Ogólne rozporządzenie o ochronie danych osobowych, czyli RODO, obowiązuje od 25 maja 2018 roku. Po jego wprowadzeniu konieczne było dostosowanie kodeksu pracy do nowych wymogów. Kolejne zmiany zaczęły obowiązywać od 4 maja 2019 roku, kiedy weszła w życie ustawa z 21 lutego 2019 roku o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO. Nowe przepisy, wprowadzone do ponad 160 aktów prawnych, zaczęły obowiązywać niemal natychmiast, co wymagało szybkiego dostosowania się pracodawców do nowych realiów. Harmonogram wdrożenia był napięty — organizacje miały zaledwie kilka tygodni na przegląd procedur kadrowych, wzorów dokumentów i systemów informatycznych obsługujących dane zatrudnionych.
Nowe przepisy precyzują, jakie kategorie danych osobowych są niezbędne do pozyskania przez pracodawcę przed i po zawarciu umowy o pracę. Pracodawca może teraz żądać tylko podstawowych danych takich jak imię i nazwisko, data urodzenia, wykształcenie, kwalifikacje zawodowe i przebieg dotychczasowego zatrudnienia. Nie może natomiast pytać o imiona rodziców czy adres zamieszkania osoby ubiegającej się o pracę. Dane kontaktowe mogą być żądane, ale to kandydat decyduje o ich zakresie — może wskazać numer telefonu komórkowego lub adres e-mail, lecz nie ma obowiązku podawać adresu zameldowania.
Doprecyzowanie katalogu danych eliminuje praktykę zbierania informacji „na wszelki wypadek”. Wcześniej pracodawcy często wymagali pełnego zestawu dokumentów aplikacyjnych zawierającego dane, które były zbędne w procesie rekrutacji i późniejszego zatrudnienia. Teraz każde żądanie wykraczające poza ustawowy katalog wymaga wyraźnej zgody kandydata oraz wskazania konkretnego celu przetwarzania.
Pracodawca nie może przetwarzać danych osobowych pracownika bez wyraźnej zgody, chyba że jest to niezbędne do wypełniania obowiązków prawnych wynikających z przepisów prawa pracy, ubezpieczeń społecznych lub podatków. Przepisy te nie dotyczą danych dotyczących zdrowia, które są konieczne do oceny zdolności do pracy i profilaktyki zdrowotnej — te mogą być przetwarzane na podstawie odrębnych regulacji, bez konieczności uzyskiwania dodatkowej zgody. Informacje o niepełnosprawności mogą być przetwarzane, jeżeli są niezbędne do ustalenia dodatkowych uprawnień pracowniczych, takich jak wydłużony urlop wypoczynkowy, skrócony czas pracy czy dodatkowe przerwy w pracy.
W praktyce oznacza to, że pracodawca musi ograniczyć dostęp do danych wrażliwych wyłącznie do osób, które faktycznie potrzebują ich do realizacji konkretnych zadań — na przykład specjalista ds. kadr może przetwarzać orzeczenie o niepełnosprawności w celu naliczenia uprawnień urlopowych, ale już kierownik działu produkcji nie powinien mieć wglądu w te informacje, chyba że wiążą się one bezpośrednio z organizacją stanowiska pracy.
Przepisy dotyczące orzeczeń lekarskich zostały doprecyzowane w zakresie możliwości przenoszenia dokumentacji między pracodawcami. Pracodawca może żądać aktualnego orzeczenia lekarskiego razem ze skierowaniem na badania wydanym przez poprzedni zakład pracy. Dzięki temu kandydat może zostać zwolniony z konieczności przechodzenia wstępnych badań lekarskich, pod warunkiem że orzeczenie z poprzedniego miejsca pracy jest wciąż aktualne i odpowiada warunkom nowego zatrudnienia — dotyczy to w szczególności sytuacji, gdy stanowisko pracy wiąże się z identycznymi zagrożeniami zawodowymi.
Mechanizm ten oszczędza czas i koszty zarówno pracownika, jak i pracodawcy, ale wymaga spełnienia dodatkowych warunków. Orzeczenie musi być wydane nie wcześniej niż 30 dni przed rozpoczęciem pracy u nowego pracodawcy, a skierowanie na badania musi zawierać informacje o czynnikach szkodliwych i uciążliwych występujących na stanowisku — jeśli nowe stanowisko wiąże się z dodatkowymi zagrożeniami (np. pracą na wysokości, kontaktem z substancjami chemicznymi), pracownik będzie musiał poddać się uzupełniającym badaniom.
Nowe przepisy ograniczają również monitoring w miejscach pracy, wprowadzając konkretne zakazy instalacji kamer w przestrzeniach chronionych. Monitoring nie może obejmować pomieszczeń związków zawodowych działających w firmie. Pomieszczenia te nie są dokładnie zdefiniowane w ustawie, ale chodzi o miejsca, gdzie związki wykonują swoje codzienne czynności — biura zarządu, sale posiedzeń komisji zakładowych, punkty konsultacyjne dla członków związku. Przepisy można interpretować szerzej, uwzględniając również pomieszczenia, przez które związkowcy muszą przechodzić w drodze do swoich biur, jeśli są to ciągi komunikacyjne wyłącznie obsługujące te przestrzenie.
Zakaz ten ma charakter bezwzględny — nie można go obejść nawet za zgodą przedstawicieli związkowych. Wynika to z konstytucyjnej ochrony swobody działalności związkowej i prawa do prywatności rozmów prowadzonych w ramach reprezentacji pracowniczej. Naruszenie tego zakazu może skutkować sankcjami administracyjnymi nałożonymi przez Państwową Inspekcję Pracy oraz roszczeniami cywilnoprawnymi ze strony związków zawodowych.
Zmiany w kodeksie pracy związane z RODO mają wpływ na codzienne procedury kadrowe. Pracodawcy musieli zaktualizować wzory dokumentów — kwestionariusze osobowe dla kandydatów do pracy, oświadczenia o wyrażeniu zgody na przetwarzanie danych, klauzule informacyjne załączane do umów o pracę. Konieczne było również przeszkolenie działów kadr i menedżerów liniowych z zakresu nowych zasad pozyskiwania i przechowywania danych osobowych.
Szczególną uwagę należy zwrócić na archiwizację dokumentacji kadrowej — okresy przechowywania określone w przepisach archiwalnych nie uległy zmianie, ale sposób zabezpieczenia dokumentów musi odpowiadać wymogom RODO. Dotyczy to zarówno dokumentacji papierowej (zamykane szafy, ograniczony dostęp), jak i elektronicznej (szyfrowanie, logi dostępu, kopie zapasowe z kontrolowanym dostępem). Warto przeprowadzić audyt zasad przetwarzania danych osobowych w całej organizacji, aby zidentyfikować obszary wymagające poprawy i wyeliminować nieprawidłowości przed ewentualną kontrolą.
Nieprzestrzeganie przepisów o ochronie danych osobowych w zatrudnieniu może skutkować sankcjami administracyjnymi nakładanymi przez Prezesa Urzędu Ochrony Danych Osobowych. Kary finansowe mogą sięgać nawet 20 milionów euro lub 4 proc. rocznego światowego obrotu przedsiębiorstwa — w zależności od tego, która kwota jest wyższa. W praktyce organem najczęściej kontrolującym pracodawców w tym zakresie jest Państwowa Inspekcja Pracy, która może nałożyć mandat karny lub skierować sprawę do sądu.
Oprócz sankcji administracyjnych pracodawca może również ponieść odpowiedzialność cywilną wobec pracownika lub kandydata do pracy, którego dane zostały przetworzone niezgodnie z przepisami. Poszkodowany może dochodzić odszkodowania za szkodę majątkową (np. koszty związane z wyciekiem danych i koniecznością ich zabezpieczenia) oraz zadośćuczynienia za szkodę niemajątkową (naruszenie prywatności, dobrego imienia). Orzecznictwo sądów w tym zakresie stopniowo się kształtuje, a wysokość zasądzanych kwot zależy od skali naruszenia i jego konsekwencji dla poszkodowanego.
jedna odpowiedź do “RODO – zmiany w 2019 roku”
No z tymi związkami zawodowymi to zaskoczenie. Przecież powszechnie wiadomo, kto do nich należy. Po co się ukrywać także w przejściach?