Czy po wejściu RODO pracodawca musi poinformować pracownika kto i gdzie przetwarza dane osobowe? Czy nowa ustawa o ochronie danych osobowych wymaga aby pracownik został poinformowany kto przetwarza jego dane osobowe? Czy pracodawca musi mieć zgodę pracownika na przekazanie danych osobowych do księgowej lub służby BHP? A co z udostępnianiem wizerunku pracownika?
Wielu pracodawców i przedsiębiorców zwraca się do nas z prośbą o pomoc w zw. z wejściem w życie rozporządzenia RODO oraz nowej ustawy o ochronie danych osobowych. Wychodząc na przeciw Państwa oczekiwaniom przygotowaliśmy pakiet pomocy, instrukcji oraz gotowych informacji o polityce prywatności i niezbędnych informacji dla pracowników w zw. z przetwarzaniem ich danych osobowych u podmiotów trzecich (np. biuro rachunkowe). Wystarczy opisać nam czym Twoja firma się zajmuje, ilu zatrudnia pracowników i czego Państwo potrzebują: biuro@kancelariaprawna24h.pl
Zgodnie z art. 88 RODO, państwa członkowskie mogą zawrzeć w swoich przepisach lub porozumieniach bardziej szczegółowe regulacje dotyczące m.in. przetwarzania danych osobowych pracowników, danych w trakcie rekrutacji, czy w związku z wykonywaniem obowiązków określonych przepisami. Do 25 maja 2018 r. każde państwo członkowskie zawiadamia Komisję o przepisach przyjętych na mocy art. 88 ust. 1 RODO.
Już jest nowa ustawa o ochronie danych osobowych http://prawo.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU19971330883, która uwzględnia rozporządzenie RODO.
Ustawa o RODO, zmieniając brzmienie art. 221 kodeksu pracy, wprowadzi obowiązek prawny pozyskania konkretnych danych od kandydata, co umożliwi zbieranie danych osobowych zgodnie z przesłanką zawartą w art. 6 ust. 1 lit. c RODO (prawny obowiązek ciążący na administratorze). Zgodnie ze zmianą, pracodawca żąda udostępnienia takich danych jak:
- imię (imiona) i nazwisko;
- data urodzenia;
- dane kontaktowe wskazane przez osobę ubiegającą się o pracę;
- wykształcenie (tylko jeżeli jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku);
- przebieg dotychczasowego zatrudnienia.
Od pracownika pracodawca żąda dodatkowo:
- adresu zamieszkania;
- numeru PESEL (w przypadku braku – rodzaj i nr dokumentu potwierdzającego tożsamość);
- innych danych pracownika, a także jego dzieci i innych członków najbliższej rodziny, jeżeli jest to konieczne ze względu na korzystanie pracownika ze szczególnych uprawnień przewidzianych prawem pracy.
Innych danych pracodawca żąda, jeżeli jest to niezbędne do wykonania obowiązku nałożonego na niego przepisem prawa.
Pracodawca może żądać udokumentowania powyższych danych osobowych w zakresie niezbędnym do ich potwierdzenia.
Ustawa wprowadzająca RODO przewiduje również dodanie art. 222 – 225 k.p., z których wynika, że przetwarzanie innych danych niż ww. jest dopuszczalne tylko za zgodą osoby ubiegającej się o pracę lub pracownika i tylko wtedy, gdy jest to dla nich korzystne. Przetwarzanie danych określonych art. 9 ust. 1 oraz art. 10 RODO, czyli takich jak np.: pochodzenie rasowe i etniczne, poglądy polityczne, dane dotyczące zdrowia, orientacji seksualnej, dane biometryczne, informacje o wyrokach skazujących i naruszeniach prawa, jest dopuszczalne tylko, jeżeli jest to niezbędne do wypełnienia obowiązku nałożonego na pracodawcę przepisem prawa. Dla przetwarzania danych biometrycznych przewidziano jeszcze jeden wyjątek – jest ono dopuszczalne także wtedy, gdy jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub dostęp do pomieszczenia jest szczególnie chroniony.
Przetwarzanie jest niedopuszczalne, nawet jeśli pracownik zgodzi się na przetwarzanie danych osobowych, których wg przepisów przetwarzać nie można.
Obowiązki od 25 maja 2018 r.
Opierając się na RODO, które zacznie obowiązywać już 25 maja 2018 r., zasadnym wydaje się stwierdzenie, iż pozyskiwanie i przetwarzanie danych kandydatów powinno nastąpić na podstawie uzyskanej zgody. Obecne przepisy dają jedynie możliwość żądania konkretnych danych. Ich pozyskiwanie nie może więc być oparte na istnieniu prawnego obowiązku ciążącego na administratorze (pracodawcy). Teoretycznie kandydat ma prawo odmówić podania danych, które zostały wymienione w obecnie obowiązującym art. 221 § 1 k.p., co w praktyce może oznaczać negatywne rozpatrzenie kandydatury (brak kontaktu z kandydatem, niepodanie wykształcenia, a na dane stanowisko jest wymagane konkretne wykształcenie). Należałoby jednak zmodyfikować treść zgody, aby odpowiadała ona wymogom RODO. Zgodnie z przepisami zgoda powinna być konkretna i jednoznacznie potwierdzać zezwolenie na dokonanie określonych czynności. Najlepiej byłoby skonkretyzować podmiot, któremu udziela się zgody na przetwarzanie danych oraz dokładnie określić cel przetwarzania. Administrator powinien również dopełnić obowiązku informacyjnego zawartego w art. 13 RODO.
W przypadku pracownika obecne przepisy kodeksu pracy także dają możliwość żądania konkretnych danych, jednak tutaj pracodawca może już w określonych przypadkach powołać się na obowiązek prawny. Artykuł 221 § 5 k.p. stanowi, że w zakresie nieuregulowanym ustawą, do danych zawartych § 1 – § 4, stosuje się przepisy o ochronie danych osobowych. Pracodawca ma określone prawnie obowiązki np. związane z ubezpieczeniem, prowadzeniem ksiąg rachunkowych, czy podatkami (jest płatnikiem podatku dochodowego od os. fizycznych). Jest więc uprawniony, na mocy art. 6 ust. 1 lit. c RODO, do przetwarzania zgodnie z prawem informacji, bez których nie jest w stanie dopełnić swoich obowiązków prawnych. Wszystkie informacje, które są konieczne do wypełnienia dokumentów związanych z obowiązkami pracodawcy, będą więc przetwarzane zgodnie z prawem (imię i nazwisko, adres, nr PESEL…).
Co do zasady zabrania się przetwarzania danych szczególnych kategorii, zawartych w art. 9 ust. 1 RODO. Ustęp 2 przewiduje jednak pewne wyjątki, m.in. w przypadku, kiedy jest to niezbędne do wypełnienia obowiązków i wykonania szczególnych praw z zakresu prawa pracy, zabezpieczenia społecznego i ochrony socjalnej. Do szczególnych kategorii danych zaliczają się informacje o stanie zdrowia, które będzie można przetwarzać zgodnie z prawem, w zakresie, jakim jest to konieczne do stwierdzenia braku przeciwwskazań do wykonywania określonej pracy. Zgodnie z art. 15 k.p., pracodawca jest obowiązany zapewnić pracownikom bezpieczne i higieniczne warunki pracy. Można więc przetwarzać informację o stanie zdrowia, jeżeli rodzaj pracy uzasadnia żądanie tej informacji i jest to konieczne w celu dopełnienia obowiązku zawartego w art. 15 k.p.
Inną przesłanką jest udzielenie wyraźnej zgody, w konkretnym celu (lub celach) przez osobę, której dane dotyczą lub też jeżeli przetwarzanie dotyczy danych w sposób oczywisty upublicznionych przez osobę, której dotyczą. Do danych osobowych szczególnej kategorii należą takie dane, jak poglądy polityczne, religijne, czy orientacja seksualna. Mogłoby się wydawać, że jeżeli dane są dostępne publicznie (np. w portalu społecznościowym), to ich przetwarzanie będzie zgodne z prawem. Należy się jednak zastanowić, czy w tej sytuacji dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach. Zgodnie z zasadą minimalizacji danych, należy zbierać tylko i wyłącznie dane niezbędne do realizacji celów, w których są przetwarzane. Zbieranie danych „na zapas”, do tego szczególnie wrażliwych i mogących spowodować poważne ryzyko dla podstawowych praw i wolności, będzie więc łamało zasady określone w art. 5 RODO.
Nowa ustawa o ochronie danych osobowych – Do często przetwarzanych przez pracodawcę danych osobowych kandydata, ale również pracownika, można zaliczyć wizerunek – fotografię twarzy. W definicji danych biometrycznych, zawartej w art. 4 RODO, zostały wymienione dane daktyloskopijne, czy właśnie wizerunek twarzy. Jednak przetwarzanie fotografii nie zawsze będzie stanowić przetwarzanie danych biometrycznych (zob. motyw 51 preambuły RODO). Zgodnie z definicją, dane biometryczne to dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, umożliwiające lub potwierdzające jednoznaczną identyfikację osoby. Jeżeli więc, przykładowo, kandydat wysyła swoje CV ze zdjęciem, to nie możemy na tym zdjęciu wykonywać operacji w celu identyfikacji osoby, czy wyszukiwania jej obrazem w Internecie – w tym momencie będzie to już przetwarzanie danych biometrycznych. Samo posiadanie zdjęcia zamieszczonego w CV nie będzie przetwarzaniem szczególnych kategorii danych. Oczywiście osoba, której dane dotyczą, musi wyrazić zgodę na przetwarzanie wizerunku. Zgoda musi być dobrowolna, nie można więc uzależniać rozpatrzenia CV od zamieszczenia fotografii, czy wymuszać jej dołączenia (to samo tyczy się pracowników).
Artykuł 10 RODO reguluje przetwarzanie danych osobowych dot. wyroków skazujących i naruszeń prawa, które to można przetwarzać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem (krajowym lub unijnym). Z ww. przepisu wynika, że pracodawca może przetwarzać dane o wyrokach tylko, jeśli przepis go do tego uprawnia. Jednak należy mieć na uwadze art. 52 k.p., który podaje popełnienie przestępstwa stwierdzonego prawomocnym wyrokiem za przesłankę do rozwiązania umowy bez wypowiedzenia. Mowa tu o przestępstwie popełnionym w czasie trwania umowy. Można więc stwierdzić, że w pewnych sytuacjach pozyskiwanie danych o wyrokach i naruszeniach prawa będzie dopuszczalne, jeśli przestępstwo miało miejsce w trakcie trwania umowy. W przypadku pozostałych, musi być to dozwolone przepisem prawa.
RODO a zgoda pracownika – Pracodawca musi dopełnić obowiązku informacyjnego względem pracowników i kandydatów. Zgodnie z art. 12 RODO, informacje powinny zostać przekazane w zwięzłej, przejrzystej i łatwo dostępnej formie oraz prostym językiem. Informacji najlepiej udzielić na piśmie. W stosownych przypadkach dozwolona jest również forma elektroniczna lub ustna – jeżeli jest możliwość potwierdzenia tożsamości osoby, której dane dotyczą. Artykuł 13 RODO zawiera informacje, jakich należy udzielić w przypadku zbierania danych od osoby, której dotyczą. Są to m.in.:
- tożsamość i dane kontaktowe administratora (i przedstawiciela);
- cel przetwarzania danych i podstawa prawna;
- informacje o odbiorach danych osobowych lub kategoriach odbiorców (np. biuro rachunkowe).
Pracownika należy również poinformować o przysługującym mu prawie żądania dostępu do danych osobowych (zob. art. 12 i 15 RODO), ich sprostowania, czy usunięcia (chyba że na administratorze ciąży obowiązek prawny uzasadniający przetwarzanie). Należy również podać informację, czy podanie danych jest wymogiem ustawowym, czy osoba jest zobowiązana do ich podania i jakie są konsekwencje niepodania danych.
Częstą praktyką jest korzystanie z usług podmiotów zewnętrznych, np. obsługi kadrowej lub biura rachunkowego. Z zewnętrzną firmą, poza umową o świadczenie usług, należy również zawrzeć umowę powierzenia danych, regulowaną art. 28 RODO. Obowiązkiem administratora jest wybranie takiego podmiotu, który będzie przestrzegał przepisów RODO i stosował odpowiednie zabezpieczenia. Pracownika należy poinformować o każdym odbiorcy (lub kategorii odbiorców) jego danych osobowych. Podmioty przetwarzające dane na polecenie administratora zaliczają się do kategorii odbiorców danych osobowych.
Jeżeli doszło do naruszenia ochrony danych osobowych i w konsekwencji może to spowodować wysokie ryzyko naruszenia praw i wolności pracownika, to administrator jest zobowiązany poinformować pracownika bez zbędnej zwłoki o wystąpieniu incydentu. Informowanie nie jest konieczne, jeżeli administrator zastosował odpowiednie środki ochrony (np. szyfrowanie) lub zastosował środki eliminujące wystąpienie wysokiego ryzyka (art. 34 RODO).
Jeżeli pracownik, w ramach obowiązków służbowych, ma dostęp do danych osobowych (np. klientów), to powinien działać jedynie na polecenie administratora i z jego upoważnienia. Oznacza to, że każdemu pracownikowi przetwarzającemu dane, powinno się udzielić pisemnego upoważnienia do konkretnych zbiorów danych i w konkretnym zakresie, i na określony czas.
Wraz z RODO wejdą w życie przepisy nowej ustawy o ochronie danych osobowych, dodające do kodeksu pracy regulacje dotyczące zastosowania monitoringu przez pracodawcę. Zgodnie z dodanym art. 222 k.p. pracodawca może zastosować monitoring:
- w celu zapewnienia bezpieczeństwa pracowników lub ochrony mienia;
- w celu kontroli produkcji;
- w celu zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.
Monitoring nie obejmuje pomieszczeń sanitarnych, szatni, stołówek, palarni i pomieszczeń udostępnianych zakładowej organizacji związkowej – chyba że miałoby to służyć realizacji ww. celów i nie naruszy godności osób przebywających w pomieszczeniach oraz zastosuje się techniki uniemożliwiające rozpoznanie osób.
Nagrania mogą być przetwarzane wyłącznie do celów, dla których zostały zebrane i przechowywane przez okres nieprzekraczający 3 miesięcy (po tym czasie podlegają zniszczeniu). Dłuższe przechowywanie jest dozwolone tylko w przypadku, gdy nagranie stanowi dowód w prowadzonym postępowaniu (do czasu prawomocnego zakończenia postępowania).
Pracodawca jest zobowiązany poinformować pracowników o wprowadzeniu monitoringu najpóźniej na 2 tygodnie przed jego uruchomieniem lub – w przypadku nowego pracownika – przed dopuszczeniem go do pracy. Informacji udziela się w sposób przyjęty u pracodawcy, a wraz z nią udziela się na piśmie informacji o celach, zakresie i sposobie zastosowania monitoringu. Pisemna informacja powinna być zawarta w układzie zbiorowym lub regulaminie pracy, a jeżeli powyższe nie dotyczy danego pracodawcy – w obwieszczeniu. Pomieszczenia i teren monitorowany powinny być oznaczone w sposób widoczny i czytelny (odpowiednie znaki, ogłoszenia dźwiękowe), nie później niż 1 dzień przed uruchomieniem monitoringu.
Pracodawca może wprowadzić również monitoring służbowej poczty elektronicznej pracownika, jeżeli jest to niezbędne do zapewnienia pełnego wykorzystania czasu pracy i właściwego użytkowania udostępnionych narzędzi. Monitoring poczty nie może jednak naruszać tajemnicy korespondencji i innych dóbr osobistych. Przepisy pozwalają zastosować monitoring do innych udostępnionych pracownikowi narzędzi (np. telefon), jeżeli służy to realizacji wyżej opisanych celów. Do monitoringu poczty (i innych) mają zastosowanie przepisy odnoszące się do monitoringu pomieszczeń i terenu zakładu. Należy więc poinformować pracownika o zastosowanych środkach (najpóźniej 2 tygodnie przed ich uruchomieniem) i sporządzić odpowiednią informację o celach, zakresie i sposobie zastosowania monitoringu.
Kancelaria Prawna 24h, Katowice Al. W. Korfantego 51, godz. 8:00 19:00 – pomoc w formie onilne 24h, tel. 728838858
Obowiązki pracodawcy w zw. z rodo, nowe prawa pracowników w zw. z rodo, co musi zrobić pracodawca w zw. z rodo, pomoc dla pracodawców w zw. z rodo. Nowa ustawa o ochronie danych osobowych, jakie informacje muszę mieć na stronie w związku z rodo, czy pracownik musi wyrazić zgodę na przetwarzanie danych osobowych, czy muszę mieć zgodę pracownika, czy księgowa może mieć dokumenty pracownika. Czy mogę dać dane pracownika do biura rachunkowego, nowe regulacje rodo, nowe obowiązki pracodawcy, obowiązki pracodawcy w związku z rodo, prawnik od rodo, pomoc w dostosowaniu rodo. Pomoc w dostosowaniu do nowej ustawy o ochronie danych osobowych, kancelaria prawna. Specjalista od rodo, najlepsza kancelaria prawna, dobra kancelaria prawna w Katowicach.