#zostanwdomuzGBS: "RODO REWOLUCJA” – czy także dla pracodawcy?
W ramach cyklu #zostanwdomuzGBS udostępniamy artykuł Eweliny Domerackiej-Smolnej pt. "RODO REWOLUCJA” – czy także dla pracodawcy? Artykuł ukazał się w "Głosie Banków Spółdzielczych" nr 3/2019.
„RODO REWOLUCJA” – czy także dla pracodawcy?
Wejście w życie RODO, ustawy o ochronie danych osobowych, a następnie ustawy sektorowej stanowiło apogeum regulacyjnych wyzwań w związku z koniecznością implementacji nowych rozwiązań związanych z przetwarzaniem danych osobowych, nie tylko w relacji bank – klient, ale także pracodawca – pracownik.
Po roku obowiązywania RODO, jak również wejściu w życie ustaw w pełni wdrażających przedmiotowe rozporządzenie, przyszedł czas na podsumowanie dotyczące efektywności i prawidłowości wdrożonych rozwiązań w zakresie bezpieczeństwa przetwarzania danych związanych z zatrudnieniem, jak również podjęcia kolejnych implementacyjnych działań.
Celem niniejszego artykułu jest przybliżenie zagadnień, na które warto zwrócić uwagę, dokonując wymaganych na gruncie RODO cyklicznych przeglądów wdrożonych regulacji, jak również wątpliwości pojawiających się w praktycznym stosowaniu nowych przepisów w zakresie ochrony danych osobowych.
1. Podstawy przetwarzania danych osobowych przez pracodawcę
Pracodawca jako administrator danych osobowych swoich pracowników oraz osób ubiegających się o zatrudnienie ma obowiązek zapewnić, by przetwarzanie ich danych odbywało się w sposób zgodny z prawem, czytelny i przejrzysty, zapewniający bezpieczeństwo ich przechowywania, jak również w zakresie niezbędnym do celów, w których są wykorzystywane.
Do podstawowych przesłanek legalizujących przetwarzanie danych osobowych ww. osób należą:
1) wykonanie umowy, której stroną jest osoba, której dane dotyczą lub podjęcie działań na żądanie tej osoby, przed zawarciem umowy (art. 6 ust. 1 lit. b RODO);
2) wypełnienie obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO);
3) niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora (art. 6 ust. 1 lit. f RODO);
4) zgoda osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO), w przypadku braku możliwości przetwarzania danych osobowych na innej podstawie .
Zgodnie z wprowadzoną przez ustawę sektorową zmianą, pracodawca może przetwarzać na podstawie zgody dane osobowe pracowników oraz kandydatów do pracy w następującym zakresie:
- dane „zwykłe”, tj. niebędące danymi wrażliwymi, zarówno z ich inicjatywy, jak i własnej, jednak należy pamiętać, że dane te muszą być niezbędne dla pracodawcy;
- dane wrażliwe (art. 9 RODO), tj. informacje dotyczące pochodzenia rasowego lub etnicznego, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej oraz dane dotyczące zdrowia, seksualności oraz orientacji seksualnej osoby mogą być przetwarzane na podstawie zgody wyłącznie, jeżeli zostały podane z własnej
woli. Pracodawca nie może wymagać wyrażenia zgody na udostępnienie powyższych danych.
Ustawodawca wprost wyłączył możliwość przetwarzania danych dotyczących wyroków skazujących i naruszeń prawa na podstawie zgody. Dane te mogą być przetwarzane wyłącznie, kiedy przepis prawa na to pozwala. W przypadku instytucji finansowych podstawę przetwarzania przedmiotowych danych stanowi Ustawa z dnia 12 kwietnia 2018 r. o zasadach pozyskiwania informacji o niekaralności osób ubiegających się o zatrudnienie i osób zatrudnionych w podmiotach sektora finansowego (Dz.U. z 2018, poz. 1130).
Co istotne, począwszy od 4 maja br. do przetwarzania danych wrażliwych mogą zostać dopuszczone jedynie osoby posiadające pisemne upoważnienie od pracodawcy.
Ponadto, wraz z uzyskaniem od pracodawcy przedmiotowego upoważnienia osoba upoważniona powinna podpisać oświadczenie zobowiązujące ją do zachowania w tajemnicy przetwarzanych danych.
2. Obowiązek informacyjny
Niezależnie od obowiązku informacyjnego wobec klientów banku, bank jako pracodawca jest zobowiązany spełnić przedmiotowy obowiązek również wobec swoich pracowników, jak również osób ubiegających się o zatrudnienie. Dokładny zakres klauzuli informacyjnej określa art. 13 ust. 1 RODO.
Szczególną uwagę należy zwracać na precyzyjne określanie podstaw przetwarzania danych i jego celu, okresu przechowywania danych osobowych, czy też wskazanie odbiorców danych osobowych – przy czym warto pamiętać, że klauzula dla kandydata do pracy oraz dla pracownika będą różnić się od siebie w tym zakresie. Ponadto, w przypadku zatrudnienia pracownika zmienia się zakres niezbędnych informacji, które pracownik powinien otrzymać w związku z ich przetwarzaniem przez pracodawcę.
Problem dotyczący różnicy w zakresie przekazywanych informacji można rozwiązać na dwa sposoby:
- dwie odrębne klauzule informacyjne dla pracowników oraz kandydatów do pracy;
- umieszczenie w klauzuli informacyjnej dla kandydatów uzupełniających informacji dotyczących celu przetwarzania danych i wskazanie odbiorców danych w razie zatrudnienia kandydata.
Niezależnie od powyższego, w regulaminie pracy warto umieścić klauzulę informacyjną wraz z określeniem sposobu i trybu wykonywania przysługujących pracownikowi praw w związku z przetwarzaniem jego danych przez pracodawcę, tj. w szczególności:
1) prawa dostępu do swoich danych oraz otrzymania ich kopii;
2) prawa do sprostowania (poprawiania) swoich danych osobowych;
3) prawa do ograniczenia przetwarzania danych osobowych;
4) prawa do usunięcia danych osobowych.
2.1 Obowiązek informacyjny a przetwarzanie danych osobowych dla celów ZFŚS
W przypadku przetwarzania danych osobowych dla celów związanych z realizacją świadczeń z zakładowego funduszu świadczeń socjalnych (ZFŚS) pracodawca przetwarza dane osobowe:
- pracowników;
- niekiedy członków rodziny pracowników;
- innych osób uprawnionych, niebędących już pracownikami – np. emeryci czy renciści.
W przypadku pracowników, obowiązek informacyjny zostaje spełniony wraz z przekazaniem im klauzuli informacyjnej przy rozpoczęciu zatrudnienia. W stosunku do członków rodziny pracowników spełnienie obowiązku informacyjnego byłoby niezwykle utrudnione, czasem nawet niemożliwe. Zważywszy na powyższe, jak również ze względu na przewidzianą w przepisach prawa możliwość pozyskania danych członków rodziny dla celów związanych z realizacją świadczeń z ZFSŚ, należy przyjąć, iż w stosunku do tych osób obowiązek informacyjny będzie wyłączony na podstawie art. 14 ust. 5 lit. c RODO.
Natomiast wobec innych osób uprawnionych, niebędących już pracownikami – np. emeryci czy renciści, najlepiej wykonać przedmiotowy obowiązek poprzez przekazanie klauzuli informacyjnej w chwili składania wniosku.
3. Przetwarzanie danych osobowych w procesie rekrutacyjnym
Znowelizowany ustawą sektorową Kodeks pracy wprowadził zmiany dotyczące zakresu danych osobowych, które mogą być pozyskiwane przez pracodawcę w związku z postępowaniem rekrutacyjnym.
Z dotychczasowego katalogu danych usunięto imiona rodziców, natomiast miejsce zamieszkania zamieniono na dane kontaktowe podane przez kandydata. Ponadto dodano kategorię „kwalifikacje zawodowe”.
Począwszy od 4 maja 2019 r., do niezbędnego zakresu danych, których pracodawca może żądać od osoby ubiegającej się o zatrudnienie, należą:
1) imię (imiona) i nazwisko;
2) datę urodzenia;
3) dane kontaktowe wskazane przez taką osobę;
4) wykształcenie;
5) kwalifikacje zawodowe;
6) przebieg dotychczasowego zatrudnienia.
Po zakończeniu rekrutacji pracodawca nie jest uprawniony do przetwarzania danych osobowych kandydatów, z którymi nie nawiązał stosunku zatrudnienia. Powinien je trwale usunąć, niezwłocznie po zakończeniu procesu rekrutacyjnego, chyba że zaistniały inne przesłanki uprawniające do ich przetwarzania.
Przykładem może być zgoda udzielona przez kandydata na przetwarzanie danych osobowych dla celów przyszłych rekrutacji. Z takiej zgody musi wyraźnie wynikać, jaki jest cel przetwarzania, jak również – jaki jest jego okres.
Jednakże wydłużenie okresu przechowywania danych pozyskiwanych podczas rekrutacji powinno być wyjątkiem od zasady niezwłocznego ich usuwania.
Bez wątpienia niedopuszczalne jest przetwarzanie danych po zakończeniu procesu rekrutacyjnego wyłącznie celem zabezpieczenia się przed przyszłymi roszczeniami kandydatów do pracy, m.in. z tytułu dyskryminacji.
4. Przetwarzanie danych osobowych w okresie zatrudnienia
Ustawa sektorowa wprowadziła zmiany do kodeksu pracy również odnośnie do zakresu danych, jakie pracodawca może żądać od pracownika.
Pracodawca ma prawo żądać od pracownika, którego zdecydował się zatrudnić, podania (niezależnie od danych osobowych, które mógł od niego pozyskać w toku rekrutacji) także:
- adresu zamieszkania, numeru PESEL, a w przypadku jego braku – rodzaju i numeru dokumentu potwierdzającego tożsamość;
- innych jego danych osobowych, a także imion i nazwisk oraz dat urodzenia jego dzieci, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez niego ze szczególnych uprawnień przewidzianych w prawie pracy;
- innych danych osobowych niż pozyskane w procesie rekrutacji i wskazane wyżej, jeżeli obowiązek ich podania wynika z odrębnych przepisów;
- numeru rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.
Pracodawca może przetwarzać dane jedynie w prawnie uzasadnionych celach oraz tylko w zakresie niezbędnym do ich realizacji. Należy jednak pamiętać, iż z uwagi na specyfikę przetwarzania danych osobowych pracownika, przeważnie jego podstawę stanowią przepisy prawa lub uzasadniony interes pracodawcy. Zgoda pracownika jest potrzebna jedynie wtedy, gdy istnieje konieczność przetwarzania szerszego zakresu danych, aniżeli wynika to z przepisów prawa lub danych wrażliwych.
Przykłady:
• pracodawca może umieścić na stronie internetowej bez zgody pracownika dane osobowe ściśle związane z jego zatrudnieniem, tj. imię, nazwisko, stanowisko służbowe, telefon, e-mail, natomiast dobrowolnej zgody pracownika będzie wymagała publikacja jego wizerunku;
• na liście obecności może być odnotowany jedynie fakt nieobecności pracownika, bez wskazania przyczyny, tj. symbolu absencji. Informacje o szczególnych rodzajach nieobecności powinny znaleźć się w ewidencji czasu pracy.
4.1 Przekazywanie danych osobowych pracowników podmiotom zewnętrznym
Pracodawca, realizując swoje obowiązki, niejednokrotnie musi udostępniać dane osobowe pracownika podmiotom zewnętrznym.
- Udostępnienie danych osobowych pracowników może odbywać się na podstawie:
przepisów prawa, np. kierowania pracownika na profilaktyczne badania lekarskie wymagane przepisami prawa; - zgody pracownika – np. w przypadku dobrowolności korzystania z dodatkowych świadczeń pracowniczych;
- umowy powierzenia przetwarzania danych osobowych – np. w przypadku powierzenia danych w związku z organizowanymi szkoleniami BHP czy też outsourcingu czynności księgowych.
Zawierając umowę powierzenia przetwarzania danych należy pamiętać o następujących kwestiach:
- pracodawca, jako administrator danych osobowych, odpowiada za bezpieczeństwo powierzonych danych na równi z podmiotem przetwarzającym, z tego względu w przedmiotowej umowie muszą zostać zawarte zapisy, zapewniające bezpieczeństwo powierzonych danych, zgodne z zakresem wymaganym na gruncie RODO (art. 28 RODO i n.);
- w prowadzonym rejestrze czynności przetwarzania danych osobowych, wymaganym na gruncie art. 30 ust. 1 RODO, muszą być wskazane podmioty, którym powierzono przetwarzanie danych na podstawie takiej umowy;
- pracownik musi zostać ogólnie poinformowany o tym, iż odbiorcą jego danych osobowych są podmioty, z którymi pracodawca zawarł umowę powierzenia przetwarzania danych. Zatem odpowiednia informacja powinna zostać umieszczona w klauzuli informacyjnej w punkcie dotyczącym odbiorców danych osobowych.
4.2 Monitoring w miejscu pracy
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000) z dniem 25 maja 2018 r. wprowadziła istotną z perspektywy pracodawcy regulację w zakresie określenia szczegółowych zasad dotyczących możliwości wprowadzenia:
• monitoringu wizyjnego;
• kontrolowania poczty elektronicznej oraz aktywności pracownika w zakresie korzystania przez niego z zasobów internetu w czasie wykonywania obowiązków służbowych, z wyłączeniem możliwości monitorowania prywatnej poczty elektronicznej pracownika.
Celem wprowadzenia powyższych rozwiązań pracodawca zobowiązany jest podjąć następujące działania:
- ustalić cel, zakres oraz sposób zastosowania monitoringu w układzie zbiorowym pracy, regulaminie pracy bądź w obwieszczeniu – w przypadku, gdy nie jest obowiązany do ustalenia regulaminu pracy;
- spełnić obowiązek informacyjny wobec pracowników określony w RODO; informując jednocześnie o zakresie oraz sposobie zastosowania monitoringu;
- poinformować pracowników o planowanym uruchomieniu monitoringu, najpóźniej na
dwa tygodnie przed jego uruchomieniem. W przypadku nowych pracowników realizacja tego obowiązku powinna nastąpić przed dopuszczeniem ich do pracy.
4.3 Przetwarzanie danych osobowych a ZFŚS
Przetwarzanie danych osobowych przez pracodawcę w celu przyznawania świadczeń z ZFŚS związane jest z realizacją obowiązków pracodawcy wynikających z prowadzenia przedmiotowego funduszu. W związku z powyższym, zgoda pracownika nie jest potrzebna do przetwarzania jego danych osobowych dla powyższych celów.
Ustawa sektorowa wprowadziła istotne zmiany do ustawy o ZFŚS dotyczące szczególnych zasad pozyskiwania oraz przetwarzania danych osobowych dla celów związanych z ZFŚS.
Zmiany wprowadzone do ustawy o ZFŚS, obowiązujące od 4 maja br.:
- udostępnienie danych pracodawcy odbywa się w formie oświadczenia, jednakże pracodawca pozostaje uprawiony do żądania udokumentowania tych danych;
- wyznaczono okres przetwarzania danych, tj. niezbędny do przyznania świadczenia z funduszu oraz ustalenia ich wysokości;
- do przetwarzania danych dotyczących zdrowia niezbędne jest pisemne upoważnienie pracodawcy (dotyczy to również członków komisji socjalnych). Osoby dopuszczone do przetwarzania takich danych są zobowiązane do zachowania ich w tajemnicy;
- wprowadzenie corocznego obowiązku przeglądu danych osobowych przetwarzanych dla celów przyznawania świadczeń z ZFŚS.
5. „RODO rewolucja” – i co dalej?
Paradoksalnie, największym wyzwaniem, które niesie ze sobą „RODO rewolucja”, jest odnalezienie się w gąszczu przepisów, a co się z tym wiąże – nowych obowiązków, których spełnienie, zgodnie ze sztandarową zasadą RODO – zasadą rozliczalności, będzie musiał wykazać pracodawca jako administrator danych osobowych.
Mimo tak wielu przepisów, normy prawne wciąż pozostają niejasne, niedoprecyzowane, często bardzo ogólne, co nie ułatwia dostosowania się do nich. Niezwykle trudno znaleźć racjonalną granicę między wdrożeniem nowych wymagań a nadmierną ich implementacją.
Artykuł został przygotowany według stanu prawnego obowiązującego na dzień 6 czerwca 2019 r. oraz w oparciu o wykładnie Urzędu Ochrony Danych Osobowych przedstawione w publikacji pt. „Ochrona Danych Osobowych w miejscu pracy”. Artykuł dotyczy wybranych, zdaniem Autorki najistotniejszych, zagadnień dotyczących stosowania przepisów z zakresu ochrony danych osobowych z perspektywy pracodawcy i nie ma charakteru wiążącej opinii prawnej.
Ewelina Domeracka-Smolna
Radca prawny KZBS, absolwentka Wydziału Prawa i Administracji Uniwersytetu Warszawskiego, związana z sektorem bankowości spółdzielczej, brała udział w procesach legislacyjnych z zakresu funkcjonowania sektora bankowego, poprzednio zdobywała doświadczenie pracując w renomowanej kancelarii prawnej.