Planowane zmiany w prawie pracy wynikające z wdrożenia RODO i ich konsekwencje
14/11/2017
Ocena skutków regulacji Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE RODO przewiduje obowiązek dostosowania obowiązujących przepisów prawa pracy do wymogu zawartego w art. 6 ust 1 lit. c RODO wprowadzającego przesłankę istnienia obowiązku prawnego, jako podstawy pobierania danych osobowych.
Z uwagi na rozpoczęcie stosowania Rozporządzenia zmianom będą podlegały m.in:
- ustawa z dnia 26 czerwca 1974 r. Kodeks pracy, dalej: ustawa Kodeks pracy
- ustawa z dnia 16 września 2016 r. o szczególnych rozwiązaniach związanych z usuwaniem skutków powodzi, dalej: ustawa o szczególnych rozwiązaniach związanych z usuwaniem skutków powodzi
- ustawa z dnia 11 października 2013 r. o szczególnych rozwiązaniach związanych z ochroną miejsc pracy, dalej: ustawa o szczególnych rozwiązaniach związanych z ochroną miejsc pracy
- ustawa z dnia 13 lipca 2006 r. o ochronie roszczeń pracowniczych w razie niewypłacalności pracodawcy, dalej: ustawa o ochronie roszczeń pracowniczych w razie niewypłacalności pracodawcy.
Projekt przepisów Ministerstwa Cyfryzacji z dnia 12 września 2017 r., wprowadzających nową ustawę o ochronie danych osobowych wskazuje na kierunek i rodzaj zmian, których mogą spodziewać się pracownicy i pracodawcy w związku z nowelizacją Kodeksu pracy.
Kandydaci do pracy. Pracodawca na podstawie projektowanego art. 221 Kodeksu pracy żąda od osoby ubiegającej się o zatrudnienie następujących danych:
1) imię (imiona) i nazwisko;
2) datę urodzenia;
3) adres do korespondencji;
4) adres poczty elektronicznej albo numer telefonu;
5) wykształcenie;
6) przebieg dotychczasowego zatrudnienia.
W pierwszej kolejności warto zauważyć, iż w dotychczasowym brzmieniu Kodeksu pracy, pracodawca miał prawo żądać określonych danych, zaś w proponowanej zmianie pobranie w/w danych staje się obowiązkiem pracodawcy.
Nadto, posłużenie się przez ustawodawcę alternatywą rozłączną (tj. poczta elektroniczna albo numer telefonu) stawia rekrutujących przed koniecznością wyboru w jakiej formie chcą kontaktować się z kandydatami do pracy. Nie trudno zauważyć, iż wobec takiej konstrukcji przepisu, zdecydowanie się na przetwarzanie jednej z w/w danych sprawi, że przetwarzanie drugiej z nich stanie się bezprawne.
Planowana nowelizacja wyłącza uprawnienie pracodawcy do żądania od osoby ubiegającej się o zatrudnienie podania imion rodziców oraz adresu zamieszkania.
Pracownicy. Stosownie do projektowanego art. 221 § 1 pracodawca żąda od pracownika podania danych osobowych obejmujących:
1) adres zamieszkania;
2) numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;
3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.
Poza tym pracodawca stosownie do art. 223 § 1 żąda podania danych osobowych:
1) innych niż określone w art. 221§ 1 i 2
2) wskazanych w art. 222 § 2 i 5
− jeżeli obowiązek ich podania wynika z odrębnych przepisów lub gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa.
W założeniu nowelizacji, przetwarzanie przez pracodawcę danych pracownika w zakresie adresu do korespondencji, poczty elektronicznej i numeru telefonu, już po nawiązaniu stosunku pracy, będzie możliwe wyłącznie, gdy pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej. Należy zatem uznać, iż stosowne oświadczenie pracownika w tym zakresie musi zostać złożone najpóźniej do czasu nawiązania stosunku pracy, w przeciwnym bowiem wypadku pracodawca winien niezwłocznie zaprzestać przetwarzania tych danych.
Przetwarzanie innych danych osobowych (spoza katalogu art. 221 § 1 i 2 k.p.) będzie dopuszczalne tylko wtedy, gdy dotyczyć one będą stosunku pracy i osoba ubiegająca się o zatrudnienie lub pracownik wyrażą na to zgodę, odpowiednio w formie papierowej lub elektronicznej.
Zakazano przetwarzania danych osobowych związanych z nałogami, stanem zdrowia, życiem seksualnym oraz orientacją seksualną, nawet po uzyskaniu zgody pracownika.
Swoboda wyrażenia przez pracownika lub kandydata do pracy zgody na przetwarzanie jego danych osobowych została ściśle powiązana z zasadami ogólnymi Kodeksu pracy, a co za tym idzie odmowa zgody nie może stanowić podstawy niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować jakichkolwiek innych negatywnych konsekwencji, np. stanowić przyczyny uzasadniającej odmowę zatrudnienia, czy też wypowiedzenia stosunku pracy.
Niemniej jednak, pracodawca będzie mógł żądać podania danych osobowych, jeżeli obowiązek ich podania wynikać będzie z odrębnych przepisów lub gdy będzie to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa.
Dane biometryczne. Przez takie dane można rozumieć m.in. odciski palców, rysy twarzy, bądź skan siatkówki oka. Rozwój technologii sprawił, iż w coraz większa liczba pracodawców dąży do identyfikacji swoich pracowników właśnie za pomocą tych parametrów, zamiast kart magnetycznych, czy tradycyjnych podpisów na listach obecności.
Znowelizowany na gruncie RODO, Kodeks pracy ma w założeniu dopuszczać możliwość przetwarzania danych biometrycznych pracowników/kandydatów do pracy, przy łącznym spełnieniu dwóch warunków:
-przetwarzanie dotyczy stosunku pracy,
-kandydat do pracy/pracownik wyrazi na to zgodę w oświadczeniu w postaci papierowej lub elektronicznej.
Uregulowanie sposobu gromadzenia danych biometrycznych, uwzględniającego zapewnienie ochrony przetwarzanych danych biometrycznych odpowiedniej do zagrożeń powierzono Ministrowi właściwemu do spraw informatyzacji. Zatem po 25 maja 2018 r. pracodawcy zamierzający przetwarzać dane biometryczne pracowników powinni spełniać wymogi odpowiedniego rozporządzenia, którego projekt na dzień dzisiejszy jest nieznany.
Monitoring. Odpowiedź normatywną na coraz częściej pojawiające się zagadnienia dotyczące stosowania przez pracodawców monitoringu ma stanowić art. 224 Kodeksu pracy.
Pracodawca, jeśli uzna to za konieczne, będzie mógł zatem wprowadzić szczególny nadzór nad miejscem pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu.
Legalne wdrożenie monitoringu będzie uzasadnione tylko w następujących przypadkach:
1) zapewnieniu bezpieczeństwa pracowników,
2) ochronie mienia,
3) zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę,
Literalne brzmienie art. 224 § 1 k.p. skłania ku konstatacji, że objęcie konkretnego miejsca monitoringiem będzie uzasadnione w razie spełnienia choćby jednej z w/w przesłanek. Zgodnie z zasadą rozliczalności, którą wprowadza RODO to na pracodawcy będzie spoczywał obowiązek wykazania, że zaistniały warunki do objęcia określonego obszaru monitoringiem.
Dane osobowe uzyskane w wyniku zastosowania monitoringu pracodawca przetwarza wyłącznie do celów, dla których zostały zebrane i przechowuje przez okres niezbędny dla ich realizacji. Warto zauważyć, iż to pracodawca będzie zobowiązany samodzielnie ustalić okres retencji danych pochodzących z monitoringu, wprowadzając w tym zakresie odpowiednie wewnętrzne regulacje, np. Politykę Bezpieczeństwa Ochrony Danych Osobowych.
Ustawa określa także dwa przypadki, gdy pracodawca nie ma prawa stosować monitoringu:
1) gdy monitoring stanowi środek kontroli wykonywania pracy przez pracownika (ograniczenie celowościowe) lub
2) gdy monitoring jest stosowany w pomieszczeniach, które nie są przeznaczone do wykonywania pracy, w szczególności pomieszczeniach sanitarnych, szatniach, stołówkach lub palarniach.
Wdrażając monitoring, pracodawca będzie zobowiązany udzielić pracownikom stosownej informacji nie później niż 14 dni przed uruchomieniem kamer w sposób zwyczajowo u niego przyjęty. Nowi pracownicy winni zostać poinformowani o monitoringu najpóźniej przed dopuszczeniem ich do pracy.
Badania lekarskie. Do projektu wprowadzono również zmiany w art. 229 k.p., wprowadzające podstawę prawną do pozyskiwania i przechowywania przez pracodawcę skierowań na badania lekarskie oraz orzeczeń lekarskich wydawanych w wyniku tego skierowania, jeżeli osoba przyjmowana do pracy u innego pracodawcy posiada aktualne orzeczenie lekarskie stwierdzające brak przeciwskazań do pracy na danym stanowisku.
Niemniej jednak w przypadku stwierdzenia, że warunki określone w skierowaniu, wydanym przez pracodawcę, nie odpowiadają warunkom występującym na danym stanowisku pracy, pracodawca zwraca osobie przyjmowanej do pracy to skierowanie oraz orzeczenie lekarskie wydane w wyniku tego skierowania.
Podsumowanie. Nowelizacja Kodeksu pracy, związana z wejściem w życie RODO będzie wiązała się dla pracodawców z koniecznością inwentaryzacji danych pracowników. Jednocześnie niezbędnym będzie dostosowanie wzorców dokumentów oraz systemów informatycznych, celem uzyskania zgodności z nowymi regulacjami prawnymi. Z drugiej strony zgodnie z zasadą rozliczalności pracodawca będzie zobowiązany wykazać, że spełnia wymogi prawa w zakresie ochrony danych osobowych, co rzecz jasna wiąże się z koniecznością utworzenia wewnętrznych regulacji i procedur ochrony danych osobowych.
Projekt przepisów, o których mowa w niniejszej publikacji - przepisy wprowadzające ustawę o o ochronie danych osobowych.
Konrad Wysocki
audytor, aplikant adwokacki