RODO: 10 zadań dla pracodawcy

Przez lata firmy zgromadziły zbyt dużo danych osobowych pracowników. Aby nie naruszać rozporządzenia unijnego, powinny zacząć od analizy zakładowych archiwów. Ale to tylko początek nowych obowiązków.

Aktualizacja: 09.06.2018 12:05 Publikacja: 09.06.2018 08:45

RODO: 10 zadań dla pracodawcy

Foto: Adobe Stock

Od 25 maja 2018 r. trzeba stosować Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, tzw. RODO. W tym samym dniu weszła w życie zmiana do kodeksu pracy zawierająca regulację dotyczącą monitoringu.

Brak przepisów przejściowych w zestawieniu z nowymi obwiązkami informacyjnym w tym zakresie sprawia, iż pracodawcy w obawie przed karami finansowymi, chcąc jak najszybciej osiągnąć stan zgodności z nową regulacją, ulegają pokusie wprowadzania do aktów legislacji wewnętrznej „gotowców" czy też stosowania „wzorcowych klauzul informacyjnych". Dla osób, które już jakiś czas temu postawiły sobie za cel zrozumieć RODO, tak aby dostrzec w nim nie tylko sankcje, ale też wartość dodaną dla organizacji, jest oczywiste, że droga na skróty w dalszej perspektywie może się okazać ślepą uliczką. Brak oceny monitoringu z perspektywy niezbędności jego stosowania do celu, jaki jest prawnie dopuszczalny, może generować ryzyka dla organizacji, nie wspominając już o jego wprowadzeniu w innych celach niż zostały skatalogowane w kodeksie pracy.

W atmosferze piętrzących się dylematów odnośnie tego, jak stosować nowe prawo ochrony danych osobowych, przetoczyła się już pierwsza fala klauzul informacyjnych. Pojawiły się też pierwsze żądania dostępu do danych, wydania kopii danych i zrealizowania prawa do zapomnienia.

Dostosowanie się do nowej rzeczywistości to trudne i wymagające sporych nakładów finansowych i organizacyjnych zadanie, które dotyczy również pracodawców. Jednak w ich przypadku istotne utrudnienie stanowi fakt, że przez lata nagromadzili zbyt dużą ilość danych osobowych. W pewnym stopniu jest to konsekwencja wielu obowiązków publicznoprawnych, jakie na nich spoczywają – od prowadzenia akt osobowych do sporządzania dokumentacji powypadkowej.

W schemacie postępowania pracodawców, którzy chcą dostosować się do wymogów, jakie stawia przed nimi RODO – zwłaszcza biorąc pod uwagę zasadę minimalizacji danych i ograniczenia przechowywania – należy zatem uwzględniać konieczność przeprowadzenia gruntownej inwentaryzacji zasobów, jakie niejednokrotnie skrywają archiwa zakładowe. Dla firm, które nadal są na początku procesu wdrożenia RODO, pomocne mogą w tym być poniższe wskazówki.

I. Na początek diagnoza procesów HR

Pierwszym i podstawowym krokiem, który pozwoli pracodawcy właściwie przystosować się do przepisów RODO, jest ustalenie, w jaki sposób w firmie zorganizowane są procesy z zakresu HR, w toku których dochodzi do przetwarzania danych osobowych. Chodzi przede wszystkim o:

a) identyfikację zbiorów danych, wskazanie formy przetwarzania danych oraz celów, w jakich są przetwarzane

To działanie pozwoli ustalić, jakie dane osobowe znajdują się w firmie, skąd pochodzą, do czego są wykorzystywane, a także sposób, w jaki są przetwarzane (w systemie informatycznym, w chmurze obliczeniowej czy w sposób tradycyjny).

b) inwentaryzację procesów przetwarzania danych i ustalenie narzędzi, za pomocą których przetwarzane są dane

Mogą to być np. procesy dotyczące danych kadrowo-płacowych (wnioski pracowników o urlop wypoczynkowy, wnioski o odbiór godzin nadliczbowych, listy obecności, dokumentacja szkoleniowa), prowadzone w postaci papierowej lub elektronicznej (system informatyczny). Pozwoli to określić, w jaki sposób dane osobowe są wykorzystywane oraz komu są udostępnianie (kto i kiedy ma z nimi styczność) oraz w jakim celu.

c) określenie statusu pracodawcy w procesach przetwarzania danych

Dzięki temu pracodawca powinien rozpoznać, w jakich procesach pełni rolę administratora, w jakich współadministratora, a kiedy przetwarzającego. Najczęściej będzie administratorem danych osobowych swoich pracowników, chociaż w relacji z podmiotem oferującym prywatne ubezpieczenia medyczne albo karty sportowe może być tylko podmiotem przetwarzającym (procesorem).

O uznaniu danego podmiotu za administratora decyduje samodzielne lub wspólne z innymi podmiotami (współadministrator) ustalanie celów i sposobów przetwarzania danych w ramach działalności gospodarczej, zawodowej lub statutowej. Administrator podejmuje decyzje o celu i sposobie przetwarzania, jak też ponosi odpowiedzialność o charakterze administracyjnym. Procesor zawsze przetwarza dane na zlecenie administratora, w jego imieniu, w określonym przez niego celu i zakresie. To oznacza, że kompetencje procesora nie obejmują łącznego decydowania o celach ani sposobach przetwarzania.

d) zidentyfikowanie, komu przekazywane są dane osobowe

Koniecznie należy ustalić, komu i jakim celu przekazujemy dane osobowe, a następnie doprowadzić do zawarcia lub weryfikacji umów o powierzeniu przetwarzania danych osobowych. Treść tych umów pod rządami RODO została istotnie zmodyfikowana.

II. Jak najmniej i nie dłużej, niż to konieczne

Podstawowe zasady przetwarzania danych osobowych RODO to: legalność, celowość, minimalizacja danych i ograniczenie czasowe, prawidłowość, integralność, poufność i rozliczalność.

Zasada legalności przewiduje wymóg, aby przetwarzanie odbywało się zgodnie z prawem, rzetelnie, uczciwie i w sposób przejrzysty dla osoby, której dane dotyczą. Zgodnie z zasadą celowości (ograniczonego celu) pracodawca może przetwarzać dane tylko w ściśle określonym celu, który musi być zgodny z prawem i przysługującymi uprawnieniami.

Zasada minimalizacji oznacza możliwość przetwarzanie danych pracowników tylko w takim zakresie, w jakim jest to absolutnie niezbędne do osiągnięcia celu przetwarzania. Zbierane dane osobowe muszą być adekwatne oraz ograniczone do tego, co niezbędne do osiągnięcia przyjętego celu. Co więcej, pracodawca nie może przechowywać danych przez czas dłuższy, niż jest to niezbędne do celów przetwarzania. Ograniczenie czasowe dotyczy danych w każdej formie, również kopii zapasowych. Ponadto dane zbierane przez pracodawców muszą być rzeczywiste, prawdziwe, kompletne i cały czas aktualizowane.

Zasada integralności i poufności statuuje obowiązek pełnego zabezpieczenia przetwarzanych danych. Pracodawca musi wdrożyć odpowiednie środki – nie tylko techniczne, ale i organizacyjne – aby uchronić się przed wyciekiem danych czy dostępem do nich osób nieupoważnionych. Co więcej, odpowiada on za przestrzeganie przepisów o ochronie danych osobowych i musi być w stanie wykazać ich przestrzeganie. W praktyce to on w toku kontroli będzie musiał przedstawić dokumentację oraz inne dane potwierdzające prawidłowe zabezpieczenie.

Wszelkie czynności związane z pozyskiwaniem danych osobowych, a następnie z ich przetwarzaniem i przechowywaniem, zawsze należy oceniać z perspektywy ww. zasad. Pracodawca jest odpowiedzialny za ich przestrzeganie i musi być w stanie wykazać, że ich nie narusza.

III. Kandydat i pracownik muszą wiedzieć

Pracodawca pozyskujący dane osobowe od osób ubiegających się o zatrudnienie i od pracowników musi wobec nich wypełnić obowiązek informacyjny. Na gruncie RODO został on mocno rozbudowany. Spełnienie tego obowiązku stanowi duże wyzwanie. Do przetwarzania danych osobowych na podstawie przesłanki niezbędności przetwarzania do wypełnienia ciążącego na administratorze obowiązku prawnego należy wskazać konkretny przepis, z którego ten obowiązek wynika. Problem w tym, że art. 221 kodeksu pracy nie wyczerpuje katalogu przepisów prawnych, na podstawie których pracodawca pozyskuje dane osobowe o pracownikach i je przetwarza. Problemu nie rozwiązuje § 4 tego artykułu, który jako podstawę prawną dla żądania innych danych niż wymienione w § 1 i 2 wskazuje „odrębne przepisy".

Analizując zarówno regulacje prawa pracy, jak i sam kodeks pracy, można dojść do przekonania, iż na każdym kroku realizacji obowiązków pracodawcy towarzyszy przetwarzanie danych osobowych, a co za tym idzie – również udokumentowanie ich wykonania. Dlatego treści informacyjne przekazywane przez pracodawców cechują się pewną ogólnością.

RODO nie określa sposobu wypełnienia obowiązku informacyjnego, więc dopuszczalna jest dowolna forma. Z ostrożności należy jednak wybrać taką, która pozwoli na wykazanie zrealizowania obowiązku informacyjnego. Pracodawcy, którzy korzystają głównie z elektronicznych systemów rekrutacyjnych, mają nieco ułatwione zadanie – mogą zamieścić stosowną informację jednorazowo.

Co istotne, zgodnie z art. 12 RODO informacja powinna być udzielana w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

IV. Umowy powierzenia przetwarzania danych

Pracodawcy bardzo często przekazują dane osobowe swoich pracowników zewnętrznym firmom. Dotąd nie zawsze towarzyszyło temu zawarcie stosownej umowy powierzenia przetwarzania danych osobowych. Podstawowym przykładem tego rodzaju powierzenia jest outsourcing usług kadrowo-płacowych lub księgowych.

Obecnie takie powierzenie jest zgodne z prawem, jeśli pracodawca zawrze umowę o powierzeniu przetwarzania danych osobowych pracowników. Podmiot przetwarzający (zewnętrzna firma) będzie wówczas działać i przetwarzać dane osobowe pracowników w imieniu i na rzecz administratora (pracodawcy) oraz dla jego celów.

Z perspektywy RODO najważniejsze jest, że dane osobowe można powierzyć wyłącznie podmiotowi, który zapewnia wystarczające gwarancje wdrożenia środków technicznych i organizacyjnych, by przetwarzanie odpowiednio chroniło prawa osób, których dane dotyczą. Pracodawcy powinni albo zweryfikować oświadczenia złożone przez firmy zewnętrzne w tym zakresie, albo określić warunki do spełnienia.

Obowiązkowe elementy umów powierzenia to m.in.:

- przedmiot i czas trwania przetwarzania,

- charakter i cel przetwarzania,

- rodzaj danych osobowych oraz kategorie osób, których dane dotyczą,

- obowiązki i prawa administratora.

Firma zewnętrzna musi zapewnić, że osoby przez nią zatrudnione, mające dostęp do danych, których administratorem jest pracodawca, zobowiążą się do zachowania ich w poufności. Ponadto musi ona współpracować z pracodawcą, organami nadzoru, a w określonych sytuacjach także bezpośrednio z osobami, których dane dotyczą. Natomiast po zakończeniu świadczenia usług związanych z przetwarzaniem – zależnie od decyzji pracodawcy (administratora) – ma obowiązek usunąć wszystkie dane osobowe lub zwrócić wszelkie dane osobowe oraz ich kopie.

V. Rejestr czynności przetwarzania

RODO nie precyzuje obowiązków dokumentacyjnych administratorów danych osobowych. Rejestr czynności przetwarzania to jeden z nielicznych wyjątków. Mimo dość szczegółowej regulacji (art. 30 RODO), wprowadzenie rejestru nie jest proste z uwagi na brak zdefiniowania pojęcia „czynności przetwarzania danych osobowych".

Pracodawcy, którzy prowadzili już rejestry zbiorów danych osobowych, w pewnym stopniu mogą z nich skorzystać, aby wskazać procesy, w toku których dochodzi do przetwarzania danych. W procesach kadrowych powinni jednak dążyć do ich uogólniania w miejsce tworzenia zbyt rozbudowanych rejestrów. Chcąc wymieniać każdy proces kadrowy z osobna, otrzymalibyśmy dokument zbyt szczegółowy i mało przejrzysty. Należy poruszać się w ramach trzech głównych obszarów: rekrutacja, etap zatrudnienia, przechowywanie danych byłych pracowników.

Rejestr czynności przetwarzania powinien zawierać:

- dane kontaktowe administratora i inspektora ochrony danych (jeśli został powołany),

- cele przetwarzania,

- opis kategorii danych osobowych oraz kategorii osób, których te dane dotyczą,

- informacje o odbiorcach, którym dane zostały udostępnione.

W rejestrze należy też zamieścić – jeśli jest to możliwe – planowane terminy usunięcia poszczególnych kategorii danych oraz ogólny opis środków technicznych stosowanych do zabezpieczenia danych.

VI. Ochrona i bezpieczeństwo

Zgodnie z art. 32 RODO, pracodawca będący administratorem danych ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne dla zapewnienia odpowiedniego stopnia ich bezpieczeństwa. Jako kryteria doboru właściwych środków RODO wymienia:

- stan wiedzy technicznej,

- koszt wdrażania,

- charakter, zakres i cel przetwarzania,

- ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia o wadze zagrożenia.

Wśród środków technicznych i organizacyjnych RODO wymienia np.:

1) pseudonimizację i szyfrowanie danych osobowych,

2) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,

3) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Administrator powinien dążyć do zapewnienia stopnia bezpieczeństwa danych osobowych odpowiadającego ryzyku naruszenia praw i wolności osób fizycznych.

RODO nie daje konkretnych wskazówek co do rozwiązań, jakie należy wdrożyć w celu zabezpieczenia danych osobowych. Wskazuje cel, do jakiego pracodawca ma dążyć, ale nie podaje metody jego osiągnięcia. Określa się to jako neutralność technologiczną.

Nie ma jednolitego wskazania, jak często należy zmieniać hasło do komputera pracownika ani zakazu korzystania z pamięci przenośnych. W niektórych przypadkach wystarczające jest odpowiednie zabezpieczenie pomieszczenia, w którym przechowywane są dane oraz wyznaczenie osoby odpowiedzialnej za dostęp do nich. W innych przypadkach – gdy przetwarzane są dane szczególnej kategorii (np. dotyczące zdrowia) – zabezpieczenie technologiczne powinno być znacznie bardziej zaawansowane. Aby to ustalić, konieczne jest przeprowadzenie oceny ryzyka. Jednak zgodnie z przewidzianym w RODO podejściem opartym na analizie ryzyka, nie zawsze obowiązkowe będzie tzw. przeprowadzenie oceny skutków dla ochrony danych. Jest ono konieczne wyłącznie wtedy, gdy przetwarzanie danych osobowych „może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych" (art. 35 RODO).

Wskazówki co do tego, co może stanowić ryzyko wiążące się z przetwarzaniem danych, zawiera motyw 75 RODO. Wymienia przykładowe sytuacje stanowiące zagrożenie dla praw i wolności podmiotów danych. Na jego podstawie można wskazać następujące ryzyka naruszenia praw i wolności:

1. przetwarzanie danych osobowych może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności jeżeli może ono poskutkować:

- dyskryminacją,

- kradzieżą tożsamości lub oszustwem dotyczącym tożsamości,

- stratą finansową,

- naruszeniem dobrego imienia,

- naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną,

2. osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi,

3. przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa,

4. oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych,

5. przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci,

6. przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

VII. Gotowość na wypadek kontroli

Bardzo istotne jest, aby od strony organizacyjnej pracodawca był przygotowany na ewentualność wszczęcia kontroli lub na konieczność zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych oraz podmiotów danych o fakcie naruszenia ochrony danych osobowych.

Zgodnie z obowiązującą od 25 maja ustawą o ochronie danych osobowych postępowanie kontrolne może być prowadzone zgodnie z zatwierdzonym planem kontroli, ale może też być zainicjowane „informacją" otrzymaną przez Prezesa Urzędy Ochrony Danych Osobowych (PUODO). Kontrolujący działający z ramienia PUODO nie ma obowiązku uprzedzenia o kontroli. W jej ramach jest uprawniony m.in. do:

- wstępu na teren kontroli w godzinach 6.00 – 22.00,

- wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli.

Z tej perspektywy warto zwrócić uwagę na dwie kwestie. Po pierwsze określenie przedmiotowego zakresu kontroli stanowi obowiązkowy element imiennego upoważnienia do przeprowadzenia kontroli, z którym pracodawca powinien się zapoznać. Po drugie, kontrolowany musi obecnie wskazać osobę upoważnioną do reprezentowania go w trakcie kontroli. Podejmowanie czynności zmierzających do wyłonienia takiej osoby i udzielenia jej pisemnego upoważnienia w czasie, gdy w firmie już jest prowadzona kontrola, może wywołać niepotrzebne zamieszanie.

Odpowiednie przygotowanie organizacji do takiej kontroli jest istotne również ze względu na presję, jaką może powodować wprowadzenie odpowiedzialności karnej m.in. za utrudnianie kontrolującemu prowadzenia postępowania (art. 108 ustawy).

VIII. Prewencja na wypadek incydentów naruszenia

Gdy dojdzie do naruszenia ochrony danych osobowych, administrator ma obowiązek „bez zbędnej zwłoki" – w miarę możliwości nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia – zgłosić ten fakt Prezesowi Urzędu Ochrony Danych Osobowych. W razie zgłoszenia po tym terminie, należy wyjaśnić przyczyny opóźnienia. Administrator nie musi jednak zgłaszać incydentu dotyczącego danych osobowych, jeśli jest mało prawdopodobne, aby skutkował on naruszeniem praw lub wolności osób fizycznych.

W pierwszej kolejności pracodawca powinien zatem odpowiedzieć na pytanie, czy doszło do naruszenia danych osobowych, a jeśli doszło – czy skutkowało to ryzykiem naruszenia praw lub wolności osób fizycznych.

Zgodnie z punktem 12 art. 4 RODO „naruszenie ochrony danych osobowych" oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Wynika z tego, że pracodawcy powinni szczególnie zadbać o właściwe przechowywanie dokumentacji pracowniczej, której stan nierzadko pozostawia wiele do życzenia. Warto też zweryfikować, czy podmioty świadczące usługi archiwizacji dają należyte gwarancje właściwego przechowywania dokumentacji.

Ryzykiem dla pracodawców jest zarówno ujawnienie danych osobowych podmiotom nieuprawnionym, jak i utrata danych osobowych, które pracodawca powinien przechowywać z uwagi na publicznoprawne obowiązki.

Jeśli dany przypadek naruszenia ochrony danych osobowych powoduje wysokie ryzyko naruszenia praw lub wolności osoby fizycznej, pracodawca ma obowiązek zawiadomić ją o tym naruszeniu. Takie zawiadomienie nie jest konieczne, gdy po incydencie zastosował takie środki, które eliminują wysokie ryzyko naruszenia praw lub wolności, a także wtedy, gdy zawiadomienie wymagałoby niewspółmiernie dużego wysiłku.

Niezależnie od obowiązku informacyjnego, wszystkie stwierdzone przypadki naruszeń trzeba dokumentować. W tym celu należy prowadzić stosowny rejestr, podając w nim:

- okoliczności danego zdarzenia,

- jego skutki,

- podjęte działania zaradcze.

W razie odstąpienia od notyfikacji, zasadne jest zamieszczenie w rejestrze informacji o podstawie podjęcia takiej decyzji. Powołując się na motyw 85 RODO administrator powinien wskazać, z jakich przyczyn uznał za mało prawdopodobne naruszenie praw i wolności osób fizycznych.

Prowadzenia dokumentacji naruszeń nie wolno lekceważyć. Należy ją prowadzić w taki sposób, aby na jej podstawie organ nadzorczy mógł zweryfikować, czy administrator właściwie realizuje obowiązki.

W związku z powyższym pracodawca powinien po pierwsze uświadomić zatrudnione osoby, że jak najwcześniejsze zgłoszenie samych podejrzeń naruszenia ochrony danych osobowych może zniwelować konieczność notyfikacji. Po drugie powinien też wprowadzić obowiązek stosowania się do procedury postępowania.

IX. Wyznaczenie Inspektora Ochrony Danych Osobowych

Z 25 maja br. administratorzy bezpieczeństwa informacji (ABI) stali się z mocy prawa inspektorami ochrony danych osobowych. Na tej podstawie mogą pełnić tę funkcję do 1 września 2018 r. W okresie przejściowym można jednak wyznaczyć inną osobę na to stanowisko. Administrator danych musi zawiadomić Prezesa Urzędu o wybranym IODO w terminie 14 dni od jego wyznaczenia.

Pracodawca może odwołać osobę, która stała się IODO bez zawiadomienia Prezesa Urzędu – ale tylko wówczas, gdy jako administrator danych nie ma obowiązku wyznaczać inspektora.

Administrator danych osobowych, który nie posiadał ABI, a na podstawie RODO musi wyznaczyć IODO, ma na to czas do 31 lipca 2018 r.

RODO nie nakłada obowiązku powoływania inspektora na wszystkich pracodawców. Muszą go wyznaczyć organy publiczne oraz podmioty, których:

1) główna działalność wiąże się z przetwarzaniem danych na dużą skalę, a zakres, charakter i cele tego przetwarzania wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, albo

2) główna działalność wiąże się z przetwarzaniem danych na dużą skalę szczególnych kategorii danych osobowych (wymienionych w art. 9 RODO) lub danych dotyczących wyroków skazujących.

Ustalenie, czy ten obowiązek istnieje, należy do wewnętrznych zadań pracodawcy. Swoją ocenę powinien uzasadnić (udokumentować), biorąc pod uwagę wytyczne unijnej Grupy Roboczej ds. ochrony danych.

Dobrowolne wyznaczenie kompetentnego inspektora może być pomocne. Jego wsparcie merytoryczne ułatwi przestrzeganie przepisów, pomoże przygotować wymaganą dokumentację i zapewni bieżący kontakt z organami nadzorczymi. Jednak z drugiej strony RODO gwarantuje inspektorom duży zakres niezależności i swobody, utrudniając pracodawcom np. odwołanie inspektora i pociągnięcie go do odpowiedzialności. Jednocześnie inspektora należy informować o sprawach wiążących się z danymi osobowymi, zapewnić jego udział w spotkaniach i konsultować bieżące kwestie, bez możliwości wpływania na jego opinie. Przyczyny działań niezgodnych z zalecaniami inspektora administrator musi uzasadniać. Gdy dodać do tego konieczność poniesienia nakładów na organizację pracy i widmo konfliktu interesów, potencjalne korzyści mogą się okazać mniejsze niż ryzyka.

Dane kontaktowe IODO należy podać do ogólnej wiadomości osób, których dane osobowe firma przetwarza.

X. Monitoring na nowych zasadach

Nowa ustawa o ochronie danych osobowych wprowadziła do kodeksu pracy przepisy dotyczące monitorowania pracowników, w tym stosowania monitoringu wizyjnego oraz monitorowania poczty elektronicznej, a także innych nie wymienionych wprost w przepisach form monitoringu (np. GPS, monitoring aktywności w sieci itp.). Nowe przepisy określają enumeratywnie, w jakich celach prowadzenie monitoringu przez pracodawców jest legalne. Nakładają też obowiązek uregulowania zagadnień związanych z monitoringiem w aktach legislacji wewnętrznej. O wprowadzeniu monitoringu należy poinformować pracowników.

Monitoring został zdefiniowany jako szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu. Pracodawca może go wprowadzić, jeśli jest to niezbędne do zapewnienia:

- bezpieczeństwa pracowników lub

- ochrony mienia lub

- kontroli produkcji lub

- zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.

Monitoring nie może obejmować pomieszczeń sanitarnych, szatni, stołówek, palarni oraz pomieszczeń udostępnianych zakładowej organizacji związkowej. Wyjątkiem jest sytuacja, gdy jego stosowanie w tych pomieszczeniach jest niezbędne do realizacji celów, o których mowa powyżej, i nie naruszy to godności ani innych dóbr osobistych pracownika, a także zasady wolności i niezależności związków zawodowych.

Co istotne, monitoring można wprowadzić jedynie wówczas, gdy jest niezbędny dla realizacji prawnie usprawiedliwionych celów pracodawcy. Ponadto należy oznaczyć teren i pomieszczenia monitorowane za pomocą odpowiednich znaków najpóźniej na jeden dzień przed jego uruchomieniem. Na obszarze objętym monitoringiem trzeba umieścić np. odpowiednie piktogramy.

Nagrania z monitoringu wolno przechowywać nie dłużej niż 3 miesiące od dnia nagrania. Jeśli jednak stanowią one dowód w postępowaniu lub pracodawca powziął wiadomość, iż mogą stanowić taki dowód – wówczas okres przechowywania ulega przedłużeniu do czasu prawomocnego zakończenia postępowania.

Z kolei monitoring poczty elektronicznej można wprowadzić, jeśli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. Rozwiązania stosowane przez pracodawców w tym zakresie powinny jednak gwarantować zatrudnionym przestrzeganie tajemnicy korespondencji. Nawet jeśli z wewnętrznych regulacji przyjętych przez pracodawcę wynika zakaz korzystania z poczty służbowej do celów prywatnych, nie oznacza to, że pracodawca może dowolnie zapoznawać się z treścią prywatnej komunikacji.

Ustawodawca zdecydował, że do innych form monitoringu (np. stron internetowych) stosuje się odpowiednio regulacje dotyczące monitoringu poczty elektronicznej.

Pracodawca ma obowiązek poinformować pracowników o wprowadzeniu monitoringu nie później niż 2 tygodnie przed jego uruchomieniem. Nie dotyczy to jednak przypadków, gdy monitoring już jest stosowany. Przy czym obowiązek informacyjny zawsze dotyczy nowych pracowników – przed dopuszczeniem do pracy pracodawca musi przekazać im informacje dotyczące stosowanego monitoringu na piśmie.

dr Dominika Dörre-Kolasa radca prawny, partner w Kancelarii Raczkowski Paruch

Grzegorz Larek prawnik w Kancelarii Raczkowski Paruch

Od 25 maja 2018 r. trzeba stosować Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, tzw. RODO. W tym samym dniu weszła w życie zmiana do kodeksu pracy zawierająca regulację dotyczącą monitoringu.

Brak przepisów przejściowych w zestawieniu z nowymi obwiązkami informacyjnym w tym zakresie sprawia, iż pracodawcy w obawie przed karami finansowymi, chcąc jak najszybciej osiągnąć stan zgodności z nową regulacją, ulegają pokusie wprowadzania do aktów legislacji wewnętrznej „gotowców" czy też stosowania „wzorcowych klauzul informacyjnych". Dla osób, które już jakiś czas temu postawiły sobie za cel zrozumieć RODO, tak aby dostrzec w nim nie tylko sankcje, ale też wartość dodaną dla organizacji, jest oczywiste, że droga na skróty w dalszej perspektywie może się okazać ślepą uliczką. Brak oceny monitoringu z perspektywy niezbędności jego stosowania do celu, jaki jest prawnie dopuszczalny, może generować ryzyka dla organizacji, nie wspominając już o jego wprowadzeniu w innych celach niż zostały skatalogowane w kodeksie pracy.

Pozostało 95% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Prawo karne
Przeszukanie u posła Mejzy. Policja znalazła nieujawniony gabinet
Prawo dla Ciebie
Nowe prawo dla dronów: znikają loty "rekreacyjne i sportowe"
Edukacja i wychowanie
Afera w Collegium Humanum. Wykładowca: w Polsce nie ma drugiej takiej „drukarni”
Edukacja i wychowanie
Rozporządzenie o likwidacji zadań domowych niezgodne z Konstytucją?
Praca, Emerytury i renty
Są nowe tablice GUS o długości trwania życia. Emerytury będą niższe