[dropcap]2[/dropcap]5 maja bieżącego roku rozpoczęto stosowanie tzw. RODO, tj. Rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/We.
Ów akt prawa wspólnotowego w swojej istocie ma obejmować szeroko pojęte informacje traktowane jako dane osobowe oraz chronić je, jednocześnie ujednolicając ich kwestie na terytorium całej Unii Europejskiej. Jak pokazała praktyka wprowadzania w życie tego aktu prawnego, mimo jednej z naczelnych zasad ochrony danych osobowych, tj. zasady przejrzystości, Polacy wciąż mają wiele wątpliwości w zakresie stosowania nowych przepisów. Widoczne są one także w stosunkach pomiędzy pracodawcami a pracownikami. Jak więc powinny wyglądać poszczególne działania związane z RODO?
Obowiązek informacyjny pracodawcy
Zgodnie z art. 12 i n. Rozporządzenia, pracodawca jako administrator jest obowiązany do przedstawienia wszelkich informacji nt. przetwarzania danych osobowych osobom, których te dane osobowe dotyczą. We wskazanych przepisach wśród informacji są między innymi nazwa pracodawcy, cel przetwarzania danych, okres ich przechowywania czy zespół praw, które przysługują pracownikowi. Dodać należy, że podany obowiązek informacyjny musi realizować wspomnianą zasadę przejrzystości, tj. każdy potencjalny pracownik, który ma możliwość zapoznania się z dokumentem, powinien jego treść bez problemów zrozumieć (jest to pewne oderwanie od wprost prawniczego języka).
Obowiązek ten w szczególności ma zastosowanie w stosunku do kandydatów do pracy. Innymi słowy, pracodawca powinien poinformować przyszłego potencjalnego pracownika, jakie dane osobowe zbierane będą w trakcie rekrutacji. W tym zakresie nowelizacja kodeksu pracy wskazuje zamknięty katalog danych, których pracodawca może żądać. Są to np. imię i nazwisko, data urodzenia, dane kontaktowe, wykształcenie, kwalifikacje zawodowe czy przebieg dotychczasowego zatrudnienia.
Ponadto, rekrutowany może także samodzielnie wyrazić zgodę na przetwarzanie ponadpodstawowych informacji (o które uprzednio nie prosił administrator), a które jego zdaniem będą korzystnie wpływać na wynik rekrutacji. Dodać trzeba, że w ujęciu prawnym zgodę definiujemy także jako działanie dorozumiane, co w praktyce oznacza możliwość przetwarzania danych osobowych wskutek samego faktu przesłania przez kandydata CV (dotyczy to tzw. danych zwykłych). Należy przy tym pamiętać, że brak zgody lub jej późniejsze wycofanie nie mogą być podstawą niekorzystnego traktowania ubiegającego się o zatrudnienie. Przykładowo, na potrzeby przyszłych postępowań rekrutacyjnych kandydat na pracownika może wskazać, że jest zainteresowany współpracą w ciągu najbliższych 12 miesięcy. Dla potencjalnego pracodawcy jest to sygnał, że ma prawo przetwarzania zawartych w aplikacji danych osobowych także w przyszłych rekrutacjach na podstawie dobrowolnie wyrażonej zgody.
RODO w okresie obowiązywania umowy o pracę
Nieco bardziej złożona jest kwestia ochrony i samego przetwarzania danych osobowych już w toku okresu zatrudnienia poszczególnych pracowników, bowiem ilość gromadzonych informacji jest w zdecydowanej większości przypadków wyższa.
Zgodnie z art. 4 pkt. 1 Rozporządzenia, „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, zarówno w sposób bezpośredni, jak i pośredni. Mimo że RODO wskazuje kilka przykładów danych osobowych, to jednak nie jest to katalog zamknięty, a zatem w zależności od sytuacji konkretnego miejsca pracy można przetwarzać inne (choć niekiedy bez większych różnic) informacje.
I tak, nie bez znaczenia jest chociażby temat osławionego monitoringu pracowników. Najnowsze zmiany w kodeksie pracy zakładają taką możliwość z pewnymi zastrzeżeniami, których źródeł należy upatrywać właśnie w RODO. Otóż monitoring rozmów telefonicznych czy poczty elektronicznej jest możliwy wówczas, gdy pracodawca chciałby zapewnić organizację umożliwiającą pełne wykorzystanie czasu pracy oraz właściwe użytkowanie udostępnionych pracownikowi narzędzi (np. stanowiska komputerowego). Należy wtedy nie tylko poinformować o tym fakcie pracownika, ale też określić formalnie cel i zakres takich czynności.
Odmiennie od powyższego, zabroniony jest tzw. monitoring z ukrycia przez pracodawcę. Nie powinien on też śledzić pracowników – i zwłaszcza kandydatów w toku rekrutacji – na portalach stricte społecznościowych, które z założenia mają służyć dzieleniu się informacjami wśród członków rodziny i znajomych. Wyjątkiem są portale o charakterze zawodowym (np. GoldenLine, LinkedIn), na których użytkownik umieszcza dobrowolnie swoje dane osobowe pod kątem zawodowym, co już może być traktowane jako zgoda na ich przetwarzanie.
Oczywiście dane osobowe pracowników to nie jedyne informacje przetwarzane przez pracodawcę jako administratora. Zbiory danych będą w dużej mierze zależały od charakteru i skali prowadzonej działalności. W przypadku, gdy jej przedmiotem jest prowadzenie szkoleń albo badania społeczne, dane wówczas gromadzone i wykorzystywane będą obejmowały chociażby klientów i uczestników takich szkoleń, a także respondentów. Mimo odmienności każdej z branży, nieuniknione jest właściwe wprowadzenie zabezpieczeń organizacyjnych i technicznych, które będą minimalizować ryzyko wystąpienia zagrożenia dla danych i ewentualnej szkody.
