Już tylko na podpis Prezydenta oczekuje ustawa wdrażająca RODO, która ma dostosować aż 168 polskich aktów prawnych do Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE [RODO] .
Ustawa (zwana dalej również ustawą wdrożeniową) wejdzie w życie po upływie 14 dni od dnia jej ogłoszenia. Z punktu widzenia pracodawców szczególnie istotne są zmiany, jakie nastąpią w Kodeksie pracy oraz w ustawie o zakładowym funduszu świadczeń socjalnych.
Zacznij od zaraz
Przede wszystkim, począwszy od daty wejścia w życie ustawy pracodawca będą mieli nie prawo, ale obowiązek żądania od osoby ubiegającej się o zatrudnienie oraz od pracownika określonych kategorii danych osobowych. W ten sposób ustawa wdrożeniowa wprowadza – wymaganą przez RODO – podstawę prawną pobierania danych osobowych. Ustawa zamienia dotychczasowe uprawnienia pracodawcy na obowiązek żądania określonych kategorii danych, a w przypadku niektórych danych, dopuszcza ich przetwarzanie na podstawie zgody. Już teraz zatem warto zweryfikować aktualne i przyszłe ogłoszenia o pracę oraz wymogi stawiane kandydatom, pod kątem ich zgodności z nowymi przepisami.
Decyzja pracownika
I tak, od osoby ubiegającej się o zatrudnienie pracodawca żąda takich danych, jak: imię (imiona) i nazwisko, datę urodzenia oraz dane kontaktowe. Co istotne, to kandydat do pracy decyduje o tym, jakie dane kontaktowe chce wskazać potencjalnemu pracodawcy. Przykładowo, może podać wyłącznie numer telefonu albo wyłącznie adres e-mail, nie wskazując adresu zamieszkania. Jeśli natomiast kandydat na pracownika będzie miał takie życzenie, może podać pracodawcy wszystkie te dane kontaktowe. To do kandydata należy decyzja w tym zakresie.
Ocena pracodawcy
Z uwagi na wprowadzoną przez RODO zasadę minimalizmu przetwarzania danych osobowych, ustawa wprowadza ograniczenia w zakresie domagania się przez pracodawców od kandydatów do pracy informacji na temat wykształcenia pracownika, jego kwalifikacjach zawodowych, czy przebiegu zatrudnienia. Nie każda bowiem praca uzasadnia gromadzenie tego rodzaju danych. W konsekwencji, pracodawca będzie musiał dokonać oceny, czy faktycznie dane te są niezbędne do zatrudnienia na stanowisku pracy.
Od pracownika, a zatem od osoby z którą umowa o pracę została już zawarta, pracodawca żądać będzie natomiast takich danych, jak: adres zamieszkania, numer PESEL (a w razie jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość), innych danych pracownika, a także danych osobowych dzieci pracownika i innych członków jego rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy. Jeżeli nie istniała podstawa prawna do żądania od kandydata informacji dotyczących wykształcenia i przebiegu dotychczasowego zatrudnienia, to pracodawca żąda tych danych od pracownika. Żądaniem pracodawcy objęty pozostaje również numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.
Innych danych od określonych powyżej, pracodawca może zażądać od kandydata lub pracownika tylko wówczas, jeśli jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z prawa. Poza tym, Kodeks pracy będzie przewidywał już niebawem, że podstawę prawną przetwarzania danych może stanowić także zgoda samego kandydata lub pracownika na przetwarzanie określonych danych. Co istotne, zgoda taka nie może obejmować danych dotyczących wyroków skazujących i czynów zabronionych lub powiązanych środków bezpieczeństwa (!) – tego rodzaju dane mogą być przetwarzane przez pracodawców tylko wtedy, gdy obowiązek taki wynika z przepisów prawa.
Dane biometryczne
Kodeks pracy wprost będzie odnosił się także do problematyki przetwarzania danych biometrycznych pracownika. Przetwarzanie tych danych będzie dopuszczalne za zgodą kandydata lub pracownika, niezależnie od tego, czy z inicjatywą przekazania takich danych wystąpiła osoba ubiegająca się o zatrudnienie, pracownik, czy pracodawca. Kodeks pracy w nowym brzmieniu przewiduje nadto możliwość przetwarzania danych biometrycznych pracownika, jeśli podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub dostępu do pomieszczeń wymagających szczególnej ochrony.
Monitoring
Jak wskazywaliśmy tutaj, zmiany obejmą również zasady wykorzystywania monitoringu w zakładzie pracy. Nowe regulacje wprowadzają zakaz objęcia monitoringiem pomieszczeń udostępnianych zakładowej organizacji związkowej. Ponadto, monitoring pomieszczeń sanitarnych będzie wymagać uzyskania uprzedniej zgody zakładowej organizacji związkowej, a jeżeli takowa nie działa u pracodawcy – uprzedniej zgody przedstawicieli pracowników wybranych w trybie przyjętym u danego pracodawcy.
Kategorie szczególne
W stosunku do osób przetwarzających szczególne kategorie danych osobowych, np. ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych, Kodeks pracy wprost nakładać będzie także obowiązek zachowania w tajemnicy tych danych.
Zakładowy fundusz świadczeń socjalnych
Ustawa wdrożeniowa zmienia również przepisy ustawy o zakładowym funduszu świadczeń socjalnych, w tym art. 8 ustawy o ZFŚS, który określa kryteria przyznawania ulg i świadczeń z ZFŚS. W dalszym ciągu przyznanie ulgowych usług i świadczeń będzie uzależnione od sytuacji życiowej, rodzinnej i materialnej (tzw. kryterium socjalne) osoby uprawnionej do korzystania z funduszu. Ustawa wdrożeniowa wprowadza jednak wprost zasadę, iż udostępnienie pracodawcy danych osobowych przez osobę uprawnioną w celu przyznania ulgowej usługi i świadczenia, następuje w formie oświadczenia. Ustawa wdrożeniowa zapewnia przy tym pracodawcy możliwość żądania udokumentowania danych osobowych w zakresie niezbędnym do ich potwierdzenia. Jako przykład dokumentowania ustawa podaje oświadczenia lub zaświadczenia o sytuacji życiowej, w tym zdrowotnej, rodzinnej i materialnej osoby uprawnionej do korzystania z funduszu. Kwestie przyznawania świadczeń i ulg z funduszu, jak również sposoby dokumentowania sytuacji osób uprawnionych ustawodawca pozostawia do decyzji pracodawcy, który winien zawrzeć stosowne regulacje w tym zakresie w regulaminie ZFŚS. Nie zmienia się natomiast w żaden sposób obowiązek uzgadniania regulaminu ze związkami zawodowymi.
Całkowicie nowym obowiązkiem, jaki będzie ciążył na pracodawcy jest dokonywanie, co najmniej raz w roku kalendarzowym, przeglądu pozyskanych danych osobowych i ocena, czy istnieje konieczność ich dalszego przechowywania. Dane, których przechowywanie okaże się zbędne należy usunąć.
Powyższe nie stanowi wyczerpującego opisu wprowadzanych zmian. Ich zakres jest niezwykle obszerny i już teraz spodziewamy się, że wiele zagadnień będzie rodziło wątpliwości w praktyce. Niezależnie od tego jednak, jeszcze przed wejściem w życie ustawy, warto przyjrzeć się obowiązującym zasadom i aktom prawa wewnętrznego, pod kątem ich zgodności z nowymi przepisami.