Już jutro wchodzi w życie RODO, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; Dz.Urz. UE z 2016 r. L 119). Wiele firm już od miesięcy wdraża nowe rozwiązania w celu ochrony danych osobowych zgodnie z RODO, ale są też tacy, którzy zmiany zostawili na ostatnią chwilę. Wielu przedsiębiorców, którzy nie zdecydowali się na pomoc profesjonalistów, nawet nie wie, od czego takie zmiany rozpocząć – a przypomnieć należy, że wyzwań jest sporo.
1) Czy obowiązek informacyjny trzeba realizować wstecz?
Wielu pracodawców pyta o konieczność stosowania przepisów RODO wstecz, zwłaszcza w zakresie spełniania obowiązku informacyjnego w stosunku do zatrudnionych lub byłych pracowników. W pierwszej kolejności warto wspomnieć, że obowiązek informacyjny nie jest nową instytucją wynikającą z RODO. Dotychczasowa ustawa o ochronie danych osobowych (z 29 sierpnia 1997 r.; t.j. Dz.U. z 2016 r. poz. 922 ze zm.) również przewidywała obowiązek informowania kandydatów i pracowników, kto jest administratorem ich danych osobowych. Jednak w praktyce obowiązek ten nie był przez wielu realizowany, bo i konsekwencje nie były dotkliwe.
Pod rządami RODO jest to jeden z podstawowych obowiązków pracodawcy, który powinien być realizowany zgodnie z art. 13 tego rozporządzenia. Przepis wymienia wiele pozycji, jakie powinny się znaleźć w informacji kierowanej do kandydata czy pracownika, np. powinna być określona tożsamość pracodawcy, cele i podstawy przetwarzania danych, prawa pracownika i kandydata w zakresie przetwarzania, informacja o możliwości odwołania się do uprawnionych organów czy o odbiorcach danych itd.
Wracając do kwestii realizowania obowiązku wstecz, w mojej opinii, jeśli do 25 maja pracodawca należycie spełniał dotychczas obowiązujący obowiązek informacyjny (wynikający z ustawy o ochronie danych osobowych z 1997 r.) oraz przetwarzał dane osobowe pracowników zgodnie z dotychczasowymi przepisami prawa, nie ma potrzeby cofania się z obowiązkami wynikającymi z RODO, zwłaszcza że art. 13 RODO stanowi o spełnianiu obowiązku w chwili pozyskiwania danych. W przypadku obecnych i byłych pracowników nie dochodzi do pozyskiwania danych (ten moment nastąpił przy zatrudnieniu), co oznacza jednocześnie, że pracodawcy nie muszą nowego obowiązku informacyjnego spełniać w stosunku do obecnych oraz byłych pracowników. Jeśli jednak pracodawca obowiązku informacyjnego wcześniej nie spełnił, to zasadne jest rozważenie, czy jednak nie spełnić go teraz, wedle zasady „lepiej późno niż wcale”.
2) Czy konieczne są zmiany w przepisach wewnątrzzakładowych?
RODO co do zasady nie wymusza dokonywania zmian w regulaminach pracy czy regulaminach wynagradzania. Praktyka jednak pokazuje, że pracodawcy często w regulaminie pracy regulują kwestię związaną z ochroną danych osobowych, wskazując, kto jest administratorem danych osobowych oraz na jakiej podstawie są one przetwarzane z odesłaniem do ustawy o ochronie danych osobowych z 1997 r. Tam, gdzie takie zapisy obecnie się znajdują, trzeba będzie wprowadzić zmiany aktualizacyjne, bo, jak wiemy, ustawa o ochronie danych osobowych z 1997 r. przestanie obowiązywać i nie będzie już podstawą przetwarzania danych osobowych.
Tam, gdzie pracodawcy opracowali polityki czy procedury pracy z danymi osobowymi, w związku z RODO powinno się je zrewidować i ustalić, czy nie wymagają aktualizacji. Dotyczy to zwłaszcza polityk i procedur dotyczących prowadzenia rekrutacji, obiegu dokumentów pracowniczych, stosowania upoważnień do przetwarzania danych, archiwizowania i niszczenia dokumentów.
Odrębnym zagadnieniem jest monitoring. Tam, gdzie pracodawcy korzystają z monitoringu wizyjnego, GPS samochodów, kontrolują komputery, pocztę elektroniczną lub telefony służbowe pracowników, konieczne będzie wprowadzenie zmian w przepisach wewnątrzzakładowych, o czym szerzej w punkcie 7.
3) Czy pracodawca na stronie internetowej firmy i w intranecie może zamieścić bazę danych pracowników?
Na gruncie RODO pojawiło się wiele dyskusji na temat umieszczania danych pracowników na stronie internetowej firmy, w intranecie czy też na wizytówkach. Nie brakuje przy tym głosów, że takie działania pracodawcy po wejściu w życie RODO nie będą już możliwe, a już na pewno konieczna będzie zgoda pracownika.
Należy przypomnieć, że na gruncie RODO dane służbowe pracowników nie są wyłączone spod ochrony – nie są inną kategorią danych niż dane osobowe zwykłe. Tak było też dotychczas. Na gruncie ustawy o ochronie danych osobowych z 1997 r. dane służbowe są również danymi osobowymi podlegającymi ochronie.
Na temat przetwarzania danych służbowych niejednokrotnie wypowiadały się sądy. Sąd Najwyższy w wyroku z 19 listopada 2003 r. (sygn. akt I PK 590/02) wskazał, że: „Dla rozstrzygnięcia rozpoznawanej sprawy podstawowe znaczenie ma pytanie, czy pracodawca może ujawniać nazwisko pracownika w związku z działalnością prowadzonego przez siebie zakładu pracy i czy wymaga to zgody pracownika. (...) należy zauważyć, że najistotniejszym składnikiem zakładu pracy (przedsiębiorstwa) są ludzie, a funkcjonowanie zakładu pracy wiąże się nierozłącznie z kontaktami zewnętrznymi – z kontrahentami, klientami, administracją publiczną itd. Dlatego pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników zajmujących określone stanowiska w ramach instytucji. Przeciwne stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw pracownika. W normalnym bowiem układzie nie ma racjonalnych powodów, dla których pracownik byłby zainteresowany zachowaniem w tajemnicy swego nazwiska i, co za tym idzie, faktu związania z danym zakładem pracy. Imiona i nazwiska pracowników widnieją na drzwiach w zakładach pracy, umieszcza się je na pieczątkach imiennych, pismach sporządzanych w związku z pracą, prezentuje w informatorach o instytucjach i przedsiębiorstwa, co oznacza, że zgodnie z powszechną praktyką są one zasadniczo jawne”. Jednocześnie sąd podkreślił, że powyższe nie oznacza nieskrępowanego prawa pracodawcy do ujawniania nazwiska pracownika. Użycie danych pracownika powinno być usprawiedliwione celem działania pracodawcy łączącym się z jego zadaniami i obowiązkami związanymi z prowadzeniem zakładu, musi być niezbędne oraz nie może naruszać praw i wolności pracownika.
Zatem podstawą przetwarzania danych osobowych pracownika był dotychczas usprawiedliwiony cel pracodawcy. Takie stanowisko było popierane również przez generalnego inspektora ochrony danych osobowych, który stwierdził, że takie informacje o pracowniku, jak jego imię i nazwisko, służbowy adres e-mail czy też służbowy numer telefonu są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych. Z uwagi na to dane te mogą być wykorzystywane przez pracodawcę – także bez zgody pracownika (stanowisko opublikowane na stronie internetowej GIODO: https://giodo.gov.pl/348/id_art/1118/j/pl).
Po wejściu w życie RODO (II etap) stanowisko powyższe pozostanie aktualne. Problem pojawi się po wejściu w życie zmian do kodeksu pracy (III etap), które prawdopodobnie wykluczą usprawiedliwiony interes pracodawcy jako podstawę przetwarzania danych. Wówczas podstawą tą pozostanie jedynie zgoda pracownika. Jednak z uwagi na stosunki gospodarcze trudno przyjąć, że obrót danymi służbowymi będzie mógł się odbywać wyłącznie na podstawie zgody pracownika. W praktyce takie działanie się nie sprawdzi, biorąc pod uwagę zwłaszcza możliwość cofnięcia zgody przez pracownika w każdym czasie. Pozostaje więc liczyć w tej kwestii albo na kolejne zmiany w projektowanych przepisach, albo na rozsądek organów oraz liberalne podejście przy interpretacji przepisów.
Należy też pamiętać, że zdjęcie pracownika nie jest daną służbową. W tym zakresie umieszczanie zdjęć pracowników na stronie internetowej pracodawcy czy w intranecie po wejściu w życie zmian do kodeksu pracy (III etap) będzie wymagało zgody pracownika (argumentacja przytoczona powyżej nie znajdzie tu zastosowania). Zgoda musi być dobrowolna, jasna, konkretna i świadoma. Pracownik nie może ponosić żadnych negatywnych konsekwencji, jeśli zgody nie wyrazi. W tym przypadku, w mojej ocenie, nie jest dobrym wyjściem umieszczanie klauzul zgody w samej umowie o pracę. Należy pamiętać, że to pracodawca będzie musiał udowodnić, że zgoda została wyrażona dobrowolnie, natomiast treści umów o pracę zwyczajowo są formułowane przez pracodawców. W przypadku ewentualnego sporu na tle zgody wykazywanie przez pracownika, że wyrażenie zgody zostało mu narzucone, nie wydaje się trudne. W związku z tym sugeruje się, aby zgody były wyrażane przez pracowników w drodze odrębnego oświadczenia (dokumentu).
4) Co z dotychczas stosowanymi rozwiązaniami biometrycznymi, np. w celu wejścia na teren firmy?
Dane biometryczne doczekały się własnych uregulowań prawnych. Zawiera je projekt ustawy dostosowującej do RODO z 8 maja 2018 r., wprowadzający m.in. zmiany w kodeksie pracy. Przewiduje on, że przetwarzanie danych biometrycznych (np. odczytu siatkówki oka, odcisków palców) jest dopuszczalne wtedy, gdy:
1) jest to niezbędne do wypełnienia obowiązku pracodawcy nałożonego przepisem prawa,
2) podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.
Przesłanką przetwarzania danych biometrycznych nie będzie zatem zgoda pracownika. Co to oznacza w praktyce? Tam, gdzie dotychczas przetwarzanie danych biometrycznych odbywało się na podstawie zgody pracownika lub na podstawie usprawiedliwionego celu pracodawcy, np. żeby rozliczać czas pracy pracownika, po wejściu w życie zmian do kodeksu pracy nie będzie to już możliwe. Pracodawcy powinni więc zweryfikować cele przetwarzania danych biometrycznych z przesłankami wskazanymi powyżej i swoją praktykę do tych zasad dostosować.
5) Czy na potrzeby benefitów wymagana będzie zgoda?
Do wejścia w życie RODO pracodawcy pozyskiwali dane osobowe na potrzeby benefitów, posiłkując się zgodą pracownika na przekazanie tych danych danemu dostawcy. Natomiast praktyka rynkowa dotycząca stosowania RODO pomiędzy pracodawcami i dostawcami usług benefitowych (karty sportowej, prywatnej opieki medycznej, ubezpieczeń na życie), która wykształciła się w ostatnim czasie, wskazuje, że w tych stosunkach dostawca usług jest administratorem danych osobowych pracownika, natomiast pracodawca pełni funkcję procesora (podmiotu przetwarzającego dane). Oznacza to, że pracodawca na zlecenie dostawcy pobiera i przekazuje mu dane osobowe pracowników korzystających z benefitu. Wówczas pracodawca nie potrzebuje zgody na przetwarzanie przez niego danych osobowych pracownika, bo podstawą przetwarzania jest umowa zawarta z dostawcą usług o powierzeniu przetwarzania danych, przy czym cel i zakres przetwarzania określa dostawca. Pracownicy w stosowanych przez dostawców formularzach wyrażają zgodę na przetwarzanie ich danych osobowych przez dostawcę. Danych tych pracodawca nie może jednak przetwarzać we własnych celach. Zatem pozyskiwanie zgód od pracowników nie będzie konieczne i w zasadzie nie będzie miało miejsca po 25 maja, jeśli regulacje dotyczące powierzenia przetwarzania danych znajdą się w umowie pomiędzy pracodawcą a dostawcą.
6) Czy pod rządami RODO dopuszczalne będą rekrutacje ukryte?
Rekrutacje ukryte to takie, w których tożsamość pracodawcy nie jest ujawniana w momencie składania aplikacji przez kandydatów do pracy, czyli ogłoszenie z serii „znana międzynarodowa firma z branży odzieżowej zatrudni prawnika...”. Już pod rządami ustawy o ochronie danych osobowych z 1997 r. rekrutacje ukryte budziły wątpliwości, gdyż kandydat przekazywał swoje dane osobowe podmiotowi, o którym nie miał żadnych informacji, co literalnie było sprzeczne z ustawą. Jednakże takie rekrutacje stały się praktyką rynkową. Informacja o administratorze trafiała do kandydata w odpowiedzi na jego aplikację, a w praktyce takie działania nie były karane.
Pod rządami RODO problem nie zniknie. Zgodnie z art. 13 ust. 1 RODO administrator spełnia obowiązek informacyjny wobec osoby, od której dane pozyskuje, podczas pozyskiwania tych danych. To oznacza, że w chwili przekazywania danych osobowych przez kandydata powinien on uzyskać informację, kto jego dane będzie przetwarzał – co nie jest możliwe w przypadku rekrutacji ukrytych. Biorąc pod uwagę dotkliwość kar za naruszanie przepisów RODO, wydaje się, że rekrutacje ukryte zostaną znacznie ograniczone lub firmy będą częściej korzystać z usług pośrednictwa w zatrudnianiu.
7) Jakie zmiany w monitoringu wizyjnym?
Również monitoring doczekał się uregulowań prawnych, i to aż podwójnych, co wprowadziło spory chaos legislacyjny. Obecnie (na dzień zamknięcia niniejszego wydania, tj. 22 maja) przepisy dotyczące monitoringu znajdują się w projekcie ustawy dostosowującej do RODO z 8 maja 2018 r. oraz w ustawie o ochronie danych osobowych z 10 maja 2018 r., do której monitoring dodano na etapie prac sejmowych. Cała ta ustawa, a zatem również regulacje dotyczące monitoringu, ma zacząć obowiązywać 25 maja 2018 r.
Przepisy określają, że monitoring wizyjny będzie mógł być stosowany przez pracodawców wyłącznie w celu:
1) zapewnienia bezpieczeństwa pracowników,
2) ochrony mienia,
3) kontroli produkcji,
4) zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.
Jest to katalog zamknięty, co oznacza, że stosowanie monitoringu w innych celach nie będzie dopuszczalne.
Przepisy wprowadzają szczegółowe zasady stosowania monitoringu, co jest bez wątpienia nowością dla pracodawców. Przewidują one m.in., że:
1) przetwarzanie danych ma być ograniczone wyłącznie do celów, do których zostały zebrane,
2) przechowanie danych może się odbywać maksymalnie przez okres nieprzekraczający 3 miesięcy od nagrania (chyba że nagranie stanowi dowód w postępowaniu, np. sądowym, wówczas termin przechowywania ulega przedłużeniu do czasu prawomocnego zakończenia postępowania),
3) cel, zakres oraz sposób stosowania monitoringu powinien być ustalony w układzie zbiorowym pracy lub w regulaminie pracy (ewentualnie w obwieszczeniu, jeśli pracodawca nie jest objęty układem lub regulaminem) – informacje te powinny być przekazane pracownikowi na piśmie przed dopuszczeniem go do pracy,
4) konieczne będzie informowanie pracowników o monitoringu nie później niż 2 tygodnie przed jego uruchomieniem,
5) pomieszczenia i tereny monitorowane muszą zostać oznaczone w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż na jeden dzień przed uruchomieniem monitoringu.
Zatem u tych przedsiębiorców, u których prowadzony jest obecnie monitoring wizyjny, oraz u tych, u których pracownicy do tej pory nie byli o nim informowani, odpowiednie regulacje monitoringu powinny znaleźć się w układzie, regulaminie lub obwieszczeniu. Zmiany powinny być implementowane jak najszybciej (de facto jeszcze przed 25 maja).
8) Co z identyfikatorami pracowników?
RODO nie zmienia dotychczasowej argumentacji dotyczącej prawa pracodawców do wymagania od pracowników, aby ci ostatni posługiwali się identyfikatorami wewnątrz organizacji pracodawcy – o ile identyfikator zawiera wyłącznie dane służbowe pracownika. Uwagi dotyczące ujawniania danych pracowników w intranecie, przedstawione powyżej, pozostają aktualne również na gruncie używania identyfikatorów. Problem pojawia się na etapie, gdy identyfikator zawiera zdjęcie, które daną służbową nie jest. Po wejściu w życie projektowanych zmian do kodeksu pracy konieczne będzie uzyskanie zgody pracownika na wykorzystywanie jego wizerunku na identyfikatorze.
9) Na jakich zasadach pracodawcy mają przechowywać bazy danych z kandydatami do pracy?
Przechowywanie danych osobowych kandydatów do pracy nie będzie mogło trwać w nieskończoność. Przepisy prawa nie określają jednak, przez jaki okres pracodawcy mogą je przechowywać. To oznacza, że pracodawcy w polityce retencyjnej powinni określić taki okres w zależności od własnych potrzeb i od tego, w związku z jakim celem dane zostały pozyskane. Jeśli kandydat wyraził zgodę na przetwarzanie danych zawartych w jego aplikacji wyłącznie w zakresie konkretnej rekrutacji, to w sytuacji gdy pracodawca go nie zatrudni, dane kandydata co do zasady powinny być usunięte po zakończonej rekrutacji (odpada bowiem cel ich przetwarzania). Pracodawca może jednak określić, że usunięcie będzie następowało np. 6 miesięcy lub rok później z uwagi na możliwość ewentualnych roszczeń ze strony kandydata. Jeśli natomiast kandydat wyrazi zgodę na przetwarzanie jego danych również w zakresie przyszłych rekrutacji, to pracodawca może określić dłuższy okres przechowywania danych kandydata, np. rok lub dwa lata od dnia pozyskania, w zależności choćby od rotacji na danym stanowisku. O okresie przechowywania danych lub o sposobie jego określania kandydat powinien być poinformowany.
10) Co ze screeningiem kandydatów do pracy?
Prześwietlanie kandydatów do pracy, np. w mediach społecznościowych czy u byłych pracodawców, jest praktyką coraz częściej stosowaną, zwłaszcza jeśli rekrutacja dotyczy wyższych stanowisk. Dopóki nie wejdą w życie planowane zmiany do kodeksu pracy (II etap), dopóty screening można, jak dotychczas, tłumaczyć usprawiedliwionym celem pracodawcy lub zgodą kandydata. Po wejściu w życie zmian (III etap) jedyną przesłanką do stosowania screeningu będzie zgoda pracownika. Aby wykazywać konkretność i jasność zgody, pracodawca powinien poinformować kandydata, zanim ten wyrazi zgodę, od kogo, skąd i jakie dane będzie pozyskiwał na jego temat. Odmowa udzielenia zgody nie będzie mogła być przyczyną negatywnego traktowania kandydata i tym samym nie będzie mogła być przyczyną wykluczenia go z rekrutacji.
3 etapy dostosowania dokumentów w działach HR
Obecnie możemy mówić o trzech etapach, w których pracodawcy będą przetwarzać dane osobowe pracowników na podstawie różnych przepisów, tj.:
ETAP I – DO 25 MAJA 2018 R.
tutaj podstawą przetwarzania danych osobowych pracowników jest art. 221 k.p. (katalog danych, jakich może żądać pracodawca od kandydata do pracy i pracownika) oraz ustawa o ochronie danych osobowych, która pozwala pracodawcom przetwarzać dane osobowe pracownika, np. na podstawie zgody lub powołując się na usprawiedliwiony interes pracodawcy (ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych najprawdopodobniej straci moc 25 maja, czyli z dniem wejścia w życie nowej ustawy o ochronie danych osobowych, uchwalonej 10 maja 2018 r. – obecnie, na dzień zamknięcia niniejszego wydania, tj. 22 maja, ta ostatnia oczekuje już tylko na podpis prezydenta i publikację w Dzienniku Ustaw);
ETAP II – OD 25 MAJA DO DNIA WEJŚCIA W ŻYCIE ZMIAN DO KODEKSU PRACY
tutaj podstawą przetwarzania danych osobowych pracowników będą art. 221 k.p. (katalog danych, jakich może żądać pracodawca od kandydata do pracy i pracownika) oraz art. 6 i 9 RODO; katalog podstaw przetwarzania danych będzie zatem szeroki – obejmie m.in. zgodę pracownika, konieczność wypełnienia obowiązku nałożonego na pracodawcę przepisem prawa, uzasadniony interes pracodawcy; w odniesieniu do podstaw z etapu I niewiele się zmieni;
ETAP III – PO WEJŚCIU W ŻYCIE PLANOWANYCH ZMIAN DO KODEKSU PRACY
wówczas najprawdopodobniej wszystkie podstawy przetwarzania danych osobowych znajdą się w kodeksie; zakres danych, jakich będzie mógł żądać pracodawca od kandydata i pracownika, będzie wyznaczał zmieniony katalog z art. 221 k.p. (np. znikną imiona rodziców, pojawią się dane kontaktowe wskazane przez kandydata), a oprócz tego podstawą przetwarzania danych będzie zgoda pracownika oraz konieczność wypełnienia obowiązku prawnego nałożonego na pracodawcę przepisem prawa; podstawą prawną przetwarzania danych nie będzie już natomiast usprawiedliwiony interes pracodawcy, co w niejednym przypadku może okazać się bardzo kłopotliwe (np. przy okazji przetwarzania zdjęcia pracownika, o czym szerzej poniżej).
Uwaga! Niezależnie od podstaw przetwarzania danych oraz bez względu na prace legislacyjne prowadzone przez polskiego ustawodawcę od 25 maja 2018 r. na pracodawcach będą ciążyły obowiązki wynikające wprost z RODO, np. konieczność spełniania obowiązku informacyjnego wobec kandydatów do pracy i pracowników według wymagań określonych w art. 13 RODO.