będzie mógł także żądać podania numeru rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.

Ponadto pracodawca może żądać podania innych danych osobowych od pracowników lub kandydatów do pracy, jeżeli obowiązek ich podania wynika z odrębnych przepisów.

W obecnym stanie prawnym, jeśli obowiązek podania określonych danych przez pracownika nie wynika z konkretnych przepisów, pracodawca do celów legalnego ich przetwarzania musi wykazać inną przesłankę legalizującą, którą może być np. zgoda pracownika. Przetwarzanie przez pracodawcę niektórych danych osobowych pracownika, tj. np. adresu poczty elektronicznej albo numeru telefonu - jeżeli dane dotyczą stosunku pracy, jest możliwe, gdy pracownik wyrazi na to zgodę.

Jeżeli przetwarzanie danych odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

Na przetwarzanie danych dopuszczalna będzie zgoda ustna lub wyrażona poprzez działanie, np. wręczenie wizytówki.

Przykład

Pracodawca organizuje rekrutację na stanowisko informatyka. Zamieścił ogłoszenia rekrutacyjne w Internecie. Przesłanie CV przez osobę ubiegającą się o pracę na adres e-mail pracodawcy wskazany w ogłoszeniu rekrutacyjnym stanowi dorozumianą zgodę na przetwarzanie zawartych w CV danych osobowych kandydata do pracy.

Zgoda pracownika na przetwarzanie danych osobowych musi być:

● dobrowolna - pracownik musi mieć swobodny wybór, np. w przypadku okienek wyboru dobrą praktyką jest wskazywanie opcji wyboru dotyczących udzielenia zgody ("tak" lub "nie"),

● konkretna - pracownik wskazuje konkretny cel, dla jakiego jest udzielona,

● wyraźna - zgoda powinna być jednoznaczna,

● wyrażona w dowolnej formie,

● odwołalna.

Naczelny Sąd Administracyjny w wyroku z 4 kwietnia 2003 r. (II SA 2135/02, Wokanda 2004/6/30) uznał, że:

NSA

(...) zgoda na przetwarzanie danych osobowych musi być wyraźna. Nie spełnia tego wymagania podpisanie oświadczenia o wyrażeniu zgody na przetwarzanie danych, stanowiącego dodatkowy element innego zobowiązania, niezawierającego informacji o celach i zakresie przetwarzania tych danych.

Jeżeli osoba, której dane dotyczą, wyrazi zgodę na przetwarzanie danych w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie je odróżnić od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie RODO, nie jest wiążąca.

Zgodnie z przepisami RODO zgoda na przetwarzanie danych powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności. Może mieć np. formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia bądź może polegać na:

● zaznaczeniu okienka wyboru podczas przeglądania strony internetowej,

● wyborze ustawień technicznych lub na innym oświadczeniu bądź na zachowaniu, które jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.

Wzór zgody elektronicznej na przetwarzanie danych osobowych

infoRgrafika

UWAGA!

Zgoda pracownika na przetwarzanie danych osobowych powinna być wyrażona jednoznacznie.

Nie może być podstawą przetwarzania danych osobowych zgoda dorozumiana, wyrażona przez milczenie, domyślnie zaznaczone okienka lub niepodjęcie działań.

Administrator powinien wdrożyć środki organizacyjne lub techniczne umożliwiające udowodnienie otrzymania zgody podmiotu na przetwarzanie danych, w szczególności w sposób pozwalający na utrwalenie faktu otrzymania zgody.

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie. W takich przypadkach pracodawca będzie zobowiązany zaprzestać dalszego przetwarzania jej danych. Nie dotyczy to danych, do których przetwarzania pracodawca jest uprawniony na podstawie innych przesłanek niż zgoda uprawniających do przetwarzania danych.

Na pracodawcy ciąży dodatkowy obowiązek informacyjny w przypadku zbierania od pracowników zgód na przetwarzanie danych osobowych innych niż na podstawie przepisów ustawowych.

Wzór klauzuli informacyjnej dotyczącej udzielanej zgody na przetwarzanie danych osobowych w ramach rekrutacji

infoRgrafika

Aby wyrażenie zgody na przetwarzanie danych było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych (motyw 32 RODO). W konkretnych przypadkach może być wymagane podanie większej liczby informacji osobie wyrażającej zgodę na przetwarzanie danych, aby umożliwić jej zrozumienie istoty ich przetwarzania.

Do uzyskania świadomej zgody wymagane są co najmniej informacje dotyczące:

1) tożsamości administratora, jego danych kontaktowych,

2) celów przetwarzania,

3) zakresu przetwarzanych danych (rodzajów danych),

4) istnienia prawa do wycofania zgody,

5) zautomatyzowanego podejmowania decyzji, w tym profilowania,

6) transferów danych.

Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy m.in. od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.

Wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji (motywy 42 i 43 preambuły RODO).

1.2. Dotychczasowe zgody na przetwarzanie danych osobowych

W związku ze stosowaniem od 25 maja 2018 r. RODO i jego wymagań w zakresie zgód powstaje pytanie o konieczność aktualizacji zgód obecnie posiadanych przez administratorów danych. RODO nie zawiera przepisów przejściowych, wskazując równocześnie na konieczność dostosowania się administratorów do zawartych w nim postanowień do 25 maja 2018 r. Rozstrzygnięcia wymaga więc, czy zgody uzyskane przez administratorów na podstawie przepisów krajowych implementujących dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, w tym ustawy o ochronie danych osobowych, będą pozwalać na przetwarzanie danych osobowych pod rządami RODO.

W motywie 171 RODO wskazano, że "przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów", a jeśli przetwarzanie opiera się na przesłance zgody uzyskanej w myśl dyrektywy 95/46/WE, "osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia".

W tym kontekście decydujące będą analiza i rozstrzygnięcie, czy udzielona uprzednio przez podmiot przekazujący dane i uzyskana przez administratora zgoda spełnia wskazane w RODO warunki, w szczególności kryteria dobrowolności, konkretności, świadomości i jednoznaczności, oraz czy administrator jest w stanie to wykazać.

Administratorzy muszą przeanalizować, czy odebrane przez nich zgody byłyby poprawne również na gruncie RODO, w szczególności z uwzględnieniem wymagań co do wskazania administratora, określenia celu, niełączenia zgód dla różnych administratorów lub różnych celów w jednym oświadczeniu, dobrowolności, także interpretowanej w kontekście braku innych podstaw przetwarzania, aktywnego działania przyzwalającego podmiotu danych, jasności i jednoznaczności formy oraz języka i wreszcie konkretnego i świadomego charakteru. Analizy będzie wymagać konieczny zakres wdrożenia mechanizmów realizacji praw podmiotów przekazujących dane, związanych z uprawnieniem do wycofania zgody w każdym czasie w tak prosty sposób jak jej udzielenie.

Na możliwość zachowania dotychczasowych zgód zwraca uwagę Grupa Robocza Art. 29. Została ona powołana na mocy art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych jako niezależny organ o charakterze doradczym. Grupa Robocza Art. 29 wskazała, że oceny będzie wymagać, czy w konkretnych przypadkach są spełnione kryteria zgody odpowiadające RODO i to pomimo różnic m.in. co do zakresu obowiązków informacyjnych.

Ze względu na modyfikację obowiązków informacyjnych w stosunku do dotychczas obowiązujących przepisów administratorzy będą musieli zmodyfikować klauzule informacyjne, a w stosunku do procesów przetwarzania w toku uzupełnić informacje o dotychczas niewymagane oraz ocenić, które z dodatkowych nowych obowiązków informacyjnych są odpowiednie z punktu widzenia przesłanki świadomości zgody przy przetwarzaniu trwającym w dniu rozpoczęcia stosowania RODO.

Główny Inspektor Ochrony Danych Osobowych (GIODO) na stronie internetowej urzędu prezentuje stanowisko, że większość zgód pozyskanych pod rządami obecnych regulacji zachowa swoją ważność, ale wymaga poinformowania osób, których dane są przetwarzane, że mają prawo wycofania zgody w dowolnym momencie, co ma być tak samo łatwe jak jej wyrażenie. Pozwala na to pkt 171 preambuły RODO, ale zastrzega, że jest to możliwe, jeśli pierwotny sposób jej wyrażenia jest zgodny z RODO. W stosunku do kandydatów do pracy ta regulacja nie może być stosowana. Proces rekrutacyjny jest bowiem zamkniętą czasowo procedurą i na tę konkretną procedurę zgadza się osoba ubiegająca się o oferowaną przez pracodawcę pracę.

2. Przetwarzanie danych niezbędnych do wypełnienia obowiązku prawnego ciążącego na administratorze

Jeżeli chodzi o zwykłe dane, należy zwrócić uwagę, że w przypadku gdy przetwarzanie danych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, RODO wymaga, aby podstawa prawna takiego przetwarzania została określona w prawie UE lub w prawie państwa członkowskiego, któremu podlega administrator. Na uwagę zasługuje, że samo istnienie obowiązku po stronie administratora danych w przepisach prawa nie będzie już wystarczające, gdyż - jak wynika z art. 6 ust. 3 RODO - cel przetwarzania musi być określony w tej podstawie prawnej.

Zgodnie z projektowanym nowym brzmieniem art. 221 Kodeksu pracy pracodawca będzie mógł żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:

1) imię (imiona) i nazwisko;

2) datę urodzenia;

3) dane kontaktowe wskazane przez taką osobę;

4) wykształcenie;

5) przebieg dotychczasowego zatrudnienia.

Według projektu pracodawca będzie mógł żądać od pracownika podania dodatkowo danych osobowych obejmujących:

1) adres zamieszkania;

2) numer PESEL, a w przypadku jego braku - rodzaj i numer dokumentu potwierdzającego tożsamość;

3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.

Dodatkowo od 1 stycznia 2019 r. pracodawca będzie miał prawo żądać numeru rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.

2.1. Wykonanie umowy

Na przesłankę wykonania umowy jako prawa do przetwarzania danych można się powołać tylko po zawarciu umowy. Legalizuje ona przetwarzanie danych stron umowy wyłącznie w celu wykonania umowy.

Ponadto za przesłankę legalizującą należy uznać podjęcie działań przed zawarciem umowy, gdy przetwarzanie jest niezbędne do podjęcia działań przed zawarciem umowy, a zawarcie umowy następuje na żądanie osoby, której dane dotyczą.

Przykład

Pracownicy firmy mają częsty kontakt z klientami. Przekazanie przez pracodawcę danych pracowników upoważnionych do kontaktu przy wykonywaniu obowiązków służbowych jego klientom, z którymi stale współpracuje, będzie dopuszczalne.

3. Merytoryczna poprawność zbieranych danych

Zasada merytorycznej poprawności sprowadza się do doraźnego i bieżącego korygowania oraz aktualizacji nieprawidłowych lub już nieaktualnych danych. Do obowiązku administratora należy ocena wiarygodności źródła informacji. Naruszeniem tej zasady może być zbieranie danych z nieznanego źródła.

Przykład

Pracodawca prowadzi rekrutację ukrytą na wskazane w ogłoszeniu stanowisko. Jeśli po zebraniu danych kandydatów lub zakończonym procesie rekrutacji zamierza dane pracowników, uzyskane w ramach procesu (CV, listy motywacyjne), dalej przechowywać, powinien wysłać do pracownika informację zawierającą m.in. dane o tym, kto jest jego administratorem danych, w jakim celu i jak długo będą przechowywane, oraz poinformować o przysługującym mu prawie żądania usunięcia, sprostowania i wglądu do danych.

W myśl zasady merytorycznej poprawności zbieranych danych, dane osobowe muszą być prawidłowe i w razie potrzeby uaktualnione. Z kolei dane nieprawidłowe powinny być usunięte lub poprawione.

Przykłady danych wymagających aktualizacji:

● zmiana nazwiska,

● informacja o wykształceniu,

● numer telefonu.

Wzór ogólnej klauzuli informacyjnej dla pracownika dotyczącej przetwarzania danych osobowych w związku z procesem rekrutacji

infoRgrafika

Wyrazem zasady poprawności merytorycznej danych osobowych jest także prawo wglądu do dokumentacji pracowniczej.

Obowiązkiem pracodawcy jest zapewnienie pracownikowi wglądu do jego akt osobowych i odpowiedniej dokumentacji dotyczącej pracownika przez czas trwania stosunku pracy. Obowiązek taki istnieje po rozwiązaniu stosunku pracy do momentu, gdy pracodawca jest w posiadaniu danych osobowych byłego pracownika.

Ze względów bezpieczeństwa pracodawca może wymagać, by przy przeglądaniu dokumentacji pracowniczej przez pracownika był obecny np. pracownik kadr, jednak koniecznie musi to być pracownik upoważniony do dostępu do tych informacji.

W tym kontekście trzeba pamiętać o obowiązkach archiwizacji niektórych dokumentów na wskazane okresy, gdyż przez ten czas pracodawca ma obowiązek udzielania wszelkich informacji o przetwarzanych przez niego danych osobowych.

Jeśli o prawo wglądu do akt wystąpi osoba trzecia (także członek rodziny pracownika), do ujawnienia danych osobowych potrzebna jest zgoda tego pracownika. 

W razie przejęcia części lub całości zakładu pracy w trybie art. 231 Kodeksu pracy (czyli z zachowaniem ciągłości zatrudnienia) prawo do wglądu do dokumentacji pracowniczej ma nowy pracodawca, a w przypadku likwidacji lub upadłości zakładu także likwidator lub syndyk masy upadłościowej.

Dane pracownicze mogą być udostępnione organom kontrolnym, które ze względu na pełnione funkcje mają prawo do wglądu do dokumentacji pracowniczej. Prawo do takiego dostępu musi jednak wynikać z wyraźnej podstawy ustawowej. Organami tymi są np.:

● inspektor PIP,

● inspektor mający upoważnienie UODO (obecnie GIODO),

● funkcjonariusz Policji,

● funkcjonariusz Agencji Bezpieczeństwa Wewnętrznego albo Agencji Wywiadu,

● funkcjonariusz Centralnego Biura Antykorupcyjnego,

● sąd (art. 248 Kodeksu postępowania cywilnego),

● upoważniony inspektor ZUS (art. 87 ust. 1 ustawy o systemie ubezpieczeń społecznych).

Sąd powszechny ma pełny dostęp do dokumentacji pracowniczej i może on zobowiązać pracodawcę do dostarczenia mu odpowiednich dokumentów zawierających dane pracownika. Każdy jest zobowiązany przedstawić na zarządzenie sądu w oznaczonym terminie i miejscu dokument znajdujący się w jego posiadaniu i stanowiący dowód faktu istotnego dla rozstrzygnięcia sprawy, chyba że dokument zawiera informacje niejawne (art. 248 § 1 Kodeksu postępowania cywilnego).

Jeśli więc w toku procesu z pracownikiem sąd wystąpi z żądaniem przedłożenia stosownej dokumentacji, pracodawca co do zasady nie może odmówić.

4. Nowa zasada przejrzystości i rzetelności

Zgodnie z tą zasadą komunikaty kierowane do odbiorców w związku z przetwarzaniem danych powinny być:

● łatwo dostępne,

● opisane prostym językiem,

● w razie potrzeby wspomagane przekazem graficznym.

Łączy się z tym także:

● obowiązek używania możliwie jednoznacznych pojęć,

● zakaz wykonywania obowiązku informacyjnego w formie ustnej,

● zakaz posługiwania się sformułowaniami technicznymi, wymagającymi specjalistycznej wiedzy.

Administrator ma obowiązek udzielić osobie, której dane dotyczą, wszelkich informacji o działaniach podjętych w związku z przetwarzaniem jej danych (np. profilowaniem) bez zbędnej zwłoki.

Informacje, jakie administrator ma obowiązek podać, są zależne od tego, od kogo są pozyskiwane dane.

5. Zasada celowości - ograniczenia celu

Zgodnie z zasadą minimalizacji danych wolno zbierać wyłącznie dane oznaczone, konieczne jedynie do zgodnych z prawem celów.

Cel zbierania danych powinien być:

● konkretny,

● wyraźny,

● prawnie uzasadniony.

Przetwarzanie w innym celu niż pierwotny jest dopuszczalne, gdy "nowy" cel jest zgodny z pierwotnym (brak wymogu odrębnej podstawy prawnej). Dalsze przetwarzanie danych w innym niż pierwotny celu nie zwalnia administratora danych z obowiązków informacyjnych.

Możliwe jest natomiast dalsze przetwarzanie:

● do celów archiwalnych, badań naukowych/historycznych,

● do celów statystycznych,

● jeżeli jest zgodne z prawem i pierwotnymi celami.

Przykład

Pracodawca zatrudnia pracowników, u których stwierdzono chorobę zawodową. Dane o chorobie zawodowej pracownika mogą być przetwarzane przez pracodawcę jedynie w celu odpowiedniego zapewnienia mu dostępu do zabezpieczenia społecznego lub prowadzenia przewidzianego ustawą rejestru. Nie mogą być one wykorzystywane do innych celów.

Zgodnie z zasadą celowości pracodawca powinien przetwarzać jedynie takie dane osobowe i w takim zakresie, jaki wynika z prawnie usprawiedliwionego celu, dla którego zostały zebrane. Cele przetwarzania przez pracodawcę danych osobowych należy zatem zawsze oceniać przez łączący strony stosunek pracy.

Zakres danych osobowych adekwatnych do celu przetwarzania trzeba każdorazowo oceniać z uwzględnieniem określonego stosunku prawnego, w związku z którym administrator przetwarza dane osobowe. Pracodawca nie może więc żądać informacji o pracowniku, które wykraczałyby poza jego potrzeby związane ze stosunkiem pracy. Zgodnie z wyrokiem NSA z 19 grudnia 2001 r. (II SA 2869/00), w odniesieniu do umów należy uwzględnić ich charakter i znaczenie w zakresie oceny celu przetwarzania danych osobowych osób fizycznych.

6. Zasada adekwatności - minimalizacja danych

Zgodnie z tą zasadą dane zbierane przez administratora powinny być adekwatne, stosowne, ograniczone do tego, co niezbędne.

Administrator ustala racjonalne terminy usuwania lub częstotliwości przeglądu danych.

Adekwatność zbieranych danych powinna być oceniania przez pracodawcę najpóźniej w momencie ich gromadzenia.

Dane osobowe do dokumentacji pracowniczej nie mogą być zbierane przez pracodawcę "na zapas", "na wszelki wypadek", czyli bez wykazania w momencie ich gromadzenia celowości ich pozyskania i niezbędności dla realizacji prawnie dozwolonych celów.

7. Zasada ograniczenia czasowego

Ustawa o ochronie danych osobowych nakłada na pracodawcę obowiązek przechowywania danych w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż to jest niezbędne do osiągnięcia celu przetwarzania. Po osiągnięciu celu, a więc przede wszystkim po upływie wskazanego w przepisach prawa okresu przechowywania danych, dane powinny zostać usunięte, zanonimizowane lub też przekazane podmiotowi uprawnionemu ustawowo do ich przejęcia od administratora (np. przekazane do archiwum państwowego).

Administrator prowadzi regularne kontrole i przegląd zbioru danych, by ograniczyć czas ich przetrzymywania.

Po osiągnięciu celu dane:

● usuwamy,

● anonimizujemy,

● przekazujemy do podmiotu upoważnionego ustawowo do ich przechowywania.

Pracodawca powinien monitować, czy w dokumentacji pracowniczej, którą posiada, nie znajdują się informacje, które powinny zostać już usunięte lub przekazane do odpowiedniego archiwum.

Przykładowe okresy przechowywania danych pracowników

Lp.

Rodzaje danych

Okres przechowywania

Podstawa prawna

1.

Akta osobowe

50 lat od zakończenia stosunku pracy

art. 51u ustawy z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach

2.

Dokumentacja wypadkowa

10 lat

art. 234 § 31 Kodeksu pracy

3.

Dane z procesu rekrutacyjnego

Usuwamy co do zasady po zakończeniu procesu rekrutacji, można przechowywać maksymalnie 3 lata

Osiągnięcie celu przetwarzania danych

Okres przedawnienia roszczeń z tytułu dyskryminacji (art. 291 § 1 Kodeksu pracy)

4.

Kary porządkowe

1 rok nienagannej pracy

art. 113 § 1 Kodeksu pracy

5.

Oceny pracownicze

3 lata

Zakładany przez pracodawcę okres aktualności oceny

6.

Karta ewidencji czasu pracy

3 lata

Okres przedawnienia roszczeń ze stosunku pracy (art. 291 § 1 Kodeksu pracy)

Od 1 stycznia 2019 r. okresy archiwizacji dokumentacji ulegną skróceniu. Zgodnie z nowymi przepisami trzeba ją będzie przechowywać przez cały okres zatrudnienia pracownika, a gdy jego stosunek pracy rozwiąże się lub wygaśnie - przez 10 lat, licząc od końca roku kalendarzowego, w którym miało to miejsce (początek liczenia będzie zatem zawsze przypadał na 31 grudnia roku kalendarzowego, w którym doszło do zakończenia stosunku pracy).

8. Zasada integralności i poufności

W myśl tej zasady administrator stosuje odpowiednie środki techniczne i organizacyjne w celu ochrony danych przed:

● niedozwolonym lub bezprawnym przetwarzaniem,

● przypadkową utratą,

● zniszczeniem,

● uszkodzeniem.

Przykład

Pracodawca zamierza wręczyć pracownikowi wypowiedzenie umowy o pracę. Wręczenie pracownikowi wypowiedzenia powinno odbywać się z uwzględnieniem zasady poufności. Osoby obecne przy wręczaniu jako świadkowie powinny być zobowiązane do zachowania w poufności uzyskanych podczas wręczenia informacji.

RODO wprowadza także zestaw ogólnych zasad, które należy stosować w odniesieniu do administratora bądź innego podmiotu przetwarzającego w zakresie zabezpieczenia danych i poszanowania praw osoby, której dane dotyczą, tj.:

● obowiązek oszacowania ryzyka i przeprowadzenia w sytuacjach tego wymagających analizy ryzyka oraz konsultacji z organem nadzorczym,

● obowiązek uwzględnienia kwestii związanych z ochroną danych osobowych na etapie projektowania danej czynności.

8.1. Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych

RODO wprowadza do europejskiego porządku prawnego zasady privacy by design (nazywaną też "zasadą prywatności w fazie projektowania") oraz privacy by default (nazywaną też "zasadą prywatności w ustawieniach domyślnych").

Podstawowym celem zasady privacy by design jest wprowadzenie do każdego projektu zakładającego przetwarzanie danych osobowych zasad ochrony prywatności w taki sposób, aby od samego początku istnienia tego projektu ochrona prywatności stanowiła jego część składową. Zasada privacy by design jest wprowadzana przez art. 25 ust. 1 RODO, zgodnie z którym "uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą". Przepis ten wprowadza generalną zasadę, na podstawie której administrator danych będzie zobowiązany zapewnić, aby już na etapie projektowania systemu oraz na etapie wykorzystywania go do przetwarzania danych wprowadzone zostały do niego odpowiednie środki techniczne i organizacyjne, które zapewnią ochronę danych użytkowników i ich przetwarzanie zgodnie z RODO.

Zasadę privacy by default określa natomiast art. 25 ust. 2 RODO. Zgodnie z tym przepisem administrator będzie zobowiązany wdrożyć takie środki techniczne i organizacyjne, aby domyślnie były przetwarzane wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania. Będzie to dotyczyć liczby zbieranych danych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. Omawiane środki powinny w szczególności zapewniać, aby domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.

Ustawodawca nie określił żadnych konkretnych środków zabezpieczenia akt osobowych i dokumentacji pracowniczej, a także dokumentacji powstałej w wyniku oceny pracownika. Administrator danych jest zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ustawy o ochronie danych osobowych). Wybór odpowiednich środków gwarantujących optymalny stopień zabezpieczenia przetwarzanych danych należy do pracodawcy, ponieważ to on ma najlepszą wiedzę o środowisku, w jakim te dane przetwarza, a więc jakie mogą wystąpić zagrożenia. Błąd pracownika powodujący nieuprawnione przetworzenie danych osobowych powinien być zatem kwalifikowany jako zaniedbanie obowiązków pracodawcy będącego administratorem danych znajdujących się w dokumentacji pracowniczej.

Pracodawca powinien więc zastosować takie środki techniczne i organizacyjne, aby jak najlepiej i jak najskuteczniej zabezpieczyć akta i dokumenty przed wymienionymi ryzykami, jednak szczegółowy sposób wykonania tego obowiązku pozostawiono jego wyborowi. Pracodawca może korzystać z wszelkich technicznych rozwiązań zapewniających wykonanie tego zadania, które pozwolą na wyeliminowanie zagrożenia dla danych osobowych lub chociaż maksymalne ich ograniczenie.

Przykładowe działania pracodawcy mające na celu zabezpieczenie danych:

● teczki osobowe pracowników powinny być umieszczone w miejscach, do których dostęp mają jedynie upoważnione osoby, aby uniknąć potencjalnej możliwości zapoznania się z danymi w nich zawartymi przez osoby do tego nieuprawnione,

● pracodawca, w zakresie ochrony danych osobowych znajdujących się w odpowiedniej dokumentacji pracowniczej, powinien być także dobrze przygotowany na zakłócenia w funkcjonowaniu zakładu pracy związane ze strajkiem czy nieobecnością pracowników,

● pracodawca powinien opracować odpowiednią procedurę określającą sposób postępowania z kluczami do pomieszczeń, w których jest przechowywana dokumentacja pracownicza, tak aby uniemożliwić dostęp do tych pomieszczeń osobom nieuprawnionym,

● pracodawca powinien zastosować zasadę odpowiedniości środków do wagi przetwarzanych przez niego kategorii danych osobowych,

● ponieważ prowadzona przez pracodawcę dokumentacja związana z wypadkami w pracy czy chorobami zawodowymi zawiera dane szczególnie wrażliwe, należy dołożyć wszelkich starań, by uniknąć określonego niebezpieczeństwa dla tego typu danych osobowych,

● pracodawca powinien prowadzić dokumentację opisującą sposób przetwarzania danych oraz środki zapewniające ochronę danych osobowych.

Szczegółowe techniczne warunki przechowywania (wymagania dotyczące budynków czy pomieszczeń) dokumentacji osobowej i płacowej przez podmioty prowadzące działalność regulowaną w tym zakresie określa rozporządzenie Ministra Kultury z 15 lutego 2005 r. w sprawie warunków przechowywania dokumentacji osobowej i płacowej pracodawców (Dz.U. Nr 32, poz. 284).

W przypadku postawienia pracodawcy w stan likwidacji lub ogłoszenia jego upadłości odpowiednio likwidator lub syndyk masy upadłości wskazują podmiot prowadzący działalność w dziedzinie przechowywania dokumentacji, któremu zostanie ona przekazana do dalszego przechowywania, zapewniając na ten cel środki finansowe na czas, jaki pozostał do końca odpowiednio liczonego 50-letniego okresu przechowywania dokumentacji. W przypadku stwierdzenia przez sąd rejestrowy niemożności zapewnienia środków na koszty dalszego przechowywania dokumentację przejmuje archiwum państwowe, utworzone w tym celu przez ministra właściwego do spraw kultury i ochrony dziedzictwa narodowego.

Warunki przechowywania dokumentacji pracowniczej powinny uniemożliwiać ich zniszczenie, co dotyczy szczególnie tych dokumentów, których obowiązek przechowywania wygasa dopiero po upływie 50 lat od daty ustania stosunku pracy.

Należy zwrócić uwagę, że od 1 stycznia 2019 r. okresy przechowywania dokumentacji pracowniczej ulegną skróceniu z 50 do 10 lat.

9. Nowa zasada rozliczalności

Administrator danych musi być w stanie wykazać, że podejmowane przez niego działania są zgodne z ogólnymi zasadami przetwarzania danych osobowych (art. 5 ust. 2 RODO). Należy zwrócić uwagę, że:

● dotyczy to wszystkich poprzednich zasad,

● ciężar dowodu spoczywa na administratorze.

Wyrazem realizacji tej zasady jest prowadzenie przez administratora danych osobowych polityki bezpieczeństwa, określenie trybu odpowiedzi na skargi i wnioski, a także wdrożenie odpowiednich procedur.

Rozdział VIII. Pozyskiwanie danych podczas rekrutacji pracowników

Przetwarzanie danych pracowniczych odbywa się w trzech głównych cyklach, którymi są:

● etap rekrutacji,

● etap zatrudnienia,

● okres po ustaniu stosunku pracy.

1. Dane pozyskiwane od kandydata do pracy

Rekrutacja pracowników może być prowadzona:

● bezpośrednio przez pracodawcę,

● przez firmę zewnętrzną (agencję rekrutacyjną), która prowadzi proces rekrutacyjny w swoim imieniu lub w imieniu pracodawcy, w tym przez head-hunterów.

Pracodawca będzie administratorem danych, jeśli sam prowadzi proces rekrutacji lub jest on prowadzony w jego imieniu.

Pracodawca może również w całości zlecić przeprowadzenie procesu rekrutacyjnego podmiotowi trzeciemu, np. agencji rekrutacyjnej, która jest administratorem danych kandydatów. Pracodawca otrzymuje wówczas gotowe profile kandydata lub kandydatów.

Kodeks pracy w sposób szczególny określa zasady pozyskiwania danych osobowych od pracownika oraz kandydata starającego się o zatrudnienie. Celem tej regulacji jest zapobieżenie nadużywaniu przez pracodawcę prawa do gromadzenia informacji o pracowniku, a tym samym ochrona pracownika przed nadmiernym naruszeniem jego prywatności.

Zgodnie z art. 221 § 1 Kodeksu pracy pracodawca może domagać się od kandydata na pracownika (a w dalszej kolejności również pracownika) podania następujących danych:

1) imię (imiona) i nazwisko,

2) imiona rodziców,

3) data urodzenia,

4) miejsce zamieszkania (adres do korespondencji),

5) wykształcenie,

6) przebieg dotychczasowego zatrudnienia.

Należy zwrócić uwagę, że art. 221 Kodeksu pracy reguluje zasady uzyskiwania informacji o pracowniku od samego pracownika (kandydata na pracownika). Pracodawcy nie będą więc obowiązywały regulacje art. 221 Kodeksu pracy, jeżeli dane osobowe pracownika (kandydata na pracownika) zostaną mu przekazane przez osobę trzecią.

Przykład

Pracodawca stosuje system zatrudniania pracowników na podstawie poleceń pracowników już zatrudnionych w swojej firmie. Za każde polecenie pracownika na poszukiwane stanowisko przysługuje premia w wysokości 4000 zł. W takiej sytuacji pracodawca powinien uzyskać zgodę na przetwarzanie danych lub bezpośrednio poprosić samego kandydata o dane wynikające z Kodeksu pracy. Pozwala to na realizację zasady poprawności merytorycznej danych zawartej w RODO oraz uzyskanie faktycznej zgody kandydata na przystąpienie do procesu rekrutacyjnego.

Pracodawca może żądać od kandydata do pracy podania innych danych osobowych, jeżeli obowiązek ich podania wynika z odrębnych przepisów (art. 221 § 4 Kodeksu pracy).

Przykładowo pytanie kandydata do pracy o obywatelstwo jest dopuszczalne np. na podstawie:

● art. 11 ust. 3 ustawy o pracownikach samorządowych, zgodnie z którym osoba nieposiadająca obywatelstwa polskiego może zostać zatrudniona na stanowisku, na którym wykonywana praca nie polega na bezpośrednim lub pośrednim udziale w wykonywaniu władzy publicznej i funkcji mających na celu ochronę generalnych interesów państwa, jeżeli posiada znajomość języka polskiego potwierdzoną dokumentem określonym w przepisach o służbie cywilnej,

● art. 3 pkt 1 ustawy o pracownikach urzędów państwowych, zgodnie z którym urzędnik państwowy powinien posiadać obywatelstwo polskie,

● art. 5 ust. 1 oraz art. 5a-5c ustawy o zawodach lekarza i lekarza dentysty, zgodnie z którymi zawód lekarz i lekarza dentysty może wykonywać osoba, która jest obywatelem polskim lub obywatelem innego niż Rzeczpospolita Polska państwa członkowskiego Unii Europejskiej.

Ponadto na podstawie art. 6 ust. 1 pkt 10 ustawy o Krajowym Rejestrze Karnym pracodawca ma pełne prawo do uzyskania informacji o osobach, których dane osobowe zostały zgromadzone w przedmiotowym rejestrze, w zakresie niezbędnym do zatrudnienia pracownika, co do którego z przepisów ustawowych jasno wynikają wymagania niekaralności, korzystania z pełni praw publicznych, a także ustalenia uprawnienia do zajmowania określonego stanowiska, wykonywania określonego zawodu lub prowadzenia określonej działalności gospodarczej.

Również pytanie o ciążę nie będzie pytaniem dyskryminacyjnym w momencie, gdy pracodawca zatrudnia kobietę na stanowisko, na którym nie wolno pracować kobietom w ciąży.

Rozporządzenie w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika doprecyzowuje, jakich dokumentów pracodawca może żądać od osoby ubiegającej się o zatrudnienie. Są to:

● wypełniony kwestionariusz osobowy dla osoby ubiegającej się o zatrudnienie,

● świadectwa pracy z poprzednich miejsc pracy lub inne dokumenty potwierdzające okresy zatrudnienia, obejmujące okresy pracy przypadające w roku kalendarzowym, w którym pracownik ubiega się o zatrudnienie,

● dokumenty potwierdzający kwalifikacje zawodowe, wymagane do wykonywania oferowanej pracy,

● świadectwo ukończenia gimnazjum - w przypadku osoby ubiegającej się o zatrudnienie w celu przygotowania zawodowego,

● orzeczenie lekarskie stwierdzające brak przeciwwskazań do pracy na określonym stanowisku,

● inne dokumenty, jeżeli obowiązek ich przedłożenia wynika z odrębnych przepisów.

Osoba ubiegająca się o zatrudnienie może dodatkowo przedłożyć dokumenty potwierdzające jej umiejętności i osiągnięcia zawodowe, świadectwa pracy z poprzednich miejsc pracy lub inne dokumenty potwierdzające okresy zatrudnienia, obejmujące okresy pracy przypadające w innym roku kalendarzowym niż rok, w którym pracownik ubiega się o zatrudnienie, oraz dokumenty stanowiące podstawę do korzystania ze szczególnych uprawnień w zakresie stosunku pracy.

Przez wykształcenie należy rozumieć nie tylko informacje o wykształceniu podstawowym, średnim lub wyższym, ale również o rodzaju ukończonej szkoły, specjalności, odbytych szkoleniach i kursach specjalistycznych. Z kolei przebieg dotychczasowego zatrudnienia nie powinien ograniczać się wyłącznie do okresów, kiedy pracownik (kandydat na pracownika) pozostawał w stosunku pracy. Przez to pojęcie należy rozumieć również wszelkie inne okresy, gdy praca była świadczona, niezależnie od formy jej wykonywania (umowa cywilnoprawna, zatrudnienie, stosunek służbowy).

Natomiast na gromadzenie danych o kandydatach do pracy zawartych w opiniach czy referencjach konieczna jest ich zgoda.

Pomocniczy wzór kwestionariusza osobowego dla osoby ubiegającej się o zatrudnienie stanowi załącznik nr 1 do rozporządzenia w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika.

Wzór kwestionariusza osobowego dla osoby ubiegającej się o zatrudnienie

infoRgrafika

Na przetwarzanie danych osobowych innych niż przewidują wskazane przepisy kandydat do pracy powinien wyrazić zgodę, podobnie jak powinien wyrazić zgodę na przetwarzanie danych na potrzeby przyszłych procesów rekrutacji.

Jeśli kandydat nie został wybrany, po zakończonym procesie rekrutacji dane powinny ulec, co do zasady, zniszczeniu. Grupa Robocza Art. 29 - w Opinii nr 2/2017 w sprawie przetwarzania danych w pracy uznała, że "co do zasady dane kandydatów powinny być usuwane w momencie, w którym pracodawca zadecyduje o niezłożeniu oferty zatrudnienia pracownikowi. Jeżeli natomiast pracodawca chciałby przetwarzać takie dane przez dłuższy okres, np. na potrzeby kolejnych rekrutacji, powinien mieć ku temu odpowiednią podstawę prawną (np. zgodę kandydata)".

Do tej pory zasadą było, że nie jest możliwe tworzenie z nadesłanych CV baz danych. Dotyczy to sytuacji, gdy pracodawca aktualnie nie dysponuje stanowiskiem pracy odpowiednim do kwalifikacji danej osoby czy w razie, gdyby dotychczasowy pracownik zdecydował się na odejście z firmy. Jednak w świetle Rekomendacji CM/REC (2015) 5 Komitetu Ministrów dla Państw Członkowskich z 1 kwietnia 2015 r. na temat ochrony danych osobowych wykorzystywanych dla celów zatrudnienia, takie działanie może być stosowane wyjątkowo. Jeżeli istnieje szansa na złożenie oferty w późniejszym czasie, już po zamknięciu procesu rekrutacji, dane osobowe kandydata mogą być w dalszym ciągu przechowywane, pod warunkiem że zostanie on o tym poinformowany. Stanowi to wyłom od obecnej praktyki, w której do przetwarzania danych osobowych po zakończeniu rekrutacji niezbędne było wyrażenie zgody na przetwarzanie danych do celów przyszłych rekrutacji. Należy jednak pamiętać, że dane powinny zostać zawsze usunięte, gdyby potencjalny pracownik wyraził takie życzenie.

W praktyce wskazuje się także maksymalny okres 3 lat jako okres przechowywania danych z procesu rekrutacji, odpowiadających okresowi przedawnienia roszczeń z tytułu dyskryminacji wynikających z postępowania rekrutacyjnego.

UWAGA!

Osoba ubiegająca się o pracę może wyrazić zgodę na przetwarzanie danych osobowych na potrzeby przyszłych procesów rekrutacyjnych na dane stanowisko.

Dobrą praktyką może być pozostawienie kandydatowi możliwości wyboru, czy swoje dane chce przekazać na potrzeby jednego czy większej liczby rekrutacji, wraz z określeniem maksymalnego okresu przechowywania CV (np. jednego roku). Daje to kandydatowi kontrolę nad swoimi danymi osobowymi, a pracodawcy pozwala na praktyczną realizację zasady rozliczalności w odniesieniu do danych zbieranych w procesie rekrutacji.

Wzór zgody na przetwarzanie danych osobowych na potrzeby rekrutacji

infoRgrafika

Wzór zgody kandydata do pracy na przetwarzanie danych poza prowadzonym procesem rekrutacji

infoRgrafika

Przepisy zabraniają zbierania przez pracodawców niektórych danych na potrzeby procesu rekrutacji, np. pracodawca nie może żądać od kandydata do pracy informacji o jego przynależności partyjnej, gdyż nie zezwalają na to przepisy prawa.

Skoro przepisy prawa pracy nie przewidują gromadzenia przez pracodawcę informacji o przynależności partyjnej kandydata do pracy, to taki wymóg ze strony pracodawcy jest zabroniony, nawet jeśli kandydat do pracy wyrazi na to swoją zgodę. Potwierdzeniem tego jest stanowisko Naczelnego Sądu Administracyjnego, wyrażone w wyroku z 1 grudnia 2009 r. (I OSK 249/09), w którym sąd wskazał, że:

NSA

(...) brak równowagi w relacji pracodawca pracownik stawia pod znakiem zapytania dobrowolność wyrażenia zgody na pobieranie i przetworzenie danych (...). Z tego względu ustawodawca ograniczył przepisem art. 221 Kodeksu pracy katalog danych, których pracodawca może żądać od pracownika. Uznanie faktu wyrażenia zgody na podstawie art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, jako okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 221 Kodeksu pracy, stanowiłoby obejście tego przepisu.

Pracodawca może natomiast mieć informacje o posiadaniu przez pracownika statusu senatora lub radnego. Pracodawca jest uprawniony do domagania się od pracownika udzielenia informacji w tym zakresie, gdyż tylko w ten sposób jest w stanie zagwarantować realizację przysługujących takim pracownikom uprawnień w zakresie prawa pracy.

2. Testy psychologiczne

Testy psychologiczne w czasie rekrutacji są obowiązkowe w przypadku niektórych rodzajów prac, które wymagają odpowiedniej sprawności psychofizycznej. Wykaz takich prac określa rozporządzenie z 28 maja 1996 r. w sprawie rodzajów prac wymagających szczególnej sprawności psychofizycznej. Dotyczy to m.in. prac przy obsłudze żurawi wieżowych i samojezdnych czy pracy pilota. Ponadto obowiązek przeprowadzenia testów psychologicznych wynika z pragmatyk służbowych. W pozostałych przypadkach przeprowadzenie testów psychologicznych wymaga zgody kandydata na pracownika.

W przypadku przeprowadzania testów psychologicznych na stanowiska w procesie rekrutacji pracodawca powinien kierować się zasadami niezbędności i celowości zawartymi w RODO.

Usprawiedliwione jest np. zbieranie w ten sposób danych o kwalifikacjach zawodowych, wiedzy, doświadczeniu, przebiegu kariery zawodowej.

Niedopuszczalne, jako wykraczające poza zasadę adekwatności, jest natomiast zbieranie np. danych intymnych.

Pracownika można prosić o złożenie oświadczenia, wypełnienie kwestionariusza lub wykonanie testu psychologicznego jedynie wówczas, gdy nie narusza to jego praw osobistych, a dostarcza informacji uznawanych za istotne do celów nawiązania stosunku pracy.

Przeprowadzanie testów psychologicznych kandydatów ubiegających się o pracę jest dopuszczalne tylko pod określonymi warunkami:

1) testy powinny być przeprowadzone w odpowiedni sposób, za pośrednictwem uprawnionych i upoważnionych do tego osób i organizacji;

2) przyszły pracodawca ma zasadniczo prawo badać tylko takie cechy kandydata, które będą wymagane w jego przyszłej pracy, np. zdolności przywódcze. Do przeprowadzenia testów potrzebna jest zgoda kandydata. Jeżeli w czasie takiego badania zostaną ujawnione też inne cechy, pracodawca nie ma prawa przetwarzać i rozpowszechniać takich informacji;

3) przed wypełnieniem kwestionariusza psychologicznego osoba, której dane dotyczą, musi zostać poinformowana, na jakie pytania odpowie, rozwiązując test, i jaki jest cel tego rodzaju przetwarzania danych;

4) po przeanalizowaniu testu mierzącego całość osobowości, wyniki należy przekazać osobie, której dane dotyczą. Osoba ta ma prawo zadecydować, czy wyniki mogą zostać przekazane osobie prowadzącej procedurę rekrutacyjną.

3. Korzystanie z mediów społecznościowych na potrzeby procesów rekrutacji

Korzystanie z mediów społecznościowych jest szeroko rozpowszechnione. Stosunkowo popularnym zjawiskiem jest udostępnianie profili użytkowników w zależności od ustawień wybranych przez właściciela konta.

Kontrola profili społecznościowych potencjalnych kandydatów jest uzasadniona w trakcie procesu rekrutacji, tylko jeśli takie przetwarzanie da się argumentować uzasadnionym interesem administratora. W tym kontekście pracodawca powinien rozważyć - przed przejrzeniem profilu społecznościowego - czy profil społecznościowy osoby ubiegającej się o pracę jest powiązany z celami biznesowymi czy prywatnymi, ponieważ może to stanowić ważne wskazanie w odniesieniu do dopuszczalności prawnej kontroli danych.

Ponadto pracodawcy mogą gromadzić i przetwarzać dane osobowe osób ubiegających się o pracę w takim zakresie, w jakim gromadzenie tych danych jest konieczne i istotne dla wykonywania pracy, o którą się ubiegają. Ważne jest więc spełnienie zasady proporcjonalności (minimalizacji danych).

W świetle Opinii 2/2017 Grupy Roboczej Art. 29 nie istnieją żadne podstawy prawne, na podstawie których pracodawca mógłby wymagać od potencjalnego pracownika przyjęcia "do grona znajomych" na portalach społecznościowych lub w inny sposób udostępnienia zawartości profilu.

Przykład

Podczas rekrutacji nowych pracowników pracodawca sprawdza profile kandydatów na różnych portalach społecznościowych i dołącza informacje z tych portali (oraz wszelkie inne informacje dostępne w Internecie) do procedury sprawdzającej. Taka praktyka nie jest prawidłowa. Jedynie w przypadku gdy na potrzeby zatrudnienia konieczne jest dokonanie przeglądu informacji o kandydacie znajdujących się w mediach społecznościowych, np. aby móc ocenić konkretne zagrożenia związane z zatrudnieniem kandydata na dane stanowisko, a kandydaci zostaną odpowiednio poinformowani (np. w tekście ogłoszenia o pracę), pracodawca może mieć podstawę prawną do przeprowadzenia przeglądu publicznie dostępnych informacji o kandydatach.

4. Rekrutacja anonimowa

Wątpliwości budzi praktyka przetwarzania przez firmy rekrutacyjne danych osobowych kandydatów do pracy, pozyskiwanych na podstawie ogłoszeń prasowych, w których pracodawca zlecający firmie rekrutacyjnej przeprowadzenie postępowania rekrutacyjnego zastrzega sobie anonimowość. W takiej sytuacji osoba ubiegająca się o zatrudnienie, która skierowała swoją aplikację do firmy rekrutacyjnej, nie uzyskuje informacji o tym, kto będzie administratorem jej danych, a także informacji o podmiocie, któremu dane będą udostępnione, pomimo iż firma rekrutacyjna dysponuje takimi informacjami.

W ocenie Generalnego Inspektora Ochrony Danych Osobowych (stanowisko zaprezentowane na www.giodo.gov.pl) tego rodzaju praktyka jest wątpliwa ze względu na niedopełnienie obowiązku informacyjnego względem kandydatów, w szczególności brak informacji o administratorze danych. W takiej sytuacji rekomendowane jest niezwłoczne poinformowanie kandydatów o przetwarzaniu ich danych przez administratora.

5. Weryfikacja informacji podanych przez kandydata (background check)

Background check to proces weryfikacji tego, co dana osoba czyniła do momentu weryfikacji, przeprowadzany w celu podjęcia decyzji, czy ta osoba powinna zostać zatrudniona, czy też nie. Dokonywany jest zarówno bezpośrednio przez pracodawców, jak i dla pracodawców (np. przez podmioty rekrutujące pracowników lub przez profesjonalne podmioty oferujące takie usługi). Przedmiotem procesu weryfikacji kandydata są w szczególności informacje przedstawione przez niego w CV oraz kwestionariuszach osobowych. Weryfikacji mogą podlegać w szczególności:

● historia zatrudnienia,

● wykształcenie kandydata,

● zakres obowiązków na dotychczas zajmowanych stanowiskach,

● fakt zajmowania danego stanowiska,

● kwestia karalności,

● zadłużenie kandydata.

W takiej sytuacji udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą (art. 221 § 3 Kodeksu pracy). Pracodawca ma prawo żądać udokumentowania danych osobowych osoby ubiegającej się o zatrudnienie, a także pracownika.

6. Ochrona danych osobowych kandydatów na pracowników i pracowników na podstawie projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679

Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 zakłada wprowadzenie wielu zmian w zakresie prawa pracy, w tym danych pozyskiwanych przez pracodawcę od pracowników oraz kandydatów do pracy.

Jeśli ustawa zostanie uchwalona w proponowanej formie, zmianie ulegnie art. 221 Kodeksu pracy, który reguluje obecnie katalog danych, jakich można żądać od kandydata do pracy i pracownika. Zgodnie z proponowanymi zmianami pracodawca będzie mógł żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:

1) imię (imiona) i nazwisko,

2) datę urodzenia,

3) dane kontaktowe wskazane przez taką osobę,

4) wykształcenie,

5) przebieg dotychczasowego zatrudnienia.

Ponadto pracodawca będzie mógł żądać od pracownika podania danych osobowych obejmujących:

1) adres zamieszkania;

2) numer PESEL, a w przypadku jego braku - rodzaj i numer dokumentu potwierdzającego tożsamość;

3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.

Przetwarzanie przez pracodawcę innych danych osobowych niż wyżej wymienione będzie dopuszczalne za zgodą osoby ubiegającej się o zatrudnienie lub pracownika i tylko wtedy, gdy będzie to dla nich korzystne.

Nowelizacja przewiduje także możliwość przetwarzania danych biometrycznych pracownika. Będzie to dopuszczalne, jeżeli podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.

Należy zwrócić uwagę, że obecnie umieszczanie służbowych adresów e-mail pracowników na stronie internetowej pracodawcy jest zgodne z przepisami prawa. Informacje o pracowniku takie jak np. jego imię i nazwisko czy właśnie służbowy adres e-mail są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych. Dane te mogą być wykorzystywane (udostępniane) przez pracodawcę nawet bez zgody pracownika, którego one dotyczą. Wskazuje na to stanowisko zawarte w wyroku Sądu Najwyższego z 19 listopada 2003 r. (I PK 590/02, OSNP 2004/20/351) stwierdzające, że:

SN

(...) nazwisko i imię jest skierowanym na zewnątrz znakiem rozpoznawczym osoby fizycznej i ujawnienie go w celu jej identyfikacji nie może być zasadniczo uznane za bezprawne, o ile nie łączy się z naruszeniem innego dobra osobistego, np. czci, prywatności lub godności osobistej. Ujawnienie przez pracodawcę nazwiska (imienia) pracownika bez jego zgody nie stanowi bezprawnego naruszenia dobra osobistego, jeżeli jest usprawiedliwione zadaniami i obowiązkami pracodawcy związanymi z prowadzeniem zakładu, jest niezbędne i nie narusza praw oraz wolności pracownika.

Ponadto SN w powyższym wyroku wskazał, że:

SN

(...) najistotniejszym składnikiem zakładu pracy (przedsiębiorstwa) są ludzie, a funkcjonowanie zakładu wiąże się nierozłącznie z kontaktami zewnętrznymi - kontrahentami, klientami (...). Dlatego pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników, zajmujących określone stanowiska w ramach instytucji. Przeciwne stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw pracownika (...). Imiona i nazwiska pracowników widnieją na drzwiach w zakładach pracy, umieszcza się je na pieczątkach imiennych, pismach sporządzanych w związku z pracą, prezentuje w informatorach o instytucjach i przedsiębiorstwach, co oznacza, że zgodnie z powszechną praktyką są one zasadniczo jawne.

Rozdział IX. Pozyskiwanie danych osobowych podczas przebiegu zatrudnienia

Obecnie pracodawca ma prawo żądać od pracownika podania, niezależnie od danych osobowych wymaganych od kandydata do pracy, także (art. 221 §  2 Kodeksu pracy):

1) innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;

2) numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).

Dodatkowo od 1 stycznia 2019 r. będzie mógł żądać numeru rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.

Pracodawca może żądać od pracownika złożenia kwestionariusza osobowego obejmującego wskazane dane.

Pracodawca przechowuje w aktach osobowych pracownika odpisy lub kopie składanych dokumentów. Może on żądać od pracownika przedłożenia oryginałów tych dokumentów tylko do wglądu lub sporządzenia ich odpisów albo kopii.

Ponadto pracodawca może żądać od pracownika podania innych danych osobowych niż określone powyżej, jeżeli obowiązek ich podania wynika z odrębnych przepisów.

Przykładowo wymóg podania numeru identyfikacji podatkowej - NIP wynika z ustawy o zasadach ewidencji i identyfikacji podatników i płatników. W sprawach dotyczących zobowiązań podatkowych podatnicy mają obowiązek podawać NIP na żądanie płatników podatków (art. 11 ust. 2 ustawy o zasadach ewidencji i identyfikacji podatników i płatników). Płatnicy są zobowiązani żądać od podatników podania NIP i przekazywać go organom podatkowym (art. 11 ust. 3 ustawy o zasadach ewidencji i identyfikacji podatników i płatników).

Przekazanie informacji, od których są uzależnione szczególne uprawnienia przewidziane w prawie pracy, zależy od decyzji pracownika. Tym samym pracodawca nie jest uprawniony do żądania ich podania. Odmowa przekazania informacji przez pracownika nie może pociągać za sobą negatywnych konsekwencji dla pracownika. Jedynym skutkiem niepoinformowania pracodawcy będzie niemożliwość skorzystania z dodatkowych uprawnień.

W przypadku pracowników tymczasowych administratorem danych osobowych jest co do zasady zatrudniająca ich agencja. Pracodawca użytkownik jest administratorem danych dotyczących uprawnień z zakresu organizacji pracy, w tym obowiązku prowadzenia ewidencji czasu pracy pracowników tymczasowych. Pracodawca użytkownik z mocy prawa ma dostęp do pewnych, ale ograniczonych danych osobowych pracownika tymczasowego (np. imię i nazwisko). Natomiast przekazanie pracodawcy użytkownikowi innych danych osobowych pracownika świadczącego u niego pracę może nastąpić tylko za zgodą tego pracownika tymczasowego.

Klauzula zgody na przetwarzanie danych osobowych pracownika tymczasowego

infoRgrafika

Jednocześnie stosunek pracy tymczasowej wymaga, aby agencja zawarła z pracodawcą użytkownikiem umowę powierzenia przetwarzania danych osób świadczących pracę tymczasową.

Natomiast pomocniczy wzór kwestionariusza osobowego dla pracownika stanowi załącznik nr  1a do rozporządzenia w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika.

Wzór kwestionariusza osobowego dla pracownika

infoRgrafika

Przykład

Pracodawca przyznaje świadczenia z zfśs, które są różne w zależności od wieku dziecka. W takim przypadku może on żądać danych osobowych dzieci pracownika w razie przyznawania świadczeń z zakładowego funduszu socjalnego.

Przetwarzanie innych niż ustawowe danych pracowników wymaga ich zgody lub innej podstawy prawnej.

RODO dopuszcza przetwarzanie danych osobowych pracownika na podstawie zgody w motywie 155 preambuły. Zgodnie z jego treścią w prawie państwa członkowskiego lub w porozumieniach zbiorowych, w tym zakładowych porozumieniach z przedstawicielami pracowników, mogą być przewidziane przepisy szczegółowe o przetwarzaniu danych osobowych pracowników w związku z zatrudnieniem. W szczególności mogą być ustalone warunki, na podstawie których w związku z zatrudnieniem można przetwarzać dane osobowe za zgodą pracownika do celów procedury rekrutacyjnej, wykonywania umowy o pracę, w tym wykonywania obowiązków określonych w przepisach lub w porozumieniach zbiorowych, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy. Dopuszczenie zgody jako podstawy prawnej przetwarzania danych osobowych w relacjach pracowniczych stanowi znaczącą odmienność w porównaniu do dotychczasowych przepisów i poglądów wyrażanych w orzecznictwie sądów administracyjnych oraz przez GIODO. W obecnym stanie prawnym zgoda pracownika jako podstawa prawna przetwarzania jego danych osobowych jest kwestionowana ze względu na stosunek zależności istniejący pomiędzy pracownikiem a pracodawcą.

Dopuszczenie przetwarzania danych pracownika na podstawie zgody może budzić wątpliwości także wobec brzmienia motywu 43 preambuły RODO. Zgodnie z nim, aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem. RODO dopuszcza zatem zgodę jako podstawę prawną przetwarzania danych osobowych pracowników w relacji między pracownikiem a pracodawcą, pomimo niewątpliwego braku równowagi między stronami stosunku pracy.

W sytuacji gdy żaden przepis prawa nie określa podstawy do przetwarzania danej kategorii danych osobowych pracownika w grę może wchodzić przetwarzanie tych danych na podstawie zgody pracownika (ewentualnie konieczności wykonania umowy lub uzasadnionego interesu administratora danych), chyba że przepisy zabraniają przetwarzania określonych danych nawet za zgodą pracownika.

W tym zakresie sądy administracyjne wypracowały linię orzeczniczą opartą na założeniu, że w relacji między pracodawcą a pracownikiem trudno jest mówić o dobrowolnym wyrażeniu zgody na przetwarzanie danych osobowych, gdyż pracodawcę łączy z pracownikiem stosunek nadrzędności, co może sprzyjać "wymuszaniu" zgody na przetwarzanie danych (braku dobrowolności jej udzielenia). Zgoda na przetwarzanie danych osobowych musi natomiast być wyraźna oraz wyrażona w sposób swobodny i nieskrępowany jakąkolwiek presją.

Konsekwencją przyjęcia takiego stanowiska był pogląd, że pracodawcy na potrzeby stosunku pracy nie mogą przetwarzać dodatkowych danych osobowych, tj. innych niż wskazane w art. 221 Kodeksu pracy, nawet jeśli pracownik udostępnia im te dane dobrowolnie i wyraża zgodę na ich przetwarzanie. Zwracano również uwagę, że zgoda pracownika nie może powodować zmniejszenia uprawnień pracowniczych wynikających z przepisów prawa pracy.

Przykładami linii orzeczniczej sądów administracyjnych w zakresie zgody pracownika na przetwarzanie danych osobowych są przytoczone poniżej tezy wyroków.

W wyroku z 1 grudnia 2009 r. (I OSK 249/09) Naczelny Sąd Administracyjny uznał, że:

NSA

1. (...) Uznanie faktu wyrażenia przez pracownika zgody na przetwarzanie jego danych (art. 23 ust. 1 pkt 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.) za okoliczność legalizującą pobranie od pracownika innych danych niż wskazane w art. 221 k.p. stanowiłoby naruszenie tego przepisu Kodeksu pracy.

2. (...) Wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników jest nieproporcjonalne do zamierzonego celu ich przetwarzania w rozumieniu art. 26 ust. 1 pkt 3 powołanej ustawy o ochronie danych osobowych.

W wyroku z 18 czerwca 2010 r. (II SA/Wa 151/10) Wojewódzkio Sąd Administracyjny w Warszawie stwierdził, iż:

WSA

(...) wyrażona na prośbę pracodawcy pisemna zgoda pracownika na pobranie i przetworzenie jego danych osobowych, narusza prawa pracownika i swobodę wyrażenia przez niego woli. Za takim stanowiskiem przemawia zależność pracownika od pracodawcy. Brak równowagi w relacji pracodawca-pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych). Z tego względu ustawodawca ograniczył przepisem art. 221 Kodeksu pracy katalog danych, których pracodawca może żądać od pracownika. Uznanie faktu wyrażenia zgody przez pracownika jako okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 221 Kodeksu pracy stanowiłoby obejście tego przepisu.

Pogląd ten został powtórzony w wyroku WSA w Warszawie z 20 czerwca 2011 r. (II SA/Wa 719/11).

Ze względu na fakt, że RODO przewiduje możliwość wyrażenia zgody pracowników na przetwarzanie danych osobowych przy spełnieniu jej wymagań (dobrowolność, konkretność, świadomość), prezentowane powyżej stanowiska sądowe zapewne po części utracą znaczenie w nowym stanie prawnym.

Wzór zgody na przetwarzanie danych pracownika innych niż ustawowe

infoRgrafika

Rozdział X. Prowadzenie dokumentacji pracowniczej a ochrona danych osobowych

Ochrona danych osobowych pracowników powinna mieć również miejsce na etapie prowadzenia dokumentacji pracowniczej. Obowiązek prowadzenia takiej dokumentacji nakładają na pracodawców przepisy prawa. Przepisy te narzucają sposób i formę prowadzenia dokumentacji, jak również długość okresów jej przechowywania. Dokumentacja stanowi bowiem zbiór danych w rozumieniu RODO.

Przepisy rozporządzenia w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika określają, jaką dokumentację pracodawca jest zobowiązany prowadzić i jak długo ją przechowywać.

Przede wszystkim pracodawca zakłada i prowadzi oddzielne dla każdego pracownika akta osobowe.

Ponadto pracodawca zakłada i prowadzi odrębnie dla każdego pracownika:

1) kartę ewidencji czasu pracy w zakresie obejmującym: pracę w poszczególnych dobach, w tym pracę w niedziele i święta, w porze nocnej, w godzinach nadliczbowych oraz w dni wolne od pracy wynikające z rozkładu czasu pracy w przeciętnie pięciodniowym tygodniu pracy, a także dyżury, urlopy, zwolnienia od pracy oraz inne usprawiedliwione i nieusprawiedliwione nieobecności w pracy; w stosunku do pracowników młodocianych pracodawca uwzględnia w ewidencji także czas ich pracy przy pracach wzbronionych młodocianym, których wykonywanie jest dozwolone w celu odbycia przez nich przygotowania zawodowego;

2) imienną kartę (listę) wypłacanego wynagrodzenia za pracę i innych świadczeń związanych z pracą;

3) kartę ewidencyjną przydziału odzieży i obuwia roboczego oraz środków ochrony indywidualnej, a także wypłaty ekwiwalentu pieniężnego za używanie własnej odzieży i obuwia oraz ich pranie i konserwację.

Do karty ewidencji czasu pracy pracownika dołącza się jego wnioski o udzielenie czasu wolnego od pracy w zamian za czas przepracowany w godzinach nadliczbowych.

Wnioski urlopowe, plany urlopowe, zwolnienia od pracy oraz inne usprawiedliwione i nieusprawiedliwione nieobecności w pracy jako dane przypisane do danej osoby również są danymi osobowymi pracownika. Z tego względu nie powinny one być udostępniane współpracownikom. Takie przetwarzanie dokumentacji pracowniczej należałoby uznać za niezgodne z prawem ze względu na brak odpowiedniego zabezpieczenia. Pracodawca w tym zakresie nie może także gromadzić dokumentacji związanej z usprawiedliwianiem nieobecności w zakresie wykraczającym poza wskazane powyżej rozporządzenie.

Niedopuszczalne jest gromadzenie przez pracodawcę aktów stanu cywilnego. W przypadku uzasadnionych wątpliwości pracodawca może bowiem zażądać od pracownika okazania odpowiedniego dokumentu. Natomiast dalsze gromadzenie kopii nie wypełni przesłanki celowości.

1. Akta osobowe

Podstawową dokumentacją pracowniczą jest dokumentacja zebrana w aktach osobowych.

Akta osobowe pracownika składają się z trzech części i obejmują:

1) w części A - dokumenty zgromadzone w związku z ubieganiem się o zatrudnienie:

● wypełniony kwestionariusz osobowy dla osoby ubiegającej się o zatrudnienie,

● świadectwa pracy z poprzednich miejsc pracy lub inne dokumenty potwierdzające okresy zatrudnienia, obejmujące okresy pracy przypadające w roku kalendarzowym, w którym pracownik ubiega się o zatrudnienie,

● dokumenty potwierdzające kwalifikacje zawodowe, wymagane do wykonywania oferowanej pracy,

● świadectwo ukończenia gimnazjum - w przypadku osoby ubiegającej się o zatrudnienie w celu przygotowania zawodowego,

● orzeczenie lekarskie stwierdzające brak przeciwwskazań do pracy na określonym stanowisku,

● inne dokumenty, jeżeli obowiązek ich przedłożenia wynika z odrębnych przepisów.

Osoba ubiegająca się o zatrudnienie może dodatkowo przedłożyć dokumenty potwierdzające jej umiejętności i osiągnięcia zawodowe, świadectwa pracy z poprzednich miejsc pracy lub inne dokumenty potwierdzające okresy zatrudnienia obejmujące okresy pracy przypadające w innym roku kalendarzowym niż rok, w którym pracownik ubiega się o zatrudnienie, oraz dokumenty stanowiące podstawę do korzystania ze szczególnych uprawnień w zakresie stosunku pracy. Te dokumenty również zamieszczamy w części A akt osobowych;

2) w części B - dokumenty dotyczące nawiązania stosunku pracy oraz przebiegu zatrudnienia pracownika, w tym:

● umowę o pracę, a jeżeli umowa nie została zawarta na piśmie - potwierdzenie ustaleń co do rodzaju umowy oraz jej warunków, a także zakres czynności (zakres obowiązków), jeżeli pracodawca dodatkowo w tej formie określił zadania pracownika wynikające z umowy o pracę,

● dokumenty dotyczące wykonywania pracy w formie telepracy,

● pisemne potwierdzenie zapoznania się przez pracownika z przepisami regulaminu pracy, informacją o warunkach zatrudnienia, z przepisami i zasadami dotyczącymi bezpieczeństwa i higieny pracy, z zakresem informacji objętych tajemnicą określoną w obowiązujących ustawach dla umówionego z pracownikiem rodzaju pracy oraz z obwieszczeniem o systemach czasu pracy, a także zaświadczenia o ukończeniu wymaganego szkolenia w zakresie bezpieczeństwa i higieny pracy,

● oświadczenie pracownika będącego rodzicem lub opiekunem dziecka o zamiarze lub o braku zamiaru korzystania z uprawnień rodzicielskich,

● dokumenty dotyczące powierzenia pracownikowi mienia z obowiązkiem zwrotu albo do wyliczenia się,

● dokumenty związane z podnoszeniem przez pracownika kwalifikacji zawodowych,

● oświadczenia dotyczące wypowiedzenia pracownikowi warunków umowy o pracę lub zmiany tych warunków w innym trybie,

● dokumenty związane z przyznaniem pracownikowi nagrody lub wyróżnienia oraz wymierzeniem kary porządkowej,

● dokumenty związane z korzystaniem przez pracownika z urlopu macierzyńskiego, urlopu na warunkach urlopu macierzyńskiego, urlopu rodzicielskiego, urlopu ojcowskiego i urlopu wychowawczego,

● dokumenty związane z obniżeniem wymiaru czasu pracy,

● dokumenty związane z korzystaniem przez pracownika z urlopu bezpłatnego,

● orzeczenia lekarskie wydane w związku z przeprowadzonymi badaniami okresowymi i kontrolnymi,

● umowę o zakazie konkurencji, jeżeli strony zawarły taką umowę w okresie pozostawania w stosunku pracy,

● wnioski pracownika dotyczące ustalenia indywidualnego rozkładu jego czasu pracy (art. 142 Kodeksu pracy), stosowania do niego systemu skróconego tygodnia pracy (art. 143 Kodeksu pracy), a także stosowania do niego systemu czasu pracy, w którym praca jest świadczona wyłącznie w piątki, soboty, niedziele i święta (art. 144 Kodeksu pracy),

● wniosek pracownika o poinformowanie właściwego inspektora pracy o zatrudnianiu pracowników pracujących w nocy oraz kopię informacji w tej sprawie skierowanej do właściwego inspektora pracy,

● korespondencję z reprezentującą pracownika zakładową organizacją związkową we wszystkich sprawach ze stosunku pracy wymagających współdziałania pracodawcy z tą organizacją lub innymi podmiotami konsultującymi sprawy ze stosunku pracy,

● informacje dotyczące wykonywania przez pracownika powszechnego obowiązku obrony;

3) w części C - dokumenty związane z ustaniem zatrudnienia, w tym:

● oświadczenie o wypowiedzeniu lub rozwiązaniu umowy o pracę,

● dotyczące żądania wydania świadectwa pracy (art. 97 §  11 Kodeksu pracy) oraz związane z niewypłaceniem pracownikowi ekwiwalentu pieniężnego za urlop wypoczynkowy (art. 171 §  3 Kodeksu pracy),

● kopię wydanego pracownikowi świadectwa pracy,

● potwierdzenie dokonania czynności związanych z zajęciem wynagrodzenia za pracę w związku z prowadzonym postępowaniem egzekucyjnym (art. 884 §  2 Kodeksu postępowania cywilnego),

● umowę o zakazie konkurencji po rozwiązaniu stosunku pracy, jeżeli strony zawarły taką umowę,

● orzeczenia lekarskie wydane w związku z przeprowadzonymi badaniami okresowymi po rozwiązaniu stosunku pracy.

Pracodawca nie powinien przechowywać w aktach osobowych innych dokumentów niż wynikające z rozporządzenia, chyba że jest to konieczne do wykonania umowy lub obowiązek ich podania wynika z przepisów szczególnych.

Przykład

Pracodawca prowadzący firmę budowalną kseruje dowody osobiste pracowników i zamieszcza je w aktach osobowych. Firmy, na rzecz których są wykonywane usługi budowlane i remontowe, nie mogą żądać ksera dowodów osobistych pracowników (którzy wykonują prace na danej budowie). Praktyka kserowania dowodów osobistych pracowników jest niezgodna z prawem, gdyż tą drogą pracodawca pozyskuje dane osobowe, do których nie jest uprawniony.

Generalny Inspektor Danych Osobowych w stanowisku z 5 lipca 2012 r. stwierdził, że kserowanie przez pracodawcę dowodu osobistego kandydata do pracy narusza ustawę o ochronie danych osobowych, jeżeli prowadzi do pozyskania szerszego zakresu danych osobowych niż ten, do którego jest uprawniony pracodawca. Zdaniem GIODO kserowanie jest czynnością techniczną, która sama w sobie nie przesądza o legalności bądź nielegalności utrwalania danych. Mając powyższe na uwadze, kwestią wtórną jest miejsce przechowywania kopii dowodów osobistych czy też możliwość przetwarzania znajdujących się w tych dokumentach danych - poprzez przekazywanie ich podmiotom zewnętrznym, skoro pracodawca w aktualnym stanie prawnym w ogóle nie jest uprawniony do dysponowania powyższymi danymi. W tej sytuacji, aby nie narazić się na zarzut naruszenia prawa, pracodawca powinien zadbać o zniszczenie przechowywanych kserokopii dowodów osobistych pracowników (w sposób gwarantujący bezpieczeństwo). Zwłaszcza dowody osobiste według wzoru obowiązującego przed 1 stycznia 2015 r. zawierały takie informacje jak wzrost, kolor oczu czy adres zameldowania, a przede wszystkim fotografię (zdjęcie zaś należy do danych biometrycznych i jako takie jest traktowane jako jedna z tzw. danych wrażliwych, o których mowa w art. 9 ust. 1 RODO).

Akta osobowe będą mogły być prowadzone w formie elektronicznej od 1 stycznia 2019 r. Dotychczas można je prowadzić jedynie w formie papierowej.

Akta osobowe prowadzone zarówno w formie papierowej, jak i pod postacią elektroniczną muszą zostać zabezpieczone, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności.

Pracodawca wdraża w tym celu odpowiednie środki techniczne i organizacyjne, np. pseudonimizację, minimalizację danych (art. 25 ust. 1 RODO), przy czym nie określa sztywno tych środków. Ochrona danych osobowych sprowadza się przede wszystkim do tzw. zarządzania ryzykiem. Chroniąc bowiem akta osobowe, pracodawca jest zobowiązany do tego, by zagwarantować poufność, integralność, dostępność i odporność systemów i usług przetwarzania. Na pracodawcy ciąży zdefiniowanie i wdrożenie takich środków technicznych oraz środków organizacyjnych, by zapewnić stopień bezpieczeństwa w jak najbardziej adekwatny sposób odpowiadający ryzyku. To do pracodawcy należy także ocena, czy odpowiednio zagwarantowano stopień bezpieczeństwa dokumentacji zawartej w aktach osobowych.

W zakresie prowadzenia dokumentacji pracowniczej pracodawca ma obowiązek:

● prowadzenia dokumentacji w sprawach związanych ze stosunkiem pracy oraz akt osobowych pracowników,

● przechowywania dokumentacji w sprawach związanych ze stosunkiem pracy oraz akt osobowych pracowników w warunkach niegrożących uszkodzeniem lub zniszczeniem (zgodnie z nowelizacją od 1 stycznia 2019 r. - w sposób gwarantujący zachowanie jej poufności, integralności, kompletności oraz dostępności, w warunkach niegrożących uszkodzeniem lub zniszczeniem).

Obecnie pracodawca jako płatnik składek jest zobowiązany przechowywać listy płac, karty wynagrodzeń albo inne dowody, na podstawie których następuje ustalenie podstawy wymiaru emerytury lub renty, przez okres 50 lat od dnia zakończenia przez ubezpieczonego pracy u danego płatnika (art. 125a ust. 4 ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych). Wskazany 50-letni okres archiwizacji dotyczy również dokumentacji osobowej i płacowej (art. 51u ust. 1 ustawy o narodowym zasobie archiwalnym i archiwach). Natomiast od 1 stycznia 2019 r. okres ten zostanie, co do zasady, skrócony do 10 lat.

Nie każda dokumentacja musi być przechowywana przez 50-letni okres (czy też 10-letni od 1 stycznia 2019 r.), np. kopie deklaracji rozliczeniowych i imiennych raportów miesięcznych oraz dokumentów korygujących pracodawca jako płatnik składek jest zobowiązany przechowywać przez okres 5 lat od dnia ich przekazania do właściwej jednostki organizacyjnej ZUS (art. 47 ust. 3c ustawy o systemie ubezpieczeń społecznych).

Ponadto przechowywanie dokumentacji związanej z poborem podatków powinno mieć miejsce do czasu upływu terminu przedawnienia zobowiązania pracodawcy jako płatnika (art. 32 ust. 1 Ordynacji podatkowej).

Każde przechowywanie dokumentacji powyżej czasu wskazanego przepisami prawa zawsze powinno odbywać się na podstawie przesłanki legalizującej (np. zgody pracownika) i z uwzględnieniem ogólnych zasad przetwarzania danych w świetle RODO, w tym zasady proporcjonalności.

2. Skrócenie okresu przechowywania dokumentacji pracowniczej

Ustawą z 10 stycznia 2018 r. o zmianie niektórych ustaw w związku ze skróceniem okresu przechowywania akt pracowniczych oraz ich elektronizacją, która wejdzie w życie 1 stycznia 2019 r., okres przechowywania dokumentacji pracowniczej skrócono z 50 do 10 lat. Jednocześnie nowelizacja umożliwia prowadzenie i przechowywanie dokumentacji pracowniczej również w postaci elektronicznej. Wybór formy należy do pracodawcy.

Zmiana zasad przechowywania dokumentacji pracowniczej ma dotyczyć zarówno osób, które są zatrudnione na podstawie umowy o pracę, jak i zleceniobiorców. Zleceniodawca także będzie miał obowiązek przechowywania niezbędnej dokumentacji przez 10 lat.

Ustawa nowelizująca przewiduje od 1 stycznia 2019 r. przestrzeganie następujących zasad w zakresie prowadzenia akt osobowych:

● podstawowy okres przechowywania dokumentacji wynosi 10 lat liczonych od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł,

● wydłużony okres przechowywania dokumentacji następuje, jeżeli dokumentacja pracownicza może stanowić lub stanowi dowód w postępowaniu (sądowym, administracyjnym, dyscyplinarnym, przygotowawczym),

● gdy pracodawca jest stroną postępowania - przechowywanie dokumentacji trwa co najmniej do czasu jego prawomocnego zakończenia,

● gdy pracodawca powziął wiadomość o wytoczeniu powództwa lub wszczęciu postępowania - następuje przedłużenie podstawowego okresu przechowywania o dodatkowy termin 12 miesięcy,

● pracownik jest uprawniony do odbioru dokumentacji pracowniczej do końca miesiąca kalendarzowego następującego po upływie okresu przechowywania dokumentacji pracowniczej przez pracodawcę,

● pracodawca jest upoważniony do wydania dokumentacji pracowniczej byłemu pracownikowi także po upływie miesiąca przewidzianego na jej odbiór, pod warunkiem że nie została ona już zniszczona,

● w przypadku rozwiązania lub wygaśnięcia stosunku pracy pracodawca wraz ze świadectwem pracy wydaje pracownikowi informację o okresie przechowywania jego dokumentacji pracowniczej, o możliwości odbioru tej dokumentacji w odpowiednim czasie oraz o zniszczeniu dokumentacji w przypadku jej nieodebrania w tym okresie (30 dni),

● pracodawca wydaje kopię całości lub części dokumentacji pracowniczej na wniosek pracownika lub byłego pracownika albo uprawnionym do odbioru poprzedniej postaci dokumentacji pracowniczej członkom rodziny,

● zniszczenie dokumentacji (w sposób uniemożliwiający odtworzenie jej treści) powinno nastąpić w terminie 12 miesięcy po upływie okresu przeznaczonego na odbiór dokumentacji pracowniczej.

Wskazane powyżej terminy stanowią podstawowy wyznacznik przy ustalaniu przez pracodawcę jako administratora danych osobowych pracowników podstawowych okresów przechowywania danych (zasada ograniczenia czasowego).

Wzór informacji dla pracownika o dokumentacji pracowniczej (wydawanej wraz ze świadectwem pracy od 1 stycznia 2019 r.)

infoRgrafika

Pracodawca będzie mógł skrócić okres przechowywania dokumentacji pracowników lub byłych pracowników, którzy nawiązali stosunek pracy po 1998 r., a przed 1 stycznia 2019 r. Będzie to możliwe po złożeniu oświadczenia o zamiarze przekazania za te osoby raportu informacyjnego do ZUS, który będzie zawierał informacje niezbędne do wyliczenia emerytury lub renty.

Jeżeli pracodawca nie przekaże raportów informacyjnych, będzie zobowiązany przechowywać dokumentację pracowniczą zgodnie z przepisami obowiązującymi do dnia wejścia w życie ustawy, tj. co do zasady przez 50 lat.

W stosunku do pracowników zatrudnionych przed 1 stycznia 1999 r. pracodawca ich dokumentację pracowniczą nadal będzie przechowywał przez 50 lat.

Od 1 stycznia 2019 r. wypłata wynagrodzenia jest dokonywana na wskazany przez pracownika rachunek płatniczy, chyba że pracownik złoży w postaci papierowej lub elektronicznej wniosek o wypłatę wynagrodzenia do rąk własnych (art. 86 §  3 Kodeksu pracy). Tym samym, jeżeli pracownik nie złoży wniosku o wypłatę wynagrodzenia do rąk własnych, pracodawca będzie miał prawo żądać numeru rachunku płatniczego. Przechowywanie danych w tym zakresie powinno mieć miejsce przez cały okres zatrudnienia pracownika.

3. Dokumentacja wypadkowa i chorobowa

Pracodawca prowadzi - oddzielnie od akt osobowych - dokumentację dotyczącą podejrzeń o choroby zawodowe, chorób zawodowych, wypadków przy pracy oraz wypadków w drodze do pracy i z pracy, a także świadczeń związanych z tymi chorobami i wypadkami.

Taką dokumentację stanowią:

● rejestr wypadków,

● protokół powypadkowy,

● statystyczna karta wypadku.

Dokumentacja chorób zawodowych obejmuje:

● rejestr przypadków stwierdzonych chorób zawodowych i podejrzeń o takie choroby,

● kartę badania w związku z chorobą zawodową,

● księgę podejrzeń oraz rozpoznań chorób zawodowych.

Pracodawca powinien przechowywać dokumentację wypadkową przez 10 lat.

W rejestrze wypadków przy pracy, tworzonym na podstawie regulacji zawartych w rozporządzeniu w sprawie ustalania okoliczności i przyczyn wypadków przy pracy, oprócz imienia i nazwiska oraz daty i miejsca wypadku powinna znajdować się informacja o skutkach wypadku oraz liczbie dni niezdolności do pracy. Są to dane osobowe należące do kategorii szczególnie wrażliwych.

Dodatkowo pracodawcę obciążają obowiązki o charakterze sprawozdawczym wynikające z zaistnienia wypadku (reguluje je rozporządzenie w sprawie statystycznej karty wypadku przy pracy).

Statystyczną kartę sporządza się na podstawie zatwierdzonego protokołu ustalenia okoliczności i przyczyn wypadku przy pracy, zwanego protokołem powypadkowym, albo na podstawie kart wypadku, w których stwierdzono, że wypadek jest wypadkiem przy pracy lub wypadkiem traktowanym na równi z wypadkiem przy pracy. Statystyczną kartę przekazuje się w formie elektronicznej na portal sprawozdawczy GUS. Pracodawca zatrudniający nie więcej niż 5 pracowników może przekazać oryginał statystycznej karty sporządzony w formie papierowej do Urzędu Statystycznego w Gdańsku, po przesłaniu uzasadnionej informacji o wyborze tej formy przekazania. Statystyczną kartę, z wyjątkiem jej części II uzupełniającej, pracodawca przekazuje w terminie do 15. dnia roboczego miesiąca następującego po miesiącu, w którym został zatwierdzony protokół powypadkowy lub w którym sporządzono kartę wypadku. Wypełnioną część II uzupełniającą statystycznej karty pracodawca przekazuje nie później niż z upływem 6 miesięcy od dnia zatwierdzenia protokołu powypadkowego lub od dnia sporządzenia karty wypadku. Karty statystyczne są przechowywane w dokumentacji powypadkowej pracodawcy.

Pracodawca jest zobowiązany prowadzić rejestr obejmujący przypadki stwierdzonych chorób zawodowych i podejrzeń o takie choroby. Sposób dokumentowania chorób zawodowych i skutków tych chorób, sposób prowadzenia rejestrów chorób zawodowych oraz dane objęte rejestrem chorób zawodowych reguluje rozporządzenie w sprawie sposobu dokumentowania chorób zawodowych i skutków tych chorób.

Dokumentacja medyczna dotycząca chorób zawodowych obejmuje:

1) dokumentację indywidualną, którą stanowi karta badania w związku z chorobą zawodową;

2) dokumentację zbiorczą, którą stanowi księga podejrzeń oraz rozpoznań chorób zawodowych.

Karta badania w związku z chorobą zawodową zawiera:

1) dane identyfikacyjne jednostki orzeczniczej (nazwa, adres, numer identyfikacyjny REGON);

2) dane identyfikacyjne osoby badanej (imię i nazwisko, data urodzenia, adres zamieszkania, numer ewidencyjny PESEL);

3) dane identyfikacyjne podmiotu kierującego na badanie (nazwa, adres);

4) dane o zatrudnieniu osoby badanej (nazwa pracodawcy, adres, numer identyfikacyjny REGON) lub informacje o pobieraniu emerytury lub renty albo pozostawaniu bez pracy;

5) dane dotyczące zatrudnienia, z którym wiąże się podejrzenie powstania choroby zawodowej (nazwa pracodawcy, adres, numer identyfikacyjny REGON) oraz informacje o narażeniu zawodowym w okresie tego zatrudnienia;

6) dane z wywiadu lekarskiego i badania przedmiotowego;

7) wyniki konsultacji i badań diagnostycznych;

8) treść orzeczenia lekarskiego, w tym orzeczenie o rozpoznaniu choroby zawodowej lub o braku podstaw do jej rozpoznania;

9) podpis lekarza wykonującego badanie i pieczęć dokumentującą posiadanie specjalizacji lekarskiej niezbędnej do wykonywania orzecznictwa w zakresie chorób zawodowych, określonej w odrębnych przepisach.

Przepisy określają również wzory formularzy stosowanych w postępowaniu dotyczącym zgłaszania rozpoznawania i stwierdzania chorób zawodowych oraz zawiadamiania o skutkach choroby zawodowej.

Ponadto dane wrażliwe znajdują się w protokołach powypadkowych oraz rejestrach obejmujących przypadki stwierdzonych chorób zawodowych i podejrzeń o takie choroby.

Biorąc pod uwagę zakres danych, jakie zawierają dokumenty powypadkowe, krąg osób, które mają dostęp do tej dokumentacji, powinien być ograniczony, a każda z nich powinna posiadać stosowne imienne upoważnienie z jednoznacznie i ściśle określonym zakresem przetwarzania tych danych.

4. Badania lekarskie pracowników

Pracodawca ma obowiązek kierować pracowników na badania medycyny pracy (wstępne, kontrolne i okresowe). Wyniki obowiązkowych badań lekarskich nie mogą zostać wydane pracodawcy, który kieruje na powyższe badania. Przepisy prawa zezwalają tylko na wydanie zaświadczenia o braku przeciwwskazań lub też o przeciwwskazaniach zdrowotnych danego pracownika do pracy na określonym stanowisku.

Podstawą do kierowania na badania lekarskie pracowników przez pracodawcę są przepisy Kodeksu pracy oraz rozporządzenie w sprawie przeprowadzania badań lekarskich pracowników, zakresu profilaktycznej opieki zdrowotnej nad pracownikami oraz orzeczeń lekarskich wydawanych do celów przewidzianych w Kodeksie pracy. Badanie profilaktyczne kończy się orzeczeniem lekarskim stwierdzającym brak przeciwwskazań zdrowotnych do pracy na określonym stanowisku pracy albo stwierdzającym przeciwwskazania zdrowotne do pracy na określonym stanowisku pracy. Lekarz przeprowadzający badania profilaktyczne wydaje orzeczenie lekarskie badanej osobie oraz pracodawcy według wzorów określonych w załącznikach nr  2 i nr  3 do rozporządzenia w sprawie przeprowadzania badań lekarskich pracowników, zakresu profilaktycznej opieki zdrowotnej nad pracownikami oraz orzeczeń lekarskich wydawanych do celów przewidzianych w Kodeksie pracy.

Jak wcześniej wspomniano, pracodawca otrzymuje jedynie zaświadczenie o braku przeciwwskazań lub też o przeciwwskazaniach zdrowotnych danego pracownika do pracy na określonym stanowisku. Pracodawca nie ma uprawnień do otrzymania wyników badań lekarskich pracownika, tym bardziej, że wyniki badań diagnostycznych i (lub) konsultacyjnych są zamieszczane w karcie badania profilaktycznego stanowiącej dokumentację medyczną, którą prowadzi lekarz przeprowadzający badania profilaktyczne.

Do przechowywania dokumentacji badań profilaktycznych stosuje się odpowiednio ogólnie obowiązujące przepisy o dokumentacji medycznej.

Badania wstępne, okresowe i kontrolne pracowników oraz inne świadczenia zdrowotne są wykonywane na podstawie pisemnej umowy zawartej przez pracodawcę z podstawową jednostką służby medycyny pracy (art. 12 ustawy o służbie medycyny pracy). Powyższa umowa powinna określać m.in.:

● strony umowy oraz osoby objęte świadczeniami z tytułu umowy;

● zakres opieki zdrowotnej, który w odniesieniu do pracowników powinien obejmować co najmniej te rodzaje świadczeń, do których zapewnienia zleceniodawca jest zobowiązany na podstawie Kodeksu pracy, ustawy i przepisów wydanych na ich podstawie;

● warunki i sposób udzielania świadczeń zdrowotnych, a w szczególności: sposób rejestracji osób objętych umową, organizację udzielania świadczeń, tryb przekazywania zaświadczeń lekarskich o zdolności do pracy bądź nauki oraz sposób podania tych informacji do wiadomości zainteresowanych.

Badania profilaktyczne są przeprowadzane na podstawie skierowania wydanego przez pracodawcę. Skierowanie to powinno zawierać następujące informacje:

1) określenie rodzaju badania profilaktycznego, jakie ma być wykonane;

2) w przypadku osób przyjmowanych do pracy lub pracowników przenoszonych na inne stanowiska pracy - określenie stanowiska pracy, na którym osoba ta ma być zatrudniona; wtedy pracodawca może wskazać w skierowaniu dwa lub więcej stanowisk pracy, w kolejności odpowiadającej potrzebom zakładu;

3) w przypadku pracowników - określenie stanowiska pracy, na którym pracownik jest zatrudniony oraz

4) informacje o występowaniu na stanowisku lub stanowiskach pracy, o których mowa powyżej, czynników szkodliwych dla zdrowia lub warunków uciążliwych oraz aktualne wyniki badań i pomiarów czynników szkodliwych dla zdrowia, wykonanych na tych stanowiskach.

Pracodawca wskazuje następujące dane osobowe osoby kierowanej na badanie: imię i nazwisko, numer PESEL oraz adres zamieszkania.

Wzór skierowania na badania lekarskie

infoRgrafika

Pracodawca jest upoważniony jedynie do przetwarzania informacji dotyczących tego, czy pracownik jest zdolny lub niezdolny do pracy na danym stanowisku.

Administratorem danych osobowych odnoszących się do stanu zdrowia pracowników zgromadzonych i przetwarzanych w związku z przeprowadzonymi badaniami profilaktycznymi jest podmiot, któremu pracodawca zlecił wykonanie badań - tj. właściwa jednostka służby medycyny pracy.

Przetwarzanie szczególnych kategorii danych osobowych (m.in. dane dotyczące zdrowia) będzie dopuszczalne, jeżeli przetwarzanie będzie niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem UE lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego, przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. b RODO).

Ponadto w kontekście badań profilaktycznych istotny będzie również art. 9 ust. 2 lit. h RODO, zgodnie z którym przetwarzanie będzie legalne, także gdy będzie ono niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej albo zabezpieczenia społecznego na podstawie prawa UE lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia.

Formularze ZUS ZLA powinny być przechowywane razem z inną dokumentacją związaną z ubezpieczeniami społecznymi jedynie przez taki okres, jaki wynika z ustawy o emeryturach i rentach z FUS. Dotyczy to również całkowitego zastąpienia formularzy ZUS ZLA elektronicznymi formularzami e-ZLA (wyłączność stosowania e-ZLA od 1 lipca 2018 r. wynika z art. 23 ust. 1 ustawy z 15 maja 2015 r. o zmianie ustawy o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa oraz niektórych innych ustaw).

Pracodawca nie powinien przechowywać wydruku e-ZLA w aktach osobowych przechowywanych w tradycyjnej formie, ani taki dokument nie powinien być załączany do elektronicznej wersji akt osobowych. Są to dane wrażliwe, które muszą być przechowywane przy zastosowaniu szczególnych środków bezpieczeństwa. Dokumenty te nie są wymienione w rozporządzeniu regulującym prowadzenie akt osobowych, a także nie ma racjonalnego celu przechowywania ich w aktach osobowych. Ponadto formularz ZUS ZLA, jako dokumentacja związana z ubezpieczeniami społecznymi, powinna być przechowywana jedynie przez 5 lat.

5. Dodatkowe pakiety medyczne pracowników i inne benefity

Niejednokrotnie pracodawcy - w ramach pewnego rodzaju benefitu dla pracowników - zawierają z podmiotami świadczącym usługi medyczne umowy zapewniające pracownikom oraz członkom ich rodzin dostęp do dodatkowych świadczeń zdrowotnych na preferencyjnych warunkach.

Administratorem danych pracowników, a także członków ich rodzin korzystających z wyżej wspomnianych pakietów będzie podmiot świadczący usługi medyczne.

W praktyce umowy tego typu zakładają pośrednictwo pracodawcy na etapie przystępowania danego pracownika do programu, tj. gromadzenia danych osób zainteresowanych pakietem medycznym i ich przekazywania zleceniobiorcy. Pomimo iż stroną umowy jest pracodawca, nie jest on uprawniony do przekazania danych osobowych pracowników firmie medycznej bez ich wyraźnej zgody. Pracodawca jest bowiem upoważniony jedynie do przetwarzania danych osobowych w zakresie i w celu niezbędnym do realizacji łączącego strony stosunku pracy.

Ewentualne zobowiązanie pracodawcy do gromadzenia danych dla tej jednostki czy też dokonywania wszelkich formalności z pracownikami w celu ich przystąpienia do usługi będzie się wiązało z koniecznością zawarcia umowy powierzenia przetwarzania danych osobowych (art. 28 RODO) przez pracodawcę z takim usługodawcą.

6. Dokumentacja dotycząca oceny pracownika i notatki służbowe

W praktyce powstaje pytanie o miejsce przechowywania innej dokumentacji pracowniczej związanej z przebiegiem zatrudnienia pracownika. Chodzi o oceny pracownicze, które nie są obowiązkowe, jak również o wszelkiego rodzaju notatki służbowe związane z przebiegiem pracy pracownika.

Przepisy nie przewidują w stosunku do każdej grupy pracowników obowiązku formalnej oceny. Jednak w praktyce takie oceny są sporządzane. Dokumentacja dotycząca ocen pracowniczych może być ściśle związana z realizacją innych obowiązków wynikających wprost z Kodeksu pracy. Obowiązek stosowania obiektywnych i sprawiedliwych kryteriów oceny pracowników oraz wyników ich pracy został określony wprost w art. 94 pkt 9 Kodeksu pracy. Dokumentacja w zakresie oceny pracownika może być prowadzona np. w celu efektywnego kierowania polityką personalną zgodnie z zasadą równego traktowania w zatrudnieniu, utrzymywania wysokiego poziomu motywacji i zaangażowania pracowników, wczesnego wykrycia słabych punktów w procesie organizacji pracy, a także przeciwdziałania mobbingowi (art. 943 Kodeksu pracy) i dyskryminacji (art. 94 pkt 2b Kodeksu pracy). Istnieją więc uzasadnione przesłanki sporządzania i przechowywania takiej dokumentacji.

W trakcie zatrudnienia pracownika może być sporządzanych także wiele informacji zwrotnych zawierających dane o pracowniku, a obrazujących przebieg jego pracy w postaci różnego rodzaju notatek służbowych. Istnieje racjonale uzasadnienie dla tworzenia tego rodzaju dokumentacji, choćby z tego powodu, że w ocenie pracownika istotne jest otrzymanie przez niego informacji zwrotnej o oczekiwaniach jego przełożonych. Ocena pracownika może mieć również funkcję rozwojową, czyli związaną z ocenieniem możliwości rozwoju pracownika na danym stanowisku, a także potencjalnie na wyższych stanowiskach. Z drugiej strony wszelkie dokumenty w tym zakresie nie powinny wykraczać poza ich niezbędność i przydatność do wskazanych celów.

W orzecznictwie akcentuje się prawo wglądu pracownika do sporządzanych na jego temat notatek. Podobne stanowisko należy przyjąć w stosunku do ocen pracowniczych.

Zgodnie ze stanowiskiem wyrażonym przez Sąd Najwyższy w wyroku z 4 czerwca 2002 r. (I PKN 249/01, OSNP 2004/7118):

SN

(...) sporządzenie i złożenie do akt osobowych pracownika notatki o jego zachowaniu, będącej wynikiem ustalenia przyczyn powstania konfliktu pomiędzy pracownikami, nie może być uznane za bezprawne naruszenie dobra osobistego pracownika.

Zamieszczanie w aktach osobowych pracowników notatek służbowych, które w sposób rzetelny dokumentują zachowanie pracownika i mają związek z jego zatrudnieniem, należy uznać za dopuszczalne. Notatki te można traktować jako dokumenty związane z przebiegiem zatrudnienia pracownika. W uzasadnieniu tego orzeczenia Sąd Najwyższy wskazał także, że:

SN

(...) pracodawca nie może być pozbawiony możliwości przeprowadzenia stosownego postępowania wyjaśniającego przed podjęciem decyzji o wypowiedzeniu pracownikowi umowy o pracę. W związku z powyższym notatki służbowe dotyczące zachowania pracownika mogą zostać sporządzone w ramach takiego postępowania.

Dodatkowo Sąd Najwyższy w uzasadnieniu tego orzeczenia zauważył, że:

SN

(...) przepis §  6 ust. 2 pkt 2 rozporządzenia Ministra Pracy i Polityki Socjalnej z 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika zezwala na gromadzenie w części B akt osobowych dokumentów dotyczących nawiązania stosunku pracy oraz przebiegu zatrudnienia. Przepis ten przed wymienieniem w punktach a-l poszczególnych dokumentów używa sformułowania "w tym", co wskazuje, że jest to wyliczenie przykładowe.

Notatki służbowe dotyczące pracowników oraz oceny pracownicze można potraktować jako szeroko pojęte dokumenty związane z przebiegiem ich zatrudnienia. Stąd też dopuszczalne jest ich umieszczenie w części B akt osobowych pracownika. Tworzenie i przechowywanie tego typu dokumentów w innym miejscu należałoby uznać za naruszenie przepisów dotyczących prowadzenia dokumentacji. Nawet gdyby jednak przyjąć, jak Sąd Najwyższy w wyroku z 23 listopada 2010 r. (I PK 105/10), że notatki nie powinny być przechowywane w aktach osobowych pracownika, to pracodawca ma prawo i interes prawny do ich sporządzenia. Można by wtedy ewentualnie zastanowić się nad ich przechowywaniem w innym miejscu, np. w osobnym segregatorze, ale wiąże się to z wprowadzeniem odpowiedniej polityki bezpieczeństwa ochrony danych osobowych, która będzie utrudniona, jeśli dokumenty te będą w różnych miejscach. Podobne stanowisko należy zająć co do przechowywania ocen pracowniczych.

Przetwarzanie danych pracowniczych zawartych w notatkach służbowych oraz ocenach pracowniczych nie może wykraczać poza zasadę celowości, minimalizacji danych oraz zasadę ograniczenia czasowego. Pracodawca powinien na bieżąco usuwać dokumenty w tym zakresie, gdy opisane w nich zdarzenia i cele straciły na aktualności.

7. Dokumentacja związana z karami porządkowymi w postępowaniu porządkowym

Dane osobowe zawierają niewątpliwie dokumenty związane z wymierzaniem kar porządkowych. O zastosowanej karze pracodawca zawiadamia pracownika na piśmie, wskazując rodzaj naruszenia obowiązków i datę dopuszczenia się przez pracownika tego naruszenia oraz informując go o prawie zgłoszenia sprzeciwu (art. 110 Kodeksu pracy). Ponadto odpis zawiadomienia o nałożeniu kary porządkowej należy złożyć do akt osobowych pracownika, czyli jest on zamieszczany w zbiorze danych.

Usunięcie odpisu zawiadomienia następuje po roku nienagannej pracy (art. 113 § 1 Kodeksu pracy). Po tym okresie kara powinna zostać usunięta z akt osobowych pracownika. Dotyczy to także wszelkich notatek ściśle związanych z nałożeniem kary.

Ponadto wszelkie sporządzone przez pracodawcę dokumenty zawierające dane osobowe pracowników powinny zostać anonimizowane lub zniszczone tuż po upływie terminu, w ciągu którego dopuszczalne było ukaranie pracownika. W przypadku postępowań niezakończonych ukaraniem granicznym obowiązuje termin 3 miesięcy od daty dowiedzenia się przez pracodawcę o naruszeniu obowiązku.

Wzór zawiadomienia o zastosowaniu kary porządkowej

infoRgrafika

Rozdział XI. Nowe technologie w stosunkach pracy

Do sprawowania kontroli nad właściwym wykonywaniem obowiązków przez pracowników pracodawcy coraz chętniej wykorzystują nowe technologie. Można do nich zaliczyć:

● monitoring wizyjny,

● monitoring aktywności komputerowej i monitoring poczty elektronicznej,

● geolokalizację (GPS),

● biometrię.

1. Monitoring

W praktyce pracodawcy stosują różne rodzaje monitoringu, w szczególności monitoring wizyjny czy monitoring poczty elektronicznej. Dane z monitoringu (np. nagrania) mogą stanowić dane osobowe pracowników.

Przykład

Pracodawca zamierza wprowadzić urządzenie kontrolne TLS służące do odszyfrowywania i kontrolowania bezpiecznego ruchu w celu wykrywania wszelkich nieprawidłowości. Urządzenie jest również w stanie rejestrować i analizować całą aktywność pracownika w Internecie z wykorzystaniem sieci organizacji. W tym przypadku pracodawca może powołać się na uzasadniony interes - konieczność ochrony sieci oraz danych osobowych pracowników i klientów, przechowywanych w ramach tej sieci, przed nieuprawnionym dostępem lub wyciekiem danych. Monitorowanie całej aktywności pracowników w Internecie stanowi jednak nieproporcjonalną reakcję naruszającą prawo do poufności komunikacji. Pracodawca powinien w pierwszej kolejności rozważyć możliwość zastosowania innych, mniej inwazyjnych metod ochrony poufności danych klientów i bezpieczeństwa sieci. Jako dobrą praktykę można wskazać zaoferowanie pracownikom alternatywnego, niemonitorowanego dostępu do Internentu, np. możliwość skorzystania z bezpłatnej sieci Wi-Fi.

Obecnie monitoring wizyjny, jak również monitoring poczty elektronicznej pracowników nie są regulowane prawnie.

Aktualność w tym zakresie zachowuje wyrok Sądu Najwyższego z 13 kwietnia 1972 r. (I PR 153/72, OSNC 1972/10/184), zgodnie z którym:

SN

(...) stosowane szeroko w ramach przepisów regulaminów pracy lub ustalonych zwyczajów przeszukiwanie członków załogi w celu zapobiegania wynoszenia mienia zakładów pracy jest zgodne z prawem i nie narusza dóbr osobistych pracowników (art. 23 i 24 k.c.) wówczas, gdy pracownicy zostali uprzedzeni o możności stosowania tego rodzaju kontroli w celu ochrony mienia społecznego i gdy kontrola ta jest wykonywana w porozumieniu z przedstawicielstwem załogi w sposób niepozostający w sprzeczności ze swym społeczno-gospodarczym przeznaczeniem lub z zasadami współżycia społecznego.

Stosowanie monitoringu powinno być uzależnione od uprzedniego poinformowania o tym pracowników w jasnej i czytelnej formie. Nie jest wymagana zgoda pracownika na stosowanie monitoringu.

Wzór zapisu regulaminu pracy w zakresie stosowanych form kontroli pracowników

infoRgrafika

Ponadto w projekcie ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 zawarto nowe regulacje dotyczące zasad wprowadzania monitoringu wizyjnego i monitoringu poczty elektronicznej na terenie zakładu pracy. W projekcie przewiduje się dodanie przepisów o następującej treści:

Art. 224.

§ 1. Jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring).

§ 2. Monitoring nie obejmuje pomieszczeń sanitarnych, szatni, stołówek, palarni lub pomieszczeń udostępnianych zakładowej organizacji związkowej, chyba że stosowanie monitoringu w tych pomieszczeniach jest niezbędne do realizacji celu określonego § 1 i nie naruszy to godności oraz innych dóbr osobistych pracownika, a także zasady wolności i niezależności związków zawodowych, w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób.

§ 3. Nagrania obrazu pracodawca przetwarza wyłącznie do celów, dla których zostały zebrane, i przechowuje przez okres nieprzekraczający 3 miesięcy.

§ 4. W przypadku, w którym nagrania obrazu stanowią dowód w postępowaniu lub pracodawca powziął wiadomość, iż mogą one stanowić dowód w postępowaniu, termin określony w § 3 ulega przedłużeniu do czasu prawomocnego zakończenia postępowania.

§ 5. Po upływie okresów, o których mowa w § 3 lub 4, uzyskane w wyniku monitoringu nagrania obrazu podlegają zniszczeniu.

§ 6. Cele, zakres oraz sposób zastosowania monitoringu ustala się w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy.

§ 7. Pracodawca informuje pracowników o wprowadzeniu monitoringu w sposób przyjęty u danego pracodawcy, nie później niż 2 tygodnie przed jego uruchomieniem.

§ 8. Pracodawca przed dopuszczeniem pracownika do pracy przekazuje mu na piśmie informacje, o których mowa w § 6.

§ 9. W przypadku wprowadzenia monitoringu pracodawca oznacza pomieszczenia monitorowane w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem.

§ 10. Przepis § 9 nie narusza art. 12 i 13 rozporządzenia 2016/679.

Art. 225.

§ 1. Jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej).

§ 2. Monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika.

§ 3. Przepis art. 224 § 6 stosuje się odpowiednio.

§ 4. Przepisy § 1-3 stosuje się odpowiednio do innych form monitoringu, jeśli ich zastosowanie jest konieczne do realizacji celów określonych w § 1.

Pracowników należy skutecznie informować o wszelkich środkach monitorowania wdrożonych w miejscu pracy, celach tego monitorowania oraz okolicznościach, w których się ono odbywa, a także działaniach, które pracownicy mogą podejmować, aby uniemożliwić gromadzenie ich danych przez technologie monitorowania. Polityka i zasady dotyczące zgodnego z prawem monitorowania muszą być przejrzyste i łatwo dostępne. Grupa Robocza Art. 29 zaleca włączenie reprezentatywnej grupy pracowników w proces opracowywania oraz oceny takich zasad i polityki, ponieważ większość działań w obszarze monitorowania może wiązać się z ingerencją w życie prywatne pracowników.

Wzór projektu zapisów regulaminu pracy w zakresie monitoringu wizyjnego po wejściu w życie nowej ustawy o ochronie danych osobowych

infoRgrafika

Wzór projektu zapisów regulaminu pracy w zakresie monitoringu poczty elektronicznej po wejściu w życie nowej ustawy o ochronie danych osobowych

infoRgrafika

2. Operacje przetwarzania danych związane z pojazdami, z których korzystają pracownicy

W praktyce pracodawcy stosują technologie umożliwiające im monitorowanie należących do nich pojazdów, np. podmioty prowadzące działalność w sektorze transportu.

Pracodawca korzystający z rozwiązań telematycznych instalowanych w pojazdach gromadzi dane o pojeździe i konkretnym pracowniku korzystającym z tego pojazdu. Takie dane mogą obejmować informacje o lokalizacji pojazdu (a tym samym o położeniu pracownika) czy o stylu jazdy kierowcy. Istnieje również możliwość ciągłego monitorowania zarówno pojazdu, jak i kierowcy.

Jak wskazał Naczelny Sąd Administracyjny w wyroku z 19 maja 2011 r. (I OSK 1079/2010), gromadzenie danych o pracowniku za pomocą GPS jest gromadzeniem danych osobowych w rozumieniu ustawy o ochronie danych osobowych. NSA stwierdził ponadto, że:

NSA

(...) informacją dotyczącą osoby jest zarówno informacja odnosząca się do niej wprost, jak i taka, która odnosi się bezpośrednio do przedmiotów czy urządzeń, ale poprzez możliwość powiązania tych przedmiotów czy urządzeń z określoną osobą pośrednio stanowi informację także o niej samej.

Zgoda pracownika na zainstalowanie systemu GPS w samochodzie służbowym nie jest potrzebna, ale tylko wtedy, gdy przetwarzanie danych jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Z powyższych względów stosowanie systemów GPS w samochodach służbowych powinno opierać się na następujących regułach:

● kontrola pracownika powinna odbywać się tylko i wyłącznie w godzinach pracy. W przypadku gromadzenia danych za pomocą systemu GPS po godzinach pracy (np. gdy samochody są wykorzystywane po godzinach pracy do celów prywatnych za zgodą pracodawcy) wskazane byłoby wprowadzenie możliwości wyłączenia GPS przez pracownika lub w razie braku takiej możliwości technicznej konieczna byłaby zgoda pracownika. Dane z monitoringu po godzinach pracy powinny być niezwłocznie usuwane;

● pracownik powinien być poinformowany o zainstalowanym systemie GPS oraz gromadzeniu poprzez ten system danych osobowych;

● jeżeli monitoring ma miejsce w celu zapobieżenia kradzieży samochodu, może to oznaczać np. odstąpienie od rejestrowania położenia samochodu poza godzinami pracy, o ile nie opuści on szeroko wyznaczonego obszaru (danego regionu lub wręcz państwa).

UWAGA!

Pracodawca może założyć swoim pracownikom w samochodzie służbowym system monitorowania i zarządzania pojazdami oparty na urządzeniach GPS, jednak w każdym przypadku powinien ich o tym poinformować, a uzyskać zgodę tylko wtedy, gdy zezwala na korzystanie z samochodu do celów prywatnych.

Pracodawca musi również wyraźnie poinformować pracowników o fakcie zainstalowania urządzenia śledzącego w pojeździe firmowym oraz o tym, że urządzenie to rejestruje wszystkie ruchy wykonywane przez nich w trakcie korzystania z pojazdu (np. styl jazdy). Takie informacje powinny być umieszczone w widocznym miejscu w każdym samochodzie.

Jak stwierdzono w opinii 13/2011 Grupy Roboczej Art. 29 w sprawie usług geolokalizacyjnych w inteligentnych urządzeniach przenośnych, "urządzenia monitorowania pojazdów nie są urządzeniami monitorowania pracowników. Ich funkcją jest śledzenie lub monitorowanie lokalizacji pojazdów, w których są zainstalowane. Pracodawcy nie powinni postrzegać ich jako urządzeń do śledzenia lub monitorowania zachowania lub miejsca pobytu kierowców lub innych pracowników, na przykład poprzez wysyłanie powiadomień o prędkości, z jaką porusza się pojazd".

Informacja dla pracowników w zakresie stosowania GPS

W samochodach służbowych pracowników zostały zamontowane systemy GPS. Urządzenia te służą do lokalizacji samochodów ze względów bezpieczeństwa. System rejestruje i zapisuje trasę oraz parametry jazdy i jest przechowywany przez 1 rok. W przypadku używania samochodu po godzinach pracy Pracownik może wyłączyć system GPS.

3. Dane biometryczne

Dane biometryczne są traktowane w świetle RODO jako dane wrażliwe. Do ich przetwarzania konieczna jest zgoda pracownika. Ponadto, zgodnie z projektem art. 223 Kodeksu pracy przewidzianym przez ustawę o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, przetwarzanie danych biometrycznych pracownika, w szczególności w postaci odcisków palców, głosu, obrazu rogówki, będzie dopuszczalne za jego zgodą, jeżeli podanie takich danych jest konieczne ze względu na kontrolę dostępu do informacji przetwarzanych przez pracodawcę lub dostępu do pomieszczeń wymagających zapewnienia wysokiego poziomu bezpieczeństwa. Odmowa lub wycofanie zgody nie może stanowić podstawy niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenia stosunku pracy lub jego rozwiązania bez wypowiedzenia przez pracodawcę. Minister właściwy do spraw informatyzacji ma określić, w drodze rozporządzenia, sposób gromadzenia danych biometrycznych, uwzględniając zapewnienie ochrony przetwarzanych danych biometrycznych odpowiedniej do zagrożeń.

Wzór zgody na przetwarzanie danych biometrycznych pracownika po wejściu w życie nowej ustawy o ochronie danych osobowych

infoRgrafika

Do zgody należy dołączyć klauzulę informacyjną na przetwarzanie danych.

Rozdział XII. Wizerunek pracownika

Wizerunek pracownika jest szczególnym rodzajem informacji, który podlega ochronie prawnej na podstawie przepisów prawa cywilnego, prawa autorskiego oraz jako dana osobowa na gruncie regulacji krajowych i unijnych o ochronie danych osobowych. Należy zwrócić uwagę, że wizerunek:

1) stanowi dobro osobiste w rozumieniu art. 23 Kodeksu cywilnego obok m.in. zdrowia, czci, swobody sumienia, nazwiska lub pseudonimu, twórczości naukowej i artystycznej - dobra te pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach,

2) podlega ochronie na gruncie prawa autorskiego (art. 81 ustawy o prawie autorskim i prawach pokrewnych),

3) jest zaliczany do danych osobowych, gdyż według RODO za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Ochrona wizerunku przysługuje niezależnie od sposobu jego utrwalenia czy rodzaju nośnika (fotografia, portret, zapis elektroniczny, transmisja na żywo). Jak wskazał Sąd Apelacyjny w Katowicach w wyroku z 28 maja 2015 r. (I ACa 158/15):

SA

(...) przez pojęcie wizerunku należy rozumieć każdą podobiznę bez względu na technikę wykonania, a więc fotografię, rysunek, wycinankę sylwetki, film, przekaz telewizyjny bądź przekaz wideo, a zatem jest nim niewątpliwie zdjęcie.

Do rozpowszechniania wizerunku nie jest wystarczające uzyskanie jednej blankietowej zgody, nawet jeżeli zostaną wskazane obszary jego użycia. W orzecznictwie sądowym wskazuje się, że zgoda na rozpowszechnienie wizerunku musi być niewątpliwa, zatem osoba jej udzielająca musi mieć pełną świadomość nie tylko formy przedstawienia jej wizerunku, ale także miejsca i czasu publikacji, zestawienia z innymi wizerunkami i towarzyszącego jej komentarza, czyli musi to być zgoda także co do warunków dopuszczalnego wykorzystania wizerunku. Istnienia zgody uprawnionego ani jej zakresu nie domniemywa się.

Zgodnie z wyrokiem Sądu Apelacyjnego w Katowicach z 12 czerwca 2014 r. (I ACa 185/14) pracodawca ma obowiązek wykazać, że uzyskał zgodę uprawnionego na rozpowszechnianie jego wizerunku w oznaczonych warunkach.

Pracownik musi świadomie wyrazić zgodę na rozpowszechnianie jego wizerunku:

● w określonej postaci (np. zdjęcie indywidualne, portret, cała sylwetka, zdjęcie grupowe),

● w określonym celu (np. promocyjnym, informacyjnym czy integracyjnym, np. w gazetce zakładowej, intranecie),

● na określony czas (np. na czas zatrudnienia, na czas nieokreślony),

● w określonym kontekście (razem z innymi pracownikami, z komentarzami dotyczącymi przedmiotu działalności pracodawcy, z imieniem i nazwiskiem).

Zezwolenie na rozpowszechnianie wizerunku może być cofnięte przez uprawnionego. Pracodawca jest zobowiązany do respektowania sprzeciwu pracownika wobec rozpowszechniania jego wizerunku.

Uprawniony, którego prawa w zakresie wizerunku zostały zagrożone cudzym działaniem, może żądać jego zaniechania. W razie dokonanego naruszenia ma prawo domagać się, aby osoba dopuszczająca się uchybień dopełniła czynności potrzebnych do usunięcia ich skutków, w szczególności złożyła publiczne oświadczenie. W przypadku zawinienia może być przyznana suma pieniężna tytułem zadośćuczynienia za doznaną krzywdę lub zasądzona określona kwota na wskazany cel społeczny. Roszczeń z tego tytułu nie można dochodzić po upływie 20 lat od śmierci tych osób.

1. Wizerunek jako dana biometryczna

Wizerunek twarzy, na określonych zasadach, został zakwalifikowany jako dana biometryczna (art. 4 pkt 14 RODO) należąca do szczególnych kategorii danych, a więc danych wrażliwych (art. 9 RODO). Zgodnie z definicją zawartą w rozporządzeniu dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

Należy jednak zwrócić uwagę, że zgodnie z motywem 51 preambuły RODO przetwarzanie fotografii pracowników nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją danych biometrycznych tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. Zatem daną biometryczną będzie stanowiła tylko część wizerunków.

2. Wizerunek a dane ujawniające pochodzenie rasowe i etniczne

Jako dane wrażliwe RODO wymienia także dane ujawniające pochodzenie rasowe lub etniczne, a wizerunek również może spełniać te przesłanki.

Co do zasady zabrania się przetwarzania danych ujawniających m.in. pochodzenie rasowe lub etniczne (art. 27 ustawy o ochronie danych osobowych). Podobny zakaz zawiera art. 9 ust. 1 RODO. Wizerunek pracownika może stanowić daną ujawniającą takie pochodzenie. Pogląd taki wyraził też GIODO (https://giodo.gov.pl/318/id_art/2902/j/pl) w odpowiedzi na pytanie dotyczące zgodności z prawem działania jednostek Straży Miejskiej, polegającego na wykonywaniu fotografii osobom zatrzymanym w celu doprowadzenia tych osób do izby wytrzeźwień. GIODO uznał, że ponieważ wizerunek osób zatrzymywanych w celu doprowadzenia do izby wytrzeźwień może prowadzić do ujawnienia pochodzenia rasowego lub etnicznego tych osób, jak również w niektórych przypadkach danych o ich stanie zdrowia czy nałogach, uznać należy, że przetwarzanie takich danych przez straż miejską może nastąpić jedynie za wiedzą i zgodą tych osób.

Ze względu na fakt, że wizerunek pracownika może być uznany za rodzaj danych wrażliwych (dane biometryczne, dane o pochodzeniu rasowym lub etnicznym), jego przetwarzanie wymaga co do zasady zgody pracownika.

3. Imprezy firmowe a wizerunek

W praktyce często zdarza się, że przebieg imprez firmowych jest nagrywany oraz w ich trakcie są wykonywane zdjęcia.

Zezwolenia nie wymaga rozpowszechnianie wizerunku osoby powszechnie znanej, jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych, w szczególności politycznych, społecznych, zawodowych, jak również osoby stanowiącej jedynie szczegół całości, takiej jak zgromadzenie, krajobraz, publiczna impreza (art. 81 ust. 2 prawa autorskiego i praw pokrewnych).

Zgodnie z wyrokiem Sądu Apelacyjnego w Warszawie z 28 lutego 2017 r. (ACa 2383/15), jeśli wizerunek osoby stanowi wyłącznie element akcydentalny lub akcesoryjny przedstawienia, czyli że w razie jego usunięcia nie zmieniłby się przedmiot i charakter przedstawienia, to rozpowszechnianie nie wymaga zezwolenia. W odniesieniu zatem do pracownika, co do zasady, nie wymaga zgody rozpowszechnianie wizerunków z imprez integracyjnych, obchodów czy jubileuszy firmy, gdzie wizerunek pracownika stanowi jedynie szczegół pewnej całości. Nie zawsze jednak tak będzie, gdyż zdjęcia mają często charakter indywidualny. Sytuacja ta wymaga więc każdorazowej indywidualnej oceny.

Dobrą praktyką jest także uprzednie informowanie pracowników o nagrywaniu imprez lub wręcz informowanie, że uczestnictwo w imprezie firmowej jest dobrowolne, ale wiąże się z nagrywaniem i wykonywaniem zdjęć grupowych, które mogą być wykorzystywane np. w firmowej gazetce.

Niezależnie od powyższego, w nowym art. 223 § 1 Kodeksu pracy zaproponowano, aby przetwarzanie danych biometrycznych pracownika - które należy interpretować zgodnie z treścią RODO, a więc w grę wchodzi również określony wizerunek - było dopuszczalne za zgodą pracownika, jeżeli podanie takich danych jest niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa lub jest konieczne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.

4. Wykorzystanie wizerunku na potrzeby pracodawcy

Umieszczanie wizerunku pracownika w wewnątrzfirmowym intranecie rządzi się innymi regułami niż opublikowanie zdjęcia w Internecie.

Zdaniem GIODO wykorzystywanie zdjęcia pracownika w sieci wewnętrznej nie wymaga tak silnej ochrony jak użycie fotografii w sieci publicznej. Wskazuje on mianowicie, że zrobienie zdjęcia tylko na użytek firmowy i wykorzystywanie go w sieci wewnętrznej wyłącznie dla usprawiedliwienia komunikowania się w stosunkach służbowych może być uznane za usprawiedliwiony cel pracodawcy i tym samym na taki użytek podmiot zatrudniający nie musi pozyskać zgody zainteresowanego.

Wśród ekspertów jest prezentowany pogląd, że możliwe jest przetwarzanie wizerunku pracownika - bez jego zgody - na potrzeby sporządzenia i używania identyfikatora, legitymacji służbowej lub przepustki - na podstawie przepisów § 4 rozporządzenia w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika.

Przykład

Pracownicy mogą samodzielnie zamieszczać zdjęcia w wewnętrznej sieci intranetowej firmy. W takiej sytuacji zamieszczenie tam przez pracownika swojego zdjęcia należy traktować jako dorozumianą zgodę na jego przetwarzanie.

Wzór zgody pracownika na wykorzystanie jego wizerunku

infoRgrafika

Wzór zgody pracownika na przetwarzanie danych w postaci wizerunku

infoRgrafika

Rozdział XIII. Obowiązki informacyjne pracodawcy w zakresie ochrony danych osobowych

Pracodawca ma obowiązki informacyjne wobec osób, których dane są przetwarzane. Obowiązek informacyjny w stosunku do osoby, której dane dotyczą, powstaje w dwóch sytuacjach:

1) przy zbieraniu danych osobowych,

2) przez cały okres przetwarzania danych osobowych.

Zakres obowiązków informacyjnych pracodawcy związanych z gromadzeniem danych osobowych został ukształtowany odmiennie w sytuacji zbierania danych od osób, których dane dotyczą, oraz w sytuacji, w której zbieranie danych następuje niebezpośrednio od tych osób (np. od osób polecających pracowników). Jednocześnie zakres tych obowiązków w formie, w jakiej został przewidziany w RODO, jest wyraźnie rozszerzony w porównaniu z przepisami obecnej ustawy o ochronie danych osobowych.

Na podstawie art. 13 RODO w przypadku zbierania danych od osób, których dane dotyczą, administrator danych przekazuje tym osobom następujące informacje:

1) o swojej tożsamości, wraz z danymi kontaktowymi, oraz, gdy jest to koniecznie, o tożsamości i danych kontaktowych przedstawiciela;

2) o ile został powołany - o tożsamości inspektora danych osobowych;

3) o celu przetwarzania danych oraz o tym, jaka jest podstawa prawna przetwarzania danych. W przypadku gdy podstawą przetwarzania jest prawnie usprawiedliwiony interes administratora, to powinien on także wskazać, jaki jest to interes;

4) o odbiorcach danych, tj. o innych administratorach, do których dane są lub mogą być przesyłane. W tym zakresie można wskazać jedynie kategorie podmiotów, którym dane będą przekazywane, jeżeli jest to szerszy krąg podmiotów bądź w chwili zbierania danych podmioty te nie zostały jednoznacznie ustalone, a administrator potrafi wskazać jedynie kryteria, na podstawie których zostanie ustalona lista odbiorców;

5) w przypadku gdy dane będą przekazywane do państwa trzeciego:

a) jakie to będzie państwo,

b) o podstawie przekazania danych (a zatem, czy zostało stwierdzone, że państwo zapewnia odpowiedni poziom ochrony, a jeżeli nie, to w jaki sposób taki odpowiedni poziom ochrony będzie gwarantowany przy przekazaniu),

c) o możliwości uzyskania kopii danych oraz o miejscu ich udostępnienia;

6) o okresie, przez jaki dane będą przechowywane, bądź jeżeli nie jest on wyznaczony, kryteria dla ustalenia tego okresu;

7) o przysługujących jednostce prawach do: dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, gdy ma to zastosowanie do wniesienia sprzeciwu wobec przetwarzania danych, do przenoszenia danych oraz gdy podstawą dla przetwarzania jest zgoda - o prawie do cofnięcia takiej zgody w każdym momencie;

8) o prawie do wniesienia skargi do organu nadzorczego;

9) o tym, czy podanie danych jest wymogiem prawnym bądź jest niezbędne dla zawarcia umowy, oraz o tym, jakie będą ewentualne konsekwencje niepodania danych;

10) o zasadach automatycznego podejmowania decyzji, jeżeli takie decyzje są w danym przypadku podejmowane;

11) w przypadku przetwarzania danych w kolejnym celu administrator powinien poinformować osobę, której dane dotyczą, o takim dodatkowym celu oraz udzielić ponownie wymienionych uprzednio informacji, o ile uległy one zmianie.

Informacja ta powinna zostać udzielona na piśmie bądź, jeżeli jest to uzasadnione sposobem zbierania informacji, w formie elektronicznej. Udzielenie informacji w formie ustnej jest możliwe jedynie na wniosek osoby, której dane dotyczą, po wcześniejszym potwierdzeniu jej tożsamości.

W przypadku natomiast zbierania danych osobowych niebezpośrednio od osób, których dane dotyczą, administrator danych ma dodatkowo, tj. oprócz informacji wskazanych powyżej, obowiązek poinformowania osoby, której dane dotyczą, o:

1) kategoriach danych, które pozyskał administrator,

2) źródle pozyskania danych, w tym wskazania, czy pochodzą one ze źródła ogólnodostępnego.

Wzór klauzuli informacyjnej dla kandydata do pracy dotyczącej przetwarzania jego danych podczas rekrutacji

infoRgrafika

1. Prawo dostępu pracownika do jego danych

Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy dotyczące jej dane osobowe są przetwarzane, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz do następujących informacji:

● cele przetwarzania;

● kategorie odnośnych danych osobowych;

● informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;

● w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

● informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;

● informacje o prawie wniesienia skargi do organu nadzorczego;

● jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą - wszelkie dostępne informacje o ich źródle;

● informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą (art. 15 RODO).

Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach związanych z przekazaniem.

2. Kopie danych osobowych

Realizując prawo dostępu pracownika do jego danych osobowych, pracodawca jako administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.

3. Prawo do sprostowaniadanych

Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe (art. 16 RODO). Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

Wzór wniosku pracownika o sprostowanie danych osobowych zawartych w dokumentacji pracowniczej

infoRgrafika

4. Prawo do usunięcia danych ("prawo do bycia zapomnianym")

Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

● dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

● osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie, i nie ma innej podstawy prawnej przetwarzania;

● osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;

● dane osobowe były przetwarzane niezgodnie z prawem;

● dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;

● dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego (art. 17 RODO).

Jeżeli administrator upublicznił dane osobowe, a ma obowiązek usunąć te dane, to - biorąc pod uwagę dostępną technologię i koszt realizacji - podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

Prawo do zapomnienia nie ma zastosowania w zakresie, w jakim przetwarzanie jest niezbędne:

● do korzystania z prawa do wolności wypowiedzi i informacji;

● do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

● z uwagi na względy interesu publicznego w dziedzinie zdrowia;

● do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile prawdopodobne jest, że prawo uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub

● do ustalenia, dochodzenia lub obrony roszczeń.

Przepis ten nakłada więc na pracodawcę obowiązek ciągłej weryfikacji zgromadzonych danych w przypadku ewentualnej zmiany celów przechowywania danych osobowych. Natomiast trzeba pamiętać, że pracodawca może w dalszym ciągu przechowywać dane, pomimo spełnienia przesłanek prawa do zapomnienia, m.in. w sytuacji, gdy pracodawca przechowuje konkretne dane w celu wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa (art. 17 ust. 3 lit b RODO).

Przykład

Po wejściu w życie RODO pracownik żąda usunięcia z jego akt osobowych danych dotyczących wymierzenia kary porządkowej. Pracodawca ma prawo tego nie zrobić, jeśli nie minął jeszcze rok nienagannej pracy pracownika od wymierzenia kary. Zezwalają mu na to przepisy Kodeksu pracy.

Wzór wniosku byłego pracownika o usunięcie zdjęcia ze strony firmowej i jego danych osobowych

infoRgrafika

5. Prawo do ograniczenia przetwarzania danych

Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania danych w  przypadkach, gdy:

● osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych - na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;

● przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;

● administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;

● osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania - do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą (art. 18 RODO).

Jeżeli przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.

Przed uchyleniem ograniczenia przetwarzania administrator informuje o tym osobę, której dane dotyczą, która żądała ograniczenia.

6. Obowiązek powiadomienia o sprostowaniu albo usunięciu danych osobowych lub o ograniczeniu przetwarzania

Administrator, w tym pracodawca, informuje o sprostowaniu lub usunięciu danych osobowych albo ograniczeniu przetwarzania każdego odbiorcę, któremu ujawniono dane osobowe (w tym pracownika), chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku (art. 19 RODO). Jeżeli osoba, której dane dotyczą, zażąda informacji o tych odbiorcach, administrator ma obowiązek przekazania takich informacji tej osobie.

7. Prawo do przenoszenia danych

Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dotyczące jej dane osobowe, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe, jeżeli przetwarzanie odbywa się:

● na podstawie zgody lub na podstawie umowy oraz

● w sposób zautomatyzowany (art. 20 RODO).

Wykonując prawo do przenoszenia danych, osoba, której dane dotyczą, ma prawo żądać, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.

Prawo do przenoszenia danych będzie miało zastosowanie w bardzo ograniczonym zakresie do danych pracowniczych, jeśli wyłączną podstawą ich przetwarzania jest zgoda oraz przetwarzanie odbywa się w sposób zautomatyzowany (dotyczy to np. dodatkowych pozaustawowych danych pracownika).

Wzór wniosku o usunięcie informacji zamieszczonej na wewnętrznym portalu pracodawcy (ze stron intranetu)

infoRgrafika

infoRgrafika

Rozdział XIV. Rejestrowanie czynności przetwarzania danych przez administratora i przetwarzającego

Na podstawie art. 30 RODO każdy administrator będzie zobowiązany do prowadzenia rejestru czynności przetwarzania danych osobowych, za które odpowiada. W rejestrze tym trzeba będzie zamieszczać wszystkie następujące informacje:

1) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także inspektora ochrony danych,

2) cele przetwarzania,

3) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,

4) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,

5) gdy ma to zastosowanie - o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej,

6) jeżeli jest to możliwe - planowane terminy usunięcia poszczególnych kategorii danych,

7) jeżeli jest to możliwe - ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Również podmiot, któremu powierzono przetwarzanie danych osobowych, będzie zobowiązany do prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierającego następujące informacje:

1) imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a także inspektora ochrony danych,

2) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,

3) gdy ma to zastosowanie - o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej,

4) jeżeli jest to możliwe - ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Rejestry te mają mieć formę pisemną, przy czym mogą być sporządzone również w formie elektronicznej (art. 30 ust. 3 RODO). Rejestr będzie podlegał obowiązkowi udostępnienia na żądanie organu nadzorczego.

Z obowiązku prowadzenia rejestru czynności przetwarzania danych osobowych, obciążającego administratora i przetwarzającego, będą zwolnieni tylko ci przedsiębiorcy lub podmioty zatrudniające mniej niż 250 osób, którzy łącznie będą spełniać następujące kryteria: przetwarzanie, którego dokonują, nie powoduje ryzyka naruszenia praw lub wolności osób, których dane dotyczą, ma charakter sporadyczny i nie obejmuje szczególnych kategorii danych osobowych ani danych osobowych dotyczących wyroków skazujących i naruszeń prawa (art. 30 ust. 5 RODO).

Wzór rejestru czynności przetwarzania danych osobowych

infoRgrafika

Rozdział XV. Powołanie inspektora ochrony danych osobowych

Na podstawie art. 37 RODO pracodawca będzie musiał wyznaczyć inspektora danych osobowych. Obowiązek wyznaczenia takiego inspektora będzie dotyczył:

● organów lub podmiotów publicznych (wyjątek stanowią sądy w zakresie sprawowania wymiaru sprawiedliwości),

● podmiotów, których główna działalność polega na przetwarzaniu danych i które ze względu na swój charakter, zakres lub cel wymagają regularnego i systematycznego monitorowania osób na dużą skalę,

● podmiotów zajmujących się przede wszystkim przetwarzaniem na dużą skalę danych wrażliwych.

Pracodawca będzie mógł powierzyć zadania inspektora danych osobowych osobie ze swojego personelu albo komuś spoza firmy. Taką osobę będzie można zatrudnić na umowę o pracę albo umowę o świadczenie usług. Dane kontaktowe wybranej osoby będą musiały być opublikowane i przesłane do organu nadzorczego (obecnie GIODO).

UWAGA!

Pracodawca będzie mógł zatrudnić inspektora danych osobowych na umowę o pracę lub umowę o świadczenie usług.

Do zadań inspektora danych osobowych będą należeć m.in. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach związanych z danymi osobowymi i doradzanie im w tej sprawie oraz monitorowanie przestrzegania przepisów w zakresie ochrony danych i współpraca z organem nadzorczym.

Rozdział XVI. Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu

W przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - będzie musiał zgłaszać je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych (art. 33 RODO). Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin trzeba będzie dołączać wyjaśnienie przyczyn opóźnienia.

1. Procedura zgłaszania naruszenia danych osobowych

Podmiot przetwarzający, po stwierdzeniu naruszenia ochrony danych osobowych, bez zbędnej zwłoki powinien zgłaszać je administratorowi.

Zgłoszenie powinno co najmniej:

● opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

● zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

● opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

● opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Jeżeli - i w zakresie, w jakim - informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie, bez zbędnej zwłoki.

Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.

2. Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki będzie musiał zawiadomić osobę, której danych to dotyczy, o takim naruszeniu (art. 34 RODO).

Zawiadomienie powinno opisywać jasnym i prostym językiem charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej następujące informacje:

● imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

● dotyczące możliwych konsekwencji naruszenia ochrony danych osobowych;

● opisujące środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Zawiadomienie nie będzie wymagane wówczas, gdy:

● administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony, i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;

● administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;

● wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku zostaje wydany publiczny komunikat lub zostaje zastosowany podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Jeżeli administrator nie zawiadomi jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy - biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko - będzie mógł od niego tego zażądać lub będzie mógł stwierdzić, że został spełniony jeden z warunków do zawiadomienia.

Wzór rejestru naruszeń ochrony danych osobowych

infoRgrafika

infoRgrafika

Rozdział XVII. Sankcje za naruszenie przepisów RODO

Osobie fizycznej, w tym pracownikowi, która uzna, że przetwarzanie jej danych osobowych nastąpiło z naruszeniem przepisów RODO, będzie przysługiwać prawo do wniesienia skargi do odpowiedniego organu nadzorczego. Obecnie takim organem jest GIODO. Po wejściu w życie RODO będzie nim Prezes Urzędu Ochrony Danych Osobowych.

W przypadku stwierdzenia przez organ nadzoru naruszenia przepisów RODO będzie miał on dwie formy reakcji na stwierdzoną nieprawidłowość:

● zastosowanie finansowych środków represji lub

● poprzestanie na niepieniężnej formie egzekucji odpowiedniego zachowania.

Do sankcji niepieniężnych należy możliwość nakazania przez organ nadzoru w drodze decyzji:

● uwzględnienia żądań zawartych w skardze osoby, której dane dotyczą;

● dostosowania operacji przetwarzania danych osobowych do przepisów RODO, ze wskazaniem sposobu i terminu dostosowania;

● zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych;

● wprowadzenia czasowego lub całkowitego ograniczenia przetwarzania danych osobowych lub zakazu przetwarzania;

● sprostowania lub usunięcia danych osobowych;

● powiadomienia odbiorców, którym dane osobowe zostały ujawnione, o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych;

● zawieszenia przepływu danych do odbiorców w państwie trzecim lub do organizacji międzynarodowej.

Zależnie od okoliczności konkretnej sprawy organ może też obok lub zamiast kar o charakterze niepieniężnym sięgnąć po kary finansowe. Ich wysokość jest ściśle uzależniona od tego, jakiego rodzaju obowiązki naruszył administrator i przetwarzający dane osobowe, i wynosi:

● do 10 000 000 euro, a w przypadku przedsiębiorstwa - w wysokości do 2 jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (m.in. za naruszenie obowiązków administratora i podmiotu przetwarzającego, obowiązków podmiotu certyfikującego, obowiązków podmiotu monitorującego),

● do 20 000 000 euro, a w przypadku przedsiębiorstwa - w wysokości do 4 jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (m.in. za naruszenie podstawowych zasad przetwarzania, w tym warunków zgody, praw osób, których dane dotyczą, przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, wszelkich obowiązków wynikających z prawa państwa członkowskiego, nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy).

W przypadku podmiotów publicznych karę planuje się obniżyć do maksymalnej wysokości 100 000 zł.

Przy podejmowaniu decyzji o nałożeniu administracyjnej kary pieniężnej oraz ustalaniu jej wysokości w każdym indywidualnym przypadku należytą uwagę zwraca się na:

● charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;

● umyślny lub nieumyślny charakter naruszenia;

● działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;

● stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych;

● wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;

● stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;

● kategorie danych osobowych, których dotyczyło naruszenie;

● sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;

● to; czy wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie inne środki;

● stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji; oraz

● wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Podstawa prawna:

● art. 27, art. 31 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych - j.t. Dz.U. z 2016 r. poz. 922; ost.zm. Dz.U. z 2018 r. poz. 723

● pkt 32, pkt 39-40, pkt 42, pkt 43, pkt 50, pkt 60, pkt 82, pkt 171 preambuły, art. 4 pkt 11-12, art. 5, art. 6 ust. 1 lit. a i lit. c, art. 7, art. 9-10, art. 12-20, art. 22, art. 26, art. 28-30, art. 32-36, art. 83 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) - Dz.Urz. UE L z 2016 r. Nr 119, str. 1

● § 1, § 6-8a i załączniki nr 1 i 2 do rozporządzenia Ministra Pracy i Polityki Socjalnej z 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika - j.t. Dz.U. z 2017 r. poz. 894

● art. 221, art. 94, art. 110, art. 113, art. 229, art. 237 ustawy z 26 czerwca 1974 r. - Kodeks pracy - j.t. Dz.U. z 2018 r. poz. 108; ost.zm. Dz.U. z 2018 r. poz. 357

● § 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych - Dz.U. Nr 100, poz. 1024

● art. 5 ust. 1, art. 5a-5c ustawy z 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty - j.t. Dz.U. z 2018 r. poz. 617; ost.zm. Dz.U. z 2018 r. poz. 697

● art. 11 ust. 3 ustawy z 21 listopada 2008 r. o pracownikach samorządowych - j.t. Dz.U. z 2016 r. poz. 902; ost.zm. Dz.U. z 2017 r. poz. 1930

● art. 3 pkt 1 ustawy z 16 września 1982 r. o pracownikach urzędów państwowych - j.t. Dz.U. z 2017 r. poz. 2142; ost.zm. Dz.U. z 2018 r. poz. 650

● art. 6 ust. 1 pkt 10 ustawy z 24 maja 2000 r. o Krajowym Rejestrze Karnym - j.t. Dz.U. z 2017 r. poz. 678; ost.zm. Dz.U. z 2018 r. poz. 730

● art. 11 ustawy z 13 października 1995 r. o zasadach ewidencji i identyfikacji podatników i płatników - j.t. Dz.U. z 2017 r. poz. 869; ost.zm. Dz.U. z 2018 r. poz. 650

● art. 125a ust. 4 ustawy z 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych - j.t. Dz.U. z 2017 r. poz. 1383; ost.zm. Dz.U. z 2018 r. poz. 730

● art. 51u ust. 1 ustawy z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach - j.t. Dz.U. z 2018 r. poz. 217; ost.zm. Dz.U. z 2018 r. poz. 650

● art. 47 ust. 3c ustawy z 13 października 1998 r. o systemie ubezpieczeń społecznych - j.t. Dz.U. z 2017 r. poz. 1778; ost.zm. Dz.U. z 2018 r. poz. 730

● art. 32 ust. 1 ustawy z 19 sierpnia 1997 r. - Ordynacja podatkowa - j.t. Dz.U. z 2017 r. poz. 201; ost.zm. Dz.U. z 2018 r. poz. 723

● art. 1 ustawy z 10 stycznia 2018 r. o zmianie niektórych ustaw w związku ze skróceniem okresu przechowywania akt pracowniczych oraz ich elektronizacją - Dz.U. z 2018 r. poz. 357

● § 9 rozporządzenia Rady Ministrów z 1 lipca 2009 r. w sprawie ustalania okoliczności i przyczyn wypadków przy pracy - Dz.U. Nr 105, poz. 870

● § 1 i załączniki do rozporządzenia Ministra Pracy i Polityki Społecznej z 7 stycznia 2009 r. w sprawie statystycznej karty wypadku przy pracy - Dz.U. Nr 14, poz. 80; ost.zm. Dz.U. z 2010 r. Nr 218, poz. 1440

● § 1 i załączniki do rozporządzenia Ministra Zdrowia z 1 sierpnia 2002 r. w sprawie sposobu dokumentowania chorób zawodowych i skutków tych chorób - j.t. Dz.U. z 2013 r. poz. 1379

● § 2-3 rozporządzenia Ministra Zdrowia i Opieki Społecznej z 30 maja 1996 r. w sprawie przeprowadzania badań lekarskich pracowników, zakresu profilaktycznej opieki zdrowotnej nad pracownikami oraz orzeczeń lekarskich wydawanych do celów przewidzianych w Kodeksie pracy - j.t. Dz.U. z 2016 r. poz. 2067

● art. 12 ustawy z 27 czerwca 1997 r. o służbie medycyny pracy - j.t. Dz.U. z 2014 r. poz. 1184; ost.zm. Dz.U. z 2017 r. poz. 60

● art. 23 ust. 1 ustawy z 15 maja 2015 r. o zmianie ustawy o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa oraz niektórych innych ustaw - Dz.U. z 2015 r. poz. 1066; ost.zm. Dz.U. z 2017 r. poz. 992

● art. 81 ustawy z 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych - j.t. Dz.U. z 2017 r. poz. 880; ost.zm. Dz.U. z 2018 r. poz. 650

● art. 23 ustawy z 23 kwietnia 1964 r. - Kodeks cywilny - j.t. Dz.U. z 2017 r. poz. 459; ost.zm. Dz.U. z 2018 r. poz. 650

Małgorzata Mędrala

radca prawny, doktor nauk prawnych, autorka wielu publikacji z zakresu prawa pracy

Rozdział XVIII. RODO - odpowiedzi na pytania z praktyki

1. Czy na liście obecności można wpisywać przyczyny nieobecności pracownika, np. urlop wypoczynkowy, okolicznościowy, zwolnienie lekarskie?

Należy uznać, że wpisywanie na listach obecności przyczyn nieobecności pracownika w pracy może wykraczać poza cel przetwarzania danych osobowych zawartych na listach, tj. poza stwierdzenie, czy ktoś jest w pracy czy też nie. Dlatego pracownik powinien podpisać się na liście obecności, potwierdzając swoją obecność, albo należy wstawić np. znak X lub N. Natomiast przyczyny nieobecności w pracy powinny być zamieszczane np. w ewidencji czasu pracy.

Trzeba mieć przy tym na uwadze, że:

● celem listy obecności jest stwierdzenie, czy ktoś jest w pracy czy nie,

● można też rozważyć inną formę potwierdzania obecności pracownika w pracy, np. karty chipowe, zalogowanie się w systemie itp.

Na gruncie obecnie obowiązujących przepisów o ochronie danych osobowych trwa dyskusja, czy na listach obecności należy wpisywać przyczyny nieobecności. Coraz większa liczba ekspertów twierdzi, że nie ma powodów, by na liście obecności wpisywać przyczyny nieobecności.

Natomiast zgodnie z RODO:

● dane osobowe muszą być przetwarzane w sposób ograniczony do tego, co jest niezbędne do realizacji celów przetwarzania,

● dane osobowe na listach obecności są przetwarzane w celu stwierdzenia, czy ktoś jest w pracy czy go nie ma.

RODO nie wprowadza natomiast wprost zmian odnoszących się do danych podawanych na listach obecności.

PODSTAWA PRAWNA:

● art. 5 ust. 1 RODO

2. Czy pracodawca ma obowiązek informacyjny w stosunku do pracowników odnośnie do przetwarzania ich danych osobowych? Jeśli tak, to kiedy i jak go wykonać? Czy o zmianie np. biura księgowego lub kancelarii prawnej należy informować pracowników?

Tak. Pracodawcy mają liczne obowiązki informacyjne w zakresie przetwarzania danych osobowych w stosunku do pracowników. RODO szczegółowo je wymienia, np. jeżeli dane osobowe osoby, której dane dotyczą, są zbierane od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej m.in. następujące informacje:

● swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

● gdy ma to zastosowanie - dane kontaktowe inspektora ochrony danych;

● cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;

● informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeśli istnieją.

Jeżeli biuro rachunkowe lub kancelaria prawna przetwarzają dane osobowe pracowników, to powinni być o tym poinformowani. Tak samo powinno się postąpić, gdy jest zmieniany podmiot przetwarzający dane osobowe - wówczas pracodawca powinien dodatkowo poinformować o tym pracowników.

Jeżeli pozyskujemy dane osobowe od osoby, powinniśmy spełnić obowiązek informacyjny w momencie pozyskania tych danych.

W sytuacji gdy dane osobowe są pozyskiwane w inny sposób, to obowiązki informacyjne powinny zostać spełnione:

● w rozsądnym terminie, najpóźniej w terminie miesiąca,

● jeżeli są stosowane w komunikacji z osobą, w momencie pierwszej takiej komunikacji,

● jeżeli pracodawca planuj ujawnić dane osobowe innemu odbiorcy, najpóźniej przy ich pierwszym ujawnieniu.

Obowiązek informacyjny wobec nowo zatrudnionych pracowników powinien być realizowany w momencie zatrudnienia (osobnym tematem jest obowiązek informacyjny w trakcie rekrutacji). Dobrą praktyką byłoby wręczanie przy podpisywaniu umowy o pracę np. broszury zawierającej stosowne informacje.

W przypadku już zatrudnionych pracowników pracodawca może mieć do czynienia z dwiema sytuacjami:

1) pracownik już dysponuje tymi informacjami - nie trzeba go informować (ale trzeba mieć dowód ich przekazania),

2) pracownik nie dysponuje tymi informacjami - trzeba go informować.

Zalecanym rozwiązaniem jest udzielenie przed 25 maja 2018 r. odpowiednich informacji wszystkim pracownikom. Przy czym, aby wypełnić zasadę rozliczalności, najlepiej, gdyby pracownik podpisał oświadczenie, że pracodawca spełnił obowiązek informacyjny.

PODSTAWA PRAWNA:

● art. 12-14, motywy 58-62 RODO

3. Czy trzeba będzie uzupełniać dokumentację o obowiązek informacyjny o przetwarzaniu danych w stosunku do już zatrudnionych pracowników? Czy pracodawca ma obowiązek zebrania pisemnych oświadczeń o przetwarzaniu danych?

Tak. Należy uzupełnić dokumentację o dowody (np. oświadczenia) potwierdzające spełnienie obowiązku informacyjnego wobec pracowników, chociaż wprost nigdzie nie ma zapisanego takiego obowiązku.

Pracodawca nie ma obowiązku zebrania pisemnych "oświadczeń o przetwarzaniu danych osobowych", ale musi udowodnić, że spełnił obowiązek informacyjny. W praktyce zebranie pisemnych oświadczeń od pracowników jest najlepszym sposobem spełnienia tego obowiązku.

PODSTAWA PRAWNA:

● art. 7, art. 12-14, motywy 32, 43, 58-62 RODO

4. Czy w aktach osobowych należy przechowywać zgodę pracowników na przetwarzanie danych osobowych? Czy konieczne są również oświadczenia zgłaszanych przez pracodawcę do ZUS członków rodziny o zgodzie tych osób na przetwarzanie danych osobowych?

Jeżeli na przetwarzanie danej kategorii danych osobowych pracownika niezbędna jest jego zgoda na przetwarzanie, to taką zgodę należy przechowywać w aktach osobowych.

Co do danych osobowych członków rodzin zgłaszanych przez pracodawcę do ZUS, to muszą Państwo zbadać, na podstawie której przesłanki legalizacyjnej z art. 6 ust. 1 RODO przetwarzają Państwo te dane. Jeżeli dojdą Państwo do wniosku, że te dane są przetwarzane na podstawie zgody, to trzeba będzie uzyskać zgodę tych osób np. w formie pisemnego oświadczenia. Jeśli zaś stwierdzą Państwo, że są one przetwarzane na podstawie innej przesłanki, to zgoda nie jest potrzebna.

PODSTAWA PRAWNA:

● art. 6-7, motywy 32, 40, 43 RODO

5. Jaką treść powinna zawierać zgoda na wykorzystanie wizerunku pracownika na stronie internetowej firmy po wejściu w życie RODO?

Przede wszystkim najlepiej dla pracodawcy, gdyby zgoda była złożona w formie pisemnej. Ponadto zgoda musi jasno określać, kto wyraża zgodę i na co. Poniżej przykład takiej zgody:

infoRgrafika

PODSTAWA PRAWNA:

● art. 7, motywy 32, 43 RODO

6. Czy pracodawca ma obowiązek każdorazowo zamieszczać w wewnętrznych dokumentach klauzule o przetwarzaniu danych osobowych? Czy oświadczenia o zgodzie na przetwarzanie danych osobowych podpisane przed rozpoczęciem pracy są wystarczające?

Pracodawca nie ma obowiązku zamieszczania w wewnętrznych dokumentach każdorazowo klauzul o przetwarzaniu danych osobowych. Jednak dobrą praktyką byłoby umieszczanie klauzul w tych dokumentach. Natomiast oświadczenie o zgodzie na przetwarzanie danych osobowych podpisane przed rozpoczęciem lub w momencie rozpoczęcia pracy może być często niewystarczające i po wejściu w życie RODO będzie wymagało aktualizacji.

PODSTAWA PRAWNA:

● art. 6-7, art. 12-14, motywy 32, 40, 43, 58-62 RODO

7. Czy dane, które mogłyby być pozyskiwane na podstawie nieobowiązującego już stanu prawnego (np. nazwisko rodowe matki pracownika), powinny być usunięte z akt osobowych pracownika (dawne kwestionariusze osobowe), a jeśli tak, to w jaki sposób?

Dane, do których przetwarzania pracodawca nie jest uprawniony, powinny być co do zasady skutecznie usunięte. W art. 17 ust. 1 lit. d RODO jest jasno zapisane, że należy podjąć wszelkie rozsądne działania, aby dane, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. Mogę one zostać po prostu zniszczone.

PODSTAWA PRAWNA:

● art. 6, art. 17, motywy 32, 40, 66, 68 RODO

8. Nasz były pracownik złożył prośbę o usunięcie jego danych osobowych z firmy. Jak powinniśmy w tej sytuacji postąpić, skoro mamy obowiązek przechowywania akt osobowych przez 50 lat? Czy pracownik ma prawo do zapomnienia tylko na własną prośbę?

Pracodawca ma obowiązek przechowywać określone przez prawo pracy dane pracownika. Pracownik nie może więc żądać usunięcia powyższych danych, powołując się na prawo do zapomnienia. Natomiast jeżeli pracodawca przetwarza jeszcze jakieś inne dane pracownika (np. prywatny nr telefonu, zdjęcia itp.), to pracownik będzie mógł żądać usunięcia takich danych osobowych.

PODSTAWA PRAWNA:

● art. 17, motywy 66, 68 RODO

9. Czy można udostępnić związkom zawodowym listę pracowników z potrąconymi składkami na rzecz związku?

Jeżeli zakładowa organizacja związkowa złożyła pisemny wniosek w tej sprawie, a pracownik pisemną zgodę na potrącenie, to mamy obowiązek pobierania z pensji danego pracownika składki na rzecz związku. Należy uznać, że przedstawienie związkowi listy pracowników, od których na rzecz danego związku są potrącane składki, jest dopuszczalne. Należałoby jednak poinformować o tym zainteresowanych pracowników lub uzyskać od nich pisemną zgodę na udostępnienie tej informacji związkowi.

Natomiast na pewno nie można na danej liście umieszczać osób, które nie płacą składek związkowych.

PODSTAWA PRAWNA:

● art. 6, motywy 32, 40 RODO

10. Jak prawidłowo przechowywać dokumentację i dane osób zwolnionych z pracy?

W zakresie i w czasie ustalonym przez prawo pracy (obecnie przez 50 lat, ale od 1 stycznia 2019 r. już tylko co do zasady przez 10 lat) są Państwo zobowiązani przechowywać dokumentację osobową pracownika również po jego zwolnieniu.

Pozostałe dane dotyczące pracownika (których nie trzeba przechowywać na podstawie innych przepisów) powinni Państwo usunąć, chyba że będziemy mieli do czynienia z inną przesłanką z art. 6 RODO, np. pracownik wyrazi zgodę, aby nadal przechowywali Państwo jego prywatny numer telefonu.

PODSTAWA PRAWNA:

● art. 6, motywy 32, 40 RODO

11. Czy kadry w dalszym ciągu będą miały obowiązek telefonicznego potwierdzania bankom danych pracowników potrzebnych do udzielenia pożyczek, kredytów itp.?

Kadry nie mają obowiązku telefonicznego potwierdzania danych pracowników. Mogą jedynie potwierdzić na piśmie zarobki pracownika - na wniosek pracownika lub na pisemny wniosek banku, po uprzedniej zgodzie pracownika. W przypadku formy telefonicznej nie ma pewności, że informacje trafią do uprawnionej osoby.

PODSTAWA PRAWNA:

● art. 5-6, motywy 32, 39-40 RODO

12. Identyfikator pracownika w zakładzie pracy zawiera numer spójny z numerem w systemie kadrowo-płacowym (numer pracownika). Jeśli na identyfikatorach imiennych znajdują się zdjęcia pracowników, to czy musimy mieć ich zgodę na taki identyfikator?

Numer identyfikatora powiązany z numerem w systemie kadrowo-płacowym to przykład pseudonimizacji danych osobowych, która jest podana jako jeden ze środków zmniejszających ryzyko związane z przetwarzaniem danych osobowych i zwiększających tym samym bezpieczeństwo (przy założeniu, że na identyfikatorze znajduje się numer pracownika, bez imienia i nazwiska).

Jeżeli stosują Państwo identyfikatory imienne, to nie można mówić o pseudonimizacji. Bezpiecznym rozwiązaniem byłoby zapisanie takiego obowiązku w regulaminie pracy bądź układzie zbiorowym pracy. W razie braku takich zapisów. Należy uznać, że niezbędne będzie uzyskanie zgody pracownika na zamieszczenie jego danych (także zdjęcia) na identyfikatorze.

PODSTAWA PRAWNA:

● art. 5-6, art. 32, motywy 28-29, 32, 39, 40, 43, 78, 90 RODO

13. Czy badania lekarskie pracowników są danymi wrażliwymi?

Badania lekarskie pracowników nie są danymi osobowymi. Natomiast zawierają one dane osobowe należące na gruncie RODO do danych szczególnych kategorii, a na podstawie obecnej ustawy o ochronie danych osobowych są danymi wrażliwymi.

PODSTAWA PRAWNA:

● art. 9 RODO

14. Czy składanie pracownikowi tzw. kondolencji w gazecie narusza przepisy RODO?

Należy zauważyć, że RODO nie chroni informacji o osobach zmarłych. Dlatego nie ma przeciwwskazań, aby firma publikowała kondolencje, pod warunkiem że nie są w nich podawane dane osobowe rodziny zmarłego. W kondolencjach powinna być stosowana pseudonimizowana forma, np. "kondolencje rodzinie wieloletniego pracownika Spółki X, Pana Janusza Kowalskiego" "kondolencje bliskim wieloletniego pracownika Spółki X, Pana Janusza Kowalskiego składa Zarząd i załoga" itp.

PODSTAWA PRAWNA:

● motywy 27, 158, 160 RODO

15. Jeśli pracownik poprosi o rozpowszechnienie informacji o zbiórce przez fundację 1% podatku na cel leczenia dziecka, to czy ta informacja może być rozpowszechniona przez firmę?

Dane o chorobie dziecka pracownika zgodnie z RODO są danymi szczególnej kategorii, które co do zasady nie powinny być przetwarzane. Jednak od tej zasady istnieją wyjątki. Jeden z tych wyjątków dotyczy sytuacji, gdy pracownik prosi o rozpowszechnienie informacji o zbiórce przez fundację 1% podatku na cel leczenia dziecka oraz wyrazi na to zgodę.

Jeżeli pracownik wyrazi zgodę na przetwarzanie danych osobowych w celu zbiórki 1% na cel leczenia swojego dziecka, to w zakresie określonym przez pracownika pracodawca może je przetwarzać, czyli np. opublikować informację o zbiórce w wewnętrznym biuletynie.

Należy jednak dopilnować, żeby zgoda była wyraźna oraz jasno określała zakres danych i sposób ich przetwarzania przez firmę.

PODSTAWA PRAWNA:

● art. 9, motywy 32, 35, 38, 43, 52-53 RODO

16. W naszej firmie panuje zwyczaj, że pracownikowi, któremu urodziło się dziecko, wysyłamy kwiaty i gratulacje. Dział HR przekazuje informacje sekretarce, która zamawia kwiaty. Czy w tym przypadku dojdzie do naruszenia RODO?

Poruszyli Państwo dwa problemy. Pierwszy dotyczy zakresu, w jakim mogą Państwo przetwarzać dane pracownika w przypadku urodzenia dziecka. Dane osobowe pracownika, np. dotyczące dzieci, można przetwarzać, jeżeli jest to konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy. W sytuacji gdy np. w regulaminie pracy znajduje się zapis przewidujący takie uprawnienie dla pracownika, pracodawca może mu wysłać kwiaty i gratulacje. Drugi problem odnosi się do kwestii, czy ww. dane może przetwarzać sekretarka. Należy uznać, że może to zrobić, jeżeli posiada stosowne upoważnienie.

PODSTAWA PRAWNA:

● art. 5-6, art. 29, art. 32, motywy 32, 39-40, 74, 78, 80, 83, 90 RODO

17. Czy możemy prosić pracownika o podanie numeru telefonu i adresu e-mail?

Mogą Państwo prosić pracownika o podanie numeru telefonu i adresu e-mail oraz o wyrażenie zgody na przetwarzanie tych danych w celu zapisania ich odpowiednio np. w rejestrze numerów oraz w książce adresowej na komputerze, aby mieć możliwość telefonowania czy wysyłania e-maili. Aby jednak przetwarzać te dane w określony sposób, muszą Państwo mieć na to zgodę pracownika.

Należy zauważyć, że w projekcie przepisów dostosowujących Kodeks pracy do przepisów RODO znajduje się propozycja, by pracodawcy mogli żądać danych kontaktowych od pracowników i kandydatów do pracy.

PODSTAWA PRAWNA:

● art. 5-6 motywy 32, 39, 40 RODO

18. Czy stażysta może mieć dostęp do programów komputerowych z danymi osobowymi?

Stażysta może mieć dostęp do programu komputerowego z danymi osobowymi na tych samych zasadach co inny pracownik. Musi być zatem m.in. upoważniony do przetwarzania danych osobowych w tym zakresie. Dobrze też byłoby najpierw przeszkolić go w zakresie przepisów o ochronie danych osobowych.

PODSTAWA PRAWNA:

● art. 24, art. 29, art. 32, motywy 74, 77-80, 83, 90 RODO

19. Czy praktykant może pod nadzorem opiekuna wypisywać np. delegacje pracowników, czy musi mieć upoważnienie do przetwarzania danych?

Praktykant może wypisywać np. delegacje pracowników, jeżeli jest upoważniony do przetwarzania danych osobowych w tym zakresie.

PODSTAWA PRAWNA:

● art. 24, art. 29, art. 32, motywy 74, 77-80, 83, 90 RODO

20. Czy pracodawca może obecnie kopiować i przechowywać kopie dowodu osobistego pracownika?

Pracodawca nie powinien ani obecnie, ani od 25 maja 2018 r. kopiować i przechowywać kopii dowodu osobistego pracowników, ponieważ jest to nieadekwatne do celów przetwarzania. Wystarczy oświadczenie i adnotacja upoważnionego pracownika, że dowód osobisty został okazany. To samo dotyczy kserokopii: praw jazdy, aktów małżeństwa, aktów urodzeń itp.

PODSTAWA PRAWNA:

● art. 5, motyw 39 RODO

21. Czy kierownik ma prawo znać wynagrodzenie podległych mu pracowników?

Jeżeli kierownik jest upoważniony do przetwarzania tych danych osobowych (w tym przypadku wysokości wynagrodzenia pracowników) i jest to uzasadnione, to nie ma powodu, by pozbawiać go tego prawa. Z reguły kierownik powinien mieć prawo znać wynagrodzenia podległych mu pracowników w celu wykonywania swych obowiązków kierowniczych, np. aby właściwie wnioskować o podwyżki dla nich.

PODSTAWA PRAWNA:

● art. 5, motyw 39 RODO

22. Co zmienia RODO w zakresie informacji składanych corocznie na potrzeby zfśs o sytuacji życiowej, rodzinnej i materialnej pracowników?

Obecnie i po wejściu w życie RODO przetwarzanie danych dotyczących rodziny pracownika na potrzeby realizacji uprawnień z zfśs jest i będzie możliwe na podstawie Kodeksu pracy. Pracodawca może żądać danych o sytuacji finansowej pracownika, jeżeli jest to konieczne z względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy, np. ze świadczeń z zfśs. Jeżeli jednak pracownik nie korzysta ze świadczeń z zfśs, nie mogą Państwo od niego żądać ww. danych.

Warto rozważyć możliwość przyznawania świadczeń z zfśs na podstawie tylko oświadczenia pracownika, które zawierałoby niezbędne minimum potrzebnych danych.

PODSTAWA PRAWNA:

● art. 5-6, motywy 32, 39-40 RODO

23. Jaki byłby najbardziej wskazany sposób postępowania z dokumentacją (ofertami pracy) kandydatów do pracy zgromadzonymi w postępowaniu o naborze na dane stanowisko?

Jeżeli kandydat wyraził zgodę na przetwarzanie swojego CV tylko na potrzeby naboru na dane stanowisko i nie został zatrudniony na tym stanowisku, to co do zasady jego dane powinny być usunięte w chwili zakończenia rekrutacji na dane stanowisko. Mogą Państwo wtedy zatrzymać jego CV tylko w wyjątkowych sytuacjach, za zgodą pracownika, jeżeli istnieją uzasadnione i zgodne z prawem powody dalszego przechowywania jego CV, np. na potrzeby kolejnego procesu rekrutacji.

PODSTAWA PRAWNA:

● art. 5-7, motywy 32, 39-40, 43 RODO

24. W jaki sposób ustalić stopień niepełnosprawności kandydata do pracy przed zatrudnieniem, tak aby nie naruszyć prawa?

Powinni Państwo zapytać kandydata do pracy o posiadanym stopniu niepełnosprawności i poprosić go o zgodę na przetwarzanie tej informacji na potrzeby rekrutacji (należy przypomnieć, że dyskryminacja kandydatów do pracy ze względu na niepełnosprawność jest zakazana).

Informacja o stopniu niepełnosprawności należy do tzw. danych szczególnego znaczenia, które co do zasady mogą być przetwarzane tylko w ściśle określonych przypadkach (art. 9 RODO).

Zmuszanie kandydata do udzielenia tej informacji byłoby naruszeniem prawa. Na gruncie obecnie obowiązujących przepisów jest sporo wątpliwości w powyższej tematyce (czy, kiedy i w jaki sposób osoba niepełnosprawna powinna lub jest zobowiązana poinformować pracodawcę o swej niepełnosprawności) i RODO tej kwestii nie rozstrzyga wprost.

PODSTAWA PRAWNA:

● art. 9, motywy 35, 52-53 RODO

25. Czy kandydat do pracy może przesłać drogą elektroniczną swoje CV i np. skan orzeczenia o niepełnosprawności?

Kandydat do pracy może przesłać drogą elektroniczną swoje CV i skan orzeczenia o niepełnosprawności. Należy tylko zwrócić uwagę, że kandydat musi też wyrazić zgodę na przetwarzanie przez Państwa ww. danych w celach postępowania rekrutacyjnego, a orzeczenie o niepełnosprawności zawiera dane szczególnych kategorii.

PODSTAWA PRAWNA:

● art. 7, art. 9, motywy 15, 32, 35, 40, 52-53 RODO

26. Czy jest możliwe wyrażenie zgody na pozostawienie CV do innych rekrutacji, które jeszcze się nie zaczęły? Przez jaki okres można przechowywać takie CV? Czy 2 lata jest niezgodne z RODO?

Zgoda na przetwarzanie danych osobowych z CV w celu rekrutacji może dotyczyć danej rekrutacji oraz rekrutacji przyszłych. Muszą Państwo przeprowadzić analizę, przez jaki okres chcą Państwo przetwarzać CV do celów, dla których zostały zebrane, czy jest to adekwatne i stosowne. Należy się również zastanowić, jak długo CV zachowuje aktualność. Następnie informacja ta powinna być podana kandydatowi, który wyraził zgodę na przetwarzanie CV również w innych rekrutacjach.

PODSTAWA PRAWNA:

● art. 7, motywy 32, 43 RODO

27. Czy zatrudnienie pracownika będzie wymagało jego pozwolenia na przetwarzanie danych? Jeśli kandydat wyraził zgodę na przetwarzanie danych osobowych, a potem zostanie przez nas zatrudniony, to czy dane, które powinny znaleźć się w umowie, już nie wymagają jego zgody, bo jest to zbieranie danych do realizacji umowy?

Dane osobowe kandydata do pracy są przetwarzane co do zasady na podstawie zgody. Uzyskane przed zawarciem umowy dane osobowe kandydata do pracy niezbędne do sporządzenia umowy pracodawca przetwarza na podstawie art. 6 ust 1 lit. b RODO i przepisów prawa pracy.

Dane osobowe pracownika są przetwarzane albo na podstawie prawa pracy (w celu realizacji umowy), albo na podstawie jego zgody (jeżeli pracodawca chce przetwarzać dane osobowe, do których przetwarzania nie jest upoważniony na podstawie prawa pracy).

PODSTAWA PRAWNA:

● art. 6, motywy 32, 40 RODO

28. Czy możemy zapisywać profile z portali społecznościowych i przechowywać je w bazie danych? Jeżeli tak, to jak długo? Jak wygląda ochrona danych osobowych w przypadku np. korespondencji z kandydatem z takiego portalu, w której podaje on nam swój numer kontaktowy?

Najpierw trzeba sobie zadać pytanie, czy profile w Internecie mają charakter zawodowy czy prywatny. Prywatnych nie wolno Państwu przetwarzać bez zgody danej osoby. Co do profili zawodowych, np. w portalach społecznościowych, to nie wolno ich zapisywać i przetwarzać we własnych bazach. Można je natomiast przetwarzać w ramach narzędzi na tych portalach.

Jeśli chodzi o korespondencję z kandydatem z takiego portalu, zalecane jest wystąpienie, przy pierwszym kontakcie z kandydatem, o udzielenie przez niego zgody na przetwarzanie jego danych osobowych na potrzeby rekrutacji. Oczywiście prośbę można wysłać na podany przez niego numer kontaktowy.

PODSTAWA PRAWNA:

● art. 5, art. 6, art. 7, motywy 32, 39, 40, 43 RODO

29. Czy kandydatom do pracy możemy zadawać pytania dotyczące posiadanego obywatelstwa, np. na potrzeby informacji o pozwoleniu na pracę?

Ustawa o promocji zatrudnienia i instytucjach rynku pracy nakłada na pracodawców określone obowiązki w zakresie zatrudniania cudzoziemców. Należy więc uznać, że mogą Państwo zadawać pytania o obywatelstwo, aby ustalić, czy daną osobę można legalnie zatrudnić. Jest to o tyle istotne, że za nielegalne zatrudnianie cudzoziemca grożą kary.

PODSTAWA PRAWNA:

● art. 5-6, art. 9, motywy 32, 35, 39-40, 52-53 RODO

30. Jak powinien wyglądać proces rekrutacji, aby był on zgodny z RODO? Kiedy i jakie dane oraz zgody można wymagać od kandydatów do pracy?

Na pewno muszą Państwo pamiętać o trzech sprawach:

1) uzyskaniu zgody na przetwarzanie danych osobowych na potrzeby rekrutacji. Nie mogą Państwo przetwarzać danych osobowych kandydata bez jego zgody, ponieważ muszą Państwo być w stanie udowodnić, że zgoda była i jaki miała zakres;

2) obowiązku informacyjnym, np. jak długo będą przetwarzane dane kandydatów, kto jest odbiorcą, o uprawnieniach itd.,

3) rejestrach czynności przetwarzania danych osobowych.

Przy okazji zaleca się sprawdzenie legalności baz danych i ich zabezpieczenia oraz dużą ostrożność przy rekrutacji z wykorzystaniem poleceń.

PODSTAWA PRAWNA:

● art. 5-7, art. 24, art. 32, motywy 32, 39-40, 43, 74, 77-79, 83, 90 RODO

31. W jaki sposób firma będąca agencją pracy tymczasowej może poprawnie przetwarzać CV kandydatów przez długi czas?

Firma będąca agencją pracy tymczasowej może poprawnie przetwarzać CV kandydatów przez pewien okres, gdy uzyska od nich na to zgodę. Przy czym należy uznać, że ten okres powinien być rozsądny, np. 3-5 lat. Co prawda ten termin nie wynika wprost z przepisów, ale tak należy interpretować art. 5 RODO.

Po upływie tego okresu CV kandydatów do pracy powinni Państwo usunąć, chyba że osoba udzieli zgody na przetwarzanie swych danych przez kolejny okres. Prawidłowe będzie zwrócenie się przy okazji z prośbą o aktualizację danych osobowych.

PODSTAWA PRAWNA:

● art. 5, art. 7, motywy 32, 39, 43 RODO

32. Czy możemy poprosić kandydata, który pomyślnie przeszedł etap rekrutacyjny, o przesłanie e-mailem numeru PESEL oraz o adres zameldowania na potrzebę wystawienia skierowania na badania lekarskie? Czy poproszenie kandydata na pracownika o PESEL w celu wystawienia zaświadczenia lekarskiego oraz poproszenie go o numer dowodu w celu wydania przepustki jest zgodne z RODO?

Mogą Państwo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych, w tym m.in. miejsca zamieszkania/adresu do korespondencji (art. 221 Kodeksu pracy). Co prawda pracodawca może żądać dopiero od pracownika numeru PESEL, ale zgodnie z art. 6 RODO mogą Państwo przetwarzać dane osobowe przed zawarciem umowy (pod pewnymi warunkami - należy uznać, że w tym przypadku one zachodzą).

Mogą więc Państwo poprosić kandydata, który pomyślnie przeszedł etap rekrutacyjny, o numer PESEL oraz o adres zamieszkania na potrzebę sporządzenia skierowania na badania lekarskie. Co do drogi e-mailowej, to trzeba zapewnić, by była to bezpieczna forma korespondencji.

Natomiast istnieją wątpliwości, czy żądanie numeru dowodu osobistego jest konieczne w celu wydania przepustki. Jeżeli pracodawca uzna, że jest adekwatne i konieczne, to takie działanie będzie zgodne z RODO.

PODSTAWA PRAWNA:

● art. 5-6, motywy 32, 39-40 RODO

33. Czy jako szkoła niepubliczna mająca uprawnienia szkoły publicznej musimy powołać Administratora Bezpieczeństwa Informacji (ABI)?

Obecnie nie mają Państwo obowiązku powołania Administratora Bezpieczeństwa Informacji, ponieważ jest to uprawnienie wyłącznie pracodawcy. Natomiast na gruncie RODO szkoły publiczne niewątpliwie będą miały obowiązek powołania Inspektorów Ochrony Danych Osobowych. Należy zatem uznać, że jako szkoła niepubliczna również powinni Państwo powołać Inspektora Ochrony Danych Osobowych.

PODSTAWA PRAWNA:

● art. 37, motyw 97 RODO

34. W jaki sposób anonimizacja danych wpływa na kontrolę Państwowego Funduszu Rehabilitacji Osób Niepełnosprawnych?

Anonimizacja polega na takim przetworzeniu danych osobowych, żeby osób, których dane dotyczą, w ogóle nie można było zidentyfikować lub już nie można zidentyfikować. RODO w ogóle nie dotyczy zanonimizowanych danych.

Zgodnie z ustawą o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych Państwowy Fundusz Rehabilitacji Osób Niepełnosprawnych (PFRON) posiada określone uprawnienia kontrolne. Jeżeli w ramach kontroli PFRON musi przetwarzać dane osobowe w taki sposób, by można je było przypisać konkretnej osobie, a zostały one anonimizowane, to uniemożliwiają Państwo kontrolę. Dlatego do anonimizacji należy podchodzić bardzo ostrożnie.

PODSTAWA PRAWNA:

● art. 6, art. 9, art. 32 motywy 32, 35, 40, 52, 53 RODO

35. W umowie o pracę na zastępstwo podaje się, że została ona zawarta na czas nieobecności pracownika Pani/Pana (imię i nazwisko). Czy będzie to zgodne z RODO?

Najbezpieczniej i najbardziej zgodnie z RODO byłoby nie wpisywać do umowy imienia i nazwiska pracownika. Teoretycznie można by tu zastosować pseudonimizację: "zastępstwo pracownika na stanowisku specjalisty w dziale HR", choć trudno obecnie stwierdzić, jaka będzie wykładnia organów nadzorczych i sądów pracy w zakresie danych osobowych.

PODSTAWA PAWNA:

● art. 5-6, art. 32, motywy 32, 39-40, 74, 78, 83, 90 RODO

36. Czy można zniszczyć teczkę byłego pracownika, o którym wiemy, że zmarł? Jeśli tak, to po jakim czasie od zakończenia zatrudnienia można to zrobić?

RODO nie chroni informacji o zmarłych osobach, pomimo że są one danymi osobowymi. Należy jednak pamiętać, że kwestie przechowywania dokumentacji pracowniczej, w tym możliwość ich niszczenia, reguluje prawo pracy. Obecnie okres przechowywania dokumentacji pracowniczej wynosi 50 lat. Po zmianach przepisów od 1 stycznia 2019 r. zostanie on skrócony do 10 lat.

PODSTAWA PRAWNA:

● motywy 27, 158, 160 RODO

37. Czy z instytucjami zewnętrznymi posiadającymi dostęp do danych pracowników (firmy pocztowe, medycyna pracy, dostawca oprogramowania kadrowo-płacowego itp.) konieczne jest podpisanie umów o powierzenie danych?

Podpisanie umów o powierzenie danych z instytucjami zewnętrznymi posiadającymi dostęp do danych pracowników zależy od tego, czy powierzają Państwo komuś dane do przetwarzania w swoim imieniu, czy też dane osobowe są udostępniane komuś z tych instytucji.

Jeżeli powierzają Państwo komuś dane do przetwarzania w swoim imieniu, to co do zasady powinni Państwo zawrzeć umowę o przetwarzanie danych osobowych. W przypadku podmiotów publicznych mogą mieć Państwo do czynienia z innym instrumentem prawnym, który podlega prawu Unii lub prawu państwa członkowskiego i który wiąże podmiot przetwarzający oraz Państwa jako administratora.

Na gruncie RODO mamy też nową instytucję współadministratora - kiedy cele i sposoby przetwarzania wspólnie ustala co najmniej dwóch administratorów.

Udostępnianie może być za wyraźną zgodą osoby, której dane dotyczą, na podstawie przepisów prawa lub jeżeli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Nie dotyczy to sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (dochodzenie roszczeń, zapobieganie oszustwom, marketing bezpośredni).

Na pewno trzeba zawrzeć z dostawcami oprogramowania umowę o przetwarzanie danych osobowych.

PODSTAWA PRAWNA:

● art. 5-6 art. 28, motywy 32, 39-40, 79, 81, 95 RODO

38. Czy osoby prowadzące działalność gospodarczą (nie sklep internetowy), np. mały zakład usługowy (optyk), działalność szkoleniowo-doradczą też będą musiały stosować się do RODO?

RODO nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze.

Zatem osoby prowadzące działalność gospodarczą, np. optyk, coach itp., będą musiały dostosować się do wymagań RODO. W celu dostosowania się do wymagań RODO zakres czynności u każdej z nich będzie inny.

U jednego przedsiębiorcy proces dostosowania do RODO może być bardzo mały (jeżeli w ogóle nie przetwarza danych osobowych), a u drugiego skomplikowany i bardzo wymagający (jeżeli przetwarza dużą liczbę danych osobowych i należących do szczególnych kategorii).

PODSTAWA PRAWNA:

● art. 2, motywy 14, 26 RODO

39. Czy na przetwarzanie danych będzie można pozyskiwać zgody bezterminowe lub do odwołania przez osobę, której dane są przetwarzane?

W RODO nie ma wprost zakazu pozyskiwania zgód na przetwarzanie danych osobowych bezterminowo lub do odwołania przez osobę. Natomiast dane osobowe muszą być przetwarzane m.in. w sposób adekwatny i stosowny. Należy zatem uznać, że przetwarzanie danych osobowych w nieskończoność jest niestosowne i nieadekwatne, a więc nie powinno mieć miejsca.

Pozyskiwanie zgód na przetwarzanie danych osobowych bezterminowo lub do odwołania przez osobę wyrażającą zgodę jest niezgodne z zasadami ochrony danych osobowych, o których mowa w art. 5 RODO. Dlatego zgody powinny być udzielane co do zasady na rozsądny i określony termin.

PODSTAWA PRAWNA:

● art. 5, art. 7, motywy 32, 39, 43 RODO

40. Jesteśmy firmą z branży wojskowej. W celu wejścia naszych pracowników na teren wojskowy musimy podawać klientom dane osobowe znajdujące się w dowodzie osobistym. Czy możemy podać te dane? Czy możemy to zrobić w pliku zaszyfrowanym e-mailem?

Należy przeprowadzić analizę, czy to przetwarzanie jest zgodne z prawem, np. czy jest niezbędne do wykonania umowy i czy mogą Państwo przetwarzać te informacje. Jeżeli analiza to potwierdzi, od strony formalnoprawnej sytuacja jest jasna, np. nie ma problemu, by podać imiona i nazwiska czy numery PESEL pracowników, gdy jest to niezbędne do realizacji umowy. Dobrze byłoby jednak poinformować o tym pracowników.

Na pewno muszą Państwo zastosować adekwatne środki bezpieczeństwa po analizie ryzyk. Zaszyfrowanie e-maila jest dobrym pomysłem.

PODSTAWA PRAWNA:

● art. 5-6, art. 32 motywy 32, 39-40, 74, 78, 83, 90 RODO

41. Czy komornikowi można podać konto bankowe pracownika i inne dane?

Komornikowi, który prowadzi czynności egzekucyjne wobec pracownika, trzeba podać konto bankowe tego pracownika. Zgodnie bowiem z Kodeksem postępowania cywilnego komornik wykonujący czynności egzekucyjne jest uprawniony do żądania od pracodawcy informacji o pracowniku, wobec którego prowadzi egzekucję. Jeżeli Państwo ich nie udostępnią lub oświadczą nieprawdę, to grozi Państwu lub pracownikowi odpowiedzialnemu za udzielenie wyjaśnień albo informacji lub jego kierownikowi grzywna do 2 tys. zł.

PODSTAWA PRAWNA:

● art. 6, motywy 20, 32, 40 RODO

42. Jak prawidłowo zawierać umowy z pracownikami i zleceniobiorcami na przetwarzanie ich danych osobowych?

Aby prawidłowo zawrzeć umowy z pracownikami i zleceniobiorcami na przetwarzanie ich danych osobowych, muszą Państwo najpierw ustalić, czy przetwarzają Państwo dane osobowe pracowników lub zleceniobiorców w zakresie niezbędnym do realizacji umowy o pracę lub umowy zlecenia, czy też będą Państwo przetwarzać określone dane w określony sposób na podstawie zgody.

Zgoda pracownika lub zleceniobiorcy może mieć postać umowy lub jego oświadczenia. Najlepiej, gdyby umowa lub oświadczenie miały formę pisemną, ponieważ wtedy najłatwiej będzie Państwu wykazać, że osoba, której dane są przetwarzane, wyraziła na to zgodę.

PODSTAWA PRAWNA:

● art. 6-7, motywy 32, 40, 43 RODO

43. W jaki sposób trzeba będzie wykazać w czasie kontroli przestrzeganie przepisów RODO?

Każdy administrator jest zobowiązany wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie danych osobowych odbywało się zgodnie z RODO i aby móc to wykazać. Działania te obejmują opracowanie odpowiedniej polityki ochrony danych. Oznacza to, że trzeba gromadzić dokumenty na potwierdzenie np. zgód, a stosowane oprogramowanie musi umożliwiać sprawdzenie kto, kiedy i jak przetwarzał dane osobowe.

Każdy administrator musi też prowadzić Rejestr Czynności Przetwarzania Danych Osobowych, a ponadto podmiot przetwarzający musi prowadzić Rejestr Wszystkich Kategorii Czynności Przetwarzania dokonywanych w imieniu administratora.

PODSTAWA PRAWNA:

● art. 24, art. 30, art. 58, motywy 74, 77-79, 82, 90 RODO

44. Jak w praktyce zastosować anonimizację i usunąć np. ze strony firmowej zdjęcie osoby, której wizerunek był wydrukowany w newsletterze kolportowanym w setkach egzemplarzy?

Należy odróżnić anonimizację od pseudonimizacji czy od usunięcia danych.

Pseudonimizacja jest jednym z przykładowych środków organizacyjnych i technicznych służących zapewnieniu bezpieczeństwa w stopniu odpowiadającym ryzykom. Polega ona na takim przetworzeniu danych osobowych, by nie można było przypisać ich konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji.

Anonimizacja polega na takim przetworzeniu danych osobowych, by osób, których dane dotyczą, w ogóle nie można było zidentyfikować lub już nie można zidentyfikować. RODO w ogóle nie dotyczy zanonimizowanych danych.

Usunięcie zdjęć ze strony firmowej raczej nie należy określać jako anonimizacja czy pseudonimizacja, tylko jako usunięcie danych. Podobnie należy potraktować usunięcie wizerunku z gazetki kolportowanej w setkach egzemplarzy.

W tym miejscu należy zauważyć, że środki bezpieczeństwa powinny być wprowadzane z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celu przetwarzania oraz ryzyk naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Wprowadzenie więc każdego środka bezpieczeństwa powinno być poprzedzone stosowną analizą.

PODSTAWA PRAWNA:

● art. 17, art. 19, art. 24, art. 32, motywy 26, 28-29, 39, 59, 66, 68, 74, 77-79, 83, 90 RODO

45. Czy w sytuacji, gdy wpłynie do nas wniosek o usunięcie danych osobowych, to ten wniosek, który zawiera dane osobowe, też powinien zostać zniszczony?

Wśród ekspertów zajmujących się danymi osobowymi trwa na ten temat spór. Z jednej strony, jeśli są spełnione przesłanki, to wszystkie dane osobowe osoby, która tego zażądała, administrator powinien usunąć. Dotyczy to zatem również wniosku o usuniecie danych. Z drugiej strony należy zauważyć, że prawo to nie ma charakteru bezwzględnego. Administrator nie musi usuwać danych, jeżeli przetwarzanie danych osobowych jest niezbędne:

● do korzystania z prawa do wolności wypowiedzi i informacji;

● do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

● z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego;

● do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych albo do celów statystycznych zgodnie z art. 89 ust. 1 RODO, o ile prawdopodobne jest, że prawo żądania usunięcia danych uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;

● do ustalenia, dochodzenia lub obrony roszczeń.

Jeżeli dojdą Państwo do wniosku, że przetwarzanie danych osobowych w postaci wniosku o usunięcie danych osobowych jest niezbędne np. w celu wywiązania się z prawnego obowiązku lub np. obrony roszczeń, to należy uznać, że mogą Państwo przechowywać ten wniosek przez uzasadniony i ustalony okres.

Niewykluczone jednak, że wykładnia organów nadzorów nad przestrzeganiem przepisów o ochronie danych osobowych może być inna.

Jeżeli jednak na wniosek danej osoby zniszczą Państwo wszystkie jej dane osobowe, w tym wniosek, to będą mieli Państwo problem z udowodnieniem, że dane osobowe zostały zniszczone zgodnie z prawem.

PODSTAWA PRAWNA:

● art. 5, art. 17, art. 19, motywy 39, 59, 66, 68 RODO

46. Czy w firmie należy stworzyć regulamin niszczenia dokumentów zawierających dane osobowe?

Mimo że nie ma takiego obowiązku, do celów dowodowych i dochowania należytej staranności najlepiej byłoby posiadać wewnętrzne dokumenty regulujące m.in. procedurę niszczenia dokumentów zawierających dane osobowe w sposób zgodny z RODO. Brak takich wewnętrznych dokumentów utrudni wykazanie, że niszczą Państwo dokumenty zawierające dane osobowe zgodnie z RODO.

PODSTAWA PRAWNA:

● art. 5-6, art. 30, motywy 32, 39-40, 82 RODO

47. Kto może kontrolować przestrzeganie RODO w firmie?

Zgodnie z projektem ustawy o ochronie danych osobowych z 8 lutego 2018 r. postępowania kontrolne w zakresie RODO będzie prowadził Prezes Urzędu Ochrony Danych Osobowych. Oczywiście kontrolę będzie przeprowadzał upoważniony pracownik Urzędu Ochrony Danych Osobowych lub pracownik organu nadzorczego państwa członkowskiego Unii Europejskiej. Kontrola będzie przeprowadzana po okazaniu imiennego upoważnienia wraz z legitymacją służbową. Do udziału w kontroli mogą być też upoważnieni eksperci zewnętrzni.

PODSTAWA PRAWNA:

● art. 51-52 RODO

48. Jak powinna wyglądać zgoda na przetwarzanie danych i zgoda na wykorzystanie wizerunku w mediach społecznościowych?

W RODO nie znajdziemy odpowiedzi na pytanie, jak ma wyglądać zgoda lub jaką ma mieć formę. Może ona mieć np. formę pisemną lub być udzielona poprzez zaznaczenie okienka wyboru na stronie internetowej.

Na pewno zgoda musi być dobrowolna i wyraźna. Nie można uznać milczenia za zgodę.

Osoba fizyczna może w każdym momencie wycofać zgodę. Należy pamiętać, że w razie wątpliwości administrator danych musi udowodnić istnienie zgody.

PODSTAWA PRAWNA:

● art. 7, motywy 32, 43 RODO

49. Czy będzie obowiązujący wszystkich wzór prowadzenia rejestru czynności, czy każdy będzie mógł mieć swój wzór?

Na chwilę obecną każdy będzie mógł mieć swój wzór. Należy jednak zwrócić uwagę, że w rejestrze czynności przetwarzania danych osobowych powinny być zamieszczone następujące informacje:

1) imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także - gdy ma to zastosowanie - przedstawiciela administratora oraz inspektora ochrony danych,

2) cele przetwarzania,

3) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,

4) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,

5) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń,

6) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,

7) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

W rejestrze wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora powinny być zamieszczone następujące informacje:

1) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie - przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych,

2) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,

3) gdy ma to zastosowanie - przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń,

4) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

Rejestrów nie muszą prowadzić przedsiębiorcy lub podmioty zatrudniające mniej niż 250 osób, chyba że przetwarzanie, którego dokonują:

1) może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,

2) nie ma charakteru sporadycznego,

3) obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO,

4) obejmuje dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Zgodnie z RODO powyższe rejestry powinny mieć formę pisemną lub formę elektroniczną. Ponieważ na dzień obecny brakuje przepisów wykonawczych, ww. rejestry mogą być prowadzone np. w arkuszu Excel.

PODSTAWA PRAWNA:

● art. 30 RODO

Odpowiedzi na pytania udzielił:

Paweł Ludwiczak

radca prawny specjalizujący się w tematach związanych z obsługą prawną przedsiębiorców, prawem korporacyjnym, zamówieniami in house, publicznym transportem zbiorowym i Compliance

Wykaz skrótów

ABI - Administrator Bezpieczeństwa Informacji

GIODO - Generalny Inspektor Ochrony Danych Osobowych

Kodeks cywilny - ustawa z 23 kwietnia 1964 r. - Kodeks cywilny (j.t. Dz.U. z 2017 r. poz. 459 ze zm.)

Kodeks postępowania cywilnego - ustawa z 17 listopada 1964 r. - Kodeks postępowania cywilnego (j.t. Dz.U. z 2018 r. poz. 155 ze zm.)

Kodeks pracy - ustawa z 26 czerwca 1974 r. - Kodeks pracy (j.t. Dz.U. z 2018 r. poz. 108 ze zm.)

NSA - Naczelny Sąd Administracyjny

OSNP - Orzecznictwo Sądu Najwyższego Izba Pracy, Ubezpieczeń Społecznych i Spraw Publicznych

PFRON - Państwowy Fundusz Rehabilitacji Osób Niepełnosprawnych

RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, str. 1)

SA - sąd apelacyjny

SN - Sąd Najwyższy

WSA - wojewódzki sąd administracyjny

ZUS - Zakład Ubezpieczeń Społecznych

Inforakademia
Notyfikacje

Czy chcesz otrzymywać informacje o najnowszych szkoleniach? Zgódź się na powiadomienia od wideoakademii

Powiadomienia można wyłączyć w preferencjach systemowych
NIE NIE
TAK TAK