Mimo, iż tematyka ochrony danych osobowych uregulowana została wiele lat wcześniej, to Rozporządzenie RODO sprawiło, że przepisy stały się wymagane w życiu gospodarczym.
Ustawa wdrażająca RODO – już obowiązuje
Po roku czasu od wdrożenia RODO, 4 maja 2019 r. weszły w życie przepisy tzw. ustawy wdrażającej RODO. Bez wątpienia była to jedna z największych nowelizacji, dotycząca 174 artykułów i zmieniająca przy tym 168 ustaw. Aktualizacja przepisów dotknęła wiele dziedzin prawa, jak m.in. prawo pracy, bankowe, ubezpieczeniowe, oświatowe czy administracyjne.
Z perspektywy przedsiębiorców na szczególną uwagę zasługują zmiany w zakresie Kodeksu pracy jak również wymóg przeprowadzenia corocznego audytu RODO.
Nowe zasady dla pracodawców
Ustawa wdrażająca RODO wprowadziła także nowe zasady w zakresie przetwarzania danych osobowych w procesie rekrutacji czy też przy zatrudnianiu pracowników oraz w trakcie trwania stosunku pracy.
Proces rekrutacji – wykaz danych, które żąda Pracodawca
Przy pozyskiwaniu danych osobowych kandydatów do pracy, pracodawca żąda danych, które są ściśle uregulowane w Kodeksie pracy. Zgodnie z art. 22(1) są to:
- imię (imiona) i nazwisko;
- datę urodzenia;
- wykształcenie;
- przebieg zatrudnienia.
Ustawodawca realizując zasadę minimalizmu przy zbieraniu danych, określoną w art. 5 ust. 1 lit. c Rozporządzenia RODO, wprowadził ograniczenia w zakresie danych, jakie osoba ubiegająca się o stanowisko będzie miała obowiązek przedstawić.
Pracodawca prowadząc rekrutację może żądać potwierdzenia przebiegu dotychczasowego zatrudnienia, zdobytego wykształcenia, ale także wskazania kwalifikacji zawodowych w sytuacji, gdy te informacje są niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. Tym samym na pracodawcy ciąży obowiązek potwierdzenia zasadności pozyskania tych danych.
Zgodnie ze zmianami, pracodawca nie może już żądać od kandydatów do pracy takich danych jak imiona rodziców czy miejsce zamieszkania (adresu do korespondencji).
W celu ułatwienia kontaktu oraz dopasowania przepisów do bieżącej praktyki w miejsce adresu zamieszkania, kandydat do pracy wskazuje dane kontaktowe.
Poza przepisami wprost ujętymi w Kodeksie pracy dotyczącymi procesu rekrutacji, Pracodawca zobowiązany jest do spełnienia szeregu warunków ujętych m.in. w Rozporządzeniu RODO. Mianowicie, już na etapie przygotowywania ogłoszenia o pracę należy zadbać o prawidłowe poinformowanie kandydatów do pracy:
- kto jest administratorem danych osobowych,
- w jakim celu i jak długo będzie przetwarzał pozyskane dane,
- jaką ma podstawę prawną do ich zbierania,
- jakie przysługują prawa, z których może skorzystać osoba, która zdecyduje się na powierzenie swoich danych potencjalnemu pracodawcy,
- informacje o tym, czy dane będą podlegały profilowaniu / zautomatyzowanemu podejmowaniu decyzji.
Dane osobowe pracowników
Zmiany dotknęły także kwestii zbierania danych od pracowników. Poza danymi, które pracodawca uzyska w trakcie procesu rekrutacji, żąda od pracownika podania takich informacji jak:
- adres zamieszkania;
- numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;
- inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;
- wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie;
- numer rachunku płatniczego, jeżeli pracownik nie złoży wniosku o wypłatę wynagrodzenia do rąk własnych.
Praktyczne uwagi dla Pracodawców:
Pracodawca w relacjach z pracownikiem pełni funkcję Administratora danych. Dlatego też, powinien pamiętać m.in. o:
- spełnieniu obowiązku informacyjnego wobec pracowników,
- nadaniu im upoważnień do przetwarzania danych osobowych,
- odebraniu od pracowników oświadczeń o przetwarzaniu danych osobowych.