Wpływ RODO na zakładowe przepisy z zakresu prawa pracy

Od 25 maja 2018 r. w naszym kraju obowiązują przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE... (Dz. Urz. UE L 119/1 z 4.5.2016), zwanego RODO. Ich uszczegółowienia dokonano ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000). Dostosowanie porządku krajowego do postanowień tych aktów nastąpi natomiast na podstawie przepisów projektowanej (obecnie w fazie legislacyjnej) ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679.

RODO wymusza pewne zmiany w przepisach wewnątrzzakładowych uwzględniające reguły ochronne określone w art. 5 tego aktu prawnego. Przepis ten zobowiązuje każdego pracodawcę, jako administratora danych (osobę fizyczną, prawną, podmiot publiczny, inne jednostki i podmioty ustalające cele i sposoby przetwarzania danych osobowych), do przetwarzania danych osobowych w myśl następujących zasad:

• zgodności z prawem, rzetelności i przejrzystości - dopuszczono przetwarzanie danych uzyskanych na podstawie dobrowolnej zgody osoby, której dotyczą lub na innej uzasadnionej podstawie przewidzianej prawem; pracownik musi wiedzieć kto, w jakim celu i na jakiej podstawie prawnej zbiera i przetwarza jego dane osobowe, a informację na ten temat powinien otrzymać (i mieć do niej łatwy dostęp) w prostym i przystępnym języku (motywy 39-47, 58 i 60 preambuły RODO),
   
• ograniczenia co do celu - dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, wynikających ze stosunków pracy oraz obowiązków podatkowo-składkowych i innych przepisów, o których pracodawca informuje pracowników w momencie zbierania danych (motywy 39, 50 i 61 preambuły oraz art. 13-14 RODO),
   
• minimalizacji danych - gromadzone są wyłącznie te dane osobowe, które są niezbędne do wyznaczonych celów (motyw 39 preambuły RODO),
   
• prawidłowości - zgromadzone dane mają być prawidłowe (uaktualniane), a nieprawidłowe - niezwłocznie prostowane lub usuwane (motywy 39 i 65 preambuły oraz art. 16-17 RODO),
   
• ograniczenia przechowywania - okres przechowywania danych ma być zredukowany do minimum, adekwatnego do celu ich przetwarzania, zgodnie z przepisami o archiwizacji dokumentacji pracowniczej,
   
• integralności i poufności - zapewnienie danym osób zatrudnionych bezpieczeństwa, ochrony przed niedozwolonym i niezgodnym z prawem przetwarzaniem, utratą, zniszczeniem lub uszkodzeniem, przy użyciu odpowiednich środków technicznych i organizacyjnych - dostęp do danych mogą mieć tylko osoby upoważnione, które są zobowiązane do zachowania tajemnicy (motyw 39 preambuły oraz art. 9 ust. 3 i art. 29 RODO),
   
• rozliczalności - możliwość wykazania, że przedstawione wyżej zasady są przestrzegane (art. 5 ust. 2 RODO).

Podstawową kwestią do wprowadzenia we wszystkich regulacjach wewnętrznych jest rozszerzenie katalogu obowiązków pracodawcy o postępowanie w zakresie ochrony danych osobowych pracowników zgodnie z zasadami RODO i przepisami krajowymi oraz polityką bezpieczeństwa i innymi przepisami wewnątrzzakładowymi. Dotyczy to zwłaszcza układu zbiorowego pracy, regulaminu pracy i regulaminu wynagradzania, a gdy pracodawca nie podlega obowiązkowi posiadania żadnego z nich - przepisów wewnątrzzakładowych, które posiada. W tych dwóch pierwszych dokumentach taki sam punkt powinien być umieszczony na liście podstawowych obowiązków pracownika. Ma to szczególne znaczenie w odniesieniu do osób na etatach, które przetwarzają dane innych pracowników tej samej firmy, współpracowników, kooperantów oraz jej klientów. Za naruszenie przez nich regulacji chroniących dane osobowe, pracodawcy grozi bowiem kara finansowa przewidziana w art. 83 RODO.

Uwaga: RODO rozszerzyło zakres informacji w kwestii ochrony danych osobowych, jakie pracodawca musi przekazywać kandydatowi do pracy i pracownikowi. Stąd konieczna jest zmiana dotychczasowych klauzul informacyjnych. Co istotne, nie podano formy informowania zainteresowanych, a zatem stosowną klauzulę można włączyć do układu zbiorowego bądź regulaminu pracy. Nie ma jednak takiego obowiązku.

Istotne rozszerzenie postanowień regulaminowych dotyczy ponadto regulaminu Funduszu. Funkcjonowanie pomocy socjalnej wymaga bowiem odebrania wielu danych osobowych, nawet od osób niebędących pracownikami. Chodzi tu o osoby uprawnione do świadczeń (np. małżonek, dzieci), a nawet inne, gdy dotyczące ich dane są niezbędne do uzyskania świadczenia przez uprawnionego. Stąd w regulaminie Funduszu należy umieścić nie tylko dane pracodawcy jako podmiotu uprawnionego do zbierania danych osobowych osób uprawnionych do korzystania z Funduszu, ale także:

• cel przetwarzania danych osób uprawnionych jakim jest realizacja przysługujących im uprawnień z Funduszu,
   
• podstawę prawną przetwarzania danych, tj. art. 8 ustawy z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych (Dz. U. z 2017 r. poz. 2191 ze zm.) w związku z art. 6 ust. 1 lit. c RODO, a także
   
• czas przechowywania danych zredukowany do minimum adekwatnego do realizacji celu.