Dostosowanie przepisów zakładowych do wymogów RODO

Gazeta Podatkowa

Od 25 maja 2018 r. obowiązuje ogólne rozporządzenie o ochronie danych osobowych (zwane RODO). Zasady wynikające z tego rozporządzenia powinny znaleźć odzwierciedlenie w krajowych przepisach prawa pracy rangi zakładowej, do których należą układy zbiorowe pracy oraz regulaminy: pracy i wynagradzania. Do aktów prawnych o charakterze wewnątrzzakładowym należy też regulamin zakładowego funduszu świadczeń socjalnych. Wszystkie te akty powinny być zmodyfikowane pod kątem RODO.

 

Regulaminy zgodne z RODO

Jedną z konsekwencji wejścia w życie RODO jest konieczność dostosowania treści obowiązujących w danej firmie przepisów zakładowych do wymogów wynikających z unijnego rozporządzenia. RODO obowiązuje niezależnie od krajowych regulacji dotyczących ochrony danych osobowych.

Przetwarzanie danych osobowych przez pracodawców powinno uwzględniać zasady tego przetwarzania, określone m.in. w art. 5 RODO. Zgodnie z tym przepisem dane osobowe muszą być:

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zasada zgodności z prawem, rzetelności i przejrzystości),
  • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, z zastrzeżeniem możliwości dalszego przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych albo do celów statystycznych (zasada ograniczenia celu),
  • adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (zasada minimalizacji danych),
  • prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (zasada prawidłowości),
  • przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane są przetwarzane; dane osobowe można przechowywać przez okres dłuższy tylko przy spełnieniu określonych warunków (zasada ograniczenia przechowywania),
  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności i poufności).

Zapisy regulacji wewnątrzzakładowych (układu zbiorowego pracy, regulaminu pracy i wynagradzania, regulaminu ZFŚS) powinny zostać przeanalizowane pod kątem zgodności z powyższymi zasadami i odpowiednio skorygowane. Będzie to wymagało rozszerzenia w tych aktach katalogu obowiązków pracodawcy o wymóg postępowania w zakresie ochrony danych osobowych zgodnie z zasadami RODO i przepisami krajowymi (patrz przykładowe fragmenty regulaminów). Konieczne też będzie uzupełnienie listy obowiązków pracownika o taki sam wymóg - co ma istotne znaczenie wobec pracowników mających szerszy dostęp do danych osobowych. Za naruszenie regulacji chroniących dane osobowe pracodawcy grożą bowiem surowe kary finansowe, określone w art. 83 RODO.

 

Klauzula może być osobno

RODO znacznie rozszerzyło zakres informacji przekazywanych przez administratora (tu pracodawcę) osobom, których dane są przetwarzane. Ma to związek z przyznaniem im szeregu nowych uprawnień, np. prawa do bycia zapomnianym. Informacje o tych uprawnieniach powinny znaleźć się w tzw. klauzulach informacyjnych przekazywanych osobom, od których są pobierane dane, np. od kandydatów do pracy. W przypadku już zatrudnionych pracowników przekazanie wspomnianych klauzul nie jest bezwzględnie obowiązkowe. Niemniej wydaje się to celowe, ponieważ w ten sposób pracownicy zostaną poinformowani o nowych uprawnieniach przysługujących im na mocy RODO.

Przepisy RODO nie określają sposobu przekazania klauzuli informacyjnej pracownikom, można więc ją włączyć do układu zbiorowego bądź regulaminu pracy. Nie jest to jednak wymagane - pracodawca może opracować klauzulę w formie odrębnego dokumentu i zapoznać z nią indywidualnie każdego z pracowników. Wybór formy poinformowania pracowników o przyznanych im przez RODO uprawnieniach należy do pracodawcy.

 

Zakładowy monitoring

Wejście w życie RODO pociągnęło za sobą nowelizację Kodeksu pracy. Z dniem 25 maja br. do Kodeksu dodano dwa nowe przepisy - art. 222 i 223 K.p. Regulują one zasady stosowania monitoringu w zakładzie pracy.

Pracodawca może wprowadzić na terenie lub wokół zakładu pracy monitoring wizyjny, jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników, ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Generalnie monitoring nie może obejmować pomieszczeń sanitarnych, szatni, stołówek oraz palarni lub pomieszczeń udostępnianych zakładowej organizacji związkowej. Zastosowanie monitoringu w tych pomieszczeniach jest możliwe tylko wtedy, gdy jest to niezbędne do realizacji celu i nie narusza to godności oraz innych dóbr osobistych pracownika, a także zasady wolności i niezależności związków zawodowych.

Cele, zakres oraz sposób stosowania monitoringu muszą być ustalone w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty przepisami zakładowymi. Niezależnie od powyższego wymogu pracodawca jest zobowiązany poinformować pracowników o wprowadzeniu monitoringu, w sposób u niego przyjęty, nie później niż 2 tygodnie przed jego uruchomieniem. Przed dopuszczeniem pracownika do pracy musi też przekazać mu na piśmie informacje na temat monitoringu.

 

Przykładowy fragment regulaminu pracy
Rozdział II. Podstawowe prawa i obowiązki
stron stosunku pracy

§ 6

1. Do obowiązków pracodawcy należy m.in.:

(wyszczególnienie obowiązków w pkt 1 pominięto)

2. Pracodawca, jako administrator danych osobowych pracowników, jest zobowiązany przestrzegać regulacji związanych z ochroną danych osobowych, wynikających z przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE... (Dz. Urz. UE L 119/1 z 4.5.2016), ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000) oraz wewnątrzzakładowej polityki bezpieczeństwa oraz wszelkich aktów zakładowych w tym zakresie.

§ 7

1. Do obowiązków Pracownika należy m.in.:

(część obowiązków wyszczególnionych w pkt 1 pominięto)

-nieujawnianie informacji objętych ochroną danych osobowych, do uzyskiwania których został uprawniony zgodnie z przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE... (Dz. Urz. UE L 119/1 z 4.5.2016) i ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000) oraz przestrzegania wewnątrzzakładowej polityki bezpieczeństwa w tym zakresie.

Rozdział III. Monitoring w zakładzie pracy

§ 8

1. Zgodnie z art. 222 i 223 K.p. oraz z art. 5 i art. 6 ust. 1 lit. a, c i f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych... (Dz. Urz. UE L 119/1 z 4.5.2016 r.), w zakładzie pracy stosuje się monitoring:

-wizyjny w pomieszczeniach produkcyjnych w celu kontroli procedur bezpieczeństwa i higieny pracy, a także w pomieszczeniach magazynowych w celu ochrony przed kradzieżami; kamery wideo są zainstalowane w każdym rogu pomieszczenia produkcyjnego i magazynowego, obejmując swoim zasięgiem łącznie całą przestrzeń poszczególnych pomieszczeń,
-służbowych telefonów komórkowych oraz służbowych skrzynek e-mailowych, przeznaczonych wyłącznie do celów służbowych, w celu kontroli ich właściwego wykorzystywania - polegający odpowiednio na kontroli billingów otrzymywanych od operatorów telefonicznych za każdy miniony okres rozliczeniowy oraz raportów aktywności.

2. Zgodnie z art. 111 K.p. monitoring będzie prowadzony z poszanowaniem godności i dóbr osobistych pracowników. Materiały powstałe w trakcie monitoringu będą wykorzystane jedynie w ww. celach, a dostęp do materiałów z monitoringu będą miały wyłącznie osoby upoważnione do przetwarzania zawartych w nich danych. Każda z osób upoważnionych zachowuje w tajemnicy wiedzę wynikającą z tych materiałów.

§ 9

Materiały z monitoringu będą przechowywane przez 30 dni, licząc od dnia ich wytworzenia (wideo) lub otrzymania (billing, raport aktywności), a po upływie tego okresu będą niszczone w sposób uniemożliwiający ich odtworzenie.

§ 10

Pracownikowi, którego dane znajdują się w materiałach pozyskanych z monitoringu, przysługuje prawo:

-dostępu do danych,
-sprostowania i usunięcia danych,
-ograniczenia przetwarzania,
-przenoszenia danych,
-wniesienia sprzeciwu.

 

Przykładowy fragment regulaminu wynagradzania
Rozdział I. Przepisy ogólne.

§ 1

(pkt 1 i 2 pominięto)

3. Dane przekazywane przez pracownika służbom kadrowym Pracodawcy, będącego administratorem danych osobowych pracowników, w celu udokumentowania prawa do poszczególnych składników wynagrodzenia, świadczeń związanych ze stosunkiem pracy oraz ustalenia ich wysokości i wypłaty podlegają ochronie, zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE... (Dz. Urz. UE L 119/1 z 4.5.2016) i ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000).

4. Dane przekazywane przez pracownika będą wykorzystywane wyłącznie w celach ustalenia prawa do poszczególnych składników wynagrodzenia oraz świadczeń związanych ze stosunkiem pracy, ustalenia ich wysokości i wypłaty.

5. Pracownikowi przysługuje prawo dostępu do przekazanych danych, żądania ich sprostowania, usunięcia albo ograniczenia przetwarzania, przenoszenia do innego administratora, sprzeciwu wobec przetwarzania danych oraz wycofania zgody (jeśli była udzielona) w dowolnym momencie.

6. Dane przekazane przez pracownika będą przechowywane przez okres trwania stosunku pracy oraz obowiązkowy okres ich archiwizacji.

 

Przykładowy fragment regulaminu zakładowego funduszu świadczeń socjalnych

§ 1

(pkt 1 i 2 pominięto)

3. Dane osób uprawnionych są przetwarzane na podstawie art. 8 ustawy o zakładowym funduszu świadczeń socjalnych (Dz. U. z 2018 r. poz. 1316)w związku z art. 6 ust. 1 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych... (Dz. Urz. UE L119/1 z 4.5.2016).

4. Dane osób uprawnionych są przetwarzane przez Pracodawcę (nazwę pracodawcy pominięto) jako administratora danych osobowych oraz działających w jego imieniu i z jego upoważnienia członków zakładowej komisji socjalnej, zobowiązanych do zachowania w tajemnicy danych w okresie wykonywania funkcji w komisji oraz po jej zakończeniu. Dane osób uprawnionych są przetwarzane wyłącznie w celu realizacji uprawnień do uzyskania świadczeń z Funduszu.

5. Osoba uprawniona ma prawo do uzyskania dostępu do swoich danych, żądania sprostowania lub usunięcia (bycia zapomnianym) danych albo ograniczenia ich przetwarzania, przenoszenia danych otrzymanych w ustrukturyzowanym formacie (np. w pliku pdf) do innego administratora, sprzeciwu wobec przetwarzania danych.

 

Podstawa prawna

Ustawa z dnia 26.06.1974 r. - Kodeks pracy (Dz. U. z 2018 r. poz. 917 ze zm.)


autor: Agata Barczewska
Gazeta Podatkowa nr 66 (1523) z dnia 2018-08-16

Wypadki związane z pracą i choroby zawodowe. Wszystko na ten temat w poradniku na GOFIN.pl

RODO