fbTrack
REKLAMA
REKLAMA

Kadry

Piotr Wojciechowski: pracodawcy poradzili sobie z RODO

Adobe Stock
Od ponad trzech miesięcy przetwarzaniem danych osobowych rządzą: legalność, przejrzystość, celowość adekwatna do potrzeb, minimalizacja danych, ograniczenia czasowe, proporcjonalność oraz rozliczalność.

Rz: 25 maja br. weszło w życie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO). Pracodawcom napędziło ono sporo obaw o to, jak sobie poradzą z jego przestrzeganiem. Co nastręczyło najwięcej problemów, wątpliwości?

Piotr Wojciechowski: Ostatnie trzy miesiące to niezwykle interesujący okres. Po raz pierwszy blisko obserwuję tak powszechnie „wymuszoną" konieczność bezpośredniego stosowania rozporządzenia Unii Europejskiej. W tym czasie nasz ustawodawca przyjął w obszarze prawa pracy koncepcję asekuracyjną. Można ją sprowadzić do takiej postawy: „jak obowiązuje, to sobie radźcie, a ja będę się włączał, ale wcale mi się nie spieszy i nie muszę". Wywołuje to określone skutki. Co do zasady adresatem rozporządzeń UE są wszystkie państwa członkowskie i stowarzyszone, a te przepisy są pisane w ponadnarodowy sposób. Dlatego ich interpretacja bywa bardziej kłopotliwa. Przykładowo obok klasycznych szkół wykładni prawa, czyli tak jak uczy się studentów wykładni literalnej i funkcjonalnej, pojawiła się nowa szkoła, którą nazwałbym szkołą „na wszelki wypadek". Stąd „na wszelki wypadek" zbiera się zgody na przetwarzanie danych od pracowników, „na wszelki wypadek" podpisuje się umowy z tzw. procesorami, którzy nimi w rzeczywistości nie są, przy każdej okazji podtyka się pracownikom „na wszelki wypadek" różne informacje o ochronie danych, mimo że nie ma takiej potrzeby.

Czytaj także: RODO: 20 rzeczy, które musisz wiedzieć o RODO

Nie można tu liczyć na interwencję czy interpretację Urzędu Ochrony Danych Osobowych?

Zapewne gdy ten kurz pobitewny opadnie, Urząd Ochrony Danych Osobowych (UODO) przedstawi oficjalne stanowiska na temat relacji pracodawcy z pracownikiem, a ustawodawca wprowadzi w życie projektowaną ustawę o ochronie danych osobowych. Liczę, że to pomoże rozwiązać podstawowe problemy z zakresu ochrony danych osobowych. A precyzyjniej – dylematy, z którymi stykają się dzisiaj działy kadr.

Czego one dotyczą?

Głównie tego, czy mogą żądać zgody na przetwarzanie danych, a jeżeli tak, to o jakiej treści. Pracodawcy mają też wątpliwości co do przechowywania oryginałów dokumentów oraz tego, jak długo mogą to robić. Dobrym przykładem są dokumenty związane z ubieganiem się o świadczenia z funduszu socjalnego. Taki fundusz to przecież „wylęgarnia" danych osobowych i to nie tylko pracownika, ale również członków jego rodziny – zarówno uprawnionych do świadczeń, jak i bezpośrednio wpływających na wysokość świadczeń uzyskiwanych z funduszu.

KAMERY W FIRMIE

Ustawa o ochronie danych osobowych z 10 maja 2018 r. wprowadziła do kodeksu pracy nowe przepisy o formach nadzoru dotyczącego bezpieczeństwa pracowników, produkcji, zakładu, czyli coraz popularniejszej obecności kamer u pracodawców. Pomijała te zakłady, w których monitoring już działał. Nie przewidziała dla nich okresu przejściowego. Jak pracodawcy opanowali nowe zasady gromadzenia i przetwarzania danych osobowych pracowników i materiałów zebranych z tych urządzeń?

Akurat ta nowelizacja nie sprawiła pracodawcom dużego problemu. Zapewne dlatego, że od lat w firmach pokutował pogląd, że wszelkie inwigilacje pracowników o charakterze wizyjno-informatycznym trzeba im odpowiednio zaanonsować. Zazwyczaj więc zakłady wręczały etatowcom indywidulane informacje o obecności systemów monitorujących, zamieszczały odpowiednie postanowienia w regulaminach pracy lub bezpośrednio w miejscach, gdzie umieszczane były kamery, np. w halach produkcyjnych.

Obecne regulacje uściślają zasady stosowania monitoringu wizyjnego i poczty elektronicznej. To jest dobry przykład precyzyjnego reagowania ustawodawcy na radzenie sobie z danymi osobowymi pozyskiwanymi z takiego monitoringu. Z przepisu wynika, w jakich sytuacjach można instalować takie urządzenia, gdzie jest to dopuszczalne, jak długo wolno przechowywać informacje wynikające z zapisów wizyjnych oraz jak powiadamiać pracowników o ich istnieniu.

Jak mają postąpić te firmy, które dopiero chcą dopuścić kontrolę wizyjną?

Należy zacząć od wprowadzenia odpowiednich postanowień do wewnątrzzakładowych źródeł prawa pracy, takich jak układ zbiorowy, regulamin lub obwieszczenie. W nich zamieszcza się przepis o celu, zakresie oraz sposobie zastosowania monitoringu. Pracodawca musi też poinformować załogę o wprowadzeniu monitoringu – w przyjęty u niego sposób – nie później niż dwa tygodnie przed uruchomieniem kamer. Ponadto zanim dopuści do pracy nowo przyjmowaną osobę, powinien przekazać jej na piśmie informacje o celu, zakresie oraz sposobie zastosowania monitoringu. Ponadto gdy pracodawca wprowadza monitoring, nie później niż na dzień przed jego uruchomieniem, musi oznaczyć pomieszczenia i teren monitorowany w sposób widoczny i czytelny za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych.

WIZERUNEK I NAZWISKO

Nagrania z kamer pochodzące z pierwszych dni funkcjonowania RODO powinny już zostać skasowane, bo co do zasady pracodawca może je przechowywać maksymalnie trzy miesiące. Czy i kto może sprawdzić przestrzeganie tego przepisu? Czy pracownicy mają takie uprawnienia?

Tak. Kodeks pracy przewiduje obowiązek niszczenia zapisów z monitoringu co do zasady po trzech miesiącach. Każdy z inwigilowanych pracowników ma prawo spytać pracodawcę o realizację tego obowiązku, a kompetencje do weryfikacji wynikają z RODO. W praktyce dyskusja na ten temat prawdopodobnie będzie odbywać się za pośrednictwem pism wymienianych między stronami stosunku pracy i ostatecznym zapewnieniu pracownika o całkowitej likwidacji nagrań. Odrębną kwestią jest kontrola tego obowiązku przez zewnętrzne organy, np. inspektorów danych osobowych lub inspektorów pracy. Obie instytucje mają prawo kontrolować te zagadnienia i znając ich ustawowe umocowania do przeprowadzania nadzoru, ich skuteczność z pewnością będzie większa niż pracownika.

Pracodawcom niszczącym po trzech miesiącach zapisy z monitoringu zalecałbym jednak pozostawienie śladu po takiej likwidacji w postaci protokołu zniszczenia sporządzonego w formie pisemnej lub elektronicznej. Może się przydać do celów dowodowych.

Po wprowadzeniu unijnego rozporządzenia firmy nabrały wątpliwości, czy pracownicy mogą nosić identyfikatory z nazwiskami, czy przy drzwiach wejściowych do ich pokojów wolno zawiesić takie tabliczki, a w dziale administracji lub na portierni wyłożyć listy obecności zatrudnionych, bo są tam ich dane osobowe. Co radzić pracodawcom przy mnożeniu takich absurdów?

To pytanie obrazuje mnogość problemów, z którymi od miesięcy muszą sobie radzić pracodawcy. Jednocześnie pokutują rozbieżne poglądy o konieczności pozyskiwania specjalnych zgód oraz o braku takiej potrzeby. Tymczasem kodeks pracy dopuszcza przetwarzanie takich danych osobowych jak imię i nazwisko pracownika. W praktyce oznacza to, że nie ma przeszkód prawnych, aby pracodawcy wykorzystywali je do celów związanych bezpośrednio z wypełnianiem obowiązków służbowych i to bez konieczności uzyskiwania oddzielnych zgód od etatowca. Zatrudniający mogą zatem wręczać pracownikom identyfikatory z nazwiskami lub zamieszczać informacje na drzwiach pomieszczeń służbowych o osobach wykonujących tam zadania. Mimo to rekomendowałbym wprowadzenie do regulaminów pracy postanowień, z których wynika taki przywilej pracodawcy do przetwarzania danych w tym celu.

Inaczej natomiast rozstrzygnąłbym sprawę list obecności, do których dostęp mogą mieć wszyscy, a nierzadko również osoby spoza firmy. Zwłaszcza że listy są nośnikiem danych o obecności, absencji i często przyczynie absencji, w tym również z powodu choroby, a to już informacja o stanie zdrowia. Dlatego zalecam zmianę sposobu zgłaszania przez pracowników gotowości do wykonywania pracy uniemożliwiającą osobom trzecim wgląd do list obecności.

INFORMACJE PRZY NABORZE

RODO nakazuje poinformować kandydatów do pracy i pracowników o wypełnianiu wymogu o pozyskiwaniu danych i odpowiednim ich udokumentowaniu. Tych informacji jest sporo, a rozporządzenie ani kodeks pracy nie określają, jak należy ten obowiązek wypełnić. Jak pracodawcy powinni to robić?

U pracodawców obserwuję wydłużony proces wymiany informacji. Po wprowadzeniu do systemu ogłoszenia rekrutacyjnego powiadamia się zainteresowanych kandydatów, że muszą wyrazić generalną zgodę na przetwarzanie danych osobowych umieszczonych w życiorysie. Treść zgody jest rozbudowana o potwierdzenie pełnej świadomości kandydata, przede wszystkim odnośnie celu przetwarzania danych osobowych przekazywanych przyszłym pracodawcom. Następnie podmiot przetwarzający dane przesyła zainteresowanym pracą szczegółowe informacje o administratorze danych osobowych, możliwości kontaktu z inspektorem danych osobowych, celu przetwarzania, możliwości wyrażenia sprzeciwu co do przetwarzania danych, prawie do sprostowania, usunięcia lub ograniczenia przetwarzania, dane ewentualnych procesorów, czyli podmiotów trzecich przetwarzających dane kandydata oraz możliwości wniesienia skargi do prezesa UODO. Informacja określa też termin, do kiedy dane będą przetwarzane. Ostatecznie prosi się kandydata o potwierdzenie, że zapoznał się z tymi informacjami i dopiero po tej akceptacji rozpoczyna się właściwy proces rekrutacji. Z perspektywy formalno-prawnej są to istotne obowiązki administratora zapewniające pełną transparentność przetwarzania danych osób starających się o etat.

Przy rekrutacji pracodawcy dość powszechnie korzystają z nieformalnych źródeł pozyskiwania informacji o kandydatach, np. internetu, sfacebooka, instagrama. Czy i w jaki sposób RODO ograniczyło te praktyki? Czy kandydat może powołać się na to, że wiedza o nim, którą dysponuje przyszły szef, nie pochodzi od niego ani nie wynika z przedstawionych dokumentów?

Co do zasady takie praktyki są niedopuszczalne. Przyszły pracodawca nie może na własną rękę przetwarzać danych osób aplikujących do pracy, których nie pozyskał bezpośrednio od nich. Prawdopodobnie każdy ubiegający się o etat ma świadomość, że ogólnodostępne portale społecznościowe, w których podaje informacje o sobie, nie są tajemnicą dla osób trzecich, w tym dla potencjalnych przyszłych pracodawców. Pozyskiwanie takich danych w celu ich przetwarzania w związku z prowadzoną rekrutacją z prawnego punktu widzenia mogłoby się odbywać wyłącznie po tym, gdy świadomie zgodzi się na to osoba zainteresowana. Gdy kandydat stwierdzi, że dane osobowe, które posiada zatrudniający, pozyskał on z zewnątrz, może zgłosić sprzeciw lub poskarżyć się w UODO.

Bezpośrednio po zakończeniu naboru pracodawca musi zniszczyć uzyskane w tym procesie informacje o kandydatach. Czy może jednak, za jego zgodą, przechować np. numer telefonu i adres mailowy na wypadek organizowania następnej rekrutacji? Jakie tu obowiązują obostrzenia?

Niezbędna jest do tego akceptacja kandydata i z niej powinno jasno wynikać, na co się on zgadza. Musi więc wiedzieć, kto będzie administrował danymi osobowymi, do jakich celów i jak długo, np. rok po zakończonej rekrutacji. Przechowywanie powinno być bowiem zgodne z wytycznymi RODO, czyli adekwatne do celu, jakiemu przetwarzanie ma służyć.

ZEWNĘTRZNE USŁUGI

A jak postąpić z przetwarzaniem danych zatrudnionych osób, gdy to nie pracodawca będzie ich potrzebował i przechowywał? Coraz więcej firm korzysta z outsourcingowych usług kadrowo-płacowych lub księgowych.

W tej sytuacji niezbędna jest umowa z podmiotem, któremu pracodawca powierza dane pracowników. Taki podmiot nazwany jest procesorem danych osobowych i rozporządzenie RODO wymaga zawierania z nim szczegółowych umów. Dotyczą one przede wszystkim ustalenia rodzaju danych, które będą w ten sposób przetwarzane, gwarancji właściwego ich zabezpieczenia, terminu przechowywania i ewentualnej możliwości oddania takich danych podmiotom trzecim, tzw. podprocesorom.

ŚWIADCZENIA I DOPŁATY

W trakcie zatrudnienia firmom przybywa nowych informacji o pracownikach, gdy np. przystępują oni do zakładowej kasy zapomogowo-pożyczkowej, korzystają z funduszu świadczeń socjalnych, wstępują do związków zawodowych. Jak z tym zalewem nowych danych radzą sobie pracodawcy? Czy RODO coś zmieniło w tym zakresie?

Tu działa prawo pracy i źródłem pozyskiwania takich danych jest odpowiedni przepis. Przy funduszu świadczeń socjalnych – zgodnie z projektowanym art. 221 § 3 k.p. (z ustawy wprowadzającej ustawę o ochronie danych osobowych) – pracodawca żąda od pracownika podania dodatkowo informacji obejmujących jego inne dane osobowe, a także danych osobowych dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie tych informacji jest konieczne ze względu na korzystanie przez etatowca ze szczególnych uprawnień przewidzianych w prawie pracy. W tym przypadku tymi szczególnymi uprawnieniami są świadczenia z zakładowego funduszu świadczeń socjalnych (zfśs). Poza tym zgodnie z projektem ustawy o funduszu świadczeń socjalnych udostępnienie pracodawcy danych osobowych osób uprawnionych do korzystania z funduszu w celu przyznania ulgowej usługi i świadczenia oraz dopłaty z zfśs i ustalenia ich wysokości ma następować w formie oświadczenia. Pracodawca może natomiast żądać udokumentowania danych osobowych w zakresie niezbędnym do ich potwierdzenia. W szczególności może się to odbywać na podstawie oświadczeń i zaświadczeń o sytuacji życiowej (w tym zdrowotnej), rodzinnej i materialnej osoby uprawnionej. Nowa ustawa przewiduje też, że do przetwarzania danych osobowych dotyczących zdrowia wolno dopuścić wyłącznie pracowników mających pisemne upoważnienie do przetwarzania takich danych nadane przez pracodawcę, a osoby dopuszczone do ich przetwarzania muszą zachować je w tajemnicy. Ponadto szef ma prawo przechowywać dane osobowe związane z funduszem nie dłużej niż jest to niezbędne do przyznania ulgowej usługi i świadczenia oraz dopłaty oraz ustalenia ich wysokości, a także przez okres dochodzenia do nich praw lub roszczeń. Dodatkowo pracodawca przetwarzający tzw. dane funduszowe musi nie rzadziej niż raz w roku kalendarzowym przeglądać je, aby ustalić, czy niezbędne jest ich dalsze przechowywanie oraz usuwać te, których już nie potrzebuje do przetwarzania.

Także przy współpracy ze związkami zawodowymi przepisy wymuszają przetwarzanie danych. Przykładowo gdy pozyskuje się imiona i nazwiska działaczy związkowych czy osób chronionych, to takie przetwarzanie jest konieczne ze względu na wypełnianie obowiązków konsultacyjnych i całkowicie dopuszczalne.

Z ADMINISTRATOREM

Jakie wymogi związane z przetwarzaniem i ochroną danych osobowych ciążą na pracodawcach, gdy etatowiec żegna się z firmą? O czym wtedy trzeba poinformować odchodzącego?

Tu niewiele się zmieniło. Należy tylko pamiętać o tym, że osoby biorące udział w procesie rozwiązywania umów o pracę powinny być wyposażone w upoważnienia do przetwarzania danych osobowych. Nowością jest natomiast przekazanie pracownikowi – obok świadectwa pracy – precyzyjnej informacji o zasadach przechowywania jego akt osobowych po ustaniu stosunku pracy oraz o terminie ich zniszczenia.

Z 25 maja br. administratorzy bezpieczeństwa informacji (ABI) funkcjonujący u pracodawców stali się z mocy prawa inspektorami ochrony danych osobowych. Tę funkcję mogli pełnić do 1 września 2018 r. W okresie przejściowym można jednak wyznaczyć inną osobę na to stanowisko. A co dalej? Jak ma postąpić pracodawca, aby nie narazić się na zarzut, że niedostatecznie dba o bezpieczeństwo danych osobowych zatrudnionych pracowników?

Nowe przepisy przewidują, że jeżeli na administratorze danych osobowych w świetle nowych przepisów spoczywa obowiązek wyznaczenia inspektora ochrony danych osobowych, to należało powiadomić:

- do 1 września 2018 r. – gdy administrator wyznaczył administratora bezpieczeństwa przed 25 maja 2018 r. i decyduje, że ta sama osoba będzie pełnić u niego funkcję inspektora ochrony danych (art. 158 ust. 1 i 2 nowej ustawy o ochronie danych osobowych),

- do 1 września 2018 r. – gdy administrator wyznaczył administratora bezpieczeństwa informacji przed 25 maja 2018 r., ale do pełnienia funkcji inspektora ochrony danych chce wyznaczyć inną osobę (art. 158 ust. 1 ustawy),

- do 31 lipca 2018 r. – gdy administrator nie powołał administratora danych przed 25 maja 2018 r. (art. 158 ust. 4 ustawy).

Powiadomienie UODO o wyznaczeniu inspektora czyni zadość wymogom formalnym, ale to właśnie inspektorowi powierza się główne zadanie właściwie sprawowanej pieczy nad danymi przetwarzanymi przez pracodawcę.

NOWE OBOWIĄZKI

Czy i jak RODO wpłynie na zmiany przepisów o przechowywaniu dokumentacji pracowniczej, do której dojdzie od 1 stycznia 2019 r.?

Przede wszystkim dużym szokiem cywilizacyjnym będzie obowiązek niszczenia dokumentacji pracowniczej po obowiązkowym 10-letnim okresie jej przechowywania. Wielu pracodawców – pomnych złych doświadczeń z zagubioną lub zniszczoną dokumentacją pracowniczą – obawia się, że niszcząc posiadane teczki całkowicie zatrą ślady po pracowniku i w ten sposób uniemożliwią mu ustalenie praw do świadczeń u kolejnego pracodawcy lub w ZUS.

Zapewne tak jak zwykle jest z każdym „szokiem", ten też przejdzie. Zwłaszcza że nowy okres przechowywania dokumentacji liczy 10 lat. Będzie więc wystarczająco dużo czasu na oswojenie się ze zmianami. Poza tym nowe regulacje bardziej szczegółowo opisują, zwłaszcza przy stosowaniu wersji elektronicznej, zasady przechowywania dokumentacji, akcentując konieczność jej ochrony przed dostępem osób trzecich.

Zauważyłem ponadto, że RODO bardziej niż dotychczas wpływa na dopisywanie szczegółowych przepisów o zasadach przekazywania dokumentacji pracowniczej uprawnionym etatowcom, byłym pracownikom, członkom ich rodzin czy uprawnionym organom. ?

—rozmawiała Grażyna Ordak

Kluczowe przepisy

W zakresie ochrony danych osobowych obowiązują następujące akty prawne:

- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (DzUrz UE L 119 z 4 maja 2016 r., str. 1)

- ustawa z 10 maja 2018 r. o ochronie danych osobowych (DzU z 2018 r., poz. 1000)

- art. 1, art. 2, art. 3 ust. 1, art. 4–7, art. 14-22, art. 23–28, art. 31 oraz rozdziały 4, 5 i 7 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. DzU z 2016 r., poz. 922 ze zm.)

Źródło: Rzeczpospolita
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA