Gdyby ktoś w święta chciał odpocząć od jedzenia i poczytać o zmianach dotyczących ochrony danych osobowych, to była ku temu dobra sposobność. Na stronie internetowej Rządowego Centrum Legislacji opublikowano bowiem kilka dni temu projekt aktu prawnego, który ma na celu dostosowanie treści 210 ustaw do przepisów RODO. Pisałem o tym już jakiś czas temu, skupiając się na tym, jakie modyfikacje zostaną wprowadzone w Kodeksie Pracy.
I podobnie jak wtedy, teraz również pojawiły się propozycje zmiany Kodeksu Pracy. Dlaczego skupiam się właśnie na tej ustawie? Bo te uregulowania dotyczą każdego przedsiębiorcy, który zatrudnia (lub chce zatrudnić) pracowników. A tym samym ma wpływ na ogromną ilość podmiotów gospodarczych w Polsce.
Co się zmieni?
Przede wszystkim, katalog danych których można żądać od kandydata do pracy. Będą to:
imię (imiona) i nazwisko;
datę urodzenia;
dane kontaktowe wskazane przez taką osobę;
wykształcenie;
przebieg dotychczasowego zatrudnienia.
Co budziło najwięcej kontrowersji? Właśnie dane kontaktowe wskazane przez kandydata. W poprzednim projekcie mieliśmy do czynienia ze stwierdzeniem „adres e-mail albo numer telefonu” oraz adresem do korespondencji. Prowadziło to do wniosku, że pracodawca może żądać albo adresu e-mail albo numeru telefonu – musi wybrać jedną z dwóch informacji. Zrezygnowano z takiego rozróżnienia i po prostu wskazano, że możemy żądać danych kontaktowych – a o tym jakie to będą konkretnie dane, zadecyduje sam kandydat na pracownika.
Druga ważna zmiana to kwestia zbierania od pracownika innych danych osobowych niż te wskazane w kodeksie pracy. Można to robić, ale tylko pod warunkiem uzyskania od pracownika (lub kandydata) zgody na przetwarzanie danych i tylko wtedy gdy jest to dla pracownika korzystne. Trzeba będzie sobie odpowiedzieć na pytanie, czy np. opublikowanie zdjęcia przedstawiciela spółki za jego zgodą w materiałach reklamowych na pewno jest dla niego korzystne. Zgodnie z uzasadnieniem do projektu zmian, ostateczna decyzja w tym zakresie powinna należeć do pracownika.
Przetwarzanie danych na podstawie zgody, dotyczyć będzie danych osobowych udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika na wniosek pracodawcy lub danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Tym samym, przepisy projektowanej ustawy mają na celu wyeliminowanie możliwości korzystania przez pracodawców z instytucji background screeningu, czyli pozyskiwania informacji o kandydatach do pracy od podmiotów trzecich. Wskazano to wyraźnie w treści uzasadnienia do projektu.
Kolejna istotna kwestia to przetwarzanie danych biometrycznych pracownika. Czyli takich informacji fizyczne, fizjologiczne lub behawioralne, które umożliwiają jednoznaczną identyfikację osoby, np. odcisku palca. Pracodawca będzie mógł przetwarzać dane biometryczne, ale tylko wtedy gdy jest to niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub dostępu do pomieszczeń wymagających szczególnej ochrony. Wygląda więc na to, że nie będzie konieczne tu pozyskiwanie odrębnej zgody od pracownika.
I na koniec jeszcze jedna zmiana, czyli monitoring w miejscu pracy. Jego stosowanie będzie możliwe gdy jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Monitoring taki co do zasady nie będzie mógł być stosowany w pomieszczeniach sanitarnych, szatniach, stołówkach, palarniach lub pomieszczeniach udostępnianych zakładowej organizacji związkowej (z pewnymi wyjątkami).
Nagrania z monitoringu będzie można przechowywać przez okres do 3 miesięcy, chyba że będą miały być dowodem w postępowaniu sądowym – wtedy będzie można je zachować do czasu zakończenia takiego postępowania.
Dodatkowo, w projekcie znalazło się również zastrzeżenie, że możliwe będzie zastosowanie przez pracodawcę monitoringu służbowej poczty elektronicznej. Kiedy? Gdy jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. Monitoring poczty elektronicznej nie będzie mógł przy tym naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. Przepisy dotyczące monitoringu będą także miały odpowiednie zastosowanie do innych form monitoringu (np. monitoring floty GPS, stron internetowych, smsów).
Zmian, w porównaniu z poprzednim projektem jest więc dość sporo. Większość z nich to odpowiedź na postulaty zgłaszane w toku konsultacji społecznych, sugerujące uszczegółowienie pewnych kwestii. Mam nadzieję, że projekt nie zostanie już poddany jakimś radykalnym zmianom – w końcu do 25 maja 2018 r. coraz mniej czasu i dobrze byłoby wiedzieć, jak dostosować swoją organizację do nowości.