SPInKa@SCI

Rozporządzenie o Ochronie Danych Osobowych (w skrócie RODO) jest zestawem przepisów, które mówią wszystkim podmiotom gromadzącym dane osobowe, jak i osobom powierzającym swoje dane do czego mają prawo w zakresie prywatnych informacji i jak należy się z nimi obchodzić. Przepisy te dotyczą również pracodawców gromadzących i przetwarzających dane pracowników.

Pełna nazwa aktu prawnego RODO brzmi: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/. We wszystkich krajach członkowskich Unii Europejskiej ten akt zaczął obowiązywać od dnia 25 maja 2018 roku. 4 maja 2019 roku weszły w życie zmiany w kodeksie pracy dotyczące RODO.

Dane powierzone do przetwarzania

Przede wszystkim zmiany dotyczą kodeksu pracy, a w szczególności zakresu danych powierzonych do przetwarzania, których pracodawca będzie miał prawo żądać od kandydatów do pracy. Dane te określa artykuł 22 zmienionego Kodeksu pracy:

• imię (imiona) i nazwisko
• data urodzenia
• dane kontaktowe wskazane przez taką osobę
• wykształcenie
• kwalifikacje zawodowe
• przebieg dotychczasowego zatrudnienia

Pracodawca nie ma już prawa do żądania podania imion rodziców i adresu zamieszkania od kandydata do pracy. Natomiast podania danych osobowych, o których mowa w § 1 pkt 4-6 może wymagać tylko, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. Nie zawsze potrzebna jest informacja o wykształceniu czy kwalifikacjach zawodowych osoby ubiegającej się o pracę – na przykład, gdy zatrudniani są pracownicy do prac prostych, w których te dane nie są niezbędne.

Jeśli chodzi o dane zbierane od pracownika - zgodnie z Art.22 zmienionego Kodeksu Pracy pracodawca żąda od pracownika danych:

• adres zamieszkania
• numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość
• inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;
• wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie
• numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.

Pracodawca ma prawo żądać udostępnienia wskazanych danych przez osobę ubiegającą się o zatrudnienie lub pracownika. Sposób udokumentowania danych osobowych pozyskanych od tych osób może nastąpić tylko w zakresie niezbędnym do ich potwierdzenia. Pracodawca będzie mógł zbierać jeszcze inne dane pracownika lub kandydata do pracy, ale tylko gdy będzie to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisami prawa np. w przypadku zatrudniania urzędników państwowych muszą być zbierane dane dotyczące karalności. Jednocześnie nie będzie można gromadzić danych kandydata do pracy lub pracownika dotyczących wyroków skazujących i naruszeń prawa – zgodnie z art.10 RODO.

Zgody na przetwarzanie danych

W ustawie uregulowano również przepisy dotyczące zgód pracownika na przetwarzanie powierzonych przez niego danych. Według jej zapisów zarówno kandydat, jak i pracownik, mogą udzielić zgody na przetwarzanie swoich danych osobowych. Zgoda, o której mowa w projekcie, musi spełniać wszystkie wymogi przewidziane w RODO.

W przypadku danych szczególnie chronionych, dane osobowe będą mogły być przetwarzane wyłącznie, gdy zostaną przekazane z inicjatywy kandydata do pracy lub pracownika.

Projekt ustawy określa także, że do przetwarzania danych osobowych, o których mowa w art. 9 ust. 1 RODO, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania tych danych nadane przez pracodawcę, a osoby dopuszczone do ich przetwarzania są obowiązane do zachowania ich w tajemnicy.

Co ważne kandydat do pracy lub pracownik, zgodnie z nowymi przepisami, będzie miał prawo do nieudzielenia informacji, a brak zgody lub jej wycofanie nie będzie mogło powodować dla tej osoby żadnych negatywnych konsekwencji.

Kary za nieprzestrzeganie RODO

W przypadku niestosowania przepisów RODO będzie można użyć środków prawnych o charakterze administracyjnym oraz administracyjne kary pieniężne. Te pierwsze mogą być dla podmiotów przetwarzających dane bardziej szkodliwe niż sankcje pieniężne. Najbardziej skrajne sankcje mogą spowodować duże utrudnienia w funkcjonowaniu podmiotu przetwarzającego dane osobowe.

Wśród sankcji administracyjnych wskazanych w art. 58 rozporządzenia wymienione zostały między innymi:

• ostrzeżenia wydawane administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania
• udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania
• nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia
• nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu
• nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych
• wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania

Najwyższa kwota kary pieniężnej za nieprzestrzeganie przepisów RODO wynosi 10 mln. euro, a w przypadku przedsiębiorstwa kwota ta nie może przekroczyć 2 % jego całkowitego, rocznego obrotu z poprzedniego roku obrotowego.

Możliwe jest jednoczesne stosowanie środków administracyjnych oraz kar pieniężnych. Dlatego jeśli rozważasz prowadzenie własnej działalności gospodarczej dowiedz się więcej o przepisach RODO i stosuj je w praktyce.