RODO HR, Kadry – ochrona danych osobowych pracowników

Rozporządzenie Parlamentu Europejskiego o Ochronie Danych Osobowych, które wchodzi w życie 25 maja 2018 r. wprowadzi szereg zmian dotyczących ochrony i przetwarzania danych osób fizycznych, nakładając na wszystkich pozostających w Unii Europejskiej obowiązek stosowania się do jednolitej regulacji przepisów. Zmiany te w zauważalny sposób wpłyną również na działalność obszarów HR zgodnie z RODO. Ciągły kontakt z danymi, a tym samym ryzyko ich przekazania lub niewłaściwego przetwarzania są ściśle związane z działem zasobów ludzkich. Tworzenie dokumentacji, procesy organizacyjne, systemy IT, wszystkie bazują na danych potencjalnych lub stałych pracowników, dlatego tak ważnym jest skupienie się na ich zgodności z nową regulacją RODO.

Zgodnie z art. 88 ust. 1 RODO „Państwa członkowskie mogą zawrzeć w swoich przepisach lub w porozumieniach zbiorowych bardziej szczegółowe przepisy mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem, w szczególności do celów rekrutacji, (…) a także do celów zakończenia stosunku pracy.” Aby rozwiać wszelkie wątpliwości związane z regulacją, dnia 12 września 2017 r. Ministerstwo Cyfryzacji opublikowało projekt zmiany art. 221 § 1 kodeksu pracy.  

JAKIE ISTOTNE ZMIANY WPROWADZA NOWY PROJEKT?

Pierwszą znaczącą różnicą pomiędzy dotychczasowym zapisem, a zmianą zaproponowaną przez Ministerstwo jest możliwość uzupełnienia katalogu danych osobowych o adres poczty elektronicznej lub numer telefonu. Co istotne, pracodawca nie ma prawa żądania od potencjalnego pracownika dwóch tych informacji jednocześnie, zgodnie z nową zasadą RODO o minimalizacji przepływu i archiwizacji danych. Jest to zmiana dotycząca prawa do informacji, gdzie  pracodawca czy firma rekrutacyjna są zobowiązani do udzielenia wszelkich informacji wymaganych przez RODO, ale i mogą żądać takich od kandydata do pracy. Co bardzo istotne, odmowa podania takich informacji, nie może być podstawą niekorzystnego traktowania osoby, która ubiega się o pracę, lub też nieść ze sobą jakichkolwiek negatywnych konsekwencji, co zresztą musi być udowadniane podczas procesu weryfikacji dokumentów.

Szczególna grupa danych, która budzi wiele kontrowersji podczas próby regulacji zasad to dane biometryczne. Są to dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takich jak wizerunek twarzy lub dane daktyloskopijne. Projekt zmian w kodeksie pracy zakłada, że ich przetwarzanie będzie możliwe, ale pod warunkiem przetwarzania danych pracownika (nie kandydata do pracy), udzielenia na to zgody, a także uzasadnienia, że dane takie bezpośrednio dotyczą stosunku pracy. Podczas procesu rekrutacji, zdjęcie zamieszczone w cv, może być traktowane jako dane biometryczne. Umieszczone tam dobrowolnie, nie musi jednak stanowić naruszenia, chyba że zostanie poddane weryfikacji czy identyfikacji wizerunku, co jest już niezgodne z polityką RODO.

Obok grupy danych, na których przetwarzanie pracodawca może uzyskać zgodę, projekt zmian określa inną grupę, których przetwarzanie nie będzie możliwe, nawet po akceptacji osoby zainteresowanej. Są to dane związane ze sferą intymną człowieka, jak orientacja seksualna, nałogi, czy stan zdrowia.

Oprócz prawa, w świetle którego pracodawcy będą mogli pozyskać informacje, pracownicy działu HR będą zobowiązani przekazać informacje dotyczące m. in. inspektora ochrony danych, odbiorców danych, praw osób, których dane są przetwarzane, okresu, przez który dane takie są przechowywane i wielu innych. Weryfikacja przekazywanych informacji i dostosowanie klauzul informacyjnych do wymagań RODO to główne zadania, którymi będzie się zajmował dział HR.

Zgoda, jaką potencjalny pracodawca musi uzyskać od osoby, której dane są przetwarzane to następna różnica. Oczywiście jest ona nieodzowna, gdyż osoba pozyskująca informacje, staje się od tego momentu, administratorem danych. Przejrzystość i jednoznaczność przekazywanej informacji są tu niezwykle istotne, gdyż są gwarantem świadomego wyboru i zrozumienia informacji podczas procesu jej akceptacji. Zgodnie z nową regulacją, w przypadku kontroli, pracodawca będzie zobowiązany wykazać i udokumentować klauzule i zgody jakie kandydat zaakceptował podczas procesu rekrutacji. W praktyce, będzie to oznaczało dostosowanie klauzul do każdego procesu rekrutacyjnego z osobna.

Ponieważ bezpieczeństwo stoi u podstaw koncepcji RODO, obowiązek wdrożenia wszelkich środków technicznych i organizacyjnych mających zabezpieczyć dane to kolejny wymóg. Zgodnie z rozporządzeniem „Środki te mogą też obejmować pseudonimizację danych, o ile pozwala ona realizować powyższe cele. Jeżeli cele te można zrealizować w drodze dalszego przetwarzania danych, które nie pozwalają albo przestały pozwalać na zidentyfikować osoby, której dane dotyczą, cele należy realizować w ten sposób.” Podjęcie wszelkich starań, aby należycie zabezpieczyć dane odnosi się również do bardziej tradycyjnych metod przechowywania danych, jak zamykane szafy, czy pomieszczenia, do których dostęp mają tylko osoby upoważnione.

Obowiązek jaki będzie spoczywał na pracodawcy, zgodnie z nową regulacją, to w przypadku naruszenia ochrony danych osobowych, niezwłoczne poinformowanie o tym fakcie organu nadzorczego, najpóźniej w ciągu 72 godzin od stwierdzenia naruszenia.

Dlatego zasadnym byłoby przeszkolenie pracowników w zakresie naruszeń ochrony danych osobowych, które mogą nastąpić w trakcie codziennej pracy, a oprócz tego ustanowienie osoby odpowiedzialnej za weryfikację i zgłaszanie naruszeń.  

Proponujemy dopasowane i profilowane pod Państwa firmę szkolenia z zakresu ochrony danych osobowych.

Zapraszamy do kontaktu z RODO SECURITY Polska