Gigantyczny pakiet RODO wchodzi w życie

opublikowano: 28-04-2019, 22:00

Ta majówka przyniesie zmiany wielu ustaw, w tym Kodeksu pracy. Ich wspólny mianownik to ochrona danych osobowych według reguł UE

Już od 4 maja zacznie obowiązywać obszerny pakiet zmian prawa dostosowujący polskie przepisy sektorowe do wymagań unijnego rozporządzenia dotyczącego ochrony danych osobowych (RODO). Pakiet uchwalono 21 lutego, zmieniając aż 162 ustawy.

Dr Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi w
Ministerstwie Cyfryzacji, zwraca uwagę, że pracodawca ma prawo do przetwarzania
danych osobowych nie tylko na podstawie Kodeksu pracy. W pewnych sytuacjach
może uzasadnić tę czynność przesłankami określonymi w RODO. Jedną z nich jest
niezbędność otrzymania określonych danych dla wykonania umowy.
Zobacz więcej

NIE TYLKO KODEKS:

Dr Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, zwraca uwagę, że pracodawca ma prawo do przetwarzania danych osobowych nie tylko na podstawie Kodeksu pracy. W pewnych sytuacjach może uzasadnić tę czynność przesłankami określonymi w RODO. Jedną z nich jest niezbędność otrzymania określonych danych dla wykonania umowy. Fot. Marek Wiśniewski

— Tak dużej jednorazowej nowelizacji przepisów sektorowych nie było od lat. Zmiany wprowadzono m.in. w prawie bankowym, kodeksie postępowania administracyjnego, kodeksie pracy — wylicza adwokat Marcin Zadrożny, specjalista ds. ochrony danych w firmie ODO 24.

Jak mówi dr Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji (MC), do trudniejszych prac nad tym pakietem należało dostosowanie Kodeksu pracy do wymagań RODO. Jak już wielokrotnie pisaliśmy w „Pulsie Biznesu”, zmiany dotyczą m.in. określenia podstaw prawnych przetwarzania danych osobowych przez pracodawców. Sformułowano kategorie informacji niezbędnych, których przekazania będą oni wręcz żądać — do pozyskania przed oraz po zawarciu umowy o pracę. Uregulowano kwestię przetwarzania danych wrażliwych, w tym możliwość pobierania danych biometrycznych ze względu na ochronę firmy przed szkodą, na którą może ją narazić ujawnienie określonych treści. Ponadto ustawodawca wyłączył możliwość stosowania monitoringu lokalu zakładowej organizacji związkowej i doprecyzował przepisy o jego instalacji w pomieszczeniach sanitarnych.

Wciąż wiele pytań

Nowe obowiązki i uprawnienia związane z przetwarzaniem danych osób kandydujących do pracy i zatrudnionych budziły w trakcie prac wiele wątpliwości i obaw przedsiębiorców. Ci ostatni nadal je podtrzymują.

— Pracodawcy pytają np., czy uprawnienie do gromadzenia danych biometrycznych wymaga uzyskania dodatkowej zgody od pracownika, czy raczej mogą oni, na podstawie określonej normy prawnej, podjąć samodzielnie decyzję o pobieraniu takich danych. W mojej ocenie mają takie prawo, ale tylko dla celów wskazanych w kodeksie. Może to dotyczyć np. strategicznych pomieszczeń, do których dostęp musi być poddany szczególnej kontroli ze względu na to, co się w nich znajduje. Wtedy można uzależnić zatrudnienie danej osoby od możliwości pozyskania od niej takich danych. Przepisy są w tej kwestii jednoznaczne — wyjaśnia dr Maciej Kawecki.

Pracodawcy nie mają pewności, czy katalog podstaw do pozyskiwaniaprzez nich danych osobowych jest zamknięty i określony wyłącznie w Kodeksie pracy. Przedstawiciel MC przypomina, że nie tylko polskie regulacje określają przypadki, w których można żądać od kogoś określonych informacji.

— Pracodawca może powołać się na przesłanki wynikające z RODO, np. na niezbędność otrzymania od danej osoby określonych informacji do wykonania umowy. W uzasadnieniu do zmian, które lada chwila zaczną obowiązywać, wyjaśniliśmy, że podstawy przetwarzania danych osobowych w relacjach pracowniczych nie są zamkniętą listą i nie ograniczają się wyłącznie do wymienionych w Kodeksie pracy — mówi dr Maciej Kawecki.

Objaśnienia w sprawie CV

Przy okazji przypomina o objaśnieniach prawnych wydanych przez ministerstwo w sprawie przechowywania CV kandydatów do pracy po zakończonej rekrutacji. Polskie przepisy wymagają ich usunięcia. Jednak w ocenie resortu, ze względu na prawnie uzasadniony interes — czyli przesłankę przewidzianą w RODO — dane te można przechowywać dłużej. Takim prawnie uzasadnionym interesem pracodawcy może być np. potrzeba zaproponowania zatrudnienia któremuś z uczestników rekrutacji, gdy wybrana osoba nie sprawdzi się w okresie próbnym. Dzięki zachowaniu dokumentów nie będzie wtedy potrzeby rozpisywania dodatkowych konkursów.

— Takie podejście jest racjonalne i bardzo ułatwia pracodawcom rekrutację. Naszym zdaniem dane wszystkich kandydatów mogą być przechowywane przez czas, w którym istnieje prawdopodobieństwo wniesienia przez nich roszczeń wynikających z zarzutów, że ich kandydaturę odrzucono. Długość tego okresu może zależeć od danej branży i typowych dla niej procedur zatrudniania. Firma może więc przechować CV, aby móc przygotować się do ewentualnych żądań. Może też je zachować na wypadek, gdy zatrudniona osoba nie przyjdzie do pracy, bo np. zachoruje, znajdzie zatrudnienie gdzie indziej, albo nie sprawdzi się w okresie próbnym, co spowoduje konieczność poszukiwania innego pracownika. Takie sytuacje stanowią prawnie uzasadniony interes pracodawcy, na który może się on powołać dla zachowania danych osobowych po zakończonej rekrutacji — podkreśla przedstawiciel MC.

Objaśnienia te powstały na wniosek Rzecznika Małych i Średnich Przedsiębiorców. MC wydał je na podstawie uprawnienia określonego w art. 33 Prawa przedsiębiorcy, czyli ustawy składającej się na tzw. konstytucję biznesu. Po ich ogłoszeniu zastrzeżenia zgłosiła dr Edyta Bielak-Jomaa, prezes Urzędu Ochrony Danych Osobowych (UODO). Stwierdziła, że w Polsce jedynym właściwym podmiotem w sprawach dotyczących ochrony danych osobowych jest kierowana przez nią instytucja, która ma status i kompetencje organu nadzorczego określone w RODO — i dokonywanie oficjalnej interpretacji prawa w tym zakresie leży w gestii prezesa UODO. Przedstawiciel MC przyznaje, że UODO, jako niezależny organ nadzoru, nie jest formalnie związany treścią objaśnień ministerialnych. Może się na nie natomiast powołać przedsiębiorca, który na ewentualną niekorzystną decyzję urzędu złoży skargę do sądu administracyjnego.

1cae78be-dad3-11e9-8a34-2a2ae2dbcce4
Polityka gospodarcza
Nie uciekniesz przed skutkami polityki gospodarczej. Zapisz się na nasz newsletter, by nie przegapić newsów, analiz i komentarzy. Zamieniamy słowa polityków na pieniądze
ZAPISZ MNIE
Polityka gospodarcza
autor: Marcin Goralewski
Wysyłany raz w tygodniu
Marcin Goralewski
Nie uciekniesz przed skutkami polityki gospodarczej. Zapisz się na nasz newsletter, by nie przegapić newsów, analiz i komentarzy. Zamieniamy słowa polityków na pieniądze
ZAPISZ MNIE

Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa.

Kliknij w link w wiadomości, aby potwierdzić subskrypcję newslettera.
Jeżeli nie otrzymasz wiadomości w ciągu kilku minut, prosimy o sprawdzenie folderu SPAM.

— One chronią przedsiębiorcę w postępowaniu administracyjnym. Ostatecznie to sąd może stwierdzić w wyroku, że stanowisko wyrażone w objaśnieniach jest błędne i wtedy ta ochrona się kończy — mówi dr Maciej Kawecki.

Ograniczenie uprawnień

Wątpliwości co do stosowania nowych zasad ochrony danych osobowych jest znacznie więcej i niewykluczone, że będą wymagać wydania kolejnych objaśnień.

— Zmiany służą m.in. wskazaniu w poszczególnych ustawach wprost podmiotu będącego administratorem danych. W wielu przypadkach nieokreślenie przez ustawodawcę, kto pełni taką rolę, uniemożliwia jego ustalenie i powoduje tym samym wiele problemów — wyjaśnia Marcin Zadrożny.

Ponadto nowe regulacje zdejmują z części administratorów obowiązek wykonywania niektórych praw osób, których dane pozyskują — zwłaszcza dostępu do danych, sprzeciwu do ich przetwarzania czy nawet ich usunięcia. Ograniczenie tych uprawnień pojawi się w relacjach z sektorem finansowym. Na liście uprzywilejowanych znalazły się m.in. banki, instytucje pożyczkowe, Biuro Informacji Kredytowej, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych w leasingu, fundusz inwestycyjny, dostawcy usług płatniczych i zakłady ubezpieczeń. Wyłączenie stosowania prawa dostępu do danych będzie możliwe w zakresie, w jakim jest to niezbędne do prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu lub zapobiegania określonym przestępstwom. Adwokat Anna Kobylańska z kancelarii Kobylańska & Lewoszewski uważa, że to ograniczenie uprawnień podmiotów danych w praktyce nie będzie łatwe.

— Te same dane są przecież wykorzystywane do różnych celów. Jest bardzo prawdopodobne, że klient banku może zażądać spełnienia jego praw w stosunku do tych informacji, powołując się na inny cel ich przetwarzania niż przeciwdziałanie praniu pieniędzy, czyli np. wykonanie umowy czy świadczenie usługi — zauważa Anna Kobylańska.

Na razie nie potrafi przewidzieć, jaka praktyka ukształtuje się w tego typu sprawach.

Zmiany branżowe

Ustawa określa podstawy prawne przetwarzania danych osobowych i jego zakresu w różnych branżach. Ponadto wprowadza m.in. następujące zmiany:

  • ubezpieczenia — dodano przepisy umożliwiające profilowanie (podejmowanie decyzji na podstawie zautomatyzowanego przetwarzania danych), uregulowano kwestię przetwarzania danych wrażliwych,
  • bankowość — określono ograniczenia w realizacji praw podmiotów danych, umożliwiono profilowanie w procesie oceny zdolności kredytowej i analizy ryzyka kredytowego,
  • zdrowie — określono warunki pobierania opłat za udostępnienie dokumentacji medycznej, wprowadzono obowiązek zachowania w tajemnicy informacji związanych z pacjentem przez osoby, które uzyskały do nich dostęp w związku z powierzeniem przetwarzania danych,
  • praca — określono katalog danych żądanych od kandydatów i zatrudnionych, uregulowano kwestię przetwarzania danych wrażliwych, pobierania danych biometrycznych, doprecyzowano zasady monitoringu,
  • edukacja — nałożono na kadry (w tym nauczycieli) obowiązki związane z przetwarzaniem tzw. danych wrażliwych i zachowaniem w tajemnicy określonych informacji, uregulowano pozwolenia od uczniów i rodziców na wykorzystywanie danych do niektórych celów,
  • przedsiębiorczość i technologie — określono zakres przetwarzanych danych przez uczestników systemu udostępniania informacji gospodarczych, do którego nie stosuje się niektórych przepisów RODO.

Sprawdź program konferencji "RODO w instytucjach finansowych", 27-28 czerwca 2019, Warszawa >>

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Polecane

Inspiracje Pulsu Biznesu

Tematy