25 maja 2018 r. w życie wchodzą przepisy ogólnego rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”). Do tego czasu państwa członkowskie są zobowiązane do wprowadzenia odpowiednich regulacji. W przypadku Polski, będzie to zupełnie nowa ustawa o ochronie danych osobowych. Wraz z nią, zmianie ulegnie wiele innych ustaw, w tym kodeks pracy (dalej „k.p.”).
Jakich informacji może żądać pracodawca
W propozycjach zmian do kodeksu pracy, można znaleźć nowe brzmienie art. 221 k.p. rozszerzające katalog informacji, jakich o potencjalnym i zatrudnionym pracowniku może żądać pracodawca.
Do dotychczasowego katalogu danych, jakich pracodawca może żądać od kandydata, obejmującego imię i nazwisko, datę urodzenia, wykształcenie i przebieg dotychczasowego zatrudnienia, dodano adres poczty elektronicznej albo numer telefonu, które w praktyce i tak były najczęściej udostępniane przez zainteresowanych w odpowiedzi na ofertę pracy i stanowią najszybszy sposób nawiązania kontaktu z kandydatem. Na podstawie nowych przepisów pracodawca nie będzie mógł natomiast żądać ujawnienia imion rodziców. Sprecyzowano także, że kandydat powinien podać adres do korespondencji, podczas gdy obecne przepisy wskazują na adres zamieszkania.
Ta informacja będzie musiała zostać podana, jeżeli dojdzie do nawiązania stosunku pracy. Znowelizowany art. 221 § 1 k.p., wskazuje bowiem, że pracodawca żąda podania przez pracownika, poza adresem zamieszkania, numeru PESEL (lub w jego braku rodzaju i numer dokumentu potwierdzającego tożsamość), a także innych danych osobowych pracownika oraz jego dzieci i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.
Warto zaznaczyć, że kodeks pracy wskazuje, że pracodawca „żąda” wskazanych wyżej informacji. Dzięki temu pracodawca nie musi (a w zasadzie nie powinien) uzyskiwać od pracownika odrębnej zgody na pozyskanie tych danych. Podstawą przetwarzania danych przez pracodawcę będzie bowiem tutaj wykonanie ciążącego na nim obowiązku, a nie działanie za zgodą osoby, której dane dotyczą.
Wyjątkiem będzie przetwarzanie danych pracownika podanych na etapie rekrutacji: adresu do korespondencji, numeru telefonu i adresu poczty elektronicznej, już podczas zatrudnienia – propozycje zmian do kodeksu pracy wymagają do tego uzyskania odrębnej, pisemnej zgody pracownika. Innymi słowy, pozyskanie tych danych w trakcie procesu rekrutacji, nie uprawnia pracodawcy do przetwarzanie ich już w trakcie zatrudnienia – oba te etapy należy rozpatrywać odrębnie. Tym samym, jeżeli pracodawca zatrudni danego kandydata, a ten nie wyrazi zgody na przetwarzanie np. adresu poczty elektronicznej w trakcie zatrudnienia, pracodawca powinien taką daną usunąć (np. zaczernić tę informację w CV kandydata).
Dla innych danych kluczowa jest zgoda i cel
Oczywiście pracownik lub osoba ubiegająca się o zatrudnienie może udostępnić pracodawcy także inne dane, niż wskazane w przepisach. Jest to zresztą sytuacja bardzo częsta. Przykładem może być np. numer telefonu lub adres poczty elektronicznej, który znaleźć możemy w prawie każdym CV, chociaż obecne przepisy nie wymagają udostępniania takich danych. Niejednokrotnie także kandydaci zamieszczają w dokumentach aplikacyjnych swoje zdjęcie. Jeżeli zatem osoba ubiegająca się o zatrudnienie sama udostępnia swój wizerunek przyszłemu pracodawcy (lub inne dane niewymienione wprost w k.p.), to może on te dane przetwarzać, ale podstawą do takiego działania powinna być odrębna zgoda osoby, której dane dotyczą.
Działania pracodawcy nie mogą być jednak dowolne. Dane osobowe udostępnione przez pracownika bądź kandydata – niezależnie czy będą mieściły się katalogu zawartym w przepisach, czy będą poza niego wykraczały – mogą być przetwarzane tylko w zakresie niezbędnym do realizacji stosunku pracy lub przeprowadzenia procesu rekrutacyjnego. Pracodawca nie jest zatem uprawniony do wykorzystywania danych pracownika do jakichkolwiek innych celów (chyba, że uzyska na to odrębną zgodę pracownika). Pamiętać należy, że takim „innym celem” będzie już chociażby zapewnienie pracownikowi dodatkowych benefitów w postaci prywatnej opieki medycznej czy zajęć sportowych.
Katalog danych osobowych zawarty w kodeksie pracy nie oznacza, że pracodawca nie może poprosić pracownika o udostępnienie innych danych, jeżeli jest to konieczne na potrzeby stosunku pracy. Dobrym przykładem jest tutaj sytuacja, w której to pracodawcy zależy na wizerunku pracownika np. na potrzeby umieszczenia na stronie internetowej. Jeżeli pracownik wyrazi na to zgodę, to pracodawca będzie do tego uprawniony. Co istotne, pracownik powinien mieć możliwość wyrażenia w pełni dobrowolnej zgody na przetwarzanie jego danych, innych niż wynikających z k.p., na potrzeby stosunku pracy.
Potwierdza to proponowany art. 222 § 3 k.p. statuujący ochronę pracownika lub kandydata przed jakimikolwiek negatywnymi konsekwencjami odmówienia zgody. W szczególności brak zgody nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenia stosunku pracy lub jego rozwiązania bez wypowiedzenia przez pracodawcę. Oznacza to, że np. CV kandydata nie może zostać odrzucone tylko z tego powodu, że zabrakło w nim zdjęcia, chociaż pracodawca był zainteresowany także wizerunkiem kandydata (odrębną kwestią jest oczywiście to, czy osoba ubiegająca się o zatrudnienie będzie w stanie wykazać, że jego aplikacja nie została rozpatrzona z tego powodu).
W pewnych przypadkach jednak nie wystarczy nawet zgoda pracownika. Nowelizacja kodeksu pracy dodaje art. 223 k.p., który wskazuje jakich danych osobowych pracodawca nie może przetwarzać, nawet za zgodą pracownika. Katalog ten obejmuje dane dotyczące nałogów, stanu zdrowia, życia seksualnego lub orientacji seksualnej pracownika. Zakaz ten, jak również możliwości żądania ujawnienia danych innych niż wskazane w art. 221 § 1 i 2 k.p., nie ma zastosowania w sytuacji, w której obowiązek ich podania wynika z odrębnych przepisów lub gdy jest to niezbędne do wypełnienia obowiązku pracodawcy nałożonego przepisami prawa. Wówczas przetwarzanie takich danych osobowych powinno być realizowanie jedynie w zakresie niezbędnym dla realizacji tego obowiązku.
Monitoring i ruch w Internecie
Nowelizacja kodeksu pracy wprowadza także przepisy dotyczące monitoringu w miejscu pracy. Kwestia ta do tej pory nie była uregulowana. Zgodnie z propozycjami, przepisy kodeksu pracy będą wyraźnie dopuszczały wprowadzenie monitoringu dla zapewnienia bezpieczeństwa pracowników, ochrony mienia lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, jeżeli w jego ocenie takie środki są konieczne dla osiągnięcia tych celów.
Podobnie jak w przypadku innych danych osobowych, dane pozyskane w wyniku stosowania monitoringu mogą być przetwarzane wyłącznie dla celów, dla których zostały zebrane i powinny być przechowywane przez niezbędny, z punktu widzenia ich realizacji, okres.
Na zastosowanie monitoringu pracodawca nie będzie musiał uzyskać zgody pracowników, jednak zgodnie z nowelizacją będzie zobowiązany do poinformowania ich o stosowaniu środków rejestracji obrazu nie później niż 14 dni przed ich uruchomieniem. Co istotne, monitoring nie może obejmować pomieszczeń, które nie są przeznaczone do wykonywania pracy, w szczególności pomieszczeń sanitarnych, szatni, stołówek lub palarni. Natomiast monitoring – nawet ten dozwolony – nie może stanowić środka kontroli wykonywania pracy przez pracownika.
Powyższe oznacza na pewno tyle, że pracodawca nie może wprowadzić monitoringu tylko jako narzędzia do kontroli np. czasu pracy pracowników. Wydaje się jednak, że w przypadku sporu sądowego, jeżeli na monitoringu zostaną utrwalone okoliczności istotne z punktu widzenia przedmiotu procesu, a pracodawca nadal będzie dysponował tym nagraniem, to będzie mógł je przedstawić jako dowód w sądzie.
Nadal nieuregulowaną kwestią pozostanie śledzenie przez pracodawcę ruchu internetowego pracowników. Stosując pewną analogię do monitoringu wizyjnego w miejscu pracy, a także dotychczasową praktykę w tym zakresie, należy przyjąć że pracodawca może korzystać z oprogramowania rejestrującego aktywność pracownika na komputerze, ale pracownik powinien zostać o tym uprzednio poinformowany. W każdym jednak wypadku, pracodawca nie powinien gromadzić informacji dotyczących życia prywatnego pracowników, tj. haseł lub zawartości prywatnej skrzynki pocztowej, czy też hasła i danych do konta bankowego pracownika.
Nowe obowiązki dla wszystkich
Nowy katalog danych przetwarzanych w procesie rekrutacji i podczas zatrudnienia, to nie jedyne zmiany czekające na pracodawców. Wejście w życie RODO będzie wiązało się z uchyleniem obowiązującej obecnie ustawy o ochronie danych osobowych (dalej „Ustawa”), a RODO będzie stosowane bezpośrednio. W związku z tym ulegnie zakres obowiązków związanych w ochroną danych osobowych.
Przykładowo, obecnie podmioty przetwarzające zbiory danych miały obowiązek zarejestrowania ich w GIODO. Pracodawcy korzystali ze zwolnienia w tym zakresie. Wraz z uchyleniem Ustawy obowiązek rejestracji zbiorów zniknie. Niemniej jednak, każdy podmiot, także pracodawca, będzie musiał prowadzić rejestr czynności przetwarzania, zawierający m.in. dane administratora danych osobowych, cele przetwarzania, opis kategorii osób, których dane są przetwarzane oraz kategorii danych osobowych, planowane terminy usunięcia poszczególnych kategorii danych oraz opis technicznych i organizacyjnych środków bezpieczeństwa, które mają na celu zapewnienie stopienia bezpieczeństwa odpowiadającego ryzyku naruszenia praw i wolności osób, których dane dotyczą.
Podobnie, jeżeli dany podmiot będzie nie tylko administratorem danych, ale także podmiotem przetwarzającym dane dla innych administratorów, będzie musiał prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu każdego administratora. Dlatego do maja 2018 r. każdy podmiot powinien zastanowić się w jakiej roli występuje, jakie dane osobowe przetwarza (swoich pracowników, klientów) oraz przygotować odpowiednie rejestry i procedury.
Pracodawcy powinni też zwrócić uwagę na mowy zawierane z biurami rachunkowymi. Zlecając obsługę kadrowo-płacową zewnętrznej firmie dochodzi bowiem do powierzenia przetwarzania danych osobowych, a w tym zakresie RODO statuuje określone zasady, jakim powinno ono odpowiadać. Przede wszystkim wymagane jest zawarcie umowy w formie pisemnej lub elektronicznej określającej przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Szczegółowe obowiązki przetwarzającego określa art. 28 ust. 3 RODO.
Przed wejściem w życie RODO warto zatem uzupełnić istniejące umowy, zgodnie z wytycznymi określonymi w przywołanym przepisie. Kwestią, która powinna zostać uregulowana w takiej umowie, powinna być procedura i zasady współdziałania administratora z przetwarzającym, w przypadku naruszenia ochrony danych osobowych. Przepisy RODO nakładają bowiem na administratorów obowiązek zgłoszenia naruszenia danych osobowych do organu nadzorczego w terminie 72 godzin od jego stwierdzenia. Umowa powinna zatem zapewniać mechanizmy wymuszające na przetwarzającym niezwłoczne poinformowanie administratora o np. wycieku danych płacowych, tak aby mógł on wywiązać się z tego obowiązku względem organu.
Nie tylko dla dużych pracodawców
Na pierwszy rzut oka wydawać by się mogło, że obowiązki prowadzenia rejestru czynności przetwarzania, czy to przez administratora, czy przez przetwarzającego, będą w większości przypadków wyłączone. Do takiego wniosku może prowadzić art. 30 ust. 5 RODO, wskazujący, że obowiązki te nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób. Oznaczałoby to, że wszyscy „mali” pracodawcy nie musieliby prowadzić nawet ww. rejestrów.
Zwolnienie z tego podstawowego obowiązku każdego administratora danych osobowych, nie znajdzie jednak zastosowania do sytuacji, w której przetwarzanie, którego dokonuje dany podmiot, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje wrażliwe dane osobowe lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.
Trudno jednoznacznie z góry stwierdzić i wykluczyć, że przetwarzanie danych osobowych przez konkretnego administratora nie powoduje żadnego ryzyka naruszenia praw lub wolności osób, których dane dotyczą. Bezpieczniejsze i bardziej prawidłowe jest stanowisko, że w każdym przypadku przetwarzania danych osobowych istnieje jakieś prawdopodobieństwo wystąpienia naruszeń. W przypadku stosunku pracy, może ono dotyczyć chociażby ujawnienia wysokości wynagrodzenia pracownika, do czego może dojść stosunkowo łatwo w przypadku nieodpowiedniego zabezpieczenia dostępu do dokumentów płacowych. Z tego względu, do możliwości powoływania się na art. 30 ust. 5 RODO należy podejść z dużą ostrożnością, zwłaszcza biorąc pod uwagę konsekwencje, jakie mogą spotkać administratora danych osobowych, za nieprzestrzeganie przepisów.
A te mogą być dotkliwe. RODO przewiduje, że – w zależności od rodzaju naruszenia – organ nadzorczy będzie uprawniony do nakładania kar finansowych w wysokości do 10 mln złotych (lub do 2% całkowitego rocznego światowego obrotu) albo do 20 mln złotych (lub do 4% całkowitego rocznego światowego obrotu). Co istotne kary te mogą zostać nałożone już za jedynie formalne uchybienia, np. brak wymaganych rejestrów, a nie tylko w sytuacji, gdy w wyniku nieprzestrzegania zasad ochrony danych osobowych dojdzie do faktycznego naruszenia praw i wolności osób, których dane dotyczą. W tym drugim przypadku, administrator powinien liczyć się także z koniecznością zaspokojenia roszczeń takiej osoby, jeżeli doznała ona szkody majątkowej lub niemajątkowej. RODO bowiem wyraźnie przewiduje możliwość dochodzenia roszczeń w związku z naruszeniem danych osobowych przed sądem, a konkretyzacja drogi sądowej znajdzie się w nowej ustawie o ochronie.