Zmiany w prawie pracy już od 4 maja 2019 roku

Dodano w dniu Autor
Podziel się z innymi

danych osobowych niezbędnych do pozyskania przez pracodawcę w związku z podejmowaniem przez niego działań przed zawarciem umowy o pracę oraz po jej zawarciu, regulują kwestie danych wrażliwych, w tym pobierania danych biometrycznych od pracownika, stosowania monitoringu czy przetwarzania danych w związku z realizacją świadczeń z zakładowego funduszu świadczeń socjalnych.

 

Przepisy te zaczynają obowiązywać od 4 maja 2019 roku.

 

Jakie są najważniejsze podstawy przetwarzania danych osobowych?

 

Otóż zasadniczo wyróżnić można kilka podstaw do przetwarzania danych osobowych. Oto one:

  • zgoda na przetwarzanie danych osobowych
  • umowa na przetwarzanie danych osobowych
  • obowiązek prawny ciążący na administratorze
  • prawnie uzasadniony interes administratora

 

Z kolei w zakresie przetwarzania przez pracodawcę danych szczególnej kategorii, wyróżnić możemy następujące rozwiązania:

  • zgoda na przetwarzanie danych osobowych
  • wypełnienie obowiązków i wykonywanie praw przed administratora

 

Co ważne, w zależności od rodzaju działalności pracodawcy i sposobu postępowania przez niego z danymi osobowymi, konieczne może okazać się wskazanie innych niż wyżej wymienione podstaw do przetwarzania danych osobowych.

 

Jakie zmiany zajdą w zakresie danych osobowych podczas procesu rekrutacji?

 

Ustawa wprowadza zmiany w zakresie danych osobowych, jakich żądać może pracodawca w toku prowadzonego postępowania rekrutacyjnego w przedsiębiorstwie. Te dane, według nowych uregulowań, to:

  • imię (imiona) i nazwisko kandydata
  • data urodzenia
  • dane kontaktowe wskazane przez kandydata
  • wykształcenie
  • kwalifikacje zawodowe
  • przebieg dotychczasowego zatrudnienia

 

W porównaniu z dotychczas obowiązującymi przepisami w tej kwestii nastąpiło ograniczenie możliwych do udostępnienia danych. Obecnie pracodawca mógł żądać jeszcze podania imion rodziców oraz adresu zamieszkania lub adresu korespondencyjnego. Obecnie te dane uznane zostały jako takie, których pracodawca nie może żądać. Wprawdzie w katalogu danych pojawia się sformułowanie „dane kontaktowe wskazane przez kandydata” i tu można podać dane adresowe, jednak nie jest to konieczne i to kandydat decyduje jakie dane poda pracodawcy.

 

Ponadto, pracodawca będzie mógł domagać się od kandydata do pracy podania informacji o wykształceniu, kwalifikacjach zawodowych i przebiegu dotychczasowego zatrudnienia tylko wtedy, gdy jest to niezbędne do wykonywania pracy na określonym stanowisku. Żądanie podania innych danych jest co do zasady niedopuszczalne.

 

Jak przeprowadzić proces rekrutacji zgodnie z prawem?

 

By stwierdzić, że proces rekrutacji został przeprowadzony prawidłowo, musi istnieć podstawa do przetwarzania danych kandydata do pracy. Taką podstawą jest między innymi zgoda przez niego udzielona. W przypadku zaś danych szczególnej kategorii, zgoda może być podstawą do ich przetwarzania tylko wtedy, gdy ich przekazanie następuje z inicjatywy osoby ubiegającej się o pracę lub pracownika.

 

Poza tym, że pracodawca musi wykazać, iż taką zgodę na przetwarzanie danych posiada, musi spełnić jeszcze kilka innych istotnych warunków związanych z przetwarzaniem takich danych, by proces rekrutacji móc uznać za przeprowadzony prawidłowo. Ustawa zobowiązuje pracodawcę w zakresie przetwarzania danych osobowych kandydata do:

  • uzyskania zgody kandydata na przetwarzanie jego danych osobowych
  • uzyskania zgody kandydata na przetwarzanie jego danych osobowych w ramach przyszłych procesów rekrutacyjnych (jeśli tego dotyczy)
  • wypełnienia obowiązku informacyjnego określonego w art. 13 lub 14 RODO
  • zebrania danych osobowych zgodnie z zasadą minimalizacji i obowiązującymi przepisami
  • przyjęcia odpowiednich procedur organizacyjnych w zakresie postępowania z danymi osobowymi kandydatów, w szczególności w zakresie terminu usuwania danych
  • wdrożenia odpowiednich zabezpieczeń w systemach, w których są przetwarzane dane i dostosowanie ich do wymogów RODO

 

Jakie zmiany nastąpią w zakresie przetwarzania zgromadzonych danych osobowych pracowników?

 

Ustawa przede wszystkim doprecyzowuje rodzaj danych, jakie pracodawca może przetwarzać, szczególnie w zakresie danych biometrycznych oraz stosowania monitoringu w zakładzie pracy. Zgodnie z najnowszym stanem prawnym, od 4 maja 2019 roku pracodawca może przetwarzać następujący rodzaj danych pracowników:

  • imię (imiona) i nazwisko kandydata
  • data urodzenia
  • dane kontaktowe wskazane przez kandydata
  • wykształcenie
  • kwalifikacje zawodowe
  • przebieg dotychczasowego zatrudnienia
  • adres zamieszkania
  • numer PESEL, a w przypadku jego braku, seria i numer dokumentu potwierdzającego tożsamość pracownika
  • inne dane osobowe pracownika, a także dane osobowe jego dzieci i członków jego rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w kodeksie pracy
  • numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych

 

Co istotne, nie zawsze pracodawca może żądać podania wszystkich danych. W każdym przypadku ma prawo żądać następujących danych: imię i nazwisko, PESEL, data urodzenia, adres zamieszkania i dane kontaktowe pracownika. Natomiast pozostałe dane mogą być gromadzone tylko pod pewnymi warunkami. Przykładowo, dane o wykształceniu, kwalifikacjach zawodowych i przebiegu dotychczasowej kariery tylko w przypadku, gdy jest to niezbędne do wykonywania określonej pracy lub na określonym stanowisku.

 

Pracodawca, będąc dla pracownika administratorem przetwarzania danych osobowych, musi spełnić wobec niego swój obowiązek informacyjny. Mówiąc najprościej, musi pracownika poinformować na jakiej podstawie i w jakim celu przetwarza jego dane. Co istotne, przepisy nie precyzują w jaki sposób pracodawca ma ten obowiązek wypełnić, jednak obowiązuje zasada rozliczalności, czyli udowodnienia, że takowy się spełniło.

Najbezpieczniejszą zatem formą będzie sporządzenie jego treści na piśmie i wręczenie pracownikowi wraz z poświadczeniem odbioru. Taki dokument winien znaleźć się w dokumentacji. Może też być to forma załącznika do umowy o pracę.

 

Jakie zmiany przewidziane są odnośnie zgody jako podstawy przetwarzania danych osobowych oraz upoważnienia dla pracowników?

 

Zgoda jest i pozostaje jedną z podstaw do przetwarzania danych osobowych. Nowe przepisy precyzują jednak, że brak zgody pracownika na przetwarzanie jego danych osobowych lub jej odwołanie nie może być podstawą do niekorzystnego traktowania tej osoby, a także nie może powodować wobec niej negatywnych konsekwencji. Przede wszystkim nie może stanowić przyczyny uzasadniającej wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.

 

Natomiast w kwestii upoważnień, do przetwarzania danych szczególnej kategorii mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych od pracodawcy. Ponadto pracodawca musi zobowiązać te osoby do zachowania tych danych w tajemnicy. Co istotne, każdy, kto jest dopuszczony przez pracodawcę do przetwarzania danych osobowych musi posiadać pisemną jego zgodę.

 

Co z danymi dotyczącymi karalności pracowników?

 

Pracodawca może przetwarzać dane dotyczące karalności pracowników tylko, gdy stanowią tak przepisy. Zatem pracodawca nie może ich żądać od pracownika w sposób dowolny.

 

Sytuacje, w których pracodawca może żądać przedstawienia danych o karalności, to między innymi:

  • zatrudnienie pracownika na stanowisku umożliwiającym dostęp do informacji o bezpieczeństwie obiektu infrastruktury krytycznej (przepisy ustawy z 26 kwietnia 2007 roku o zarządzaniu kryzysowym)
  • zatrudnienie w niektórych stanowiskach w podmiotach sektora finansowego (przepisy ustawy z 12 kwietnia 2018 roku o zasadach pozyskiwania informacji o niekaralności osób ubiegających się o zatrudnienie i osób zatrudnionych w podmiotach sektora finansowego)
  • zatrudnienie pracowników ochrony mienia (przepisy ustawy z 22 sierpnia 1997 roku o ochronie osób i mienia)

 

Jakie uwarunkowania są w zakresie wykorzystywania wizerunku?

 

Pracodawca może przetwarzać dane osobowe pracownika w postaci jego wizerunku, jednak tylko w sytuacji, gdy posiada na to jego zgodę. Wizerunek może być wykorzystywany w rozmaity sposób, choćby na stronie internetowej, identyfikatorach czy social mediach pracodawcy. Istnieją jednak pewne przesłanki, by podstawą przetwarzania wizerunku nie była zgoda pracownika, tylko prawnie uzasadniony interes administratora. Zgodę bowiem pracownik może odwołać, tym samym pracodawca nie mógłby jego wizerunku wykorzystywać choćby na identyfikatorach. W tym drugim przypadku byłoby to niemożliwe.

 

Co z monitoringiem w przedsiębiorstwie?

 

Częstą praktyką pracodawców jest instalowanie monitoringu, dzięki czemu przetwarzane są dane nie tylko pracowników, ale też i osób trzecich (np. klientów). Zgodnie z nowym stanem prawnym, monitoring można stosować w sytuacji konieczności zapewnienia bezpieczeństwa pracowników, ochrony mienia lub kontroli produkcji bądź zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Ustawa doprecyzowuje, że instalacja monitoringu wizyjnego w pomieszczeniach sanitarnych, szatniach, stołówkach oraz palarniach wymaga uzyskania przez pracodawcę zgody zakładowej organizacji związkowej, a jeżeli takowej nie ma – zgody przedstawicieli pracowników. Dodatkowo wskazano, że monitoring nie może dotyczyć pomieszczeń udostępnionych zakładowej organizacji związkowej.

 

Pracodawcy, którzy korzystają z monitoringu, mają obowiązek:

  • oznaczyć pomieszczenia i monitorowany teren w sposób widoczny i czytelny
  • przetwarzać utrwalony wizerunek tylko do celów, dla których został zebrany
  • ustalić cel, zakres i sposób zastosowania monitoringu w układzie zbiorowym pracy, regulaminie pracy lub obwieszczeniu
  • poinformować pracowników o wprowadzeniu monitoringu

 

Ponadto, z uwagi na to, że nagrany wizerunek może dotyczyć osób trzecich, należy wobec nich spełnić obowiązek informacyjny. Zatem, poza oznaczeniem pomieszczeń i monitorowanego obiektu w sposób widoczny, należy jeszcze zamieścić odpowiednie tablice informacyjne.

 

Jak nowa ustawa reguluje kwestie danych biometrycznych?

 

W zgodzie z najnowszą definicją i przepisami RODO dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, a dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby (wizerunek twarzy lub dane daktyloskopijne). Dane biometryczne są danymi szczególnej kategorii i ich przetwarzanie z założenia jest obarczone większymi ograniczeniami. Aby przetwarzanie takich danych było możliwe na podstawie zgody, wymagane jest, by osoba jej udzielająca ubiegała się o pracę bądź była pracownikiem, przy czym zgoda ta musi być zupełnie dobrowolna.

 

Co istotne, przetwarzanie fotografii nie zawsze będzie stanowić przetwarzanie szczególnych kategorii danych osobowych, gdyż fotografie są traktowane jako „dane biometryczne” tylko wtedy, gdy w wyniku ich przetwarzania można jednoznacznie dokonać identyfikacji danej osoby. Ustawa ponadto nie precyzuje katalogu danych biometrycznych, które mogą być przetwarzane.

 

Jakie zmiany przewidziano w zakresie badań lekarskich?

 

Od 4 maja 2019 roku wprowadzona została możliwość niekierowania nowo przyjętych pracowników na badania lekarskie. Zgodnie z nią, osoby przyjmowane do pracy na dane stanowisko u innego pracodawcy w ciągu 30 dni po rozwiązaniu lub ustaniu poprzedniego stosunku pracy, nie muszą przechodzić badań lekarskich przed dopuszczeniem do pracy, jeżeli posiadają aktualne orzeczenie lekarskie stwierdzające brak przeciwwskazań do pracy w warunkach pracy opisanych w skierowaniu do pracy. Ponadto, nowy pracodawca musi stwierdzić, że warunki te odpowiadają warunkom nowego stanowiska pracy.

 

Powyższy przepis nie odnosi się do osób przyjmowanych na stanowiska o szczególnie niebezpiecznym charakterze pracy.

 

Co zmieni się w zakresie zakładowego funduszu świadczeń socjalnych?

 

Nowa ustawa precyzuje, iż przekazanie przez pracownika danych osobowych (jego i członków jego rodziny), na potrzeby skorzystania ze świadczeń zakładowego funduszu świadczeń socjalnych (ZFŚS) musi mieć formę oświadczenia. Ustawa nie ustanawia wzoru takiego oświadczenia, więc może ono przybierać dowolną postać.

Z kolei przyznanie pracownikom dostępu do danych osobowych innych pracowników, dotyczące zdrowia, a przetwarzanych w ramach ZFŚS może mieć miejsce tylko na podstawie pisemnego, imiennego upoważnienia wystawionego przez pracodawcę.

 

Zalecane jest, by pracodawca prowadził szczegółowy rejestr osób, którym nadał upoważnienia do przetwarzania poszczególnych rodzajów danych osobowych.

 

Dane osobowe niezbędne dla ZFŚS dotyczą oświadczeń i zaświadczeń o sytuacji życiowej (w tym zdrowotnej), rodzinnej i majątkowej pracownika ubiegającego się o świadczenie. Ustawa nie określa katalogu wymaganych dokumentów.

 

Jakie działania powinien podjąć pracodawca, by dostosować się do nowych wymogów w zakresie ochrony danych osobowych pod kątem ZFŚS?

 

Poza modyfikacjami wzorów wniosku o świadczenia z ZFŚS (uwzględniające oświadczenia) oraz nadaniem oddelegowanym pracownikom odpowiednich uprawnień, przedmiotem jego zainteresowania powinny być jeszcze:

  • dokonanie przeglądu starej dokumentacji pod względem upływu okresu przechowywania danych
  • wprowadzenie zmian do treści obowiązku informacyjnego w zakresie przetwarzania danych osobowych w związku z realizacją świadczeń ZFŚS
  • odpowiednie zabezpieczenie nośników danych osobowych, na których są przetwarzane, zwłaszcza dane szczególnej kategorii
  • dostosowanie postanowień regulaminu określającego zasady i warunki korzystania z usług i świadczeń finansowych z ZFŚS

 

PODSUMOWANIE – czyli jak przetwarzać dane pracowników zgodnie z najnowszą ustawą, od dnia 4 maja 2019 roku.

 

W procesie rekrutacji

 

  • zbieranie tylko takiego zakresu danych, jaki jest dozwolony na podstawie obowiązujących przepisów
  • każdorazowe zbieranie zgód na przetwarzanie danych osobowych od kandydatów do pracy, z rozdziałem na obecne i przyszłe procesy rekrutacyjne
  • wypełnianie względem kandydata obowiązku informacyjnego
  • realizacja zasady rozliczalności, czyli udowodnienie, że kandydat wyraził zgodę na przetwarzanie danych osobowych oraz że zapoznał się z obowiązkiem informacyjnym
  • nadanie pracownikom prowadzącym proces rekrutacji uprawień do przetwarzania danych oraz zobowiązanie ich do zachowania tajemnicy
  • usuwanie dokumentów i danych kandydatów po upływie okresu ich przetwarzania
  • jeżeli dane kandydatów są powierzane do przetwarzania innym podmiotom, zawarcie z nimi umowy powierzenia przetwarzania danych osobowych

 

W trakcie zatrudnienia

 

  • zbieranie danych w takim zakresie, jaki jest określony przepisami, szczególnie przez kodeks pracy
  • wypełnienie obowiązku informacyjnego wobec wszystkich pracowników, z uwzględnieniem wszystkich podstaw przetwarzania danych
  • realizacja zasady rozliczalności, poprzez udowodnienie, że pracownik zapoznał się z obowiązkiem informacyjnym
  • w przypadku przetwarzania danych na podstawie zgody (szczególnie wizerunku) – zebranie tejże zgody oraz udowodnienie, że pracownik tej zgody udzielił
  • w przypadku zainstalowania monitoringu w zakładzie pracy, należy informację o tym zamieścić w obowiązku informacyjnym, regulaminie pracy oraz ewentualnie w innych, wewnętrznych aktach prawnych; obszar monitoringu musi być oznaczony znakami graficznymi i tablicą informacyjną; konieczne jest też wypełnienie przepisów kodeksu pracy w zakresie dostosowania celów i okresu przetwarzania danych z monitoringu
  • nadanie pracownikom upoważnień do przetwarzania danych osobowych oraz zobowiązanie ich do zachowania poufności
  • prowadzenie archiwum akt osobowych, zgodnie z obowiązującym terminem ich przechowywania
  • jeżeli dane osobowe są przekazywane podmiotom zewnętrznym (choćby do biur rachunkowych), konieczne jest zawarcie z tym podmiotem umowy powierzenia przetwarzania danych
  • w przypadku przetwarzania danych biometrycznych, należy uzyskać zgodę pracownika oraz wypełnić przesłanki określone w kodeksie pracy w zakresie możliwości stosowania kontroli dostępu do wybranych pomieszczeń pracodawcy
  • w przypadku przetwarzania danych na potrzeby ZFŚS – dostosowanie oświadczenia pracownika do znowelizowanych przepisów, wypełnienie obowiązku informacyjnego wobec osób, których dane są przetwarzane; ponadto przetwarzanie danych zgodnie z zasadą minimalizacji danych oraz nadanie stosownych uprawnień osobom, które dane przetwarzają
  • jeżeli pracodawca przetwarza dane z wykorzystaniem systemów IT, konieczne jest nie tylko ich właściwe zabezpieczenie, lecz także weryfikowanie czy dany system posiada funkcjonalności zgodne z przepisami RODO o ochronie danych osobowych.