KOLEJNE ZMIANY W RODO

Po zmianach wprowadzonych do kodeksu pracy w związku z rozpoczęciem stosowania RODO, przyszedł czas na kolejne. Od 4 maja 2019 r. zaczęła obowiązywać ustawa z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania ogólnego rozporządzenia o ochronie danych. Została ona opublikowana w Dzienniku Ustaw z 2019 r. pod pozycją 730 i na jej mocy m.in. zmieniono zawarty w Kodeksie pracy katalog danych osobowych, jakich pracodawca może wymagać od kandydata do pracy i pracownika, wprowadzono pewne modyfikacje dotyczące uregulowań z zakresu badań lekarskich a także przepisów ustawy o ZFŚS.

Każdy pracodawca powinien być przygotowany do zmian dotyczących m.in.: procesów rekrutacyjnych pod kątem zakresu i formy danych zbieranych od kandydatów, regulaminu ZFŚS oraz zasad przyznawania świadczeń z funduszu pod kątem sposobu i formy danych zbieranych od wnioskujących o świadczenie z funduszu, a także zasad prowadzonego w firmie monitoringu wizyjnego, jeżeli obejmuje pomieszczenia związkowe lub sanitarne, pod kątem wprowadzonych nowelizacją zakazów i dodatkowych wymogów formalnych.

Od 4 maja 2019 r. pracodawca może żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: imię i nazwisko, datę urodzenia, dane kontaktowe oraz wykształcenie czy przebieg dotychczasowego zatrudnienia, gdy będzie to niezbędne do wykonywania pracy określonego rodzaju pracy lub na określonym stanowisku. Kandydat do pracy nie będzie musiał ujawniać danych dotyczących adresu zamieszkania czy imion rodziców. Będzie mógł to zrobić dobrowolnie. Dane dotyczące posiadanego wykształcenia oraz przebiegu dotychczasowego zatrudnienia kandydat będzie zobowiązany podać tylko w sytuacji, jeśli jest to niezbędne do wykonywania pracy na określonym stanowisku.

Od osoby już zatrudnionej pracodawca ma prawo żądać podania dodatkowo danych osobowych obejmujących: imię i nazwisko, datę urodzenia, dane kontaktowe, adres zamieszkania numer PESEL (w przypadku braku rodzaj i numer dokumentu potwierdzającego tożsamość), inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny (jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy), wykształcenie, kwalifikacje zawodowe oraz przebieg dotychczasowego zatrudnienia (gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku) oraz numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.

Żądanie przez podmiot zatrudniający  podania innych danych osobowych niż te wskazane powyżej, jest możliwe tylko wtedy,  gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której dane dotyczą. Zakład pracy może żądać udokumentowania wymienionych wyżej danych osobowych osób, w zakresie niezbędnym do ich potwierdzenia.

Na mocy art. 221a § 1 i § 3 Kodeksu pracy, przetwarzanie przez pracodawcę innych danych niż wymienione w art. 221 Kodeksu pracy (pozyskanych na jego wniosek lub z inicjatywy kandydata do pracy/pracownika), jest możliwe wyłącznie za zgodą osoby ubiegającej się o pracę lub pracownika.

Zgodnie z art. 4 pkt 11 RODO zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego przyzwala na przetwarzanie dotyczących jej danych osobowych.

W przypadku tzw. danych wrażliwych, czyli danych m.in. biometrycznych (np. odciski palców), o pochodzeniu rasowym czy stanie zdrowia, zgoda będzie wystarczającą podstawą do ich przetwarzania wyłącznie przez osoby do tego upoważnione, z tym że udostępnienie tych danych musi nastąpić z inicjatywy kandydata do pracy/pracownika (art. 221b § 1 i § 3 Kodeksu pracy). Przetwarzanie danych biometrycznych pracownika jest ponadto dopuszczalne, jeśli ich podanie będzie niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających  szczególnej  ochrony.

Zgoda kandydata do pracy/pracownika nie jest natomiast wystarczająca do przetwarzania dotyczy danych osobowych, o których mowa w art. 10 RODO. Zgodnie z tym przepisem, dane osobowe dotyczące wyroków skazujących i naruszeń prawa mogą być przetwarzane wyłącznie wtedy, gdy prawo przewiduje obowiązek ich żądania przez pracodawcę lub obowiązek ich udostępnienia przez kandydata do pracy/pracownika.

Ustawodawca wprowadził również zmiany doprecyzowujące zakres orzeczeń lekarskich możliwych do żądania od pracownika przyjmowanego do pracy u nowego pracodawcy. Nowy szef będzie mógł zażądać aktualnego orzeczenia lekarskiego wraz ze skierowaniem na badania wydanym przez poprzedni zakład pracy, co zwalnia taką osobę ze wstępnych badań lekarskich, pod warunkiem że orzeczenie będzie aktualne, nowy etat zostanie nawiązany nie później niż 30 dni od rozwiązania poprzedniego, a orzeczenie dotyczy warunków pracy odpowiadających nowym, z wyłączeniem prac szczególnie niebezpiecznych. Po spełnieniu tych przesłanek pracodawca będzie mógł przechowywać takie orzeczenie i skierowanie. W przeciwnym przypadku będzie musiał je zwrócić przyjmowanemu do pracy, kierując go jednocześnie na badania wstępne.

Od 4 maja br. zmiany dotyczące ZFŚS obejmują:

  1. udostępnienie pracodawcy danych osobowych osoby uprawnionej do korzystania z funduszu socjalnego, w celu przyznania ulgowej usługi i świadczenia oraz dopłaty z zfśs i ustalenia ich wysokości, następuje w formie oświadczenia;
  2. pracodawca może żądać udokumentowania danych osobowych w zakresie niezbędnym do ich potwierdzenia. Potwierdzenie może odbywać się w szczególności na podstawie oświadczeń i zaświadczeń o sytuacji życiowej (w tym zdrowotnej), rodzinnej i materialnej osoby uprawnionej do korzystania z zfśs;
  3. do przetwarzania danych osobowych dotyczących zdrowia, o których mowa w art. 9 ust. 1 RODO, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę (osoby upoważnione obowiązane są do zachowania ich w tajemnicy);
  4. pracodawca przetwarza dane osobowe na potrzeby zgodnego z prawem gospodarowania środkami socjalnymi przez okres niezbędny do przyznania ulgowej usługi i świadczenia, dopłaty z zfśs oraz ustalenia ich wysokości, a także przez okres niezbędny do dochodzenia praw lub roszczeń;
  5. zakład pracy dokonuje przeglądu ww. danych osobowych nie rzadziej niż raz w roku kalendarzowym w celu ustalenia niezbędności ich dalszego przechowywania i usuwa dane osobowe, których dalsze przechowywanie jest zbędne. Przykładowo, jeżeli pracodawca w ramach funduszu socjalnego wspiera pracownika poprzez dofinansowanie wypoczynku, tzw. wczasy pod gruszą, powinien on usunąć dane z ubiegłych lat.