RODO: odciski palców pracownika w rękach pracodawcy
O tym, że przepisy unijne określające na nowo zasady przetwarzania danych osobowych osób fizycznych (Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/ -Dz.Urz. UE L 119 str. 1, dalej RODO), które zaczną obowiązywać w całej UE od 25 maja 2018 r, wymagają zmian w wielu przepisach w tym kodeksie pracy pisaliśmy już wcześniej.
Obecnie jednak prace nad projektem ustawy, która ma te zmiany wprowadzić do polskiego porządku prawnego nabrały tempa. Poprawioną po konsultacjach wersją projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (wcześniej miały to być Przepisy wprowadzające ustawę o ochronie danych osobowych) wkrótce zająć się ma Rada Ministrów.
Dane dla pracodawcy
Jeśli zaproponowane w projekcie ustawy rozwiązania wejdą w życie od osoby ubiegającej się o zatrudnienie pracodawca żądać będzie podania danych osobowych obejmujących: imię (imiona) i nazwisko, datę urodzenia, dane kontaktowe wskazane przez taką osobę, wykształcenie, przebieg dotychczasowego zatrudnienia. A od osoby już zatrudnionej dodatkowo dane obejmujące: adres zamieszkania, numer PESEL, a w przypadku jego braku rodzaj i numer dokumentu potwierdzającego tożsamość, inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.
Udostępnienie pracodawcy danych osobowych następować ma w formie oświadczenia osoby, której one dotyczą. Pracodawca może żądać ich udokumentowania tylko w zakresie niezbędnym do ich potwierdzenia.
Jak widać z projektu ustawy zniknął obowiązek podawania przez osobę ubiegającą się o zatrudnienie adresu do korespondencji, adresu poczty elektronicznej, albo numeru telefonu. To, jakie dane kontaktowe kandydat do pracy udostępni w czasie rekrutacji zależeć ma teraz tylko od jego woli.
Zgoda nie wystarczy
Inne dane osobowe (niewymienione w katalogu obligatoryjnych danych pozyskiwanych przez pracodawcę) będą mogły być pobierane, gdy będzie to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa. Ich gromadzenie zostało także uzależnione od pozyskania na to zgody osób, których dane te dotyczą (kandydatów do pracy i pracowników) i ograniczone do sytuacji, w których przetwarzanie takich danych będzie dla nich korzystne.
O tym, czy podanie określonych danych spełnia przesłankę „bycia korzystnym” dla kandydata lub pracownika, będą oceniały obie strony stosunku pracy. Natomiast ostateczną decyzję, czy podanie tych danych rzeczywiście leży w interesie pracownika, będzie podejmował pracownik, udzielając zgody na ich przetwarzanie lub odmawiając jej udzielenia.
Ważne
Brak zgody na udostępnienie „innych danych” lub jej wycofanie, nie może być podstawą do niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.
Pozyskanie danych za zgodą kandydata do pracy lub pracownika, będzie mogło nastąpić z inicjatywy obu stron stosunku pracy. Obejmie to, zatem wszystkie dane osobowe, które kandydat do pracy lub pracownik dobrowolnie dostarczy pracodawcy (np. informacje o dodatkowych kwalifikacjach zawodowych), jak również przypadki, w których to pracodawca wystąpi z inicjatywą pozyskania określonych danych, a ich udostępnienie będzie korzystne dla pracownika (np. informacja dotycząca posiadania przez pracownika prawa jazdy, w sytuacji, w której pracodawca przewiduje na danym stanowisku pracy przyznanie samochodu służbowego a pracownik uzna, iż jest to dla niego korzystne).
Ponadto, jak piszą autorzy projektu w uzasadnieniu projektu ustawy, wskazanie w przepisie, iż dane „za zgodą” można pobrać bezpośrednio od kandydata lub pracownika uniemożliwić ma pracodawcom stosowanie praktyki tzw. „backgroud screeningu”, czyli pozyskiwania danych osobowych od osób trzecich (np. byłych pracodawców).
Ważne
Zgoda, osoby, której dane dotyczą została zdefiniowana w RODO (art. 4 pkt 11 RODO), jako dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, w którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
Dane osobowe szczególnej kategorii
Zgodnie z projektem przetwarzanie danych wrażliwych (wyszczególnionych w art. 9 ust. 1 i art. 10 RODO) ma być, co do zasady niedopuszczalne, chyba, że ich pozyskanie będzie niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa. Chodzi tu, zgodnie z art. 9 ust.1 RODO, o dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne (w celu jednoznacznego zidentyfikowania osoby), oraz dane dotyczące zdrowia i dane dotyczące seksualności i orientacji seksualnej. A także dane dotyczące wyroków skazujących i naruszeń prawa (art.10 RODO).
Wyjątek dla danych biometrycznych
Przy czym w przypadku danych biometrycznych autorzy projektu ustawy zrobili wyjątek. Obecnie (w porównaniu z poprzednią wersją projektu zasady pozyskiwania danych biometrycznych uległy zmianie) proponują oni, aby dane takie mogły być pobierane nie tylko wówczas, gdy ich pozyskanie będzie niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa (jak inne dane wrażliwe), ale także, aby było to możliwe w sytuacjach, w których podanie takich danych będzie niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub dostępu do pomieszczeń wymagających szczególnej ochrony. Oznacza to, że pracodawca nie będzie mógł stosować np. czytnika linii papilarnych do ewidencji czasu pracy pracownika, ale wolno będzie mu go używać np. w celu ograniczenia osobom nieupoważnionym dostępu do niektórych pomieszczeń, czy stref zakładu pracy.
Co istotne na przetwarzanie danych biometrycznych pracodawca nie będzie musiał mieć zgody pracownika (jak miało to być w poprzedniej wersji projektu ustawy). Uznano widocznie, że w związku z tym, że wyrażoną zgodę pracownik zawsze może cofnąć, oparcie przetwarzania danych biometrycznych o tak niepewny element mogłoby być dla pracodawcy zbyt ryzykowne.