RODO – runda 2, czyli o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO
3 kwietnia 2019 r. prezydent podpisał ustawę z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), czyli po prostu w związku z zapewnieniem stosowania RODO. Ustawa ma zostać ogłoszona najpóźniej 19 kwietnia 2019 r. i, co do zasady, wejdzie w życie po upływie 14 dni od daty ogłoszenia.
Kogo dotyczą zmiany i o co w tym wszystkim chodzi?
Ustawa zmienia aż 162 (!) inne ustawy, zatem można śmiało powiedzieć, że zmiany dotyczą niemalże wszystkich. Jak czytamy w oficjalnej informacji o ustawie, celem ustawy jest zharmonizowanie przepisów poszczególnych ustaw z regulacjami wynikającymi z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane dalej „RODO”).” Mówiąc krótko, RODO zaczęło obowiązywać prawie rok temu (25 maja 2018 r.), ale nasze krajowe przepisy tego „nie zauważyły”. Nasz ustawodawca nie spieszył się bowiem z dostosowaniem regulacji zawartych w 162 ustawach do RODO, co oznacza, że przez cały ten czas mieliśmy sytuację pod tytułem „RODO sobie, a my sobie”. Teraz ma się to zmienić. Po ciężkich bólach i wielu zmianach projektu ustawy, najpóźniej od 4 maja 2019 r. (akurat w długi weekend majowy), nasze rodzime ustawy zostaną dostosowane do RODO. Będzie to polegało na doprecyzowaniu istniejących przepisów, a w wielu przypadkach – na dodaniu nowych, w tym na nałożeniu na administratorów danych osobowych nowych obowiązków.
Zmiana kodeksu pracy
Nowy katalog danych osobowych
W niniejszym wpisie skupimy się tylko na wybranych zmianach, z których najważniejszą, bo dotykającą wszystkich pracodawców, jest zmiana kodeksu pracy. Będziemy mieli nowy katalog danych osobowych pracownika i osoby ubiegającej się o zatrudnienie, które pracodawca ma prawo (i obowiązek) przetwarzać, a będą to:
1) imię (imiona) i nazwisko;
2) data urodzenia;
3) dane kontaktowe wskazane przez taką osobę;
4) wykształcenie;
5) kwalifikacje zawodowe;
6) przebieg dotychczasowego zatrudnienia;
7) adres zamieszkania;
8) numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;
9) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;
10) wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie;
11) numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.
W przypadku osoby ubiegającej się o zatrudnienie, potencjalny pracodawca będzie mógł żądać podania danych wskazanych w pkt 1) – 6), a od pracownika – już wszystkich powyższych.
Czy jest to zmiana na lepsze? W mojej ocenie – tak. Zniknęły nam z katalogu mało potrzebne informacje, jak „imiona rodziców”, za to pojawiły się „dane kontaktowe”, co w końcu umożliwi pracodawcom przetwarzanie numerów telefonów, czy adresów mailowych pracowników.
Możliwość przetwarzania innych danych pracownika
Co istotne, kodeks pracy w końcu będzie regulować wprost, że pracodawca może przetwarzać inne niż wskazane w art. 221 kp dane osoby ubiegającej się o zatrudnienie lub pracownika, nie tylko, gdy wynika to z innych przepisów prawa (wtedy pracodawca może żądać podania danych wskazanych w takich przepisach), ale także na podstawie zgody takiej osoby. Wyjątkiem będą dane osobowe dotyczące wyroków skazujących i naruszeń prawa. Brak zgody nie będzie mógł być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie będzie mógł powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie będzie mógł stanowić przyczyny uzasadniającej odmowę zatrudnienia, czy wypowiedzenie/rozwiązanie umowy o pracę. Ważne jest to, że taka zgoda będzie mogła stanowić podstawę przetwarzania zarówno danych osobowych udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika z własnej inicjatywy (np. w CV), jak i danych udostępnianych na wniosek pracodawcy. Jedynie w przypadku szczególnych kategorii danych (art. 9 RODO), czyli np. danych o stanie zdrowia, możliwe będzie przetwarzanie takich danych za zgodą, wyłącznie w przypadku, gdy przekazanie tych danych następować będzie z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika.
Przetwarzanie danych biometrycznych pracownika
Ustawodawca dopuścił także przetwarzanie danych biometrycznych pracownika również wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.
Forma upoważnienia (np. pracownika) do przetwarzania danych osobowych
Zgodnie z art. 29 RODO, „podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego”. Powołany przepis potwierdził istniejący na gruncie ustawy z 1997 r. obowiązek nadawania upoważnień do przetwarzania danych osobowych oraz zadbania o to, by dostęp do danych osobowych miały wyłącznie osoby, którym administrator lub podmiot przetwarzający nadali upoważnienie. Jednak, podobnie jak poprzednia ustawa, RODO nie sprecyzowało formy takiego upoważnienia (ustnie? na piśmie?). Robi to teraz kodeks pracy (a także inne zmienne ustawy, np. ustawa o ZFŚS) i wskazuje, że do przetwarzania szczególnych kategorii danych osobowych, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Dotyczyć to będzie zatem przykładowo kadrowej, która w ramach obowiązków służbowych przetwarza dane o stanie zdrowia pracowników. Pozostałe osoby, tj. wszyscy ci, którzy przetwarzać będą jedynie dane zwykłe, mogą zostać upoważnieni bez zachowania formy pisemnej, czyli np. ustnie. W moim przekonaniu, należy przyjąć, że taką „nie pisemną” formą upoważnienia będzie mogło być również, np. udzielenie pracownikowi dostępu do systemu informatycznego, w zakresie niezbędnym do wykonywania powierzonych mu obowiązków służbowych. Taki system odnotować powinien wówczas datę udzielenia dostępu i jego zakres.
Monitoring
Kolejna ważna zmiana dotyczy stosowania monitoringu. Ustawodawca ponownie (poprzednia zmiana weszła w życie w maju zeszłego roku) uregulował kwestię monitoringu w zakładzie pracy. Postanowiono, że monitoring bez żadnych wyjątków nie może obejmować pomieszczeń udostępnianych zakładowej organizacji związkowej. Doprecyzowano także, że stosowanie monitoringu w pomieszczeniach sanitarnych, szatniach, stołówkach oraz palarniach, dopuszczalne we wskazanych przypadkach, których katalog nie uległ zmianie, wymaga dodatkowo uzyskania uprzedniej zgody zakładowej organizacji związkowej, a jeżeli u pracodawcy nie działa zakładowa organizacja związkowa – uprzedniej zgody przedstawicieli pracowników wybranych w trybie przyjętym u danego pracodawcy.
Nowelizację kodeksu pracy zamknie zmiana art. 229 kp, stanowiącego o wstępnych, okresowych i kontrolnych badaniach lekarskich.
Przedstawione powyżej zmiany kodeksu pracy, to tylko przysłowiowa „kropla w morzu”. Wobec ogromu aktualizacji, postanowiłam podejść do tematu „branżowo” i w kolejnym wpisie przybliżyć Państwu zmiany istotne dla podmiotów świadczących usługi lecznicze.