Właśnie zakończył się weekend majowy. Pełni sił wracamy właśnie do pracy. Być może nie wszyscy zanotowali fakt, że branżę ochrony danych osobowych spotkało dość istotne wydarzenie, ponieważ 4 maja 2019 roku zaczęła obowiązywać Ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). („Ustawa”). Ustawa ta została opublikowana w Dzienniku Ustaw 19 kwietnia 2019 roku (poz. 730).
Ustawa ta wprowadza zmiany w ok.160 ustawach, w artykule tym skupimy się na najbardziej istotnych aspektach z naciskiem na zmiany w ustawie prawo pracy i ustawy o zakładowym funduszu świadczeń socjalnych.
Po co te zmiany?
W „telegraficznym skrócie”, jakie najważniejsze zmiany zostały wprowadzone?
W ustawie o świadczeniu usług drogą elektroniczną – profilowanie będzie mogło odbyć się wyłącznie na podstawie zgody, np. w celu polepszania jakości usług bądź też do celu marketingu, choć RODO dopuszcza w tym zakresie prawnie uzasadniony interes administratora danych.
Praktyczny kurs e-learningowy RODO w kadrach
Ze szkolenia dowiesz się jak sprawnie i zgodnie z RODO: rekrutować, zatrudniać, gromadzić i usuwać dane, wykorzystywać wizerunek oraz monitoring wizyjny i poczty elektronicznej, udostępniać spółkom z grupy kapitałowej, placówkom medycznym i dostawcom benefitów.
Sprawdź jak przetwarzać dane osobowe pracowników i kandydatów do pracy.
W przypadku badania zdolności kredytowej, bank będzie zobligowany do przedstawienia czynników, które miały wpływ na ocenę zdolności kredytowej. Uprawnienie konsumenta będzie występowało zarówno w sytuacji, gdy decyzja kredytowa została podjęta w sposób w pełni zautomatyzowany, a także gdy w jej podjęciu brał udział człowiek.
Dostawcy usług płatniczych będą uprawnieni do przetwarzania danych osobowych użytkowników niezbędnych do świadczenia usług płatniczych nie tylko na podstawie zgody, ale także na innych podstawach.
W przypadku dokumentacji medycznej – pierwsza kopia dokumentacji powinna zostać wydana za darmo. Nie będzie można pobierać za nią żadnych dodatkowych opłat.
W ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta wprowadzono zapis stanowiący, że Rzecznik Praw Pacjenta będzie uprawniony do przetwarzania wszelkich informacji, w tym danych osobowych, niezbędnych do realizacji swoich obowiązków.
Szczegółowy opis wszystkich zmian wprowadzonych Ustawą to temat na odrębną analizę. W niniejszym artykule skupimy się na zmianach dotyczących Kodeksu pracy i ustawy o zakładowym funduszu świadczeń socjalnych.
Zmiany w kodeksie pracy
Na podstawie art. 22(1) § 1 Kodeksu pracy katalog danych, których pracodawca może żądać od osoby ubiegającej się o zatrudnienie to:
- imię (imiona) i nazwisko;
- datę urodzenia;
- dane kontaktowe wskazane przez taką osobę;
- wykształcenie;
- kwalifikacje zawodowe;
- przebieg dotychczasowego zatrudnienia.
Wskazać należy, że informacje dotyczące wykształcenia, kwalifikacji zawodowych czy przebiegu dotychczasowego zatrudnienia pracodawca może żądać wyłącznie, gdy jest to niezbędne do wykonania pracy określonego rodzaju lub na określonym stanowisku. W praktyce oznacza to, że pracodawca powinien stosować zasadę obowiązującą w RODO, o minimalizacji danych. Nie ma potrzeby pobierania informacji od osoby, której dane dotyczą o tym jakie zna języki obce, jeśli będzie pracowała wyłącznie przy taśmie produkcyjnej i wymagana będzie od niej wyłącznie znajomość języka polskiego.
Natomiast na podstawie art. 22(1) § 3 dodatkowo pracodawca może żądać od pracownika następujących danych:
- adres zamieszkania;
- numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;
- inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;
- wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie;
- numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.
Pracodawca może żądać podania innych danych niż wskazane powyżej, wyłącznie gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
Ponadto informacje wskazane w § 1 i 3 zbierane są w formie oświadczenia, natomiast Pracodawca może żądać udokumentowania danych osobowych osób, o których mowa w § 1 i 3, w zakresie niezbędnym do ich potwierdzenia.
Pamiętać należy pamiętać, że nastąpiła również zmiana w zakresie pobieranych danych – nie należy już od osób ubiegających się o zatrudnienie – wymagać podania imion rodziców ani miejsca zamieszkania.
Jeśli chodzi o tzw. szczególne kategorie danych to mogą być one przetwarzane wyłącznie na podstawie zgody kandydata do pracy lub pracownika. Udzielenia takich zgód nie może żądać pracodawca z własnej inicjatywy.
Z powyższego wynika, że pracodawca będzie przetwarzał dane osobowe na podstawie innej niż zgoda. Taką podstawą może być niezbędność do wypełnienia obowiązków i wykonywania szczególnych praw zakresie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej.
Pisemne upoważnienie w związku ze zmianą kodeksu pracy
W przypadku przetwarzania przez pracodawcę tzw. szczególnych kategorii danych (określonych w art. 9 RODO) dotyczących osób ubiegających się o pracę lub pracowników – zgodnie z treścią nowelizacji – wymagane będzie pisemne upoważnienie pracowników do przetwarzania takich danych, wydane przez pracodawcę. Osoby dopuszczone do przetwarzania danych są dodatkowo zobligowane do zachowania tych danych w tajemnicy.
W związku z treścią tego przepisu pojawiają się wątpliwości interpretacyjne – czy przez formę pisemną – rozumiemy formę pisemną w rozumieniu przepisów Kodeksu cywilnego, czy mówimy o formie pisemnej w rozumieniu RODO – w formie dokumentowej, w tym elektronicznej.
Pojawiają się głosy, że takie upoważnienie będzie można przedstawiać w formie elektronicznej, ale ponieważ w tej chwili brak jednoznacznej interpretacji dokonanej przez Urzędu Ochrony Danych Osobowych, rekomendujemy by pobierać upoważnienia w wersji dokumentu papierowego.
Osoby, które powinny posiadać takie upoważnienia to osoby, które mają dostęp do:
- akt osobowych
- dokumentów aplikacyjnych
- dokumentów związanych z Zakładowym Funduszem Świadczeń Socjalnych
- dokumentacji urlopowej
Z reguły mogą być to pracownicy działu kadr/HR czy menagerowie bądź kierownicy.
Oczywiście każdy administrator musi indywidualnie ocenić komu takie upoważnienie należy wystawić.
Zmiany w zakresie monitoringu pomieszczeń
Według nowelizacji – monitoring nie może obejmować pomieszczeń udostępnianych zakładowej organizacji związkowej.
Monitoring pomieszczeń sanitarnych wymaga uzyskania uprzedniej zgody zakładowej organizacji związkowej, a jeżeli u pracodawcy nie działa zakładowa organizacja związkowa – uprzedniej zgody przedstawicieli pracowników wybranych w trybie przyjętym u danego pracodawcy.
Zmiany dotyczące ustawy o Zakładowym Funduszu Świadczeń Socjalnych
Na skutek nowelizacji następuje zmiana funkcjonowania w ramach działania ZFŚS. Oświadczenie staje się podstawową formą korzystania z dobrodziejstw Funduszu – Udostępnienie pracodawcy danych osobowych osoby uprawnionej do korzystania z Funduszu, w celu przyznania ulgowej usługi i świadczenia oraz dopłaty z Funduszu i ustalenia ich wysokości, następuje właśnie w formie oświadczenia. Oczywiście należy pamiętać, że pracodawca może żądać udokumentowania danych osobowych w zakresie niezbędnym do ich potwierdzenia. Potwierdzenie może odbywać się w szczególności na podstawie oświadczeń i zaświadczeń o sytuacji życiowej (w tym zdrowotnej), rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu.
Wskazano również, że pracodawca przetwarza dane osobowe przez okres niezbędny do przyznania ulgowej usługi i świadczenia, dopłaty z Funduszu oraz ustalenia ich wysokości, a także przez okres niezbędny do dochodzenia praw lub roszczeń.
Na pracodawcę został nałożony obowiązek dokonywania przeglądu danych osobowych nie rzadziej niż raz w roku kalendarzowym w celu ustalenia niezbędności ich dalszego przechowywania. Pracodawca jest także zobligowany do usunięcia danych osobowych, których dalsze przechowywanie jest zbędne do realizacji celu przyznania ulgowej usługi i świadczenia oraz dopłaty z Funduszu i ustalenia ich wysokości i przez okres niezbędny do dochodzenia praw lub roszczeń.
Profesjonalne wsparcie
Mamy nadzieję, że poradnik był dla Ciebie pomocny. Jeśli potrzebujesz wsparcia w opracowaniu lub weryfikacji zasad i procedur przetwarzania danych kadrowych, zapraszamy do skorzystania z naszej pomocy.
Zobacz, w jaki sposób możemy Ci pomóc:
Podsumowanie
Przedmiotowe zmiany są istotne i dotyczą każdego pracodawcy, dlatego należy niezwłocznie dostosować się do ich postanowień i wdrożyć je w sposób obowiązujący w danej organizacji. Należy pamiętać o aktualizacji formularzy osób ubiegających się o pracę, czy przygotowaniu stosownych upoważnień. Dodatkowo warto sprawdzić czy Ustawa nie wprowadziła zmian w ustawach szczegółowych, którym podlega nasza organizacja i czy nie wymaga to podjęcia od nas dodatkowych działań w celu dostosowania się do ich postanowień. A zatem do dzieła!
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- Ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- Artykuł Rzeczpospolita – 04.05.2019 – Katarzyna Klimczak, Paulina Grotkowska
- Artykuł Rzeczpospolita – 05.05.2019 - Katarzyna Klimczak, Paulina Grotkowska
- Upoważnienie do przetwarzania danych „pisemne”, czyli właściwie jakie? – 24.04.2019 - Paweł Litwiński
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.