Tu działa prawo pracy i źródłem pozyskiwania takich danych jest odpowiedni przepis. Przy funduszu świadczeń socjalnych – zgodnie z projektowanym art. 221 § 3 k.p. (z ustawy wprowadzającej ustawę o ochronie danych osobowych) – pracodawca żąda od pracownika podania dodatkowo informacji obejmujących jego inne dane osobowe, a także danych osobowych dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie tych informacji jest konieczne ze względu na korzystanie przez etatowca ze szczególnych uprawnień przewidzianych w prawie pracy. W tym przypadku tymi szczególnymi uprawnieniami są świadczenia z zakładowego funduszu świadczeń socjalnych (zfśs). Poza tym zgodnie z projektem ustawy o funduszu świadczeń socjalnych udostępnienie pracodawcy danych osobowych osób uprawnionych do korzystania z funduszu w celu przyznania ulgowej usługi i świadczenia oraz dopłaty z zfśs i ustalenia ich wysokości ma następować w formie oświadczenia. Pracodawca może natomiast żądać udokumentowania danych osobowych w zakresie niezbędnym do ich potwierdzenia. W szczególności może się to odbywać na podstawie oświadczeń i zaświadczeń o sytuacji życiowej (w tym zdrowotnej), rodzinnej i materialnej osoby uprawnionej. Nowa ustawa przewiduje też, że do przetwarzania danych osobowych dotyczących zdrowia wolno dopuścić wyłącznie pracowników mających pisemne upoważnienie do przetwarzania takich danych nadane przez pracodawcę, a osoby dopuszczone do ich przetwarzania muszą zachować je w tajemnicy. Ponadto szef ma prawo przechowywać dane osobowe związane z funduszem nie dłużej niż jest to niezbędne do przyznania ulgowej usługi i świadczenia oraz dopłaty oraz ustalenia ich wysokości, a także przez okres dochodzenia do nich praw lub roszczeń. Dodatkowo pracodawca przetwarzający tzw. dane funduszowe musi nie rzadziej niż raz w roku kalendarzowym przeglądać je, aby ustalić, czy niezbędne jest ich dalsze przechowywanie oraz usuwać te, których już nie potrzebuje do przetwarzania.
Także przy współpracy ze związkami zawodowymi przepisy wymuszają przetwarzanie danych. Przykładowo gdy pozyskuje się imiona i nazwiska działaczy związkowych czy osób chronionych, to takie przetwarzanie jest konieczne ze względu na wypełnianie obowiązków konsultacyjnych i całkowicie dopuszczalne.
Z ADMINISTRATOREM
Jakie wymogi związane z przetwarzaniem i ochroną danych osobowych ciążą na pracodawcach, gdy etatowiec żegna się z firmą? O czym wtedy trzeba poinformować odchodzącego?
Tu niewiele się zmieniło. Należy tylko pamiętać o tym, że osoby biorące udział w procesie rozwiązywania umów o pracę powinny być wyposażone w upoważnienia do przetwarzania danych osobowych. Nowością jest natomiast przekazanie pracownikowi – obok świadectwa pracy – precyzyjnej informacji o zasadach przechowywania jego akt osobowych po ustaniu stosunku pracy oraz o terminie ich zniszczenia.
Z 25 maja br. administratorzy bezpieczeństwa informacji (ABI) funkcjonujący u pracodawców stali się z mocy prawa inspektorami ochrony danych osobowych. Tę funkcję mogli pełnić do 1 września 2018 r. W okresie przejściowym można jednak wyznaczyć inną osobę na to stanowisko. A co dalej? Jak ma postąpić pracodawca, aby nie narazić się na zarzut, że niedostatecznie dba o bezpieczeństwo danych osobowych zatrudnionych pracowników?
Nowe przepisy przewidują, że jeżeli na administratorze danych osobowych w świetle nowych przepisów spoczywa obowiązek wyznaczenia inspektora ochrony danych osobowych, to należało powiadomić:
- do 1 września 2018 r. – gdy administrator wyznaczył administratora bezpieczeństwa przed 25 maja 2018 r. i decyduje, że ta sama osoba będzie pełnić u niego funkcję inspektora ochrony danych (art. 158 ust. 1 i 2 nowej ustawy o ochronie danych osobowych),
- do 1 września 2018 r. – gdy administrator wyznaczył administratora bezpieczeństwa informacji przed 25 maja 2018 r., ale do pełnienia funkcji inspektora ochrony danych chce wyznaczyć inną osobę (art. 158 ust. 1 ustawy),
- do 31 lipca 2018 r. – gdy administrator nie powołał administratora danych przed 25 maja 2018 r. (art. 158 ust. 4 ustawy).
Powiadomienie UODO o wyznaczeniu inspektora czyni zadość wymogom formalnym, ale to właśnie inspektorowi powierza się główne zadanie właściwie sprawowanej pieczy nad danymi przetwarzanymi przez pracodawcę.
NOWE OBOWIĄZKI
Czy i jak RODO wpłynie na zmiany przepisów o przechowywaniu dokumentacji pracowniczej, do której dojdzie od 1 stycznia 2019 r.?
Przede wszystkim dużym szokiem cywilizacyjnym będzie obowiązek niszczenia dokumentacji pracowniczej po obowiązkowym 10-letnim okresie jej przechowywania. Wielu pracodawców – pomnych złych doświadczeń z zagubioną lub zniszczoną dokumentacją pracowniczą – obawia się, że niszcząc posiadane teczki całkowicie zatrą ślady po pracowniku i w ten sposób uniemożliwią mu ustalenie praw do świadczeń u kolejnego pracodawcy lub w ZUS.
Zapewne tak jak zwykle jest z każdym „szokiem", ten też przejdzie. Zwłaszcza że nowy okres przechowywania dokumentacji liczy 10 lat. Będzie więc wystarczająco dużo czasu na oswojenie się ze zmianami. Poza tym nowe regulacje bardziej szczegółowo opisują, zwłaszcza przy stosowaniu wersji elektronicznej, zasady przechowywania dokumentacji, akcentując konieczność jej ochrony przed dostępem osób trzecich.
Zauważyłem ponadto, że RODO bardziej niż dotychczas wpływa na dopisywanie szczegółowych przepisów o zasadach przekazywania dokumentacji pracowniczej uprawnionym etatowcom, byłym pracownikom, członkom ich rodzin czy uprawnionym organom. ?
—rozmawiała Grażyna Ordak
Kluczowe przepisy
W zakresie ochrony danych osobowych obowiązują następujące akty prawne:
- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (DzUrz UE L 119 z 4 maja 2016 r., str. 1)
- ustawa z 10 maja 2018 r. o ochronie danych osobowych (DzU z 2018 r., poz. 1000)
- art. 1, art. 2, art. 3 ust. 1, art. 4–7, art. 14-22, art. 23–28, art. 31 oraz rozdziały 4, 5 i 7 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. DzU z 2016 r., poz. 922 ze zm.)