Przetwarzanie danych w zatrudnieniu – 6 zmian dla działów HR w związku z RODO

Przetwarzanie danych w zatrudnieniu – 6 zmian dla działów HR w związku z RODO

Marcin Sarna

29.01.2018

Już od 25 maja 2018 roku zacznie być stosowane tzw. ogólne rozporządzenie o ochronie danych osobowych (RODO). Zmienia ono myślenie o przetwarzaniu danych osobowych, także w obszarze HR. Obecnie trwają również prace nad projektem nowej ustawy o ochronie danych osobowych. Przyjrzyjmy się najważniejszym zmianom, jakie w tym zakresie czekają pracowników działów kadr.

1. Poszerzenie zakresu przetwarzanych danych

Obecnie Kodeks pracy pozwala pracodawcy żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących jedynie:

  1. imię (imiona) i nazwisko;

  2. imiona rodziców;

  3. datę urodzenia;

  4. miejsce zamieszkania (adres do korespondencji);

  5. wykształcenie;

  6. przebieg dotychczasowego zatrudnienia.

Po zmianach pracodawca będzie mógł żądać podania także adresu poczty elektronicznej oraz numeru telefonu kandydata – naturalnie prywatnych. Nie będzie z kolei mógł wymagać podania imion rodziców i miejsca zamieszkania (a jedynie adresu do korespondencji).

2. Biometria i monitoring

Nowością będzie też uregulowanie (aktualnie brak jest w tym zakresie odpowiednich przepisów) możliwości gromadzenia danych biometrycznych pracownika oraz monitoringu.

Gromadzenie danych biometrycznych stanie się możliwe, ale tylko:

  • w odniesieniu do pracownika (a nie kandydata do pracy);

  • w związku ze stosunkiem pracy (np. żeby w związku z limitowaniem dostępu do pomieszczeń);

  • za zgodą pracownika wyrażoną w postaci papierowej lub elektronicznej.

Z kolei monitoring (szczególny nadzór nad miejscem pracy lub terenem wokół zakładu pracy umożliwiający rejestrację obrazu) pracodawca będzie mógł wprowadzić pod następującymi warunkami:

  • jeśli uzna to za konieczne dla zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę;

  • monitoring nie może stanowić środka kontroli wykonywania pracy przez pracownika;

  • monitoring nie może obejmować pomieszczeń, które nie są przeznaczone do wykonywania pracy (np. pomieszczenia sanitarne, szatnie, stołówki czy palarnie);

  • zapisy z monitoringu mają być usuwane tak szybko jak tylko przestaną być niezbędne do realizacji celów monitoringu;

  • o wprowadzeniu monitoringu należy poinformować nie później niż na 14 dni przed jego uruchomieniem.

3. Podstawy przetwarzania danych

Obecnie Kodeks pracy przewiduje, że w zakresie nim nieuregulowanym do danych osobowych przetwarzanych w ramach stosunku pracy stosuje się przepisy o ochronie danych osobowych. To odwołanie pozwala na przetwarzanie przez pracodawcę danych zgodnie z ogólnymi zasadami przetwarzania danych osobowych.

Odwołanie to – zgodnie z projektem zmian do Kodeksu pracy – ma jednak zniknąć. Będzie to skutkowało tym, że pracodawca nie będzie mógł przetwarzać danych osobowych z powołaniem się, przykładowo, na wykonywanie określonych prawem zadań realizowanych dla dobra publicznego czy wypełnianie prawnie usprawiedliwionych celów. Przetwarzanie danych osobowych pracownika i kandydata do pracy będzie więc dopuszczalne jedynie w odniesieniu do danych:

  1. których pracodawca może żądać na podstawie przepisów Kodeksu pracy;

  2. które dotyczą stosunku pracy a pracownik (kandydat do pracy) wyrazi zgodę na ich przetwarzanie;

  3. które muszą zostać podane przez pracownika (kandydata do pracy) na podstawie odrębnych przepisów;

  4. których przetwarzanie jest niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa.

4. Przetwarzanie danych za zgodą pracownika

Do tej pory przetwarzanie danych osobowych pracownika, innych niż wymienione w Kodeksie pracy, było w zasadzie niemożliwe. Nawet jeżeli pracodawca przetwarzał inne dane osobowe pracownika za jego zgodą to praktykę taką kwestionowały często sądy administracyjne. Argumentem było to, że pracownik jako słabsza strona stosunku zatrudnieniowego mógł udzielić zgody pod przymusem a tym samym o udzieleniu dobrowolnej zgody w stosunku pracy nie może być w ogóle mowy.

Według planowanych nowych regulacji przetwarzanie danych osobowych pracownika, innych niż wskazane w Kodeksie pracy, będzie możliwe za zgodą tego pracownika. Zgoda taka będzie mogła być wyrażona w formie pisemnej lub elektronicznej pod warunkiem jednak, że:

  • zapytanie o zgodę będzie przedstawione w zrozumiałej, przystępnej formie oraz wyrażone jasnym, prostym językiem;

  • wyrażenie zgody nie będzie rozwiązaniem domyślnym (np. od razu zaznaczoną opcją w formularzu na stronie intranetowej pracodawcy);

  • wyrażenie zgody będzie następowało aktywnie (a nie np. wskutek milczenia przez określony czas po zapytaniu);

  • pracownik będzie miał możliwość cofnięcia zgody w dowolnym momencie;

  • brak zgody nie będzie wywoływał dla pracownika żadnych negatywnych skutków.

Natomiast przetwarzanie danych osobowych o życiu seksualnym, orientacji seksualnej, nałogach czy stanie zdrowia będzie możliwe wyłącznie wówczas, gdy obowiązek podania takich danych wynika z konkretnego przepisu prawa lub będzie to konieczne dla realizacji obowiązku pracodawcy wynikającego z przepisów prawa.

5. Nowe obowiązki informacyjne

Pracownicy działów HR będą musieli także, jako reprezentanci administratora danych, szerzej informować kandydatów do pracy m.in. o:

  • celach przetwarzania ich danych osobowych;

  • okresie przez jaki dane będą przechowywane przez administratora;

  • kto będzie odbiorcą danych;

  • prawie podmiotu danych do wniesienia skargi do organu nadzorczego (w Polsce takim organem, w miejsce istniejącego obecnie Generalnego Inspektora Ochrony Danych Osobowych, będzie Prezes Urzędu Ochrony Danych Osobowych).

6. Rejestr czynności przetwarzania danych

RODO wprowadzi wreszcie konieczność rejestrowania wszystkich czynności dokonywanych na danych osobowych. Oznacza to, że pracodawca będzie odnotowywał (z pewnością w specjalnym systemie informatycznym) każdą czynność pracownika działu HR dotyczącą danych pracownika lub kandydata do pracy. Będzie to wprowadzenie, kasowanie i zmiana treści danych, niezależnie od tego czy dokonuje się w ramach procesu zatrudniania, procesu szkoleniowego czy kadrowo-płacowego.

Podstawa prawna: 
  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Autorem odpowiedzi jest: 

Marcin Sarna

Marcin Sarna

Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych.
Nie ma jeszcze komentarzy do tego dokumentu.
Zaloguj się aby dodać komentarz
Słowa kluczowe:
dane osobowedział HR

Szkolenia Akademia Wiedza i Praktyka

Biblioteka kadrowego

Copyright ©  Wszelkie prawa zastrzeżone

wiper-pixel