Jak przetwarzać dane osobowe w firmie

Regulacje takie powinny zapewniać podmiotowi danych poszanowanie jego godności, prawnie uzasadnionych interesów i podstawowych praw, w szczególności pod względem przejrzystości przetwarzania, przekazywania danych w ramach grupy przedsiębiorstw oraz systemów monitorujących w pracy.

Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 (dalej: „RODO"), które już 25 maja ma wejść w życie, dotknie wszystkie sfery gospodarki, w tym rynek pracy. Reakcją na wspomniane upoważnienie jest opublikowany przez Ministerstwo Cyfryzacji projekt ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych, która znowelizować ma między innymi normy Kodeksu pracy.

Jakie podstawy

Obecnie podstawę przetwarzania danych osób ubiegających się o zatrudnienie oraz pracowników stanowi przede wszystkim art. 221 Kodeksu pracy wespół z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Po wejściu w życie RODO normy te w obecnym kształcie nie będą mogły już być taką podstawą, nie będą się bowiem mieścić w zamkniętym katalogu podstaw przetwarzania z rozporządzenia unijnego. Nie przewiduje ono (jak to czyni obecnie polska ustawa o ochronie danych osobowych) niezbędności przetwarzania do realizacji uprawnienia wynikającego z przepisów prawa jako przesłanki przetwarzania danych osobowych. Rozwiązaniem problemu ma być projektowana zmiana art. 221 Kodeksu pracy, która nałoży na pracodawców, w miejsce ich dotychczasowych uprawnień o analogicznej treści, obowiązek żądania od pracownika podania przez niego danych osobowych wymienionych enumeratywnie w projekcie ustawy.

W pozostałym zakresie – a więc w przypadku przetwarzania kategorii danych niewymienionych w projekcie ustawy – przetwarzanie danych osoby ubiegającej się o zatrudnienie (pracownika) uzależnione ma być od zgody podmiotu danych. Będzie to nowość w polskim porządku prawnym. Do tej pory dopuszczalność przetwarzania danych innych niż wskazane w Kodeksie pracy, na zasadach ogólnych ustawy o ochronie danych osobowych – za zgodą pracownika – była dyskusyjna. Naczelny Sąd Administracyjny w wyroku z 6 września 2011 r., sygn. I OSK 1476/10 opowiedział się jednoznacznie przeciwko takiej możliwości.

Czego można żądać

W obowiązującym obecnie stanie prawnym pracodawca ma prawo do przetwarzania następujących danych osoby ubiegającej się o zatrudnienie:

- imienia i nazwiska,

- imion rodziców,

- daty urodzenia,

- miejsca zamieszkania (adresu do korespondencji),

- wykształcenia,

- przebiegu dotychczasowego zatrudnienia.

W przypadku pracownika, możliwe jest także przetwarzanie numeru PESEL oraz danych pracownika i jego dzieci, jeżeli ich podanie jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy, przykładowo uprawnień rodzicielskich przewidzianych w Kodeksie pracy.

Projekt przepisów wprowadzających ustawę o ochronie danych osobowych dodaje do powyższego katalogu adres poczty elektronicznej oraz numer telefonu osoby ubiegającej się o zatrudnienie (pracownika). Zmiana ta podyktowana jest względami praktyki – właśnie poprzez te kanały najczęściej odbywają się procesy rekrutacyjne, wobec czego należy ocenić ją pozytywnie.

Pomniejszą zmianą jest zlikwidowanie możliwości przetwarzania danych o miejscu zamieszkania osoby ubiegającej się o zatrudnienie – do momentu uzyskania statusu pracownika, pracodawca będzie mógł przetwarzać jedynie dane o adresie korespondencyjnym takiego podmiotu. Z katalogu przetwarzanych przez pracodawcę danych znikną także imiona rodziców pracownika.

Pracodawca będzie musiał pamiętać, że po zatrudnieniu pracownika, niedopuszczalne będzie dalsze przetwarzanie przez niego danych obejmujących adres poczty elektronicznej, numer telefonu oraz adres korespondencyjny, jeżeli nie uzyska on na to zgody podmiotu danych.

Omawiane dane osobowe mogą zostać przekazane pracodawcy zarówno przez osobę ubiegającą się o zatrudnienie (pracownika), jak i podmiot trzeci – przykładowo, poprzedniego pracodawcę. Kluczowe w takim wypadku będzie jednak zainicjowanie przekazania danych przez ich podmiot.

Zaznaczyć należy, że przetwarzanie tych danych możliwe będzie tylko w zakresie niezbędnym do realizacji stosunku pracy.

Na co zgodzi się pracownik

W przypadku, gdy pracodawca zechce przetwarzać dane inne niż te, do których pozyskania będzie zobowiązany na mocy znowelizowanego Kodeksu pracy, konieczne stanie się uzyskanie zgody pracownika. Zgoda ta spełniać będzie musiała ogólne wymogi RODO, a więc będzie musiała stanowić dobrowolne, konkretne, świadome, jednoznaczne okazanie woli, w formie oświadczenia bądź wyraźnego potwierdzenia.

Podmiot danych powinien mieć rzeczywisty wybór w zakresie udzielenia zgody. Wykluczony jest on w przypadku wystąpienia przymusu skierowanego na podmiot danych, a także w przypadku braku równowagi pomiędzy nim a administratorem danych. RODO godzi się jednak w tym zakresie na wyrażenie przez pracownika zgody na przetwarzanie swoich danych, mimo oczywistej nierówności występującej w stosunku pracy.

Zgoda na przetwarzanie musi być konkretna, a więc musi określać precyzyjnie cel oraz zakres przetwarzania. Nie może ona być wyrażona w sposób blankietowy bądź ogólny.

Świadomy charakter zgody oznacza, że podmiotowi danych należy uprzednio udzielić wszelkich informacji na temat przetwarzania jego danych, w tym na temat zakresu i celów przetwarzania, a także przysługujących podmiotowi danych uprawnień. Informacje te powinny być zrozumiałe dla przeciętnego odbiorcy oraz sformułowane prostym językiem.

Zgoda ma być jednoznaczna, a więc nie powinna pozostawiać wątpliwości co do woli jej wyrażenia. Z tego powodu na gruncie rozporządzenia unijnego zgoda wyrażona w formie dorozumianej (np. poprzez milczenie, poprzez niepodjęcie działania) nie będzie skuteczna.

Projekt ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych tworzy dodatkowy wymóg skuteczności zgody wyrażonej przez osobę ubiegającą się o zatrudnienie (pracownika). Będzie ona musiała być złożona w postaci elektronicznej (np. poprzez elektroniczny dokument tekstowy) bądź papierowej (w postaci pisemnego oświadczenia).

Odmowa wyrażenia zgody na przetwarzanie danych przez pracownika nie będzie mogła być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, nie będzie mogła również powodować wobec nich jakichkolwiek negatywnych konsekwencji, w tym odmowy zatrudnienia, wypowiedzenia stosunku pracy lub jego rozwiązania bez wypowiedzenia przez pracodawcę.

Szczególne kategorie danych osobowych

W przypadku przetwarzania danych na podstawie zgody pracownika, projekt ustawy Ministerstwa Cyfryzacji nie ogranicza możliwości przetwarzania danych do ogólnych ich kategorii w rozumieniu RODO. Możliwe zatem będzie przetwarzanie danych dotyczących pochodzenia rasowego, etnicznego, poglądów politycznych, przekonań religijnych, światopoglądowych oraz przynależności do związków zawodowych. Projekt wyłącza jednak dopuszczalność przetwarzania danych dotyczących nałogów, stanu zdrowia oraz życia seksualnego i orientacji seksualnej.

Pracodawca będzie mógł przetwarzać dane biometryczne, jednak tylko pod dwoma warunkami. Po pierwsze, gdy dotyczyć one będą stosunku pracy i po drugie, gdy dotyczyć będą pracownika. Niedopuszczalne będzie to w przypadku osoby ubiegającej się o zatrudnienie.

Znaczenie porozumień zbiorowych

Prawodawca unijny zezwolił na ustanowienie bardziej szczegółowych przepisów dotyczących ochrony danych pracownika nie tylko w przepisach krajowych, ale także w porozumieniach zbiorowych. W perspektywie polskiego prawa oznacza to możliwość ustanowienia odpowiednich regulacji przede wszystkim w układzie zbiorowym pracy. Nie jest z kolei możliwe uregulowanie tych treści w innym rodzaju porozumienia zbiorowego – krajowe ustawodawstwo nie zawiera bowiem podstawy prawnej do zawarcia odrębnego porozumienia zbiorowego w przedmiocie przetwarzania danych pracowników. W wypadku ustanowienia szczególnych reguł przetwarzania w układzie zbiorowym pracy należy jednak pamiętać, że muszą one być zgodne z polskim ustawodawstwem oraz z RODO – nie mogą więc wyznaczać niższego standardu ochrony. ?