Zasady ogólne

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz.UE.L.2016.119.1; dalej: RODO) zaostrza rozwiązania dotyczące gromadzenia i przetwarzania danych osobowych w porównaniu do poprzednich regulacji. Stąd jego art. 5 określa ogólne reguły w tym obszarze, do których musi stosować się każdy pracodawca jako administrator danych (osoba fizyczna, prawna, podmiot publiczny, inne jednostki i podmioty ustalające cele i sposoby przetwarzania danych osobowych). Są to:

– zgodność z prawem, rzetelność i przejrzystość – pracodawca musi poinformować pracownika oraz osoby na umowach cywilnoprawnych (dalej zatrudnieni) o tym, kto, w jakim celu i na jakiej podstawie prawnej zbiera i przetwarza jego dane osobowe, przy czym ma to zrobić jasnym i przystępnym językiem, zapewniając łatwy dostęp do tych informacji (motyw 39-47, 58 i 60 preambuły RODO);

– ograniczenie celu – pracodawca zbiera dane od zatrudnionych w konkretnych, wyraźnych i prawnie uzasadnionych celach, wynikających ze stosunków pracy i umów cywilnoprawnych oraz obowiązków podatkowo-składkowych, o których informuje zatrudnionych w momencie zbierania danych (motywy 39, 50 i 61 preambuły oraz art. 13-14 RODO);

– minimalizacja danych – pracodawca zbiera tylko te dane osobowe od zatrudnionych, które są niezbędne do wyznaczonych celów (motyw 39 preambuły RODO);

– prawidłowość – zgromadzone przez pracodawcę dane mają być prawidłowe (uaktualniane), a nieprawidłowe – niezwłocznie prostowane lub usuwane (motyw 39 i 65 preambuły oraz art. 16-17 RODO);

– ograniczenie przechowywania – pracodawca redukuje okres przechowywania danych do minimum, adekwatnego do celu ich przetwarzania, zgodnie z przepisami o archiwizacji dokumentacji zatrudnieniowej (pracowniczej i cywilnoprawnej);

– integralność i poufność – pracodawca zapewnia danym zatrudnionych bezpieczeństwo, ochronę przed niedozwolonym i niezgodnym z prawem przetwarzaniem, utratą, zniszczeniem lub uszkodzeniem, przy użyciu odpowiednich środków technicznych i organizacyjnych – dostęp do danych mogą mieć tylko osoby upoważnione, które są zobowiązane do zachowania tajemnicy (motyw 39 preambuły oraz art. 9 ust. 3 i art. art. 29 RODO);

– rozliczalność – pracodawca musi umieć wykazać, że działa zgodnie z zasadami RODO.

Szerszy zakres informacyjny

RODO znacznie zwiększa obowiązki informacyjne, co w efekcie powoduje konieczność wymiany wszystkich klauzul informacyjnych. Według art. 13-14 RODO, każdy pracodawca musi przekazać zatrudnionemu:

– swoje dane, w tym kontaktowe, a także dane swojego przedstawiciela, jeśli jest to niezbędne;

– dane kontaktowe inspektora ochrony danych, jeśli jest wyznaczony;

– cele i podstawę prawną przetwarzania danych;

– prawnie uzasadnione interesy realizowane przez pracodawcę lub stronę trzecią, gdy jest to niezbędne;

– informacje o odbiorcach danych i ich kategoriach, jeżeli istnieją;

– informacje o zamiarze przekazania danych do państwa nieunijnego lub organizacji międzynarodowej lub wzmiankę o zabezpieczeniach i możliwości uzyskania kopii danych lub miejscu ich udostępnienia;

– okres przechowywania danych, a gdy nie jest to możliwe – kryteria jego ustalenia;

– informacje o prawie do żądania od pracodawcy/administratora dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub prawie sprzeciwu wobec przetwarzania oraz prawie do przenoszenia danych;

– informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano przed wycofaniem zgody;

– informacje o prawie wniesienia skargi do organu nadzorczego;

– informację o tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

– informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, jeśli pracodawca go dokonuje.

Treść posiadanej dokumentacji

Pracodawca nie musi zmieniać całej dokumentacji związanej z danymi osobowymi, ponieważ RODO pozostawia wiele swobody w tym obszarze, a poprzednie polskie przepisy były bardzo ostre, wymagając od wszystkich administratorów tych samych dokumentów. W efekcie w dotychczasowym kształcie pozostają upoważnienia do przetwarzania danych osobowych, ewidencja osób upoważnionych oraz dokumentacja pracownicza związana ze stosunkiem pracy. Korekty wymagają natomiast zgody pozyskane przez pracodawców. Ten obowiązek dotyczy jednak tych z nich, u których zgody nie są dobrowolne, konkretne, świadome i jednoznacznie wyrażające wolę w postaci oświadczenia (każdego: pisemnego, elektronicznego i ustnego) albo działania potwierdzającego (np. zaznaczenie okienka w danym formularzu). Zgoda ma odpowiadać tym warunkom łącznie (art. 4 pkt 11 RODO). Musi też przewidywać możliwość odwołania w każdej chwili (art. 13 ust. 2 pkt c i art. 14 ust. 2 pkt d RODO).

Ważne
Pracodawca nie musi pozyskiwać nowych zgód, jeśli poinformuje zatrudnionych o prawie ich wycofania w dowolnej chwili oraz gdy spełniają one wymogi unijne.

Gdy pracodawca wykorzystuje monitoring, to jest bardzo prawdopodobne, że będzie musiał zmodyfikować wewnętrzne regulacje w tym zakresie, mimo że RODO nie zajmuje się monitoringiem w ogóle, traktując go jako jeden ze sposobów przetwarzania danych. Zmiana może być natomiast konsekwencją weryfikacji treści tych postanowień w kontekście zwiększonych obowiązków informacyjnych i ogólnych zasad przetwarzania danych.

Umowy z podmiotem przetwarzającym dane

Jeśli pracodawca ma podpisaną umowę na przetwarzanie posiadanych danych przez inny podmiot lub zamierza taką zawrzeć, powinien zadbać, aby odpowiadała ona art. 28 RODO. Taki kontrakt musi zawierać zobowiązanie tego podmiotu do:

– przetwarzania danych wyłącznie na udokumentowane polecenie pracodawcy jako administratora lub na mocy samego prawa;

– zapewnienia, że osoby upoważnione do przetwarzania danych osobowych zachowają tajemnicę;

– podejmowania wszelkich środków bezpieczeństwa przetwarzania danych;

– przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego;

– pomagania pracodawcy jako administratorowi – w miarę możliwości – wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, a także zagwarantowania bezpieczeństwa danych, zgłoszeń ewentualnych naruszeń i konsultacji (nowość);

– usunięcia lub zwrócenia wszystkich danych administratorowi po zakończeniu świadczenia usług, o ile nie istnieje obowiązek ich przechowywania;

– udostępnienia administratorowi wszystkich informacji niezbędnych do wykazania spełnienia obowiązków ustawowych, przeprowadzanie audytów i inspekcji.

Umowa powinna mieć formę pisemną w tym elektroniczną.

Rejestr czynności przetwarzania

Taki rejestr musi od 25 maja 2018 r. prowadzić w zasadzie każdy pracodawca, ponieważ stale przetwarza dane osobowe zatrudnionych, bez względu na ich liczbę. RODO w art. 30 ust. 5 nakłada natomiast taki obowiązek na zatrudniających powyżej 250 osób lub mniej, gdy przetwarzanie przez nich danych:

– może powodować ryzyko naruszenia praw i wolności osób, których one dotyczą;

– nie ma charakteru sporadycznego;

– obejmuje tzw. dane wrażliwe, ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, a także dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności czy orientacji seksualnej tej osoby;

– dotyczy wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa.

Ważne
Rejestr zastąpi zgłaszanie zbioru danych do organu nadzorczego, które zniknie z katalogu obowiązków pracodawcy.

Rejestr ma mieć formę pisemną, w tym elektroniczną. Może przybrać kształt prostej tabeli, w treści której znajdą się m.in. dane pracodawcy jako administratora, cele przetwarzania, opis kategorii osób i danych osobowych oraz ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o ile to możliwe.

Procedura dotycząca realizacji praw zatrudnionych

Pracodawca powinien opracować procedurę, która ma ułatwić zatrudnionym realizację ich praw, w tym mechanizmy żądania – i gdy ma to zastosowanie bezpłatnego uzyskiwania – w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu (motyw 59 preambuły RODO). Ma również zapewnić możliwość wnoszenia żądań drogą elektroniczną oraz udzielać na nie odpowiedzi bez zbędnej zwłoki – najpóźniej w terminie miesiąca, a jeżeli nie zamierza spełnić takiego żądania – podać przyczyny odmowy.

Wspomniane prawa zatrudnionych to uprawnienia do:

– uzyskania dostępu do swoich danych;

– żądania sprostowania lub usunięcia (bycia zapomnianym) danych albo ograniczenia ich przetwarzania;

– przenoszenia danych do innego administratora, otrzymanych w ustrukturyzowanym formacie (np. w pliku pdf);

– sprzeciwu wobec przetwarzania danych.

Inspektor danych osobowych

Inspektorzy zastąpią administratorów danych osobowych. Mają być wyznaczeni jedynie u tych pracodawców, którzy odnajdą się w zestawieniu zamieszczonym w art. 37 ust. 1 w zw. z motywem 97 preambuły RODO. Do grupy tej należą:

– organy lub podmioty publiczne (wyjątek: sądy w zakresie sprawowania wymiaru sprawiedliwości);

– podmioty, których główna działalność polega na przetwarzaniu danych, wymagających regularnego i systematycznego monitorowania osób na dużą skalę z uwagi na swój charakter, zakres lub cel;

– podmioty zajmujące się przede wszystkim przetwarzaniem na dużą skalę danych wrażliwych, w tym związanych ze stanem zdrowia (por. art. 9 ust. 1 RODO).

Ważne
Pracodawcy ze sfery pozabudżetowej w zasadzie samodzielnie decydują o powołaniu inspektora. W większości przypadków przetwarzanie danych jest dla nich bowiem czynnością poboczną, wynikającą z zatrudnienia danych osób.

Jeżeli pracodawca wyznacza inspektora, może powierzyć tę funkcję osobie z kręgu swoich zatrudnionych (byle nie zajmowała się jednocześnie przetwarzaniem danych osobowych) lub zewnętrznej. Zawiera z nią umowę o pracę albo umowę o świadczenie usług, a dane kontaktowe publikuje i przesyła do organu nadzorczego. Taka osoba będzie zajmować się m.in. informowaniem pracodawcy o obowiązkach związanych z danymi osobowymi i doradzaniem w tej sprawie czy monitorowaniem przestrzegania przepisów w zakresie ochrony danych i współpracą z organem nadzorczym.

Procedura dotycząca zgłaszania naruszeń

Naruszenie ochrony danych osobowych jest równoznaczne z obowiązkiem zgłoszenia tego faktu do organu nadzorczego w ciągu 72 godz. od jego wystąpienia, a wyjątek braku ryzyka naruszenia praw i wolności osób fizycznych (art. 33 RODO). Aby ułatwić realizację tego zobowiązania, pracodawca może wprowadzić procedurę postępowania w takich okolicznościach. Jest to wskazane również z tego powodu, że każde naruszenie musi być dokumentowane co do okoliczności zaistnienia, podjętych działań zaradczych i ich skutków.

Bezpieczeństwo danych

Podobnie jak przy dokumentacji, tak i przy bezpieczeństwie RODO łagodzi wymogi co do funkcjonalności systemów informatycznych. Zgodnie z art. 32 RODO, pracodawca ma natomiast zagwarantować:

– pesudonimizację i szyfrowanie danych,

– poufność, integralność, dostępność i odporność systemów i usług przetwarzania,

– zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,

– regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych.

Musi też zadbać o bezpieczeństwa danych już na etapie projektowania, wprowadzając np. zatwierdzony mechanizm certyfikacji.

Kary finansowe

Każdego pracodawcę, która nie zastosuje się do regulacji RODO, może dotknąć kara finansowa (art. 83 RODO). Jej wysokość jest uzależniona od rodzaju naruszenia i może wynieść maksymalnie:

– 10 mln euro, a dla przedsiębiorstw – 2% całkowitego rocznego światowego obrotu za poprzedni rok obrotowy, lub

– 20 mln euro, a dla przedsiębiorstw – 4% całkowitego rocznego światowego obrotu za poprzedni rok obrotowy.

*Tekst dotyczy wyłącznie unijnych rozwiązań. Do tego dochodzą jeszcze polskie przepisy, nad którymi trwają prace legislacyjne.