W trakcie długiego, majowego weekendu wejdą w życie istotne zmiany przepisów dotyczących przetwarzania danych pracowników i kandydatów. Od 4 maja br. przedsiębiorcy będą stosować nowe przepisy, które mają na celu dostosowanie szeregu aktów prawnych do RODO. Wprowadzone na podstawie ustawy z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – czyli tzw. „ustawy wdrożeniowej RODO” – zmiany obejmować będą ponad 160 aktów prawnych. Część z nich dotyczy kwestii prowadzonych procesów rekrutacji oraz przetwarzania danych pracowników. Dotyczą one m.in. zakresu danych zbieranych na potrzeby prowadzonego procesu rekrutacji, przetwarzania danych biometrycznych, żądania od kandydatów i pracowników danych o karalności, czy wypłacania świadczeń z zakładowego funduszu świadczeń społecznych.
Nowy zakres danych jaki można żądać od kandydatów
Pracodawcy będą musieli dostosować proces prowadzonej rekrutacji do zapisów ustawy wdrożeniowej RODO. Ustawodawca określił bowiem nowy zakres danych, jakie mogą być zbierane od kandydatów do pracy. Pracodawca będzie mógł zażądać od kandydata następujące informacje:
- imię (imiona) i nazwisko kandydata,
- datę urodzenia kandydata,
- dane kontaktowe wskazane przez kandydata,
- wykształcenie kandydata,
- kwalifikacje zawodowe kandydata,
- przebieg dotychczasowego zatrudnienia.
W przypadku żądania przez przyszłych pracodawców większej ilości danych osobowych niż wynikają one z nowych przepisów, dojdzie do naruszenia zasady minimalizacji danych, co może spowodować pociągnięcie podmiotu do odpowiedzialności (np. poprzez nałożenie na pracodawcę kary administracyjnej przez organ nadzoru). Dotyczy to również możliwości żądania przez przyszłych pracodawców danych o karalności pracowników – jeżeli istnieje podstawa prawna przetwarzania tych danych tj. przepis prawa wskazuje na możliwość pozyskiwania danych o karalności – przyszły pracodawca może zażądać od kandydata ich przedstawienia. W przeciwnym wypadku, legalność pozyskiwania tych danych – nawet za zgodą kandydata – jest dyskusyjna.
Nowe zasady dotyczące przetwarzania danych pracowników
Ustawa wdrożeniowa wprowadza również zmiany dotyczące przetwarzania danych osobowych pracowników. Obejmują one przede wszystkim zakres danych, jakie pracodawca może zbierać od pracowników. Pracodawca będzie miał obowiązek zbierania wyłącznie danych: imię i nazwisko, adres zamieszkania i danych kontaktowych pracownika a co do pozostałych danych – pracodawca będzie mógł je gromadzić fakultatywnie. Znowelizowane przepisy Kodeksu pracy stanowią, że pracodawca będzie mógł przetwarzać następujące dane:
- imię (imiona) i nazwisko pracownika,
- datę urodzenia pracownika,
- dane kontaktowe wskazane przez pracownika,
- wykształcenie pracownika,
- kwalifikacje zawodowe pracownika,
- przebieg dotychczasowego zatrudnienia,
- adres zamieszkania pracownika,
- numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość,
- inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy,
- wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie,
- numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych
- inne dane, jeżeli okaże się to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
Dodatkowo, ustawodawca w przepisie art. 22(1b) § 3 Kodeksu pracy wskazał, że do przetwarzania danych szczególnej kategorii pracowników mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydanych przez pracodawcę. Osoby dopuszczone do przetwarzania ww. danych są zobowiązane do zachowania ich w tajemnicy. Wskazać przy tym trzeba, że konieczność nadania upoważnień została określona już na podstawie przepisów RODO (nie wskazano jednak formy takiego upoważnienia). Z uwagi na wypełnienie zasady rozliczalności rekomendowane jest nadawanie pisemnych upoważnień do przetwarzania danych.
Podobnie jak w przypadku kandydatów, pracodawca będzie mógł przetwarzać dane o karalności pracowników, jeżeli przepis prawa tak stanowi. Dyskusyjna jest możliwość przetwarzania danych o karalności na podstawie zgody pracownika.
W Ustawie wdrożeniowej doprecyzowano również kwestie dotyczące monitoringu pracowników. Instalacja monitoringu wizyjnego w pomieszczeniach sanitarnych wymaga uzyskania przez pracodawcę uprzedniej zgody zakładowej organizacji związkowej, a jeżeli taka organizacja u pracodawcy nie występuje – uprzedniej zgody przedstawicieli pracowników wybranych w trybie przyjętym przez pracodawcę. Określono także, że monitoring nie obejmuje pomieszczeń udostępnianych zakładowej organizacji związkowej. Mając na uwadze zapisy ustawy wdrożeniowej RODO a także zmiany w Kodeksie pracy wprowadzone na podstawie przepisów RODO oraz ustawy z dnia 10 maja 2018r. o ochronie danych osobowych, dostosowanie przetwarzania danych za pomocą monitoringu jest konieczne z uwagi na planowany zakres kontroli w 2019r. przez organ nadzorczy.
Kolejną istotną kwestią, jaka została uregulowana w ustawie wdrożeniowej jest przetwarzanie danych biometrycznych pracowników. Zgodnie z nowym brzmieniem przepisu art., 22(1b) § 2 Kodeksu pracy przetwarzanie danych biometrycznych pracownika jest dopuszczalne, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony. W takim przypadku, przetwarzanie danych biometrycznych będzie możliwe bez konieczności zebrania zgody od pracownika. Przetwarzanie danych biometrycznych ze względu na kontrolę dostępu do pomieszczeń, które nie wymagają szczególnej ochrony pracowników będzie możliwe równie, gdy pracownik udzieli zgody w tym zakresie, przy czym zgoda ta musi być dobrowolna, co oznacza, że pracodawca powinien zapewnić możliwość dostępu do pomieszczeń za pośrednictwem innych środków np. z wykorzystaniem karty.
Zbieranie danych na potrzeby ZFŚS tylko na podstawie oświadczenie pracownika
Na podstawie ustawy wdrożeniowej zostaną także wprowadzone zmiany w przepisach ustawy z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych (Dz.U.2018.1316 t.j. z dnia 9 lipca 2018r. z późn. zm.). Dotyczą one formy zbierania danych osobowych tj. udostępnienie pracodawcy danych osobowych ma następować w formie oświadczenia, przy czym ustawodawca nie wskazał wzoru tego oświadczenia – konieczne będzie zatem przygotowanie przez pracodawcę przygotowanie takiego wzoru samodzielnie. Kolejną zmianą jest nadanie osobom przetwarzającym dane na potrzeby ZFŚS, indywidualnego, pisemnego upoważnienia. Ustawodawca nie wprowadził jednak zmian dotyczących tego, jakie konkretnie dane osobowe pracowników oraz członków ich rodzin będą mogły być przez przetwarzane. Nowelizacja przewiduje jedynie, że pracodawca może żądać udokumentowania danych osobowych zbieranych na potrzeby wypłacenia świadczeń z funduszu w zakresie niezbędnym do ich potwierdzenia. Konieczne jest zatem samodzielne ustalenie przez pracodawcę zakresu zbieranych danych oraz zakresu zbieranej dokumentacji, aby nie doszło przy tym do ewentualnego naruszenia zasady minimalizacji danych.
Wskazane powyżej zmiany wprowadzone ustawą wdrożeniową RODO dotyczą wyłącznie kwestii przetwarzania danych pracowników i kandydatów. Jak już wskazano, nowelizacja obejmie ponad 160 aktów prawnych, które z uwagi na zakres prowadzonej przez przedsiębiorców działalności mogą mieć realny wpływ na podejmowane działania. Pomimo tego, że od wejścia w życie RODO minęło sporo czasu, wielu przedsiębiorców nadal nie wdrożyło odpowiednich procedur lub dokumentacji. Dla tych przedsiębiorców, którzy wdrożyli zgodne z RODO procedury, ciągłe zmiany w przepisach wymagają stałego monitorowania prawidłowości ich przygotowania. Z kolei z uwagi na ogłoszone przez organ nadzorczy planowane kontrole, jest to ostatni moment na dostosowanie prowadzonej działalności do przepisów o ochronie danych osobowych.