RODO - najważniejsze zmiany dla pracodawców i działów HR

1. Od czego pracodawcy, działy kadr, działy HR powinni zacząć przygotowania w świetle zmian w przepisach prawa dotyczących ochrony danych osobowych?

Pracodawcy, działy kadr, działy HR powinny zacząć wdrażanie RODO od wieloaspektowej analizy i oceny ryzyk. Wyniki tej analizy i oceny ryzyk będą punktem wyjścia do opracowania adekwatnych rozwiązań w danym podmiocie, w tym odpowiedniej dokumentacji.

2. Jakie są obowiązki pracodawców, jako administratorów danych, zgodnie z RODO od 25 maja 2018 r.?

Pracodawcy, jako administrator danych, wobec pracowników muszą wypełniać wszystkie obowiązki wynikające z RODO, w tym, np. obowiązek informacyjny.

3. Jaki zakres danych osobowych pracowników i kandydatów do pracy może przetwarzać pracodawca po 25 maja 2018 r.?

Pracodawca może przetwarzać po dniu 25 maja 2018 r.:

- dane osobowe pracowników w zakresie dozwolonym przez prawo pracy,

- pozostałe dane osobowe pracowników na podstawie ich zgody. Przy czym projekt nowelizacji kodeksu pracy, dodaje warunek, że musi to być korzystne dla pracownika,

- dane osobowe kandydatów do pracy na podstawie ich zgody. Przy czym projekt nowelizacji kodeksu pracy, określa czego może pracodawca żądać od kandydata. W pozostałym zakresie dodaje warunek, że musi to być korzystne dla pracownika.

Natomiast przypominam, że dane osobowe muszą być m.in.:

- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach,

- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”).

4. Co zrobić z CV i danymi kontaktowymi osób, które nie zostały zatrudnione?

To zależy od treści zgody na przetwarzanie danych osobowych kandydata. Jeżeli zgoda osoby, która nie została zatrudniona, a przetwarzanie danych w celu rekrutacji dotyczyło tylko danej rekrutacji, to dane tej osoby należy usunąć. Natomiast, jeżeli zgoda osoby, która nie została zatrudniona, a przetwarzanie danych w celu rekrutacji dotyczyło również rekrutacji przyszłych to można przetwarzać dane takiej osoby w celu przyszłych rekrutacji.

5. Co pracodawcy, działy HR powinni zrobić z dokumentami, które w aktach osobowych już są? Czy należy usunąć te dokumenty i zastąpić nowymi?

Pytanie brzmi, czy macie Państwo prawo przechowywać dane dokumenty w aktach osobowych czy też nie.

Kodeks pracy w art. 22¹ określa jakie dane pracownika może przetwarzać Pracodawca. W tym miejscu zwracam uwagę, że ustawa przepisy wprowadzające ustawę o ochronie danych osobowych, przewidują nowelizację kodeksu pracy, w tym art. 22¹.

Dane do, których przetwarzania Pracodawca nie jest uprawniony, powinny być co do zasady skutecznie usunięte.

W art. 17 ust 1 lit d) RODO mamy jasno zapisane, że należy podjąć wszelkie rozsądne działania, aby dane, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.

Uważam, że każdy stan faktyczny i prawny powinien być przez Państwa dokładnie przeanalizowany. Czasami drobiazg może spowodować udzielenie innej odpowiedzi.

6. Nowością jest uregulowanie zasad gromadzenia danych biometrycznych w zakresie zatrudnienia. Co to oznacza dla pracodawców i pracowników?

W projekcie ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 przewidziano zmiany w Kodeksie pracy, które uregulują m.in. kwestie przetwarzania danych biometrycznych pracowników w okresie zatrudnienia. Zgodnie z projektem przetwarzanie danych biometrycznych pracowników będzie dopuszczalne gdy:

będzie to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa,

podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub dostępu do pomieszczeń wymagających szczególnej ochrony.

7. Uregulowana została również kwestia stosowania monitoringu w miejscu pracy. Czy pracodawca będzie mógł monitorować pracowników? Czy będzie mógł przeglądać korespondencję pracowników zarówno mailową jak i tradycyjną?

W projekcie ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 przewidziano zmiany w Kodeksie pracy, które uregulują m.in. kwestie:

- monitoringu terenu zakładu pracy i terenu wokół zakładu pracy, Jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę,

- monitoringu poczty elektronicznej.

Z prowadzaniem monitoringu radzę poczekać aż wejdzie w życie ww. nowelizacja Kodeksu pracy. Nadmieniam, że moim zdaniem otwieranie korespondencji listowej adresowanej do pracowników jest zabronione. Projekt nowelizacji Kodeksu pracy na razie nic w tym zakresie nie zmienia.

8. Kto ponosi odpowiedzialność za naruszenie przepisów ochrony danych osobowych? Jakie są konsekwencje naruszenia?

Podmiotowi zobowiązanemu na gruncie RODO grozi za naruszenie rozporządzenia kara administracyjna sięgająca 20 mln EUR lub 4% obrotu.

Ponadto administrator lub podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem naruszającym RODO – ponosi odpowiedzialność cywilną. Osoba przetwarzająca dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniona może ponieść odpowiedzialność karną. Za ww. czyn niedozwolony grozi kara: grzywny, kara ograniczenia wolności lub kara pozbawienia wolności do lat trzech.

Dziękuję za rozmowę.

Rozmawiała: Marta Borysiuk