GDPR-related novelties in HR: the implementation law enters into force
Od 4 maja 2019 r. obowiązuje w Polsce ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 z dnia 27 kwietnia 2016 r. Jej celem było dostosowanie polskiego porządku prawnego do wymogów unijnego rozporządzenia RODO. Poniżej przedstawiamy najważniejsze zmiany dotyczące ochrony danych osobowych w związku z zatrudnieniem.
Zmiany w katalogu danych osobowych gromadzonych w toku rekrutacji
Nowe przepisy zmieniają katalog danych osobowych, które pracodawca może pobierać od kandydatów do pracy (jest on zawarty w art. 221 § 1 kodeksu pracy). Żądanie informacji dotyczących wykształcenia, kwalifikacji zawodowych oraz przebiegu zatrudnienia od osoby ubiegającej się o zatrudnienie możliwe będzie wyłącznie, gdy podanie tych danych jest niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. Pracodawca może jednak zażądać innych danych niż wskazanych w § 1, w sytuacji, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisów prawa.
Zgoda jako podstawa przetwarzania danych osobowych od kandydatów do pracy
Zbieranie od kandydatów do pracy innych danych osobowych niż wymienione w ustawie (art. 221 § 1 kodeksu pracy) możliwe jest wyłącznie na podstawie udzielonej zgody. W odniesieniu do tzw. danych szczególnych kategorii (w tym danych dotyczących zdrowia czy karalności) może to nastąpić wyłącznie z inicjatywy kandydata do pracy. Brak zgody lub jej wycofanie nie może też skutkować niekorzystnym traktowaniem danej osoby, w szczególności nie może stanowić podstawy do odmowy zatrudnienia. Ponadto przetwarzanie danych szczególnych kategorii przez pracodawcę możliwe jest wyłącznie na podstawie pisemnych upoważnień udzielonych pracownikom (np. dane dotyczące zdolności do pracy czy wypadków przy pracy przetwarzane mogą być przez osoby posiadające takie upoważnienia).
Przetwarzanie danych biometrycznych pracowników
Pracodawcy są uprawnieni do przetwarzania danych biometrycznych pracownika w sytuacji, gdy jest to niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji lub dostępu do pomieszczeń wymagających szczególnej ochrony.
Monitoring w miejscu pracy
W kodeksie pracy wyłączono możliwość monitorowania pomieszczeń udostępnianych organizacjom związkowym, motywując to dużym prawdopodobieństwem naruszenia zasady wolności i niezależności związków zawodowych. Pracodawcy, którzy w dniu wejścia w życie ustawy monitorowali pomieszczenia organizacji związkowych są zobowiązani do zaprzestania stosowania monitoringu w terminie 14 dni od wejścia w życie ustawy oraz są zobowiązani do niezwłocznego poinformowania o tym organizacji związkowej.
Ponadto co do zasady zabroniony jest monitoring sanitariatów, szatni, stołówek oraz palarni. Jeżeli pracodawca chciałby objąć monitoringiem te pomieszczenia, powinien nie tylko zastosować techniki uniemożliwiające rozpoznanie przebywających w nich osób, ale też uzyskać uprzednią zgodę związków zawodowych (przedstawicieli pracowników).
Dane gromadzone od osób korzystających z ZFŚS
Uregulowane zostały zasady udostępniania pracodawcy danych osobowych osoby uprawnionej do korzystania z Funduszu, w tym także informacji dotyczących rodziny pracownika (jeśli ma to znaczenie dla świadczeń z ZFŚS). Przekazanie danych następować będzie w formie oświadczenia (nie będzie więc wymagana zgoda na przetwarzania danych), a pracodawca może żądać udokumentowania tych danych w zakresie niezbędnym do ich potwierdzenia.
Podobnie jak w odniesieniu do danych zbieranych na podstawie kodeksu pracy, dane szczególnych kategorii (np. dane dotyczące zdrowia na potrzeby zapomóg losowych) mogą być przetwarzane wyłącznie na podstawie pisemnego upoważnienia. Ponadto pracodawca został zobowiązany do nie rzadszego niż raz w roku kalendarzowym przeglądania danych osobowych w celu ustalenia niezbędności ich dalszego przechowywania.
Dane osób niepełnosprawnych
Znowelizowane przepisy przewidują, że dla celów ustawy o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych pracodawca ma prawo przetwarzać dane o stanie zdrowia w odniesieniu do pracowników oraz kandydatów pracy, przy czym przedstawienie takich dokumentów pracodawcy jest dobrowolne.
Wprowadzono także przepisy dotyczące okresu retencji powyższych danych. Dane te nie mogą być przechowywane dłużej niż jest to niezbędne i wyłącznie w zakresie koniecznym do realizacji celów przetwarzania wskazanych w ustawie. Ponadto pracodawca ma obowiązek nie rzadszego niż co 5 lat weryfikowania niezbędności przechowywania danych osobowych.
Orzeczenia lekarskie w aktach osobowych
Pracodawcy mają obecnie obowiązek przechowywania w aktach osobowych orzeczeń z badań profilaktycznych (wraz ze skierowaniem na te badania) także w sytuacji zatrudnienia pracownika posiadającego aktualne orzeczenie lekarskie z poprzedniego miejsca zatrudnienia lub z zakładu pracy, w którym równolegle jest on zatrudniony. Jeżeli pracodawca uznaje, że dane orzeczenie nie odpowiada warunkom występującym na stanowisku pracy konkretnego pracownika, musi zwrócić dokument i skierować ją na odrębne badanie.
Możliwość wyznaczenia zastępcy Inspektora Ochrony Danych (IOD)
Ustawa wdrażająca wprowadziła także możliwość i tryb wyznaczenia zastępcy inspektora ochrony danych, który pełni funkcję inspektora w razie jego nieobecności. Do osób tych stosuje się odpowiednio przepisy ustawy o ochronie danych osobowych dotyczące IOD.
Ułatwienia dla mikroprzedsiębiorców
Obecnie przedsiębiorcy zatrudniający do 10 osób i osiągający obroty nie większe niż 2 mln euro rocznie nie muszą informować bezpośrednio osób, których dane przetwarzają wysyłając tzw. klauzule informacyjne. Co do zasady, informację o sposobie i okresie przechowywania gromadzonych danych, podstawie prawnej ich przetwarzania etc. można wywiesić w siedzibie lokalu lub na stronie internetowej.
KONTAKT
E: magdalena.patryas@pl.Andersen.com
T: +48 32 731 68 84
M: +48 502 392 419
E: aleksandra.kasprzyk@pl.Andersen.com
T: +48 22 690 08 88