RODO a najnowsze zmiany w kodeksie pracy

W dniu 4 maja 2019 r. weszły w życie przepisy Ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia RODO.

Przedmiotowa „Ustawa wdrażająca RODO”, która ma zapewnić prawidłowe stosowanie RODO w polskim prawodawstwie, zmienia około 170 ustaw w zakresie, w jakim ustawy te dotykają problematyki danych osobowych. Wśród tych zmian nie zabrakło nowej odsłony przepisów kodeksu pracy w zakresie dotyczącym przetwarzania danych osobowych kandydatów do pracy, jak i już zatrudnionych pracowników.

Zmiany te można usystematyzować w sposób następujący:

1. zmiany w zakresie podstawowego katalogu danych osobowych, jakich może żądać pracodawca od kandydatów do pracy oraz pracowników już zatrudnionych;
2. regulacja kwestii przetwarzania danych zwykłych oraz wrażliwych kandydata do pracy oraz pracownika;
3. doprecyzowanie zasad wykonywania monitoringu wizyjnego w miejscu pracy.

1. PODSTAWOWY KATALOG DANYCH

Kandydaci do pracy

Od 4 maja pracodawca nie może żądać od osoby ubiegającej się o zatrudnienie podania imion rodziców Zamiast dotychczasowego adresu korespondencyjnego (miejsca zamieszkania) pracodawca będzie wymagać od kandydata udostępnionych przez niego danych kontaktowych (adresu e-mail, nr telefonu). Natomiast aktualnie pracodawca może poszerzyć swoją wiedzę o szerszy niż dotychczas katalog danych wskazujących na przydatność danej osoby na aplikowane przez nią stanowisko pracy, żądając oprócz dotychczasowego wykształcenia i przebiegu dotychczasowego zatrudnienia także opisu kwalifikacji zawodowych, jednakże tylko wtedy, gdy jest to niezbędne do wykonywania pracy na aplikowane przez kandydata stanowisko.

Wprowadzone przez ustawodawcę zastrzeżenie stanowi nic innego, jak usankcjonowanie wyrażonej w RODO zasady minimalizacji danych osobowych, czyli ograniczania danych z punktu widzenia celu ich przetwarzania.

Zatrudnieni pracownicy

Modyfikacji uległ także katalog danych zbieranych od pracownika, który pomyślnie przeszedł proces rekrutacji. Od zatrudnionego pracownika pracodawca może odebrać te dane, których nie zebrał na etapie rekrutacji (czyli adres zamieszkania oraz wykształcenie i przebieg dotychczasowego zatrudnienia).

Nadto, pracodawca, tak jak w poprzednim stanie prawnym, żąda od pracownika podania: numeru PESEL (lub w jego braku dokumentu tożsamości), innych danych pracownika, a także danych dzieci i członków rodziny pracownika  – jeżeli ich podanie jest konieczne dla korzystania przez niego ze szczególnych uprawnień przewidzianych w prawie pracy.

Nowością jest wskazane wprost prawo żądania podania numeru rachunku płatniczego w celu wypłaty wynagrodzenia.

Podstawowy katalog danych – obowiązki pracodawcy

Zmiany w zakresie podstawowego katalogu danych osobowych powodują konieczność weryfikacji dokumentacji wykorzystywanej u danego pracodawcy w procesach rekrutacyjnych i zatrudnienia. Pracodawcy powinni dostosować do nowych przepisów formularze rekrutacyjne i kwestionariusze osobowe, ale również i systemy kadrowe, w których przetwarzane są dane kandydatów do pracy i pracowników.

 2. „INNE DANE” – CZYLI DANE SPOZA PODSTAWOWEGO KATALOGU DANYCH

Podstawa legalizująca przetwarzanie „innych danych”

W szczególnych wypadkach pracodawca będzie uprawniony do żądania podania przez kandydata i pracownika „innych danych” aniżeli dane z „katalogu podstawowego”. Takie żądane jest uprawnione tylko wtedy, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia przepisu prawa. Jeśli pracodawca nie może uzasadnić zebrania i przetwarzania „innych danych” takimi uprawnieniami lub przepisami prawa, wówczas jedyną podstawą legalizującą przetwarzanie danych spoza zamkniętego „katalogu podstawowego” jest zgoda kandydata lub pracownika.

Jednocześnie ustawodawca przesądził kategorycznie, że dane dotyczące wyroków skazujących i naruszeń prawa nie mogą być przetwarzane nawet za zgodą kandydata czy pracownika. Ustawodawca tym samym jednoznacznie eliminuje kontrowersje związane z iluzorycznie dobrowolnym charakterem „zgody” na przetwarzanie danych o niekaralności kandydata lub pracownika.

Ponieważ zgoda na przetwarzanie „innych danych osobowych” musi spełniać przesłanki zgody z RODO (tj. dobrowolności, jednoznaczności, świadomości oraz konkretności), dlatego niedopuszczalne jest wymuszanie udzielenia zgody, a jej brak lub wycofanie nie może powodować jakichkolwiek negatywnych konsekwencji w sferze prawa pracy zarówno dla kandydata, jak i zatrudnionego pracownika.

Dane zwykłe

„Inne dane” mogą być zbierane i przetwarzane na podstawie zgody zarówno z inicjatywy samego kandydata i pracownika, jak i na wniosek samego pracodawcy, ale pod warunkiem, że są to dane należące do katalogu danych zwykłych. Za dobry przykład może posłużyć np. wizerunek:

a) zdjęcie dołączane do CV z inicjatywy kandydata,

b) lub zdjęcie na stronę www firmy, o które prosi pracodawca.

Dane wizerunkowe wykraczają poza katalog danych z podstawowego katalogu danych ściśle wskazanych przez ustawodawcę. Nie są też niezbędne do zrealizowania żadnego uprawnienia lub spełnienia przepisu prawa.

Dane „wrażliwe”

Jeśli jednak chodzi o dane z katalogu tzw. „danych wrażliwych” (takich jak dane ujawniające pochodzenie etniczne, rasowe, poglądy polityczne, przekonania religijne, przynależność do związków zawodowych, dane genetyczne, biometryczne, dane dotyczące zdrowia), to ustawodawca kategorycznie przesądza, że oprócz tego, że podstawą przetwarzania danych jest nadal zgoda kandydata czy pracownika, to dane takie mogą być przetwarzane wyłącznie z jego inicjatywy. Może mieć to miejsce np. wówczas, gdy kandydat podaje takie dane, chcąc zwiększyć swoje szanse w procesie rekrutacji.

Zasada ta doznaje wyłomu tylko w odniesieniu do danych biometrycznych, które mogą być przetwarzane przez pracodawcę dla celów kontroli dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony (np. odcisk palca lub skan tęczówki w biometrycznej kontroli dostępu).

Szczególne upoważnienie do przetwarzania „danych wrażliwych”

Nowelizacja przesądziła w sposób jednoznaczny, że do przetwarzania danych osobowych z katalogu „danych wrażliwych” mogą być dopuszczone wyłącznie osoby, które otrzymały od pracodawcy pisemne upoważnienie do przetwarzania takich danych i zostały zobowiązane do zachowania ich w poufności.

O ile samo zobowiązanie do zachowania w poufności nie budzi wątpliwości, o tyle forma pisemna upoważnień wzbudza kontrowersje w doktrynie. Uzasadniony sprzeciw budzi usankcjonowanie analogowej i zdecydowanie biurokratycznej formuły papierowych upoważnień z własnoręcznym podpisem osoby uprawnionej do ich nadania versus np. zbiorczy elektroniczny katalog takich upoważnień w systemie informatycznym. Może mieć to niebagatelne znaczenie praktyczne zwłaszcza w dużych organizacjach.

Nie wdając się w polemikę na temat ratio legis przedmiotowej regulacji, należy wziąć pod uwagę kategoryczne brzmienie wprowadzonego przepisu. Zwłaszcza, że samo upoważnienie do przetwarzania danych osobowych to jeden z podstawowych środków ochrony danych osobowych na gruncie RODO, a artykuł 88 RODO przyznał ustawodawcy krajowemu wyraźną delegację do wprowadzenia „bardziej szczegółowych przepisów mających zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem”. Zatem niezachowanie przez pracodawcę formy pisemnej upoważnienia, może w razie kontroli pracownika UDODO zakończyć się wydaniem przez organ kontroli co najmniej decyzji wzywającej do usunięcia tego braku i do wydania upoważnienia w formie pisemnej przewidzianej przez znowelizowane przepisy kodeksu pracy.

„Inne dane” – obowiązki pracodawcy

Biorąc pod uwagę najnowsze regulacje z obszaru danych osobowych z katalogu „danych wrażliwych”, pracodawcy powinni zrewidować, czy przetwarzają ewentualne dane spoza katalogu danych zwykłych na właściwej podstawie prawnej, w szczególności na podstawie zgody i czy osoby, których takie dane dotyczą, zostały o tym należycie poinformowane.

W odniesieniu do osób, którym powierzono przetwarzanie danych osobowych z katalogu „danych wrażliwych”, konieczna będzie rewizja formy udzielonych do tej pory upoważnień.

3. ZMIANY DOTYCZĄCE MONITORINGU – CIĄG DALSZY ZMIAN

Przypomnieć należy, że przepisy kodeksu pracy przeszły pierwszą „RODO–rewolucję” wraz z wejściem w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Ustawa UDODO wprowadziła szczegółową regulację zasad monitoringu w miejscu pracy, w tym zarówno w zakresie przetwarzania zarówno samego wizerunku pracownika za pomocą monitoringu wizyjnego, jak również w zakresie kontrolowania poczty służbowej i innych urządzeń służbowych z których korzysta pracownik (np. urządzeń mobilnych).

W zakresie regulacji dotyczącej monitoringu ustawodawca stawia kropkę nad „i”, wprowadzając kategoryczny zakaz monitoringu pomieszczeń zajmowanych przez związek zawodowy. I o ile zakaz monitoringu w takich pomieszczeniach jak palarnie, stołówki, szatnie a (za zgodą związku zawodowego) nawet pomieszczenia sanitarne, może zostać uchylony w wyjątkowych sytuacjach w wypadkach wskazanych w ustawie, o tyle ustawodawca nie dopuszcza takich wyjątków w stosunku do związku zawodowego, zapewniając całkowitą dyskrecję jego członkom.

Oddać należy ustawodawcy, że jest to regulacja spójna zarówno z art. 9 RODO, który wśród tzw. „danych wrażliwych” wymienia samą przynależność do związków zawodowych, jak i czyniąca zadość konstytucyjnej zasadzie wolności związków zawodowych i zasadzie ich niezależności, wyrażonej w przepisach ustawy o związkach zawodowych

Monitoring – obowiązki pracodawcy

Na pracodawcy będzie spoczywało logistyczne i techniczne zadanie zapewnienia całkowitego wyłączenia omawianych pomieszczeń (być może także wraz z częścią korytarzy bezpośrednio sąsiadujących z tymi pomieszczeniami) z zasięgu kamer wizyjnych. Pracodawca, który w dniu 4 maja stosował monitoring pomieszczeń udostępnionych organizacji związkowej, musi zaprzestać tego monitoringu w terminie 14 od dnia wejścia w życie nowelizacji.

***

Przepisy Ustawy wdrażającej RODO wprowadziły kilka zmian wymagających od pracodawców podjęcia pewnego wysiłku w zakresie przeglądu i aktualizacji, czy to dokumentacji stosowanej w procesach rekrutacji i zatrudnienia oraz w procesie przetwarzania „danych wrażliwych”, czy to w zakresie weryfikacji legalności przetwarzania danych spoza podstawowego katalogu danych osobowych.

Przedmiotowa nowelizacja stanowi doskonałą okazję do przeprowadzenia ponownej weryfikacji procesów angażujących pracownicze dane osobowe, zwłaszcza że w bieżącym miesiącu mija rok od wejścia w życie samego rozporządzenia RODO. Zgodnie z jedną z zasad dotyczących przetwarzania danych osobowych, tj. „zasadą prawidłowości”, dane powinny być prawidłowe i w razie potrzeby uaktualniane.