Ochrona danych osobowych w działach personalnych i marketingowych po 25 maja 2018 r.

Już za chwilę, bo od 25 maja 2018 r., będziemy stosować nowe zasady ochrony danych osobowych. Wprowadza je unijne rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, zwane w skrócie „RODO”. Zmiany te w sposób szczególny będą dotyczyły działów personalnych oraz marketingowych.


Outsourcing przetwarzania danych pracowników i kandydatów

Coraz częściej zdarza się, że dane pracowników są przetwarzane przez podmioty zewnętrzne świadczące usługi outsourcingu np. kadr, płac czy księgowości. W myśl przepisów RODO tacy przedsiębiorcy najczęściej będą podmiotami przetwarzającymi, ponieważ przetwarzają dane osobowe w imieniu pracodawcy, będącego administratorem danych osobowych swoich pracowników.

W takim wypadku pracodawca, powierzając przetwarzanie danych osobowych, powinien korzystać z usług tylko takich podmiotów, które zapewniają wystarczające gwarancje przestrzegania przepisów RODO. Chodzi tu w szczególności o fachową wiedzę, wiarygodność i zasoby, mające zapewnić bezpieczeństwo przetwarzania danych osobowych. Przetwarzanie powinno odbywać się na podstawie pisemnej umowy lub innego instrumentu prawnego. Taka umowa ma określać m. in. przedmiot i czas trwania przetwarzania, charakter i cele przetwarzania, rodzaj danych osobowych i kategorie osób, których dane dotyczą oraz zasady współpracy pomiędzy administratorem i podmiotem przetwarzającym w zakresie wypełniania obowiązków wynikających z RODO. Pracodawcy, jako administratorzy danych pracowników, powinni więc zweryfikować podmioty przetwarzające, z których usług korzystają oraz przejrzeć łączące ich umowy pod kątem zgodności z nowymi przepisami.

Polecenia pracownicze w ramach rekrutacji

Powyższe zasady znajdują zastosowanie również w sytuacji, w której kandydat do pracy został polecony. Jednym z najważniejszych problemów prawnych w kontekście programów poleceń rekrutacyjnych, z jakim muszą sobie poradzić pracodawcy, jest kwestia prawidłowego pozyskania zgody na przetwarzanie danych osobowych od potencjalnego pracownika. Ponadto przy zbieraniu danych osobowych w ramach polecenia, pracodawca powinien również przekazać kandydatom informacje o przetwarzaniu ich danych osobowych, zgodnie z przepisami RODO.

Planowane zmiany w Kodeksie pracy

W związku z wejściem w życie RODO polski ustawodawca przygotowuje projekty ustaw, które mają towarzyszyć jego stosowaniu oraz dostosować polskie akty prawne do wymagań reformy. Przewiduje się zmianę ok. 150 ustaw, w tym także Kodeksu pracy. Planowane zmiany w dużym stopniu wychodzą naprzeciw oczekiwaniom pracodawców, między innymi poprzez zaktualizowanie listy danych, których będzie można wymagać od pracowników czy kandydatów do pracy w procesie rekrutacji.

Dane kandydata, których może żądać pracodawca

Tak jak do tej pory uzyskanie podstawowych danych osób ubiegających się o pracę, jak imię i nazwisko, data urodzenia, miejsce zamieszkania, wykształcenie lub przebieg dotychczasowego zatrudnienia nie będzie wymagało zgody kandydata, ponieważ odpowiednie uprawnienie dla pracodawcy w tym zakresie przewidują przepisy Kodeksu pracy. Pracodawca będzie mógł w dalszym ciągu żądać od kandydata do pracy podania imion i nazwiska, daty urodzenia, adresu do korespondencji, wykształcenia czy przebiegu dotychczasowego zatrudnienia. Nowością jest dodanie do tej listy także adresu poczty elektronicznej albo numeru telefonu przy jednoczesnym usunięciu z niej imion rodziców pracownika.

Z uwagi na fakt, że informacje przekazywane przez kandydatów do pracy często wykraczają poza zakres przewidziany w Kodeksie pracy, a typowe CV zawiera zdjęcie osoby ubiegającej się o pracę, należy uzyskać zgodę takich osób na przetwarzanie danych osobowych na potrzeby rekrutacji, np. poprzez zamieszczenie odpowiedniej klauzuli w CV. Co do zasady, dane osobowe uzyskane w związku z prowadzoną rekrutacją należy usunąć po jej zakończeniu. W przypadku chęci przechowywania takich danych na potrzeby przyszłych rekrutacji, należy uzyskać odrębną, wyraźną zgodę w tym zakresie.

RODO

Dane pracownika, których może żądać pracodawca

Pracodawca będzie mógł żądać od pracownika podania danych osobowych obejmujących jego adres zamieszkania, numer PESEL (a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość) oraz innych danych osobowych pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy (dotyczy to również danych osobowych dzieci pracownika i innych członków jego najbliższej rodziny).

Przetwarzanie danych pracownika lub kandydata do pracy, innych niż wymienione powyżej, będzie możliwe tylko jeśli pracownik albo kandydat wyrazi na to zgodę (na piśmie lub elektronicznie). Dane te jednak będą musiały dotyczyć stosunku pracy. Wyjątkiem od tej nowej zasady będą dane osobowe dotyczące nałogów, stanu zdrowia, życia seksualnego i orientacji seksualnej pracownika lub kandydata (tzw. dane wrażliwe). Tych danych pracodawcy nie będzie wolno przetwarzać, nawet gdyby pracownik lub kandydat wyraził na to zgodę. Nie dotyczy to oczywiście sytuacji, kiedy odrębny przepis prawa wymaga podania takich danych osobowych.

Monitoring

Kolejną nowością będzie dodanie do Kodeksu pracy przepisu dotyczącego monitoringu pracowników. Zgodnie z nim monitoring będzie mógł być stosowany wyłącznie dla zapewnienia bezpieczeństwa pracowników lub ochrony mienia, lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Zabronione będzie natomiast stosowanie monitoringu w celu kontroli wykonywania pracy przez pracowników, jak również monitorowanie pomieszczeń niesłużących do wykonywania pracy, np. pomieszczeń sanitarnych, szatni, stołówek lub palarni.

Profilowanie w ramach zatrudniania

RODO wprowadza także niewystępujące wcześniej w polskim prawie pracy pojęcie „profilowania”. Oznacza ono dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej. Profilowanie nie dotyczy więc wyłącznie sytuacji zatrudniania pracowników, ale bezpośrednio dotyka tej sfery przy przetwarzaniu danych pracownika lub kandydata do pracy w celu analizy lub prognozy aspektów dotyczących efektów pracy. Rozporządzenie wprowadza jednak szczegółowe regulacje w zakresie profilowania. Konieczne jest wskazanie osobie której dane są profilowane, że proces ten ma miejsce oraz jakie są jego konsekwencje. Zgodnie z przepisami RODO, osoba, której to dotyczy, ma prawo nie podlegać decyzji, którą wydano wyłącznie w oparciu o zautomatyzowane przetwarzanie, o ile decyzja ta wywołuje wobec tej osoby skutki prawne lub istotnie na nią wpływa.

RODO

Profilowanie w marketingu

Najczęściej profilowanie będzie jednak nieodłącznym elementem przetwarzania danych w związku z zamiarem przygotowania oferty handlowej dla konkretnego klienta. W takiej sytuacji podmiot danych będzie miał prawo wniesienia sprzeciwu zarówno wobec przetwarzania danych, jeżeli dane te są dodatkowo profilowane w celach marketingowych.

Wyrażenie zgody na przesyłanie materiałów handlowych

Jeśli chcemy przesyłać naszym klientom informację handlową o własnych produktach lub usługach, nie jest konieczne uzyskanie osobnej i wyraźnej zgody na ten cel. Jeżeli zamierzamy przesyłać także oferty innych przedsiębiorców, to taka informacja musi się znaleźć w klauzuli zgody, którą podpisuje lub zatwierdza przyszły odbiorca takich informacji. Nie ma przy tym znaczenia, czy zgoda ta jest wyrażana w formie tradycyjnej czy elektronicznie. Istotne jest, aby administrator danych był w stanie wykazać np. w trakcie kontroli prowadzonej przez Prezesa Urzędu Ochrony Danych Osobowych, że zgoda rzeczywiście została udzielona. Tym samym nie zaleca się pobierania zgód podczas rozmowy telefonicznej, o ile rozmowa ta nie jest nagrywana (w takim wypadku wymagana jest kolejna zgoda na nagrywanie).   Analizując natomiast, jakie operacje na danych będą dopuszczalne przy marketingu bezpośrednim, należy pamiętać o przepisach szczególnych, które zawierają bardziej rygorystyczne warunki dopuszczalności jego niektórych form. W aktualnym stanie prawnym są to przykładowo art. 10 Ustawy świadczeniu usług drogą elektroniczną, który uzależnia możliwość wysyłania informacji handlowych za pomocą środków komunikacji elektronicznej od zgody adresata informacji, oraz art. 172 Prawa telekomunikacyjnego, który zakazuje używania telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, dopuszczając ich zastosowanie jedynie na podstawie zgody abonenta lub użytkownika końcowego.

Zdaniem prawnika

Przygotowując się do wdrożenia RODO należy przede wszystkim dokonać inwentaryzacji wszystkich danych osobowych, jakie przetwarzamy. Musimy sprawdzić, czy przetwarzamy je legalnie – na podstawie zgody albo na innej podstawie określonej w RODO. Należy również upewnić się, czy osobom, których dane przetwarzamy, zostały przekazane wszystkie informacje wymagane przez RODO. Te czynności powinny wykonać zwłaszcza działy personalne i handlowe przedsiębiorstw, ponieważ one najczęściej przetwarzają dane osobowe.

Szymon Goździk, prawnik

Zostaw komentarz

Twój adres e-mail nie będzie widoczny.