Nie wszystkie dane osobowe będzie można pozyskiwać w oparciu o zgodę kandydata do pracy

Rozporządzenie obowiązuje bezpośrednio i nie ma potrzeby wdrażania go przez ustawodawców krajów członkowskich. Jedynie pewne kwestie pozostawiono do decyzji krajowego prawodawcy. Prace nad nową ustawą polską o ochronie osobowych nadal trwają. Niewątpliwym plusem obowiązywania RODO we wszystkich krajach Unii Europejskiej jest ułatwienie funkcjonowania firmom w przestrzeni międzynarodowej.

Każdy pracodawca z całą pewnością będzie musiał zastosować RODO w zakresie przechowywania danych osobowych zatrudnionych pracowników oraz kandydatów do pracy.

Kwestię pozyskiwania przez pracodawcę danych osobowych od kandydatów do pracy oraz od pracowników reguluje art. 22¹ § 1 Kodeksu pracy (dalej: kp), który przewiduje, że pracodawca może żądać od kandydata do pracy (lub pracownika) podania: jego imion i nazwiska, imion jego rodziców, daty urodzenia, miejsca zamieszkania i adresu do korespondencji, wykształcenia, przebiegu dotychczasowego zatrudnienia.

W § 2 tego przepisu ustawodawca rozszerzył zakres danych, których można żądać od pracownika. Pracodawca może wymagać podania jego innych danych osobowych, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w przepisach prawa pracy. Ponadto, pracodawca może także domagać się podania numeru PESEL.   

Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca ma prawo żądać udokumentowania danych osobowych osób, o których mowa w art. 22¹ § 1 i 2 kp.  

Przykładowo przy wypełnianiu kwestionariusza osobowego pracodawca będzie mógł zażądać od pracownika podania innych danych osobowych niż wskazane powyżej pod warunkiem, że będą one miały związek ze stosunkiem pracy i pracownik wyrazi na to zgodę. Należy zwrócić uwagę, że różne dane mogą być pracodawcy potrzebne przy różnych stanowiskach pracy.

W art. 5 ust. 1 pkt. f RODO poufność i integralność są wskazane jako zasada bezpieczeństwa w przetwarzaniu danych osobowych. Również w treści art. 32 ust. 1 pkt. b RODO wprowadzono między innymi zobowiązanie administratora i podmiotu przetwarzającego do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania.

Skróci się również okres przechowywania dokumentacji pracowniczej z 50 lat na 10 lat, licząc od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł, chyba że odrębne przepisy przewidują dłuższy okres przechowywania dokumentacji pracowniczej.

Z kolei zgodnie art. 94 pkt 9a kp od 2019 r. dopuszczalne będzie prowadzenie i przechowywanie dokumentacji w sprawach związanych ze stosunkiem pracy oraz akt osobowych pracowników (dokumentacja pracownicza) w postaci papierowej lub elektronicznej. Ustawodawca, żeby zapewnić bezpieczeństwo zmiany postaci dokumentacji pracowniczej z papierowej na elektroniczną przewidział w art. 94⁸ § 2 kp jej zasady. Powinno to nastąpić przez sporządzenie odwzorowania cyfrowego, w szczególności skanu, i opatrzenie go kwalifikowanym podpisem elektronicznym lub kwalifikowaną pieczęcią elektroniczną pracodawcy lub kwalifikowanym podpisem elektronicznym upoważnionej przez pracodawcę osoby, potwierdzającym zgodność odwzorowania cyfrowego z dokumentem papierowym.

Pracodawca zarówno od kandydatów do pracy, jak i pracowników, będzie musiał uzyskać zgodę na przetwarzanie danych osobowych. Zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, że przyzwala na przetwarzanie dotyczących jej danych osobowych.  

Pracodawca będzie musiał poinformować kandydata do pracy w jakim zakresie oraz w jakim celu przekazane pracodawcy dane będą przetwarzane, na jakiej podstawie prawnej, jak długo pracodawca chce jego dane przetwarzać, informacje kto jest administratorem danych osobowych, gdzie znajduje się siedziba pracodawcy, jak skontaktować się z Inspektorem Ochrony Danych.

Pełny katalog informacji został zawarty w art. 13 RODO, natomiast warunki wyrażenia zgody w art. 7 RODO. Należy pamiętać, że kandydat może wycofać taką zgodę w każdym momencie lub ograniczyć przetwarzanie. O takich uprawnieniach dana osoba powinna zostać również poinformowana.

Również względem pracowników pracodawca będzie musiał spełnić obowiązek informacyjny. Pracodawca jest administratorem danych osobowych również pracowniczych. Pracownicy także muszą mieć zapewnione prawo dostępu do przetwarzanych danych czy prawo do ich sprostowania. Natomiast w zakresie danych, których przetwarzanie nie jest wypełnieniem obowiązku nałożonego przepisami prawa, również możliwość ich usunięcia czy ograniczenia przetwarzania.

Zgodnie z art. 9 RODO zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. W Rozporządzeniu również podano wyjątki od tej zasady.

Zgodnie z artykułem 4 ust.1 RODO dane osobowe to wszelkie  informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Rozporządzenie dotyczy wszystkich firm prowadzących działalność gospodarczą, albowiem każda firma zatrudniająca pracowników, czy też posiadająca bazę klientów przetwarza dane osobowe. Rozporządzenie z jednej strony poszerza zakres obowiązków administratorów i podmiotów przetwarzających dane, a z drugiej strony daje osobom fizycznym i organom nadzorującym narzędzia do reagowania na naruszenia.

Przez przetwarzanie danych RODO definiuje operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz informacji wymienionych w tym przepisie.

Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

Ważną zmianą, jaką wprowadza rozporządzenie jest „prawo do bycia zapomnianym”, osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;

c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;

d) dane osobowe były przetwarzane niezgodnie z prawem;

e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;

f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.

Jeżeli administrator upublicznił dane osobowe, a na mocy przywołanego powyżej przepisu ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

W rozporządzeniu wyliczone są sytuacje, w których nie można usunąć danych osobowych. W rozporządzeniu znajdziemy również regulacje umożliwiające ograniczanie przetwarzania. Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania w następujących przypadkach:

a) osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;

b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;

c) administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;

d) osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

Jeżeli przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.

Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe, jeżeli:

a) przetwarzanie odbywa się na podstawie zgody w myśl art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) lub na podstawie umowy w myśl art. 6 ust. 1 lit.b) oraz

b) przetwarzanie odbywa się w sposób zautomatyzowany.

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Przy czym „profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

RODO wprowadza ogólne warunki nakładania administracyjnych kar pieniężnych i podaje maksymalny wymiar kary. Kary powinny być proporcjonalnie do skali naruszenia przepisów i jednocześnie skuteczne i odstraszające.

W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia również osobę, której dane dotyczą, o takim naruszeniu.

Zgodnie ze stanowiskiem GIODO, zgody na przetwarzanie danych osobowych zebrane na podstawie ustawy o ochronie danych osobowych nie tracą ważności. Należy się jednak upewnić, czy zostały pozyskane zgodnie z wymaganiami określonymi w RODO, tak by zapewnić osobom wyrażającym zgodę swobodę wyboru. Należy wskazać, że trzeba przeanalizować, na co pracownicy wyrażali zgodę, a następnie należałoby sporządzić odpowiednie informacje i zgody uzupełniające.