Planowane zmiany w Kodeksie pracy związane z ochroną danych osobowych
W dniu 14 września 2017 roku opublikowane zostały dwa projekty Ministra Cyfryzacji będące pokłosiem RODO[1], wchodzącego w życie z dniem 25 maja 2018 roku. Były to: projekt ustawy o ochronie danych osobowych oraz projekt przepisów wprowadzających ustawę o ochronie danych osobowych. W niniejszym artykule chciałabym skupić się na tym drugim projekcie, tj. Przepisy wprowadzające ustawę o ochronie danych osobowych, a konkretniej na najważniejszych zmianach w Kodeksie pracy. Zmiany te będą szczególnie istotne dla pracodawców, którzy w przypadku niedostosowania się do zmian, będą narażeni na horrendalne administracyjne kary pieniężne. Niemniej jednak, zmiany powinny zainteresować również pracowników, bowiem świadome udostępnianie swoich danych osobowych i ich ograniczanie do niezbędnego minimum stanowią pierwszy krok do należytej ochrony.
Pierwsza z proponowanych zmian w Kodeksie pracy dotyczy katalogu danych, których podania może żądać pracodawca na etapie rekrutacyjnym. Wskutek tej zmiany, pracodawca nie będzie już mógł żądać od osoby ubiegającej się o zatrudnienie podania imion rodziców oraz adresu zamieszkania. Zamiast adresu zamieszkania pracodawca będzie jednak mógł uzyskać adres do korespondencji oraz adres poczty elektronicznej albo numer telefonu. Co ciekawe, jeżeli rekrutacja przebiegnie pomyśle i dany kandydat zostanie pracownikiem, pracodawca będzie mógł już żądać podania adresu zamieszkania, natomiast żądanie podania imion rodziców mogłoby być uzasadnione wyłącznie, gdyby było to konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.
Najistotniejszą zmianą w tym zakresie jest jednak to, że przetwarzanie przez pracodawcę adresu do korespondencji oraz adresu poczty elektronicznej albo numeru telefonu już po nawiązaniu stosunku pracy będzie możliwe wyłącznie po wyrażeniu przez pracownika zgody w oświadczeniu złożonym w postaci papierowej lub elektronicznej (zaniedbanie tego obowiązku spowoduje niezgodność z prawem takiego przetwarzania, pomimo tego, że dane zostały przecież pozyskane bezpośrednio od samego zainteresowanego).
Ponadto, w stosunku do wszystkich danych osobowych kandydata lub pracownika, wprowadzono wprost ograniczenie, że ich przetwarzanie jest możliwe tylko w zakresie niezbędnym do realizacji stosunku pracy. W projekcie przesądzono, że przetwarzanie innych danych niż wskazane wprost w art. 221§ 1 i 2, będzie dopuszczalne wyłącznie po wyrażeniu przez pracownika zgody (w formie oświadczenia złożonego w postaci papierowej lub elektronicznej).
Chcąc omówić kolejną zmianę, należy cofnąć się do treści RODO, w której wprowadzono definicję „danych biometrycznych„, oznaczających: „dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej praz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy czy dane daktyloskopijne„. W nawiązaniu do tych danych, projekt ww. ustawy wprowadza uprawnienie dla pracodawcy do przetwarzania wyłącznie tych, które dotyczą stosunku pracy, z jednoczesnym obowiązkiem uzyskania od pracownika zgody na to (ponownie dopuszczalna jest wyłącznie forma oświadczenia złożonego w postaci papierowej lub elektronicznej). Zatem gwoli przykładu, pracodawcy umieszczający wizerunki swoich pracowników na stronach internetowych czy identyfikatorach oraz stosujący zabezpieczenia przed wstępem osób nieuprawnionych polegające na pobraniu odcisków palców – zmuszeni będą posiadać stosowne oświadczenia o wyrażeniu przez pracownika zgody. Ewentualny brak zgody nie będzie mógł być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie będzie mógł powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie będzie mógł stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenia stosunku pracy lub jego rozwiązania bez wypowiedzenia przez pracodawcę. Dla pracodawców stosujących zaawansowane systemy zabezpieczeń (związane z koniecznością pobierania odcisków palców od pracowników), takie zapisy mogą okazać się co najmniej kłopotliwe, bowiem nawet nieuzasadniona odmowa pracownika (np. gdy dane zabezpieczenie jest wygodniejsze) na udzielenie stosownej zgody może oznaczać konieczność zmiany systemów zabezpieczeń lub narażać pracodawcę na postępowanie sądowe z powodu niedopuszczalnego rozwiązania stosunku pracy. Kolejnym utrudnieniem może okazać się sposób gromadzenia takich danych biometrycznych, bowiem zgodnie z projektem, powinien on być określony przez Ministra właściwego do spraw informatyzacji w drodze rozporządzenia, a nadto powinien uwzględniać zapewnienie ochrony odpowiedniej do zagrożeń (rozporządzenia póki co brak).
Kolejna istotna (aczkolwiek co najmniej źle zredagowana) zmiana wprowadza zakaz przetwarzania danych osobowych obejmujących dane o nałogach, stanie zdrowia i życiu seksualnym lub orientacji seksualnej. „Źle zredagowana”, bowiem z jednej strony przetwarzanie tych danych nie jest możliwe nawet za zgodą pracownika (art. 222 § 5), a z drugiej pracodawca żąda ich podania, jeżeli obowiązek ich podania wynika z odrębnych przepisów lub gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa (art. 223 § 1), choć takie przetwarzanie musiałoby być prowadzone tylko w zakresie niezbędnym do realizacji tego obowiązku (art. 223 § 2) . Zapisy skomplikowane, lecz ich wykładnia prowadzi (całe szczęście!) do wniosku, że pracodawca będzie mógł przechowywać orzeczenia lekarskie o zdolności do pracy, zwolnienia lekarskie czy inne dokumenty dotyczące stanu zdrowia pracowników, o ile pracownik będzie chciał skorzystać ze związanych z tymi dokumentami uprawnień.
Omawiany projekt reguluje również kwestię monitoringu, która dotychczas nie została przewidziana w żadnych przepisach. W praktyce dopuszczano możliwość monitorowania miejsc pracy, lecz za zgodą pracowników. Proponowana regulacja wprowadza możliwość szczególnego nadzoru nad miejscem pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring). Jednakże, celem wprowadzenia takiego monitoringu może być wyłącznie zapewnienie bezpieczeństwa pracowników lub ochrona mienia lub też zachowanie w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Pod żadnym pozorem taki nadzór nie może jednak stanowić środka kontroli wykonywania pracy przez pracownika. Taki zapis może spowodować, że w przypadku zarejestrowania naruszenia przez pracownika podstawowych obowiązków pracowniczych, pracodawca i tak nie będzie mógł wykorzystać uzyskanego nagrania i na jego podstawie udowodnić pracownikowi dane naruszenie. W mojej ocenie, taka regulacja może spowodować przesadną już ochronę pracowników i w wielu przypadkach niezasadnie ograniczać swobodę pracodawcy. Zgodnie z projektem, monitoring nie będzie mógł obejmować pomieszczeń, które nie są przeznaczone do wykonywania pracy, w szczególności pomieszczeń sanitarnych, szatni, stołówek lub palarni. Ten zapis również może wywołać wiele problemów, np. w przypadku, gdy pomieszczenia sanitarne są monitorowane na własne życzenie pracowników (np. z powodu licznych kradzieży mienia osobistego pracowników). Odmiennym w stosunku do dotychczasowej praktyki jest brak konieczności uzyskiwania zgód od pracowników, lecz na pracodawcy wprowadzającym monitoring spoczywać będzie obowiązek informacyjny – dotychczasowi pracownicy powinni być poinformowani nie później niż 14 dni przed uruchomieniem monitoringu, w sposób przyjęty u danego pracodawcy (np. wywieszenie informacji na tablicy ogłoszeń w zakładzie pracy), natomiast nowi pracownicy powinni być o tym poinformowani przed dopuszczeniem ich do pracy.
Tak jak wspomniałam już na początku, powyższe zmiany są wciąż jedynie propozycją Pani Minister Cyfryzacji. Zarówno projekt ustawy o ochronie danych osobowych, jak również ww. projekt przepisów wprowadzających ustawę o ochronie danych osobowych nadal znajdują się na etapie opiniowania przez Radę Ministrów, zatem ich treści mogą ulec jeszcze znacznym modyfikacjom lub zostać odrzucone w całości. Z wprowadzaniem wyżej omówionych zmian w życie można zatem jeszcze poczekać.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).