RODO – na co powinien zwrócić uwagę pracodawca?

25 maja 2018 roku zacznie obowiązywać nowe unijne rozporządzenie o ochronie danych osobowych (RODO). Zmiany obejmą także reguły przetwarzania danych osobowych pracowników. Jakie nowe obowiązki czekają pracodawców?

Choć unijne przepisy zaczną obowiązywać dopiero pod koniec maja, to firmy już teraz powinny zadbać o wysoki poziom bezpieczeństwa w zakresie przetwarzania danych osobowych. Konieczne jest także wprowadzenie odpowiednich procedur dotyczących chociażby zarzadzania procesami rekrutacyjnymi. Naruszenie nowych przepisów będzie skutkować poważnymi konsekwencjami finansowymi (do 20 mln ero lub do 4 proc. całkowitego rocznego obrotu z ubiegłego roku obrotowego), a także możliwością dochodzenia roszczeń na drodze cywilnej.

Dane osobowe pracownika

Wchodzące z dniem 25 maja 2018 roku Rozporządzenie Ogólne o Ochronie Danych Osobowych Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych ze względu na jego jednolite i bezpośrednie stosowanie w Unii Europejskiej zastąpi również polską ustawę o ochronie danych osobowych. Planowane zmiany w dużym stopniu wychodzą naprzeciw oczekiwaniom pracodawców, między innymi za sprawa zaktualizowania listy danych, których podania będzie można wymagać od osób zatrudnionych. Zgodnie z nowym art. 22(1) §1 Kodeksu pracy pracodawca będzie mógł w dalszym ciągu wymagać podania następujących danych: imion i nazwiska pracownika, daty urodzenia, adresu do korespondencji, wykształcenia, przebiegu dotychczasowego zatrudnienia. Nowością jest dodanie do tej listy adresu poczty elektronicznej lub numeru telefonu. Ale wykreślone z niej zostały informacje dotyczące imion rodziców pracownika. Dodatkowo, w przypadku gdy pracownik nie ma numeru PESEL, pracodawca będzie mógł domagać się podania rodzaju i numeru dokumentu tożsamości pracownika.

Najważniejszą zmianę wprowadzi nowo dodany art. 22(2) §1 Kodeksu pracy, który pozwala na przetwarzanie innych danych pracownika czy kandydata do pracy, niż te wyliczone w art. 22(1) §1 i 2, jeśli pracownik albo kandydat wyrazi na to zgodę (na piśmie lub elektronicznie) i jednocześnie dane te dotyczą stosunku pracy. Pracodawca (za zgodą pracownika) będzie mógł przetwarzać dane biometryczne, które dotyczą stosunku pracy wyłącznie osób zatrudnionych, ale nie kandydatów do pracy. Wyjątek będą stanowiły dane osobowe dotyczące nałogów, stanu zdrowia, życia seksualnego i orientacji seksualnej pracownika lub kandydata – tych nie będzie wolno przetwarzać, nawet gdyby pracownik (kandydat) wyraził na to zgodę.

Wykorzystanie CV do wielu rekrutacji

Powszechną praktyką stosowaną w wielu firmach jest przechowywanie dokumentów aplikacyjnych kandydatów do pracy przez dłuższy okres niż czas trwania postępowania rekrutacyjnego. Co będzie niezgodne z nowymi przepisami. Dane kandydatów co do zasady powinny być usuwane w momencie, w którym pracodawca zrezygnuje ze złożenia oferty zatrudnienia osobie ubiegającej się o nie. Wykorzystywanie raz uzyskanych danych osobowych na potrzeby przyszłych rekrutacji będzie możliwe tylko w oparciu o zgodę kandydata – z zastrzeżeniem, że wyrażona zgoda powinna uwzględniać maksymalny okres przechowywania CV przez pracodawcę.

Monitoring pracowników

Kolejną nowością w Kodeksie pracy będzie art. 22(4), który stanowi podstawę prawną do monitoringu pracowników. Monitoring będzie mógł być stosowany w celu zapewnienia bezpieczeństwa osób zatrudnionych, ochrony mienia bądź zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Zabronione jednak będzie wykorzystywanie monitoringu do kontrolowania wykonywanej pracy przez pracowników czy monitorowania pomieszczeń nieprzeznaczonych do wykonywania obowiązków służbowych, np. pomieszczeń sanitarnych, szatni czy stołówek. Co ważne, pracodawca będzie miał obowiązek poinformowania pracowników o wprowadzeniu monitoringu nie później niż 14 dni przed jego uruchomieniem.

Głównym celem RODO jest zmiana w podejściu do procesu przetwarzania danych. Osobą zobowiązaną do wdrożenia odpowiednich środków, aby przetwarzanie danych osobowych odbywało się zgodnie z prawem, jest administrator danych (w tym pracodawca prowadzący rekrutację). Wszystkie wprowadzone środki techniczne i organizacyjne muszą być zgodne z zasadami przewidzianymi przez RODO, tj. zasadą zgodności z prawem, rzetelności i przejrzystości, zasadą ograniczenia celu przetwarzania danych, zasadą minimalizacji oraz prawidłowości danych, zasadą ograniczenia przechowania danych, zasadą integralności i poufności danych oraz zasadą rozliczalności. Należy pamiętać, iż brak wdrożenia RODO i niestosowanie się do wprowadzonych przepisów może oznaczać dla przedsiębiorców odpowiedzialność finansową w postaci kar administracyjnych oraz możliwość dochodzenia roszczeń na drodze cywilnej w związku z naruszeniem nowych przepisów wobec osób, których dane są przetwarzane.