Rozporządzenie Ogólne Parlamentu Europejskiego i Rady (UE) 2016/679 o Ochronie Danych Osobowych (RODO) obowiązuje co prawda już od maja 2018 r., jednak dopiero 4 maja 2019 r. w życie weszła ustawa kompleksowo dostosowująca polski porządek prawny do nowych unijnych regulacji w zakresie ochrony danych osobowych. Ustawa zmienia blisko 170 aktów prawnych, w tym w szczególności wprowadza istotne zmiany w kodeksie pracy.

Nowy katalog danych, których można żądać od kandydata

Zmianie uległ katalog danych osobowych kandydata na pracownika i pracownika, których podania pracodawca może żądać od zatrudnianej osoby. Zgodnie z nowym brzmieniem art. 221 §1 kodeksu pracy, pracodawca będzie mógł żądać podania przez aplikującego imienia i nazwiska, daty urodzenia, danych kontaktowych, informacji o wykształceniu, kwalifikacjach zawodowych oraz przebiegu dotychczasowego zatrudnienia. W odniesieniu do dotychczasowej regulacji, osoba ubiegająca się o zatrudnienie nie będzie więc zobligowana udostępniać potencjalnemu pracodawcy swojego adresu zamieszkania oraz imion rodziców. Należy jednak wskazać, że informacji o wykształceniu, kwalifikacjach i przebiegu dotychczasowego zatrudnienia pracodawca będzie mógł żądać od osoby ubiegającej się o zatrudnienie tylko w przypadku, gdy jest to niezbędne do wykonywania pracy określonego rodzaju pracy lub na określonym stanowisku. Pracodawca będzie mógł jednak przetwarzać dane o wykształceniu, kwalifikacjach i dotychczasowym zatrudnieniu pracownika już po jego zatrudnieniu, nawet jeśli nie było podstaw do przetwarzania ich na etapie rekrutacji. W katalogu danych, których pracodawca może żądać od osoby już zatrudnionej (art. 221 §3 kodeksu pracy) uwzględniono numeru rachunku płatniczego. Pracodawca, zgodnie z obowiązującą od 1 stycznia 2019 r. treścią art. 86 kodeksu pracy, może bowiem żądać podania numeru rachunku jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych, gdyż w takim przypadku, ma obowiązek wypłaty wynagrodzenia na podany przez pracownika rachunek bankowy. Niezależnie od powyższego należy jednak wskazać, że pracodawca będzie uprawniony do żądania podania innych danych osobowych, niż określone w art. 221 §1 lub §3 gdy jest to niezbędne do zrealizowania uprawnienia lub wypełniania obowiązku nałożonego przepisem prawa. Pracodawca będzie mógł ponadto przetwarzać dane kandydat/pracownika spoza katalogu określonego art. 221 §1 na podstawie jego dobrowolnej zgody (którą w każdym momencie może wycofać). Co jednak istotne, pracodawca na podstawie zgody pracownika nie może przetwarzać danych dotyczących wyroków skazujących i naruszeń prawa. Przetwarzanie tych danych jest bowiem możliwe tylko w wypadku, gdy obowiązek przetwarzania takich informacji nakłada na pracodawcę przepis prawa.

Brak zgody kandydata na przetwarzanie danych osobowych, o której mowa powyżej lub jej wycofanie nie będzie mogło być podstawą niekorzystnego traktowania, a w szczególności nie będzie mogło stanowi przyczyny uzasadniającej odmowę zatrudnienia kandydata. Przypominamy, że zgodnie z najnowszymi interpretacjami organów nie ma konieczności umieszczania formułki zgody na przetwarzanie danych w CV, gdyż przyjmuje się, ze kandydat, poprzez umieszczenie konkretnych danych w swoim życiorysie, w sposób wystarczający komunikuje chęć ich przetwarzania, co jest równoznaczne z wyrażoną zgodą.

Dane biometryczne i dane szczególnie chronione

Zgodnie z nową treścią przepisów, dane szczególnie chronione będą mogły być przetwarzane przez pracodawcę wyłącznie, gdy ich przekazanie następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Do danych szczególnej kategorii należą dane ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne jednoznacznie identyfikujące konkretną osobę, a także dane dotyczące zdrowia, seksualności lub orientacji seksualnej. Do przetwarzania danych szczególne chronionych mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę, oraz zobowiązane do zachowania tych danych w tajemnicy.

Uregulowana została również kwestia przetwarzania danych biometrycznych pracownika (np. układ linii papilarnych, tęczówki). Pracodawca będzie mógł przetwarzać takie dane bez zgody pracownika jeśli  jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub kontrolę dostępu do pomieszczeń wymagających szczególnej ochrony.  Należy pamiętać, że dane biometryczne są danymi szczególnej kategorii, więc mogą być przetwarzane na podstawie zgody wyłącznie, gdy przekazane zostały z inicjatywy pracownika.

Zmiany w zakresie monitoringu wizyjnego

W ustawie wyłączono możliwość monitorowania pomieszczeń zakładowej organizacji związkowej. Jest to uzasadnione faktem, że tego typu monitoring rodzi wysokie prawdopodobieństwo naruszenia wolności i niezależności organizacji związkowych. Kolejną zmiana w przepisach dot. monitoringu wizyjnego to obowiązek uzyskania przez pracodawcę zgody zakładowej organizacji związkowej na instalację kamer w pomieszczeniach sanitarnych. Jeżeli u pracodawcy zakładowa organizacja związkowa nie działa zgodę wyrazić musi przedstawiciel pracowników, uprzednio wybranych w odpowiednim trybie, przyjętym u danego pracodawcy.

Przypominamy, że zgodnie z niedawną nowelizacją kodeksu pracy, na mocy której uregulowana została kwestia monitoringu wizyjnego w zakładach pracy, pracodawca może zainstalować kamery i rejestrować obraz w obrębie zakładu pracy lub wokół zakładu pracy jeśli jest to niezbędne do zapewnienia bezpieczeństwa pracowników, ochrony mienia, kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Monitoring co do zasady nie może obejmować pomieszczeń sanitarnych, szatni, stołówek oraz palarni, chyba że rejestracja obrazu z kamer w tych pomieszczeniach jest niezbędne do realizacji celu monitoringu (zapewnienie bezpieczeństwa pracowników, ochrona mienia, kontrola produkcji lub zachowanie w tajemnicy informacji szczególnie istotnych dla pracodawcy), a monitoring nie będzie naruszał godności oraz innych dóbr osobistych pracowników, w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób.

 

Wszystkie opisane wyżej zmiany wymagają wprowadzenia przez działy HR szeregu zmian w obecnie funkcjonujących procedurach. Przypomnieć należy, że w razie stwierdzenia ewentualnych uchybień w zakresie przestrzegania obowiązków wynikających z  RODO na pracodawcę, jako administratora danych osobowych, mogą zostać nałożone dotkliwe kary pieniężne.