Sektor NGO

Nie wszystkie dane osobowe będzie można pozyskiwać w oparciu o zgodę kandydata do pracy

Karolina Cichocka

Autor: Karolina Cichocka

Dodano: 4 kwietnia 2018
61a42914a741779deaa4e2bde347af724b9ba7dc-medium

Od 25 maja 2018 r. w całej Unii Europejskiej, a więc także i w Polsce, zacznie obowiązywać rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. W Polsce akt ten nazywamy w skrócie RODO, czyli rozporządzenie o ochronie danych osobowych. Jakie zmiany wprowadza dla pracodawców? Sprawdź na przykładach.

Rozporządzenie obowiązuje bezpośrednio i nie ma potrzeby wdrażania go przez ustawodawców krajów członkowskich. Jedynie pewne kwestie pozostawiono do decyzji krajowego prawodawcy. Prace nad nową ustawą polską o ochronie osobowych nadal trwają. Niewątpliwym plusem obowiązywania RODO we wszystkich krajach Unii Europejskiej jest ułatwienie funkcjonowania firmom w przestrzeni międzynarodowej.

Każdy pracodawca z całą pewnością będzie musiał zastosować RODO w zakresie przechowywania danych osobowych zatrudnionych pracowników oraz kandydatów do pracy.

Kwestię pozyskiwania przez pracodawcę danych osobowych od kandydatów do pracy oraz od pracowników reguluje art. 221 § 1 Kodeksu pracy (dalej: kp), który przewiduje, że pracodawca może żądać od kandydata do pracy (lub pracownika) podania: jego imion i nazwiska, imion jego rodziców, daty urodzenia, miejsca zamieszkania i adresu do korespondencji, wykształcenia, przebiegu dotychczasowego zatrudnienia.

W § 2 tego przepisu ustawodawca rozszerzył zakres danych, których można żądać od pracownika. Pracodawca może wymagać podania jego innych danych osobowych, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w przepisach prawa pracy. Ponadto, pracodawca może także domagać się podania numeru PESEL.   

Od 1 stycznia 2019 r. pracodawca będzie mógł żądać podania numeru rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk pracownika.

Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca ma prawo żądać udokumentowania danych osobowych osób, o których mowa w art. 221 § 1 i 2 kp.  

Oprócz tego należy zaznaczyć, że pracodawca może żądać podania innych danych osobowych niż określone w § 1 i 2, jeżeli obowiązek ich podania wynika z odrębnych przepisów.

Przykładowo przy wypełnianiu kwestionariusza osobowego pracodawca będzie mógł zażądać od pracownika podania innych danych osobowych niż wskazane powyżej pod warunkiem, że będą one miały związek ze stosunkiem pracy i pracownik wyrazi na to zgodę. Należy zwrócić uwagę, że różne dane mogą być pracodawcy potrzebne przy różnych stanowiskach pracy.

Od 1 stycznia 2019 r. zmieniony zostanie również art. 94 pkt 9a i 9b kp, także pod kątem ochrony danych osobowych. Treść art. 94 pkt 9b kp zostanie rozbudowana o wskazanie, iż pracodawca, poza przechowywaniem dokumentacji w warunkach niegrożących uszkodzeniem lub zniszczeniem, obowiązany jest również do zapewnienia ich poufności, integralności, kompletności oraz dostępności.

W art. 5 ust. 1 pkt. f RODO poufność i integralność są wskazane jako zasada bezpieczeństwa w przetwarzaniu danych osobowych. Również w treści art. 32 ust. 1 pkt. b RODO wprowadzono między innymi zobowiązanie administratora i podmiotu przetwarzającego do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania.

Skróci się również okres przechowywania dokumentacji pracowniczej z 50 lat na 10 lat, licząc od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł, chyba że odrębne przepisy przewidują dłuższy okres przechowywania dokumentacji pracowniczej.

Z kolei zgodnie art. 94 pkt 9a kp od 2019 r. dopuszczalne będzie prowadzenie i przechowywanie dokumentacji w sprawach związanych ze stosunkiem pracy oraz akt osobowych pracowników (dokumentacja pracownicza) w postaci papierowej lub elektronicznej. Ustawodawca, żeby zapewnić bezpieczeństwo zmiany postaci dokumentacji pracowniczej z papierowej na elektroniczną przewidział w art. 948 § 2 kp jej zasady. Powinno to nastąpić przez sporządzenie odwzorowania cyfrowego, w szczególności skanu, i opatrzenie go kwalifikowanym podpisem elektronicznym lub kwalifikowaną pieczęcią elektroniczną pracodawcy lub kwalifikowanym podpisem elektronicznym upoważnionej przez pracodawcę osoby, potwierdzającym zgodność odwzorowania cyfrowego z dokumentem papierowym.

Zgoda

Pracodawca zarówno od kandydatów do pracy, jak i pracowników, będzie musiał uzyskać zgodę na przetwarzanie danych osobowych. Zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, że przyzwala na przetwarzanie dotyczących jej danych osobowych.  

Pracodawca będzie musiał poinformować kandydata do pracy w jakim zakresie oraz w jakim celu przekazane pracodawcy dane będą przetwarzane, na jakiej podstawie prawnej, jak długo pracodawca chce jego dane przetwarzać, informacje kto jest administratorem danych osobowych, gdzie znajduje się siedziba pracodawcy, jak skontaktować się z Inspektorem Ochrony Danych.

Pełny katalog informacji został zawarty w art. 13 RODO, natomiast warunki wyrażenia zgody w art. 7 RODO. Należy pamiętać, że kandydat może wycofać taką zgodę w każdym momencie lub ograniczyć przetwarzanie. O takich uprawnieniach dana osoba powinna zostać również poinformowana.

Również względem pracowników pracodawca będzie musiał spełnić obowiązek informacyjny. Pracodawca jest administratorem danych osobowych również pracowniczych. Pracownicy także muszą mieć zapewnione prawo dostępu do przetwarzanych danych czy prawo do ich sprostowania. Natomiast w zakresie danych, których przetwarzanie nie jest wypełnieniem obowiązku nałożonego przepisami prawa, również możliwość ich usunięcia czy ograniczenia przetwarzania.

Brak zgód lub zbieranie ich w sposób niezgodny z wymaganiami RODO może narazić Administratorów na bardzo wysokie kary finansowe.

Nie wszystkie dane osobowe będzie można pozyskiwać w oparciu o zgodę kandydata

Zgodnie z art. 9 RODO zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. W Rozporządzeniu również podano wyjątki od tej zasady.

PRZYKŁAD

Pracodawcy często przechowują zbyt dużą ilość danych o pracownikach lub przechowują je zbyt długo. Jeżeli pracodawca w celu wysłania pracownika w delegację potrzebuje od niego jakiś informacji, czy ksera dokumentów, zawierających jego dane osobowe, to po powrocie z takiej podróży powinien takie dane oraz wszelkie ksera usunąć. RODO zakazuje przechowywania takich danych przez okres dłuższy niż konieczny. Rozporządzenie wprowadza w art. 5 między innymi zasadę ograniczania celu (zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami), zasadę minimalizacji danych (adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane) oraz zasadę ograniczania przechowywania (przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane).

Czym są dane osobowe? 

Zgodnie z artykułem 4 ust.1 RODO dane osobowe to wszelkie  informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Kogo dotyczy RODO?

Rozporządzenie dotyczy wszystkich firm prowadzących działalność gospodarczą, albowiem każda firma zatrudniająca pracowników, czy też posiadająca bazę klientów przetwarza dane osobowe. Rozporządzenie z jednej strony poszerza zakres obowiązków administratorów i podmiotów przetwarzających dane, a z drugiej strony daje osobom fizycznym i organom nadzorującym narzędzia do reagowania na naruszenia.

Czym jest przetwarzanie danych osobowych?

Przez przetwarzanie danych RODO definiuje operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Prawo dostępu przysługujące osobie, której dane dotyczą

Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz informacji wymienionych w tym przepisie.

Prawo do sprostowania danych

Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

Prawo do bycia zapomnianym i prawo do ograniczania przetwarzania

Ważną zmianą, jaką wprowadza rozporządzenie jest „prawo do bycia zapomnianym”, osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;

c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;

d) dane osobowe były przetwarzane niezgodnie z prawem;

e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;

f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.

Jeżeli administrator upublicznił dane osobowe, a na mocy przywołanego powyżej przepisu ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

W rozporządzeniu wyliczone są sytuacje, w których nie można usunąć danych osobowych. W rozporządzeniu znajdziemy również regulacje umożliwiające ograniczanie przetwarzania. Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania w następujących przypadkach:

a) osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;

b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;

c) administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;

d) osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

Jeżeli przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.

Prawo do przenoszenia danych

Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe, jeżeli:

a) przetwarzanie odbywa się na podstawie zgody w myśl art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) lub na podstawie umowy w myśl art. 6 ust. 1 lit.b) oraz

b) przetwarzanie odbywa się w sposób zautomatyzowany.

Prawo do sprzeciwu

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie

Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Przy czym „profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

RODO wprowadza surowe kary

RODO wprowadza ogólne warunki nakładania administracyjnych kar pieniężnych i podaje maksymalny wymiar kary. Kary powinny być proporcjonalnie do skali naruszenia przepisów i jednocześnie skuteczne i odstraszające.

Każdy podmiot przetwarzający dane musi sobie zadać pytanie, jakie dane przetwarza.

Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu

W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia również osobę, której dane dotyczą, o takim naruszeniu.

Ważności dotychczasowych zgód na przetwarzanie danych osobowych

Zgodnie ze stanowiskiem GIODO, zgody na przetwarzanie danych osobowych zebrane na podstawie ustawy o ochronie danych osobowych nie tracą ważności. Należy się jednak upewnić, czy zostały pozyskane zgodnie z wymaganiami określonymi w RODO, tak by zapewnić osobom wyrażającym zgodę swobodę wyboru. Należy wskazać, że trzeba przeanalizować, na co pracownicy wyrażali zgodę, a następnie należałoby sporządzić odpowiednie informacje i zgody uzupełniające.

Podstawa prawna: 
  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) ((Dz. Urz. UE L 119 z 4.05.2016 ze zm.),
  • ustawa z 26 czerwca 1974 r. Kodeks Pracy (Dz.U. z 2018 r. poz. 108),
  • ustawa o zmianie niektórych ustaw w związku ze skróceniem okresu przechowywania akt pracowniczych oraz ich elektronizacją z 10 stycznia 2018 r. (Dz.U. z 2018 r. poz. 357).
Karolina Cichocka

Autor: Karolina Cichocka

radca prawny, wspólnik w Kancelarii Radców Prawnych Dudkiewicz Ciastko Cichocka s.c. z siedzibą w Poznaniu, www.kancelaria-dcc.pl
Nie ma jeszcze komentarzy do tego dokumentu.
Zaloguj się aby dodać komentarz
Dołącz do Portalu FK i odbieraj nagrody
KLUB <
wiper-pixel