W dniu 14 września 2017 r. zostały opublikowane długo oczekiwane projekty ustaw dostosowujących polskie przepisy do unijnego Rozporządzenia ogólnego o ochronie danych osobowych 2016/679 („RODO”), które zacznie obowiązywać 25 maja 2018 r.
Pakiet składa się z (1) projektu nowej ustawy o ochronie danych osobowych oraz (2) projektu ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych, która wprowadza zmiany do 132 aktów prawych, w tym do Kodeksu pracy oraz ustawy o zakładowym funduszu świadczeń socjalnych.
Podział na dane osobowe osób ubiegających się o zatrudnienie (kandydatów do pracy) i samych pracowników został utrzymany. Jednocześnie projektodawca zaproponował istotne zmiany dotyczące, przede wszystkim, podstaw prawnych oraz katalogu przetwarzanych danych.
Nowa redakcja przepisów wskazuje na to, że zbieranie niektórych danych od kandydatów do pracy, w tym danych dotyczących wykształcenia lub przebiegu zatrudnienia, będzie obowiązkowe (w miejsce słów „pracodawca może żądać” przepisy wprowadzają stwierdzenie „pracodawca żąda”). Dotyczy to także danych zbieranych od pracowników, takich jak nr PESEL. Dane te będą mogły być przetwarzane jedynie w zakresie niezbędnym do realizacji stosunku pracy. Jednocześnie, przetwarzanie danych kontaktowych zbieranych od kandydatów do pracy, takich jak adres do korespondencji, adres poczty elektronicznej czy numer telefonu, po nawiązaniu zatrudnienia będzie możliwe jedynie za zgodą pracownika.
Projekt przesądza o kontrowersyjnej od wielu lat możliwości uzyskiwania ważnej zgody pracownika lub kandydata na pracownika na przetwarzanie danych pozostających poza ustawowym katalogiem wynikającym bezpośrednio z przepisów Kodeksu Pracy. Precyzuje przy tym, że jest przetwarzanie takich dodatkowych danych jest dopuszczalne tylko wtedy, gdy dotyczy stosunku pracy. Poza tym, brak zgody nie będzie mógł stanowić podstawy niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika i nie może powodować wobec nich jakichkolwiek niekorzystnych konsekwencji. Zgoda ma być wyrażana w postaci oświadczenia złożonego w postaci papierowej lub elektronicznej. Projekt zastrzega, że nie będzie możliwe zbieranie danych dotyczących nałogów, stanu zdrowia, życia seksualnego oraz orientacji seksualnej pracowników chyba, że obowiązek podania takich danych wynika z przepisów odrębnych lub gdy ich podanie jest niezbędne dla realizacji obowiązku pracodawcy nałożonego przepisem prawa.
Zgodnie z projektowanymi przepisami zgoda pracownika ma stać się ważną (wystarczającą) podstawą do przetwarzania danych biometrycznych, a zatem np. odcisku palca, obrazu tęczówki oka lub próbki głosu. Zbieranie danych biometrycznych będzie możliwe tylko w przypadku pracowników, gdyż projektodawcy uznali, że nie ma uzasadnienia, aby pracodawcy korzystali z danych biometrycznych kandydatów do pracy. Obowiązywać będą ogólne warunki wymagane do uzyskania ważnej zgody pracownika, a więc odmowa wyrażenia lub odwołanie zgody nie będą mogły mieć dla takiej osoby żadnych negatywnych konsekwencji. Projekt przewiduje, że warunki gromadzenia i zapewnienia bezpieczeństwa danym biometrycznym zostaną ustalone w odrębnym rozporządzeniu.
Projekt rozszerza również katalog danych, jakie będzie mógł przetwarzać pracodawca. Nowością jest możliwość przetwarzania rodzaju i numeru dokumentu potwierdzającego tożsamość w przypadku, gdy pracownik nie posiada numeru PESEL (jest to szczególnie istotne przy zatrudnianiu osób niebędących obywatelami polskimi) czy przetwarzanie wspomnianych wyżej danych biometrycznych.
Bardzo istotną zmianą jest propozycja uregulowania kwestii monitoringu w miejscu pracy. Monitoring, rozumiany jako szczególny nadzór nad miejscem pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu, będzie mógł zostać wprowadzony przez pracodawcę dla zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.
Nowelizacja wprowadza również katalog obostrzeń dotyczących stosowania takich rozwiązań. Monitoring nie może bowiem stanowić środka kontroli wykonywania pracy przez pracownika ani obejmować pomieszczeń, które nie są przeznaczone do wykonywania pracy, w szczególności pomieszczeń sanitarnych, szatni, stołówek lub palarni. Dane osobowe uzyskane w wyniku zastosowania monitoringu pracodawca będzie mógł przetwarzać wyłącznie do celów, dla których zostały zebrane i przechowywać jedynie przez okres niezbędny dla realizacji tych celów. Przed zastosowaniem monitoringu pracodawca będzie zobowiązany zrealizować obowiązek informacyjny w stosunku do pracowników.
Projektowane przepisy wprowadzające ustawę o ochronie danych osobowych przewidują również zmiany w zakresie podstawy przetwarzania danych osobowych osób korzystających ze świadczeń zakładowego funduszu świadczeń socjalnych (ZFŚS). Osoby takie będą wyrażały zgodę na podanie ich danych osobowych, a także danych osobowych członków rodziny oraz innych osób pozostających we wspólnym gospodarstwie domowym. Katalog takich danych ma być otwarty i objąć, oprócz imienia, nazwiska, daty urodzenia, stopnia pokrewieństwa i adresu zamieszkania, także inne dane niezbędne do ustalenia sytuacji życiowej, rodzinnej i materialnej osób uprawnionych. Zgoda powinna być wyrażona przy poszanowaniu swobody jej udzielenia.
Co do zasady, zmiany proponowane w opublikowanym pakiecie należy ocenić jako krok w dobrym kierunku.
Propozycje te niewątpliwie wychodzą naprzeciw formułowanym przez pracodawców postulatom co do potrzeby przetwarzania szerszego zakresu danych niż jest to obecnie dopuszczalne, w tym na podstawie zgód uzyskiwanych od pracowników. Jednak z uwagi na zastrzeżenia, zgłaszane zarówno przez europejskich regulatorów jak i organy opiniodawcze, co do możliwości wyrażenia swobodnej zgody przez pracownika można spodziewać się dalszej dyskusji nad zaproponowanymi przepisami. Warto przy tym zauważyć, że np. znowelizowane przepisy prawa niemieckiego przesądzają, że zgoda pracownika będzie mogła być wyrażona tylko gdy zachowana zostanie równorzędność stron, co zasadniczo będzie miało miejsce wtedy gdy wyrażenie zgody przez pracownika będzie oznaczało dla niego korzystne prawne lub gospodarcze konsekwencje.
Ustalenie katalogu danych „obowiązkowych” oraz danych „zakazanych” sprzyja przejrzystości co do uprawnień pracodawcy. Jednocześnie jednak, proponowana regulacja posiada także istotne wady, które mogą podważyć sens niektórych rozwiązań przyjętych w reformie. Przykładowo, uzależnienie przetwarzania danych biometrycznych od dobrowolnej zgody stawia pod znakiem zapytania możliwość wprowadzenia rozwiązań opartych na biometrii, np. w zakresie kontroli dostępu do niektórych miejsc.
Ponadto, nowelizacja nie zawiera przepisów regulujących powszechną praktykę wymiany danych dotyczących pracowników w grupach przedsiębiorstw, co oznacza, iż zastosowanie w tej materii znajdą przepisy ogólne RODO. Negatywnie należy ocenić także przyjęcie zgody jako podstawy przetwarzania danych osobowych na potrzeby korzystania z ZFŚS. Na moment sporządzenia niniejszej publikacji, pierwszy projekt pakietu ustaw nowelizujących został skierowany do konsultacji publicznych oraz opiniowania przez zainteresowane instytucji. Aby zapewnić pełną zgodność polskiego ustawodawstwa z przepisami RODO, ustawy nowelizujące muszą wejść w życie nie później niż na dzień 25 maja 2018 r.
Niezamówione wiadomości i inne informacje przesłane dobrowolnie do firmy Dentons, nie będą uznane za informacje poufne i mogą zostać ujawnione osobom trzecim, mogą pozostać bez odpowiedzi i nie stanowią podstawy relacji pomiędzy prawnikiem a klientem. Jeśli nie jesteś klientem Dentons, prosimy o nieprzesyłanie informacji o charakterze poufnym.
Opis dostępny w innej wersji językowej.
Zostaniesz teraz przekierowany ze strony Dentons na stronę $redirectingsite w języku angielskim. Aby kontynuować, kliknij „Zatwierdź”.
Zostaniesz teraz przekierowany ze strony Dentons na stronę Beijing Dacheng Law Offices, LLP. Aby kontynuować, kliknij „Zatwierdź”.