Kontakt
Grzegorz Gęborek

radca prawny
Senior Associate
Phone: +48 32 721 24 22
E-Mail

W Polsce trwa reforma prawa ochrony danych osobowych i nic nie wskazuje na to, że proces ten zakończy się w najbliższych miesiącach. Przed 25 maja 2018 roku ustawodawcy nie udało się znowelizować wszystkich prawnych regulacji sektorowych, „rozsianych” po blisko 300 ustawach. Dwuletni okres na dostosowanie systemu prawnego w Polsce do RODO minął, w związku z tym podjęto decyzję o uchwaleniu nowej ustawy o ochronie danych osobowych, która weszła w życie 25 maja 2018 roku i jednocześnie zawiera przepisy zmieniające kilka wybranych ustaw. Pozostałe akty prawne postanowiono znowelizować już po 25 maja 2018 roku, tzw. duża nowelizacja prawa ochrony danych osobowych jest nadal procesowana. Dostosowania wymagają nie tylko ustawy, ale i akty wykonawcze, których projektów nadal brak.

Reforma polskich przepisów trwa

Wobec powyższego w codziennej praktyce prawa ochrony danych osobowych pojawia się wiele wątpliwości, które dotyczą nie tylko tak wyspecjalizowanych dziedzin jak prawo medyczne, ale i dziedzin dotyczących większości przedsiębiorców, jak prawo pracy. Przed pracodawcami i  działami HR postawiono trudne wyzwanie dostosowania przetwarzania danych osobowych kandydatów do pracy i pracowników do wymogów RODO, nie tworząc  jednocześnie spójnych przepisów prawnych. Dodatkowo wszelkie czynności zmierzające do dostosowania przetwarzania danych osobowych do stanu zgodnego z prawem, w konsekwencji muszą być w najbliższych miesiącach wielokrotnie weryfikowane i dostosowywane do uchwalanych ustaw i  tworzonych nowych aktów wykonawczych. 

Urząd Ochrony Danych Osobowych

W ostatnim czasie można jednak zaobserwować podwyższoną aktywność polskiego organu nadzoru – Prezesa Urzędu Ochrony Danych Osobowych, który organizuje szkolenia i wydaje poradniki dotyczące najistotniejszych zmian w prawie ochrony danych osobowych. Jednym z bardziej znaczących działań było zorganizowanie 5 października 2018 roku szkolenia „Obowiązki pracodawców w zakresie ochrony danych osobowych”, kierowanego w pierwszej kolejności do Inspektorów Ochrony Danych Osobowych. Niewątpliwym plusem szkolenia była możliwość uczestniczenia w nim online.

Podczas szkolenia eksperci z Urzędu Ochrony Danych Osobowych wyjaśniali, jak przetwarzać dane osobowe zarówno podczas rekrutacji, jak i w ciągu całego okresu zatrudnienia.  Uczestnicy dowiedzieli się, jak postępować w określonych sytuacjach i tym samym mieli okazję uzyskać odpowiedzi na pytania kierowane do UODO w pierwszych miesiącach funkcjonowania urzędu oraz w przeprowadzonych przez niego konsultacjach społecznych.

Ochrona danych osobowych w miejscu pracy – poradnik

Urząd konsekwentnie rozwija temat wszelkich form monitoringu pracowników, w tym monitoringu wizyjnego, które doczekały się uregulowania w kodeksie pracy, a do których również nawiązano podczas szkolenia. Szkolenie zbiegło się z opublikowaniem poradnika „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców”, dostępnego na stronie Urzędu.

Poradnik omawia wiele praktycznych kwestii, mających duże znaczenie dla podmiotów prowadzących działalność transgraniczną, jak np. budzące duże wątpliwości przekazywanie danych osobowych w ramach grupy przedsiębiorstw, ustalenie ról w przypadku zatrudniania pracowników agencji tymczasowych, korzystanie przez pracodawców z nowych technologii. W poradniku ujęto cztery rozdziały tematyczne dotyczące poszukiwania pracy, procesu rekrutacyjnego, okresu zatrudnienia oraz innych niż określone w kodeksie pracy form zatrudnienia.
Mimo dużego zainteresowania szkoleniem i opublikowanym poradnikiem, nie można uznać, że zaprezentowane treści wyczerpują problematykę ochrony danych w HR, co więcej – część tez zawartych w poradniku oraz wygłoszonych w trakcie szkolenia budzi wątpliwości doktryny.

Wciąż wiele wątpliwości

Co więcej, z uwagi na zawiłość wywodu i miejscami niejasną argumentację, a w konsekwencji potencjalne niezrozumienie przekazu i opatrzne zastosowanie się do stanowiska urzędu może przynieść przedsiębiorcom więcej szkody niż pożytku. Jako przykład może posłużyć nagłośniony brak obowiązku odbierania zgód od kandydatów do pracy, który jednocześnie ogranicza się do ściśle określonych przypadków. Nie należą do nich sytuacje, w których kandydat przekazałby dane niestandardowe, wykraczające poza katalog zawarty w kodeksie pracy. 

Trudno w obecnym stanie rzeczy wybrać praktyczne rozwiązania w dziedzinie HR, pozwalające na uniknięcie ewentualnych sankcji, które mogą być nałożone w przypadku naruszenia przepisów dotyczących przetwarzania danych osobowych. Należy przypomnieć, że obok kar administracyjnych określonych w art. 83 RODO, które są jednolite w całej Unii Europejskiej, polski ustawodawca zdecydował się na wprowadzanie w krajowej ustawie o ochronie danych osobowych także przepisów karnych – na co RODO zezwala. Tym trudniej odnieść się do wskazanego poradnika Prezesa Urzędu Ochrony Danych Osobowych, gdyż z jednej strony zdradza on pewne preferencje organu nadzorczego (a te mogą mieć odpowiedni wpływ na praktykę w przypadku kontroli przetwarzania danych osobowych przeprowadzanych przez organ), z drugiej jednak strony interpretacje organu nadzoru, będące w niektórych przypadkach dość oryginalne, nie stanowią źródła prawa. Zaangażowani w proces przetwarzania danych osobowych powinni stosować w pierwszej kolejności przepisy RODO a następnie przepisy krajowe, o ile te nie stoją w sprzeczności z RODO. 

W przypadku zainteresowania doradztwa prawnego tematyką eksperci Rödl & Partner pozostają do Państwa dyspozycji. Zapraszamy do kontaktu z naszymi specjalistami w biurach zlokalizowanych w GdańskuGliwicachKrakowiePoznaniuWarszawie i Wrocławiu.

Grzegorz Gęborek

06.12.2018