A A A

Ubezpieczenia i Prawo Pracy nr 12 (462) z dnia 10.06.2018

Dostosowanie przepisów zakładowych do nowych zasad ochrony danych osobowych

1. Rodzaje zakładowych regulacji

Według art. 9 § 1 K.p., prawem pracy obok przepisów kodeksowych, innych ustaw i aktów wykonawczych, są układy zbiorowe pracy, porozumienia zbiorowe, regulaminy i statuty określające prawa i obowiązki stron stosunku pracy. Do tej grupy należą m.in.: regulamin pracy, regulamin wynagradzania, porozumienie dotyczące zwolnień grupowych czy warunków zatrudnienia w związku z przejściem zakładu pracy na innego pracodawcę w całości lub w części. Pracodawca może także posiadać obwieszczenia i procedury, jeśli nie jest objęty układem zbiorowym pracy ani nie podlega obowiązkowi wdrożenia regulaminów wynagradzania i pracy, a ponadto różnego rodzaju instrukcje postępowania (np. w sprawie bezpieczeństwa i higieny pracy) czy zarządzenia.

Ważne: Wskutek obowiązywania od 25 maja br. zasad ochrony danych osobowych określonych przepisami RODO, konieczna jest aktualizacja zakładowych regulacji.

Wymusza ono zmiany w przepisach wewnątrzzakładowych oraz przygotowanie nowych procedur ściśle z nim związanych (patrz tabela na str. 64), uwzględniających przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, dalej zwanej ustawą krajową. Ponadto należy mieć na uwadze ustawę o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, dalej zwaną projektowaną ustawą zmieniającą (poprzednia nazwa: ustawa - Przepisy wprowadzające ustawę o ochronie danych osobowych), nad którą prace legislacyjne nadal nie są zakończone.

2. Ogólne zasady wynikające z RODO

Generalne reguły ochrony danych osobowych określa art. 5 RODO. Przepis ten zobowiązuje każdego pracodawcę, jako administratora danych (osobę fizyczną, prawną, podmiot publiczny, inne jednostki i podmioty ustalające cele i sposoby przetwarzania danych osobowych), do przetwarzania danych osobowych w myśl następujących zasad:

zgodności z prawem, rzetelności i przejrzystości - dopuszczono przetwarzanie danych uzyskanych na podstawie dobrowolnej zgody osoby, której dotyczą lub na innej uzasadnionej podstawie przewidzianej prawem; pracownik musi wiedzieć kto, w jakim celu i na jakiej podstawie prawnej zbiera i przetwarza jego dane osobowe, a informację na ten temat powinien otrzymać (i mieć do niej łatwy dostęp) w prostym i przystępnym języku (motywy 39-47, 58 i 60 preambuły RODO),
ograniczenia co do celu - dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, wynikających ze stosunków pracy oraz obowiązków podatkowo-składkowych i innych przepisów, o których pracodawca informuje pracowników w momencie zbierania danych (motywy 39, 50 i 61 preambuły oraz art. 13-14 RODO),
minimalizacji danych - gromadzone są wyłącznie te dane osobowe, które są niezbędne do wyznaczonych celów (motyw 39 preambuły RODO),
prawidłowości - zgromadzone dane mają być prawidłowe (uaktualniane), a nieprawidłowe - niezwłocznie prostowane lub usuwane (motywy 39 i 65 preambuły oraz art. 16-17 RODO),
ograniczenia przechowywania - okres przechowywania danych ma być zredukowany do minimum, adekwatnego do celu ich przetwarzania, zgodnie z przepisami o archiwizacji dokumentacji pracowniczej,
integralności i poufności - zapewnienie danym osób zatrudnionych bezpieczeństwa, ochrony przed niedozwolonym i niezgodnym z prawem przetwarzaniem, utratą, zniszczeniem lub uszkodzeniem, przy użyciu odpowiednich środków technicznych i organizacyjnych - dostęp do danych mogą mieć tylko osoby upoważnione, które są zobowiązane do zachowania tajemnicy (motyw 39 preambuły oraz art. 9 ust. 3 i art. 29 RODO),
rozliczalności - możliwość wykazania, że przedstawione wyżej zasady są przestrzegane (art. 5 ust. 2 RODO).

To one właśnie powinny znaleźć swoje odbicie w regulacjach wewnątrzfirmowych. W polityce bezpieczeństwa pracodawca, mimo złagodzenia wymogów co do funkcjonalności systemów informatycznych, dodatkowo powinien umieścić gwarancje:

pseudonimizacji i szyfrowania danych,
poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych.

Zapewnienia bezpieczeństwa wymaga bowiem art. 32 RODO, w tym na etapie projektowania (np. zatwierdzony mechanizm certyfikacji, którego zasady pozyskiwania reguluje ustawa krajowa).

3. Uzupełnienie obowiązków stron stosunku pracy

Podstawową kwestią do wprowadzenia we wszystkich regulacjach wewnętrznych jest rozszerzenie katalogu obowiązków pracodawcy o postępowanie w zakresie ochrony danych osobowych pracowników zgodnie z zasadami RODO i przepisami krajowymi oraz polityką bezpieczeństwa i innymi przepisami wewnątrzzakładowymi. Dotyczy to zwłaszcza układu zbiorowego pracy, regulaminu pracy i regulaminu wynagradzania (pkt 4 opracowania), a gdy pracodawca nie podlega obowiązkowi posiadania żadnego z nich - przepisów wewnątrzzakładowych, które posiada. W tych dwóch pierwszych dokumentach taki sam punkt powinien być umieszczony na liście podstawowych obowiązków pracownika. Ma to szczególne znaczenie w odniesieniu do osób na etatach, które przetwarzają dane innych pracowników tej samej firmy, współpracowników, kooperantów oraz jej klientów. Za naruszenie przez nich regulacji chroniących dane osobowe, pracodawca może zapłacić karę finansową. Według art. 83 RODO w związku z art. 101 ustawy krajowej, jej wysokość jest uzależniona od rodzaju naruszenia i może wynieść maksymalnie:

10 mln euro, a dla przedsiębiorstw - 2% całkowitego rocznego światowego obrotu za poprzedni rok obrotowy lub
20 mln euro, a dla przedsiębiorstw - 4% całkowitego rocznego światowego obrotu za poprzedni rok obrotowy.

Przykład

W firmie obowiązuje regulamin pracy, określający w § 8 podstawowe obowiązki pracodawcy, a w § 10 podstawowe obowiązki pracownika. Od 25 maja 2018 r. treść obydwu przepisów została uzupełniona o kolejny punkt o treści podanej poniżej.

"Pracodawca/Pracownik zobowiązuje się do przestrzegania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE... (Dz. Urz. UE L 119/1 z 4.5.2016), ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), regulacji związanych z ochroną danych osobowych, w tym wewnątrzzakładowych polityk bezpieczeństwa oraz innych aktów zakładowych.".

4. Aktualizacja przepisów wynagrodzeniowych

Układ zbiorowy pracy (zakładowy i ponadzakładowy) określa m.in. warunki, jakim powinna odpowiadać treść stosunku pracy (nie naruszając praw osób trzecich), w tym zasady wynagradzania i przyznawania innych świadczeń związanych z pracą (art. 77¹ K.p.) oraz miejsce, termin i czas wypłaty wynagrodzenia (art. 86 K.p.). Jeśli pracodawca nie jest objęty układem, wówczas postanowienia z tego zakresu umieszcza w regulaminie wynagradzania, co do zasad wynagradzania oraz w regulaminie pracy, co do miejsca, terminu i czasu wypłaty, a gdy nie podlega obowiązkowi ich wprowadzenia - w innych przepisach wewnątrzzakładowych lub w umowach o pracę i pisemnej informacji o warunkach pracy i płacy (art. 29 § 1 pkt 3 i § 3 K.p.). Przyznanie i wypłata poszczególnych składników wynagrodzenia oraz świadczeń związanych ze stosunkiem pracy wiąże się z przekazaniem przez pracownika konkretnych danych potwierdzających spełnienie warunków ich otrzymania. Ochronę tych właśnie danych oraz realizację prawa dostępu do nich, żądanie sprostowania lub usunięcia (bycia zapomnianym) danych albo ograniczenia ich przetwarzania, przenoszenia danych do innego administratora (otrzymanych w ustrukturyzowanym formacie np. w pliku pdf), sprzeciwu wobec przetwarzania danych oraz wycofania zgody (jeśli była udzielona) w dowolnym momencie powinny zapewniać wymienione regulacje zakładowe.

Przykład

Regulamin wynagradzania zawiera na wstępie Przepisy ogólne. Tę część pracodawca rozszerzył, wprowadzając następujące postanowienie:

§ 3

1. Dane przekazywane przez pracownika w celu udokumentowania prawa do poszczególnych składników wynagrodzenia, świadczeń związanych ze stosunkiem pracy oraz ustalenia ich wysokości i wypłaty podlegają ochronie, zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE... (Dz. Urz. UE L 119/1 z 4.5.2016) i ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000).

2. Dane przekazywane przez pracownika będą wykorzystywane wyłącznie w celach ustalenia prawa do poszczególnych składników wynagrodzenia oraz świadczeń związanych ze stosunkiem pracy, ustalenia ich wysokości i wypłaty.

3. Pracownikowi przysługuje prawo dostępu do przekazanych danych, żądania ich sprostowania, usunięcia albo ograniczenia przetwarzania, przenoszenia do innego administratora, sprzeciwu wobec przetwarzania danych oraz wycofania zgody (jeśli była udzielona) w dowolnym momencie.

4. Dane przekazane przez pracownika będą przechowywane przez okres trwania stosunku pracy oraz obowiązkowy okres ich archiwizacji, określony w odrębnych przepisach.".

5. Zmiana krajowych zasad dotyczących monitoringu

Ustawa krajowa uregulowała zasady monitoringu, dodając do Kodeksu pracy art. 22² i art. 22³. Nowe przepisy zobowiązały pracodawców do zapisania celu, zakresu i sposobu monitoringu (każdego rodzaju: wizyjnego, poczty elektronicznej, rozmów telefonicznych czy aktywności internetowej) w jednym z wewnętrznych dokumentów pracodawcy: układzie zbiorowym pracy, regulaminie pracy albo obwieszczeniu, jeśli nie posiada żadnego z dwóch pierwszych.

Jeśli pracodawca monitoruje lub zamierza monitorować teren zakładu pracy, musi dostosować treść obowiązujących/planowanych u niego postanowień do nowych wymagań. Szerzej na temat monitoringu pisaliśmy w UiPP nr 10/2018, str. 4-6, zastrzegając, że przepisy krajowe mogą wymusić kolejną aktualizację rozwiązań firmowych w tym zakresie, którą sygnalizowaliśmy w UiPP nr 11/2018, str. 7-8. Podkreślamy raz jeszcze, że monitoring polegający na rejestracji obrazu (tzw. wizyjny) może być stosowany, gdy jest niezbędny do zapewnienia bezpieczeństwa pracowników, ochrony mienia lub kontroli produkcji albo zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Zakazany jest w pomieszczeniach sanitarnych, szatniach, stołówkach oraz palarniach i pomieszczeniach udostępnianych zakładowej organizacji związkowej. Ten zakaz nie działa jednak, gdy konieczna jest realizacja podstawowych celów monitoringu wizyjnego. W takim przypadku monitoring nie może naruszać godności oraz innych dóbr osobistych pracownika, a także zasad wolności i niezależności związków zawodowych. Stąd powinny być stosowane techniki uniemożliwiające rozpoznanie przebywających w tych pomieszczeniach osób.

Oprócz monitoringu wizyjnego pracodawca może monitorować służbową pocztę elektroniczną, gdy jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, ale przestrzegając tajemnicę korespondencji oraz nie naruszając innych dóbr osobistych pracownika. Po inne formy monitoringu wolno mu sięgnąć jedynie w takich samych celach, jak przy poczcie elektronicznej.

Bez względu na to, w jakim dokumencie pracodawca ureguluje monitoring (wszystkie typy), informuje o jego wprowadzeniu nie później niż 2 tygodnie przed uruchomieniem, w sposób u niego przyjęty. W tym celu może wywiesić na tablicy ogłoszeń, rozesłać do wszystkich pracowników drogą e-mailową stosowną informację, publikując ogłoszenia w intranecie, przekazując tekst na piśmie wszystkim pracownikom czy odbierając podpisy pod oświadczeniem w tej sprawie. Z celem, zakresem i sposobem monitorowania musi też zapoznać na piśmie nowych pracowników przed dopuszczeniem ich do pracy.

W razie wprowadzania monitoringu, pracodawca będzie musiał oznaczyć pomieszczenia i teren monitorowany w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem.

6. Wykorzystywanie danych biometrycznych

Zgodnie z art. 4 pkt 14 RODO, dane biometryczne to dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczna identyfikacje tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne. Ich przetwarzanie podlega ogólnym zasadom RODO, ale w stosunkach pracy zostaną wprowadzone dodatkowe wymogi. Polski ustawodawca zakłada bowiem, że przetwarzanie takich danych pracownika będzie dopuszczalne wyłącznie za jego zgodą, a także wtedy, gdy podanie takich danych będzie niezbędne z uwagi na kontrole dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony (art. 4 pkt 2 projektowanej ustawy zmieniającej - numeracja przepisów zmieni się ze względu na przeniesienie rozwiązań o monitoringu do ustawy krajowej).

Aktualnie nie ma ostatecznego kształtu unormowań związanych z danymi biometrycznymi, dlatego też pracodawcy na razie powinni powstrzymać się ze zmianami w regulacjach zakładowych przewidujących lub mających przewidywać zastosowanie takich danych.

7. Modyfikacja regulacji związanych z funduszem socjalnym

W myśl art. 240 § 2 K.p., w układzie zbiorowym pracy mogą być zamieszczone kwestie, które nie są uregulowane w przepisach prawa pracy w sposób bezwzględnie obowiązujący, np. działalność socjalna pracodawcy w rozumieniu ustawy o zakładowym funduszu świadczeń socjalnych, dalej ustawy. Jeśli tak jest, wówczas konieczne jest dostosowanie tych postanowień do RODO i przepisów krajowych. Pracodawca musi w nich umieścić:

swoje dane jako podmiotu uprawnionego do zbierania danych osobowych osób uprawnionych do korzystania z funduszu, jeśli ich tam nie umieścił,
cel przetwarzania danych tych osób, czyli realizację przysługujących im uprawnień z funduszu,
podstawę prawną przetwarzania danych, tj. art. 8 ustawy w związku z art. 6 ust. 1 lit. c RODO,
czas przechowywania danych zredukowany do minimum adekwatnego do realizacji celu.

Powyższe dotyczy też regulaminów zakładowego funduszu świadczeń socjalnych, o czym piszemy na str. 8-10 niniejszego numeru UiPP.

8. Zasady aktualizowania przepisów wewnątrzzakładowych

Zmiany w przepisach wewnętrznych wynikające z ochrony danych osobowych mają być wprowadzane w trybach przyjętych dla poszczególnych dokumentów. Wymaga to zatem w przypadku układu zbiorowego pracy, regulaminu pracy i regulaminu wynagradzania:

uzgodnień z organizacjami związkowymi (art. 77² § 4, art. 104² § 1 oraz art. 241⁹ § 1 K.p.),
podania do wiadomości pracowników w sposób przyjęty u danego pracodawcy (art. 77² § 6, art. 104³ § 1, art. 241¹² § 2 pkt 1 K.p.).

Aktualizacja przepisów wewnątrzzakładowych wchodzi w życie po upływie 2 tygodni od dnia podania do wiadomości pracowników, a w przypadku protokołu dodatkowego do układu zbiorowego - w terminie w nim ustalonym, ale nie wcześniej niż z dniem zarejestrowania protokołu.

Nowe regulacje wewnątrzzakładowe

Rodzaj dokumentu

Pracodawca zobowiązany do
wprowadzenia danego dokumentu

Treść/forma dokumentu

rejestr czynności przetwarzania
(art. 30 ust. 5 RODO)

pracodawca zatrudniający powyżej 250 osób

pracodawca zatrudniający mniej niż 250 osób, jeśli przetwarzanie danych może powodować ryzyko naruszenia praw i wolności osób, nie ma charakteru sporadycznego, obejmuje tzw. dane wrażliwe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, a także dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności czy orientacji seksualnej tej osoby albo odnosi się do wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa

-	w treści mają znaleźć się m.in. dane pracodawcy jako administratora, cele przetwarzania, opis kategorii osób i danych osobowych oraz ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o ile to możliwe,
-	rejestr ma mieć formę pisemną, w tym elektroniczną
-	w rejestrze nie trzeba odnotowywać każdej czynności kadrowej

procedura ułatwiająca pracownikom realizację ich praw zapisanych w RODO (motyw 59 preambuły RODO)

każdy pracodawca

-	sposób i mechanizmy bezpłatnej (jeśli to możliwe) realizacji prawa dostępu do danych, żądania sprostowania lub usunięcia (bycia zapomnianym) danych albo ograniczenia ich przetwarzania, przenoszenia danych do innego administratora, otrzymanych w ustrukturyzowanym formacie (np. w pliku pdf), sprzeciwu wobec przetwarzania danych, wycofania zgody w dowolnym czasie
-	zapewnienie możliwości wnoszenia żądań drogą elektroniczną oraz udzielania na nie odpowiedzi bez zbędnej zwłoki - najpóźniej w terminie miesiąca (jeżeli pracodawca nie zamierza spełnić takiego żądania - przyczyny odmowy)
-	brak wskazania formy procedury - może być częścią układu zbiorowego pracy, regulaminu pracy albo osobnym dokumentem, sporządzonym na piśmie lub w formie elektronicznej albo w obu jednocześnie

procedura postępowania w razie naruszenia ochrony danych osobowych
(art. 33 RODO)

nie jest to obowiązek, ale prawo każdego pracodawcy, który musi zgłosić fakt naruszenia do organu nadzorczego w ciągu 72 godzin od jego wystąpienia, chyba że nie ma ryzyka naruszenia praw i wolności osób fizycznych