Autor: r.pr. Piotr Stolarczyk, Prokurent Grupa Aterima, ekspert Polskiego Forum HR

W dniu 25 maja 2018 roku zacznie obowiązywać Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO, ang. GDPR). Stanowi ono jedną z największych zmian prawnych dla branży HR od lat. Stawia zupełnie nowe, wymagania, niezwykle istotne w codziennej działalności.

Na oficjalnej stronie Głównego Inspektora Ochrony Danych Osobowych można znaleźć zegar, odliczający czas pozostały do rozpoczęcia stosowania regulacji http://www.giodo.gov.pl/).

RODO dotyczy zarówno administrowania danymi osób w procesie rekrutacji, jak i tych już zatrudnionych. Podmiot administrujący i przetwarzający dane (administrator/procesor) będzie miał obowiązek weryfikowania, czy zastosowane środki ochrony danych są adekwatne do istniejącego ryzyka i sposobu przetwarzania. W celu kompleksowego wdrożenia nowych zasad w agencjach zatrudnienia, należy mieć na uwadze zarówno treść Rozporządzenia, jak i planowanych przepisów krajowych.

RODO, a przepisy krajowe

Do kluczowych zmian w krajowym systemie prawnym należy między innymi utworzenie Urzędu Ochrony Danych Osobowych, którego naczelnym organem będzie Prezes w miejsce dotychczasowego Generalnego Inspektora. Projekt nowej ustawy reguluje kwestie istotne również dla agencji zatrudnienia, dotyczące m.in.:

  • kontroli, postępowania ws. naruszenia przepisów, odpowiedzialności cywilnej – gwarantuje to niezależną od administracyjnej drogę dochodzenia roszczeń z tytułu naruszeń przepisów o ochronie danych,
  • inspektorów ochrony danych (odpowiednik dotychczasowego Administratora Bezpieczeństwa Informacji – ABI),
  • akredytacji i certyfikacji.

Jak przetwarzać dane pracowników i innych podmiotów, związanych z agencją zatrudnienia?

Definicja danych osobowych nie zmienia się, pojawiły się natomiast nowe zasady ich przetwarzania, opisane w tabeli powyżej. Obowiązek informacyjny (art. 5 ust. a) obejmuje wymóg wskazania podstawy przetwarzania danych osobowych – warunki, na jakich można przetwarzać dane są ujęte w art. 6. W praktyce oznacza to konieczność wskazania jednego z warunków, ujętego w podpunktach artykułu, który stanowi podstawę przetwarzania. Możliwe podstawy to: zgoda, wykonanie umowy, obowiązek prawny, ochrona żywotnych interesów, realizacja zadania w interesie publicznym, prawnie uzasadniony interes administratora. W przypadku przetwarzania danych osobowych w związku z zatrudnieniem, art. 88 umożliwia krajom wprowadzenie bardziej szczegółowych regulacji, chroniących prawa i wolności.

Co do zasady, przetwarzanie danych wrażliwych jest zakazane. Istnieją jednak zamknięty katalog sytuacji, dopuszczających ich przetwarzanie (art. 9 ust. 2 RODO): Do istotnych z perspektywy agencji należą: wyrażenie zgody przez podmiot danych i możliwość przetwarzania danych dla celów, związanych z wykonywaniem praw i obowiązków z zakresu prawa pracy i spraw socjalnych, profilaktyki, diagnostyki i medycyny pracy.

Sytuacje, gdy można przetwarzać dane pracowników za ich zgodą są określone w przepisach krajowych. Katalog informacji, jakich może wymagać pracodawca od kandydata (art. 221 kodeksu pracy) prawdopodobnie zostanie zawężony o imiona rodziców. Dane konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień prawa pracy (np. PESEL), mogą być wymagane dopiero po zawarciu umowy z pracownikiem. W przypadku danych wrażliwych, do których należą m.in. dane o karalności i testy psychologiczne, należy bardzo dokładnie sprawdzić, czy zachodzi warunek z art. 9 ust. 2 RODO. Dane biometryczne, w tym przetwarzane informatycznie zdjęcia dołączono do kategorii danych wrażliwych (do tej pory fotografie należały do zwykłych danych). Zmieniła się również definicja danych dotyczących zdrowia. Odwrotna modyfikacja nastąpiła w zakresie danych o wyrokach skazujących – nie są to dane wrażliwe (nie mylić z danymi o karalności, które nadal pozostają daną wrażliwą).

Zgoda na przetwarzanie danych – klucz do prawidłowego przetwarzania danych

Najważniejszym kryterium jest cel przetwarzania danych, do jakiego realizacji zgoda jest udzielana – każdy cel wiąże się z koniecznością uzyskania osobnego oświadczenia. Do częstych błędów należy automatyczne lub obowiązkowe zaznaczenie wyrażenia zgody w formularzu elektronicznym. Podobnie jest z zawieraniem kilku celów w ramach jednej „zgody” – jest to dopuszczalne tylko, gdy są one ściśle powiązane – np. proces rekrutacji
i zatrudnienie, będące jego kontynuacją.

! Ważne: Cechy jakie zgoda powinna każdorazowo posiadać: konkretna, dobrowolna, świadoma, czynność jednoznaczna i jednoznacznie potwierdzająca. Zgodę należy uzyskać zawsze przed podjęciem przetwarzania danych.

Monitoring pracowników – co jest dozwolone?

Regulamin pracy jest dobrym miejscem na przekazanie pracownikom zasad monitorowania. Jeżeli pracodawca sprawdza e-maile pracowników, wyniki takiej kontroli mogą być wykorzystane wyłącznie do oceny wydajności pracownika. Konieczne jest, po pierwsze, odebranie oświadczenia, że pracownik ma świadomość kontroli, po drugie, poinformowanie o stopniu ingerencji w korespondencję – w tej kwestii niedawno głos zabrał Europejski Trybunał Praw Człowieka w ramach sprawy 61496/08 (Barboulescu przeciwko Rumunii). Bardziej restrykcyjne zasady dotyczą kamer wideo –  nie wolno korzystać z nich w celu kontroli wykonywania pracy, a tym bardziej do monitorowania pomieszczeń, które do jej wykonywania nie służą (np. toalet). Korzystanie z kamer jest jednak dopuszczalne jeżeli ma na celu dbanie o tajemnice przedsiębiorstwa, ochronę jego mienia czy po prostu bezpieczeństwo pracowników i firmy. W praktyce warto wprowadzić odpowiednią procedurę dotyczącą wykorzystywanych metod monitoringu.

Administrator, a Inspektor Ochrony Danych (IOD) – czy można do tego zatrudnić zewnętrzną firmę?

Rola dotychczasowego Administratora Bezpieczeństwa Informacji (ABI) zostaje przydzielona Inspektorowi Ochrony Danych (IOD). Istnieje wiele firm, które powierzają ją zewnętrznej firmie lub kancelarii prawnej. RODO wprost nie zabrania ani nie zatwierdza możliwości stosowania takiej praktyki. Przepisy Rozporządzenia wskazują 2 przypadki, kiedy jest to możliwe: pierwszy gdy przedsiębiorstwa działają w ramach tej samej grupy kapitałowej – gdy agencja zatrudnienia funkcjonuje w ramach większej grupy podmiotów, nie ma konieczności powoływania kilku osób na stanowisko IOD (art. 37 ust. 2 RODO). Drugi przypadek odnosi się do podmiotów publicznych. Eksperci nie są jednak jednomyślni, czy enumeratywne wskazanie ww. przypadków oznacza że tego typu model biznesowy przestanie funkcjonować w sytuacjach tam niewymienionych.

! Ważne: Powołanie IOD jest obowiązkowe dla: podmiotów publicznych, podmiotów monitorujących osoby na dużą skalę (np. banki) oraz podmiotów przetwarzających dane wrażliwe (np. zdrowotne – szpitale) i dane dot. wyroków. Zdecydowanej większości agencji zatrudnienia (o ile nie wszystkich) wymóg ten nie dotyczy i jest jedynie możliwością, która może jednak usprawnić ochronę danych.

Obowiązkiem IOD jest dbanie o zgodne z przepisami przetwarzanie danych oraz by zgodność z RODO była możliwa do wykazania. Pozwala na to wdrożenie odpowiednich środków technicznych i organizacyjnych, chroniących przetwarzane dane. Jeżeli agencja zatrudnienia zdecyduje się powołać IOD, jego wyłączny zakres obowiązków określa RODO: informowanie administratora/procesora i pracowników o zasadach Rozporządzenia, monitorowanie jego przestrzegania (szkolenia, wprowadzenie wewnętrznych procedur itd.), współpraca z UODO. Powinna być to osoba, posiadająca odpowiednią wiedzę w dziedzinie ochronie danych oraz w branży.

Powierzenie przetwarzania danych – zasady

Agencje zatrudnienia współpracują z wieloma podmiotami, którym może być konieczne powierzenie czynności przetwarzania danych (w zasadzie wszyscy klienci). Następuje poprzez umowę, przy czym właściwa jest forma pisemna. Treść umowy precyzyjnie określa samo Rozporządzenie – do niezbędnych elementów należą: rodzaj danych osobowych, przedmiot, cel przetwarzania i jego charakter, czas trwania, a także obowiązki i prawa administratora danych i procesora (określa je dotychczasowy administrator). Przepisy dopuszczają możliwość dalszego powierzenia danych.

! Ważne: Dane osób zatrudnionych mogą być udostępnione wąskiemu gronu odbiorców. Jednym z nich może być zakładowy organizacja związkowa. Wg opinii GIODO nie dotyczy to jednak danych o wynagrodzeniu, które są uważane za dobro osobiste. Ponadto uprawniona jest też komisja ZFŚS, która ma prawo wglądu do PIT z obowiązkiem zachowania poufności danych.

Obowiązek zgłaszania naruszeń i znacznie wyższe kary za nieprawidłowości

Podmiot/osoba przetwarzająca dane (procesor) odpowiada w przypadkach, gdy działała niezgodnie z prawem, wbrew instrukcjom administratora lub poza nimi. W razie wystąpienia tzw. incydentu, polegającego na naruszeniu bezpieczeństwa przetwarzanych danych, konieczne jest dokonanie oceny ryzyka naruszenia praw i wolności podmiotów danych. Przy stwierdzeniu braku ryzyka, incydent podlega jedynie adnotacji w odpowiednim rejestrze. Jeżeli naruszenie jest prawdopodobne, konieczna jest notyfikacja w kolejności: procesor ->administrator -> UODO, dokonana bez zbędnej zwłoki (w praktyce do 72 godzin lub z wyjaśnionym opóźnieniem). W razie wysokiego zagrożenia dla praw i wolności należy koniecznie zawiadomić podmioty danych i opisać sytuację wraz z przekazaniem zaleceń (nie jest to konieczne w razie stosowania następczych środków eliminujących ryzyko jak np. szyfrowanie – wówczas wystarczy ogólny komunikat do podmiotów).

Wysokie kary przewidziane są za naruszenie praw podmiotów danych, takie jak przetwarzanie danych bez zgody, naruszenie prawa do bycia zapomnianym lub uzyskania informacji, transfer danych do państw trzecich itd. Naruszenia wewnątrz organizacji (np. brak rejestru lub jego wady) traktowane są łagodniej. Administrator ponosi odpowiedzialność na płaszczyznach:

  • administracyjnoprawnej– egzekwowana przez właściwe organy nadzoru.

! Ważne: Kary administracyjne mogą wynieść do 10 mln EUR, a w przypadku przedsiębiorstwa – do 2 % całkowitego rocznego światowego obrotu. W sytuacjach szczególnych, wymienionych w art. 83 ust. 5 RODO, kary mogą sięgać odpowiednio do 20 mln EUR lub do 4% całkowitego rocznego światowego obrotu.

  • cywilnoprawnej – na zasadach ogólnych, postępowanie inicjuje podmiot danych. Może skutkować m.in. pozbawieniem zysków wynikających z naruszenia. Możliwe dochodzenie odszkodowania (art. 82 RODO).
  • karnej – określonej w projekcie ustawy, która przewiduje m.in. grzywnę za utrudnianie kontroli, a nawet karę pozbawienia wolności do 1 roku (kwalifikuje się jako występek) za przetwarzanie danych wrażliwych bez podstawy.

Każdy przypadek naruszenia zasad ochrony danych osobowych jest rozpatrywany przez UODO indywidualnie, wg określonych prawem kryteriów, takich jak m.in. skala naruszenia, umyślność, próba zapobiegnięcia lub zminimalizowania szkody, rodzaj danych osobowych (zwykłe, czy wrażliwe), powtarzalność naruszeń i współpraca z Urzędem.