Kontakt
Jarosław Kamiński

Adwokat
Associate Partner
Phone: +48 22 244 00 27
E-Mail

25 maja 2018 r. to data rewolucji w przetwarzaniu danych osobowych. RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE) wprowadza wiele zmian, z którymi muszą skonfrontować się wszyscy przedsiębiorcy. Dotyczy to również działów HR, których działalność opiera się przede wszystkim na przetwarzaniu danych osobowych – zarówno na etapie poszukiwania kandydatów do pracy, zatrudnienia jak i w okresie po zakończeniu stosunku pracy. Nieprzygotowanie się do zmian, jak również potencjalne naruszenia w zakresie przetwarzania danych osobowych mogą skutkować negatywnymi konsekwencjami, w tym wysokimi karami administracyjnymi. Kary mogą zostać nałożone zarówno na administratorów danych, jak i podmioty przetwarzające, a także spowodować szkody wizerunkowe, m.in firm headhunterskich.

Nowe prawa, nowe obowiązki

RODO wprowadza szereg zmian, których głównym celem jest zapewnienie wysokiego poziomu ochrony danych osobowych osób fizycznych. Przejawia się to przede wszystkim w nowych prawach, które przysługują osobom fizycznym (prawo do bycia zapomnianym, prawo do ograniczenia przetwarzania), a także w  nowych obowiązkach, które będą ciążyć na administratorze danych i podmiocie przetwarzającym. Podczas procesu przetwarzania zobowiązani są działać transparentnie wobec tych, których dane pozyskują, spełniając obowiązek informacyjny (umieszczany w polityce prywatności lub klauzuli informacyjnej przy pobieraniu danej zgody) oraz modyfikując jego formę w sposób czytelny, łatwy do zrozumienia i przystępny dla osób, których dane dotyczą. Oprócz tego administrator i podmiot przetwarzający mają we własnym zakresie zastosować wewnętrzne procedury, które zapewnią wysoki poziom bezpieczeństwa danych.

RODO nie jest aktem, który wskazuje gotowe rozwiązania, zapewniające zgodność przetwarzania danych z prawem. To po stronie administratora lub procesora leży ocena, czym są „odpowiednie środki techniczne i organizacyjne”, które należy zapewnić, aby bezpiecznie przetwarzać dane osobowe, czym jest „ocena skutków ryzyka” niezbędna do analizy procesów przetwarzania danych, a także czy ich działalność obejmuje przetwarzanie „na dużą skalę” – czy są zobowiązani do prowadzenia rejestru czynności przetwarzania. Powyższe obowiązki stanowią tylko przykłady niejednoznaczności, które RODO stawia przed przedsiębiorcami. Może okazać się, że bez pomocy fachowych podmiotów świadczących usługi w zakresie audytu prawnego i IT, przepisy zostaną błędnie zinterpretowane, co w konsekwencji będzie wiązało się z ich naruszeniem i ryzykiem nałożenia na firmę wysokich kar finansowych.

Przetwarzanie danych osobowych w procesie rekrutacyjnym

RODO znacząco wpływa na pracę działów HR oraz firm rekrutacyjnych, które w swojej codziennej pracy przetwarzają dane osobowe  – także dane wrażliwe (które na gruncie RODO poddane są jeszcze większej ochronie). Podstawowym problemem na etapie wyboru kandydatów jest określenie roli, jaką spełniają dane podmioty. Sytuacja różni się w zależności od tego, czy pracodawca decyduje się na poszukiwanie pracownika samemu (wtedy jest samodzielnym administratorem), czy też postanowi skorzystać z usług agencji rekrutacyjnej. W drugim przypadku może dojść do sytuacji, kiedy agencja rekrutacyjna będzie albo podmiotem przetwarzającym albo odrębnym administratorem danych. Jeżeli dojdzie wyłącznie do powierzenia danych osobowych, pracodawca powinien zadbać o zawarcie odpowiedniej pisemnej umowy powierzenia, która jasno będzie określać obowiązki obydwu podmiotów. Dodatkowo warto pamiętać, że podczas otrzymania danych osobowych kandydata należy spełnić wobec niego obowiązek informacyjny. Dotyczy to sytuacji, gdy otrzymaliśmy dane bezpośrednio od kandydata, jak również od innych podmiotów. W klauzuli informacyjnej należy wskazać przede wszystkim jakie dane administrator przetwarza, dla jakich celów są one zbierane, jaka jest podstawa przetwarzania, a także pouczyć o prawach, jakie przysługują osobie, której dane administrator pozyskał.

Dodatkowo prowadzenie tzw. czarnych list rekrutacyjnych na gruncie RODO jest zakazane. Generalny Inspektor Ochrony Danych Osobowych wielokrotnie wypowiadał się negatywnie na temat spisów niechcianych kandydatów, wskazując na fakt, że takie listy nie mają żadnej podstawy prawnej jeszcze w obecnie obowiązujących przepisach. Na gruncie RODO sytuacja pozostaje bez zmian – nadal nie ma podstawy prawnej, co więcej, takie działanie stanowi poważne naruszenie przepisów, które sankcjonowane są wysoką karą administracyjną oraz odpowiedzialnością cywilną wobec osoby, której dane znajdują się na liście.

Przetwarzanie danych osobowych podczas zatrudnienia

W momencie podjęcia decyzji o zatrudnieniu pracownika, pracodawca staje się administratorem jego danych osobowych, co ponownie oznacza konieczność spełnienia obowiązku informacyjnego. Tym razem obowiązek informacyjny będzie różnił się podstawą prawną przetwarzania, a także zakresem pozyskanych danych, gdyż kwestie te regulowane są w głównej mierze przez Kodeks Pracy. Kodeks wskazuje jakie dane mogą zostać pozyskane od pracownika, a jednocześnie sam stanowi podstawę prawną do przetwarzania danych. W nowych propozycjach zmian do Kodeksu Pracy w związku z rozpoczęciem obowiązywania RODO, wskazane są również dane pracownika, których pracodawca co do zasady nie może przetwarzać, tj. dane wrażliwe. Wyjątek stanowią dwie sytuacje: pracodawca pozyskuje takie informacje, gdyż ciąży na nim obowiązek prawny lub pracownik przekaże mu swoje dane biometryczne na podstawie wyraźnej zgody, a dane te zostaną wykorzystane wyłącznie dla celów kontroli dostępu do miejsc zakładu pracy. Należy zwrócić uwagę, że w przypadku gdyby pracownik nie wyraził takiej zgody, pracodawca nie może wyciągnąć wobec niego negatywnych konsekwencji. Nowe propozycje zmian Kodeksu Pracy regulują również kwestie monitoringu. Nowelizacja Kodeksu Pracy wyróżnia dwie kategorie: monitoring zwykły oraz monitoring poczty elektronicznej. Pierwszy z nich ma na celu zapewnienie bezpieczeństwa pracowników oraz ochronę mienia pracodawcy. Drugi powinien służyć wyłącznie kontroli właściwego korzystania z narzędzi pracodawcy oraz pełnego wykorzystania czasu pracy pracownika. O zastosowaniu obu form monitoringu pracodawca będzie zobowiązany powiadomić pracowników z wyprzedzeniem, a zakres i cel monitoringu powinny zostać określone w układzie zbiorowym pracy lub regulaminie pracy.

Co ważne, RODO nie ma wpływu wyłącznie na obowiązki pracodawcy wobec pracownika. Pracownik powinien być świadomy procesów przetwarzania danych osobowych w jego firmie, jak również  powinien dbać o bezpieczeństwo przetwarzania danych, które otrzymał. Dlatego właściwym działaniem jest odpowiednie przeszkolenie pracowników oraz przygotowanie wytycznych i dobrych praktyk w zakresie przetwarzania danych osobowych w miejscu pracy. Każdy pracownik, który przetwarza dane osobowe powinien posiadać upoważnienie, wyznaczające zakres i cele przetwarzania w imieniu administratora, którym jest pracodawca.

Przetwarzanie danych osobowych po ustaniu stosunku pracy

Po zakończeniu stosunku pracy pracodawca nadal ma obowiązki wobec byłego pracownika w zakresie przetwarzania danych osobowych. Mylne jest stwierdzenie, że pracownik może niezwłocznie żądać realizacji prawa do bycia zapomnianym, a pracodawca musi usunąć wszelkie rekordy, które zawierają dane byłego pracownika. Prawo do bycia zapomnianym nie jest prawem bezwzględnym i podlega wyłączeniom. Po pierwsze, wyłączenie dotyczy wywiązania się z prawnego obowiązku wymagającego przetwarzania danych, któremu podlega administrator. Chodzi tutaj o odpowiednie przepisy w zakresie archiwizacji dokumentów, np. akt pracowniczych lub przekazywania danych do odpowiednich organów skarbowych. Drugie wyłączenie obejmuje ustalenie, dochodzenie lub obronę roszczeń. Pracodawca ma prawo przechowywać dane osobowe byłego pracownika jeszcze przez okres przedawnienia roszczeń, np. z tytułu wypowiedzenia umowy o pracę, dyskryminacji lub mobbingu. 

Konieczność audytu przetwarzania danych w działach HR

RODO nie jest aktem oczywistym, który daje łatwe rozwiązania. Działy HR muszą wprowadzić rozwiązania adekwatne do wprowadzonych zmian przepisów. Przede wszystkim warto przeanalizować, jak wiele rekordów danych jest przetwarzanych oraz jak dużą część z nich stanowią dane wrażliwe pracowników i kandydatów. Następnie należy skupić się na określeniu ról w procesach przetwarzania – pracodawcy jako administratora, potencjalnych podmiotów przetwarzających a także pracowników, którzy są jednocześnie „osobami, których przetwarzanie dotyczy” oraz „osobami upoważnionymi do przetwarzania danych w imieniu administratora”. Audyt, szkolenia oraz zbudowanie wewnętrznych procedur są na gruncie RODO kluczowymi rozwiązaniami, które mogą być podstawą do wykazania zasady rozliczalności.

Nasi adwokaci jak i radcowie prawni oferują doradztwo prawne także w innych dziedzinach. Są dostępni dla Państwa w biurach Rödl & Partner: Gdańsk, Gliwice, Kraków, Poznań, Warszawa, Wrocław.

28.05.2018