RODO: obowiązki firm z sektora B2B

Analizy

RODO: obowiązki firm z sektora B2B

Newsletter: RODO #18 | styczeń 2018 r.

Przepisy ogólnego rozporządzenia o ochronie danych, które zaczną być stosowane od 25 maja 2018 r., wymagają od menedżerów przetwarzających dane osobowe ich kompleksowego wdrożenia i dostosowania się do zmienionych zasad przetwarzania.

Szereg obowiązków ciąży również na firmach działających w sektorze B2B (np. firmach produkcyjnych), które co prawda nie gromadzą i nie przetwarzają danych konsumentów, jednak w związku z prowadzoną działalnością i tak posiadają dane osobowe. Dzisiaj trudno bowiem nie przetwarzać żadnych danych osobowych, prowadząc biznes.

Przykładowymi zbiorami danych osobowych przetwarzanych przez firmy z sektora B2B są dane osobowe kontrahentów, książka wejść i wyjść z terenu przedsiębiorstwa czy monitoring wizyjny. Jednak najprawdopodobniej najczęściej występującym zbiorem danych osobowych wśród takich firm są dane osobowe pracowników lub osób ubiegających się o zatrudnienie. Przepisy ogólnego rozporządzenia o ochronie danych (dalej: RODO) nie czynią wyjątku w zakresie danych pracowniczych, dlatego pracodawcy powinni stosować wobec przetwarzania takich danych wszystkie zasady wynikające z nowych przepisów.

Subskrybcja

Subskrybuj na e-mail powiadomienia o nowych wydaniach Newslettera: RODO.

Kliknij tutaj, aby dokonać subskrypcji

Obowiązek informacyjny

Jedną z tych zasad jest szeroki obowiązek informacyjny wobec pracowników w zakresie przetwarzania ich danych osobowych. Oznacza to, że pracodawcy powinni wyraźnie przekazać pracownikom odpowiednie informacje w sposób przyjęty w firmie (np. poprzez obwieszczenie czy indywidualne informowanie pracowników). Dokonanie takiego poinformowania powinno z praktycznego punktu widzenia zostać następnie udokumentowane przez pracodawcę. Zgodnie bowiem z ogólną regułą wyrażoną w RODO, administrator danych musi być w stanie wykazać przestrzeganie przepisów, w tym obowiązku informacyjnego. Jest to zwłaszcza istotne z punktu widzenia ewentualnego postępowania kontrolnego prowadzonego przez organ nadzorczy.

Informacja przekazywana pracownikom przez pracodawcę powinna obejmować informacje m.in. o danych kontaktowych inspektora ochrony danych (o ile będzie on w firmie powołany), okresie przechowywania danych osobowych, prawie wniesienia skargi do organu nadzorczego, czy też o przekazywaniu danych do państwa trzeciego (np. gdy serwery przechowujące dane pracownicze będą umiejscowione poza UE/EOG).

Katalog niezbędnych informacji, do których udzielenia jest zobowiązany administrator danych na podstawie RODO jest zatem szerszy niż obowiązujący dotychczas.

Zgoda pracownika i kandydata do pracy

RODO wprowadza istotną zmianę do obowiązującej dotąd w polskim porządku prawnym zasady, zgodnie z którą dane pracowników i kandydatów do pracy, wykraczające poza katalog wskazany w Kodeksie pracy, nie mogły być przez pracodawcę przetwarzane, nawet za zgodą tych osób. Takie stanowisko reprezentowane przez sądy administracyjne oraz GIODO jest uzasadniane tym, iż z uwagi na charakter relacji pracowniczej, nie można mówić o zgodzie dobrowolnie udzielanej przez pracownika. Niemniej jednak, w naszej ocenie RODO dopuszcza zgodę pracownika jako podstawę prawną przetwarzania danych osobowych przez pracodawcę, przy czym daje państwom członkowskim, jak również samym pracodawcom i przedstawicielom pracowników w drodze porozumień zbiorowych, prawo uszczegółowienia zasad związanych z takim przetwarzaniem danych na potrzeby zatrudnienia.

Zgoda pracownika musi być jednoznaczna (a nie wyinterpretowana przez pracodawcę), konkretna (odnosić się do skonkretyzowanego rodzaju danych i zakresu przetwarzania), świadoma i wreszcie dobrowolna. Jej nieudzielenie nie powinno powodować bowiem negatywnych konsekwencji wobec pracownika.

Projektowane zmiany Kodeksu pracy

W tym kontekście należy wskazać na projektowane zmiany Kodeksu pracy, przygotowane przez Ministerstwo Cyfryzacji w ramach pakietu zmian przepisów dotyczących danych osobowych w związku z krajową reformą ochrony danych osobowych. Zmodyfikowany ma zostać katalog danych, których pracodawca może żądać od kandydatów do pracy. Ponadto ma być wprowadzony wprost przepis dopuszczający przetwarzanie przez pracodawcę dodatkowych danych osobowych, ale tylko wtedy, gdy dotyczą one stosunku pracy i osoba ubiegająca się o zatrudnienie lub pracownik wyrazi na to zgodę (w oświadczeniu złożonym w postaci papierowej lub elektronicznej). Wyjątek mają stanowić niektóre dane wrażliwe (informacje o nałogach, o stanie zdrowia, o życiu seksualnym lub orientacji seksualnej), których przetwarzanie nie będzie dopuszczalne nawet za zgodą.

Proponowane przepisy stanowią także, że brak wyrażenia zgody na przetwarzanie dodatkowych danych osobowych nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika. Co więcej, nie może także powodować wobec nich jakichkolwiek negatywnych konsekwencji (np. nie może doprowadzić do odmowy zatrudnienia, wypowiedzenia stosunku pracy czy jego rozwiązania bez wypowiedzenia przez pracodawcę). Takie zastrzeżenie ma zapewnić pracownikom i kandydatom do pracy pełną swobodę przy wyrażaniu zgody.

Jaka rekrutacja

Pracodawcy przygotowujący się do wdrożenia RODO powinni zweryfikować posiadane zgody kandydatów do pracy na przetwarzanie ich danych osobowych, udzielane w toku rekrutacji.

Ponieważ nowe zasady akcentują, że dane osobowe mogą być zbierane tylko w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie mogą być przetwarzane dalej w sposób niezgodny z tymi celami, jak również, że powinny być przechowywane przez okres nie dłuższy niż jest to niezbędne do tych celów, to zakres zbieranych danych oraz czas ich przechowywania powinien być ściśle limitowany. Oznacza to, że co do zasady dane osobowe zebrane w ramach jednego procesu rekrutacyjnego powinny być przechowywane i wykorzystywane wyłącznie podczas tej rekrutacji, chyba że kandydat wyraźnie wyrazi zgodę na przetwarzanie jego danych również w kolejnych procesach rekrutacyjnych. Jeżeli taka zgoda nie została udzielona, dane powinny zostać usunięte po zakończeniu tej konkretnej rekrutacji. W związku z tym pracodawcy powinni dokonać przeglądu posiadanych przez siebie danych osobowych kandydatów do pracy (w tym przede wszystkim posiadanych przez siebie CV i zawartych w nich klauzul zgód), które zgromadzili zarówno w przeszłości, jak i na potrzeby aktualnie toczących się rekrutacji.

Rejestrowanie czynności

Nowym obowiązkiem wprowadzanym przez RODO jest rejestrowanie przez administratorów czynności przetwarzania danych osobowych.

Ciąży on na wszystkich administratorach danych, a więc również na pracodawcach. Przepisy RODO przewidują jednak wyłączenie tego obowiązku wobec podmiotu zatrudniającego mniej niż 250 osób, chyba że dokonywane przez niego przetwarzanie:

  • może powodować ryzyko naruszenia praw lub wolności osób,
  • nie ma charakteru sporadycznego,
  • obejmuje szczególne kategorie danych osobowych (dane wrażliwe),
  • obejmuje dane dotyczące wyroków skazujących i naruszeń prawa.

W przypadku zatem mniejszych zakładów pracy należy zweryfikować, czy spełniony jest któryś z powyższych warunków. Należy przy tym zwrócić uwagę, że przesłanki te są dość ogólnie określone, a zakłady pracy z reguły przetwarzają dane osobowe częściej niż sporadycznie, wobec czego w praktyce może okazać się, że większość pracodawców zatrudniających do 249 osób będzie musiała dostosować się do wymogu rejestrowania czynności przetwarzania danych.

Analizowany obowiązek wiąże się z koniecznością stworzenia odrębnego rejestru prowadzonego np. w formie elektronicznej, który będzie zawierał takie elementy jak: dane administratora, cele przetwarzania, kategorie osób, których dane dotyczą oraz kategorie danych osobowych, jak również, w miarę możliwości, planowane terminy usunięcia poszczególnych kategorii danych. Rejestr powinien zostać udostępniony na każdorazowe żądanie organu nadzorczego.

Zdaniem autorów

Magdalena Podjacka, associate, prawnik Deloitte Legal

Krzysztof Owsianny, managing associate, radca prawny Deloitte Legal

Firmy z sektora B2B, które nie gromadzą danych osobowych konsumentów, ale które przetwarzają inne dane osobowe, np. dane pracownicze, są również zobowiązane do wdrożenia zasad wynikających z RODO. Dla takich podmiotów konieczne może okazać się m.in. przygotowanie nowych klauzul zgód kandydatów do pracy udzielanych w procesie rekrutacji, poinformowanie pracowników o przetwarzaniu ich danych osobowych w organizacji, czy rozpoczęcie prowadzenia rejestru czynności przetwarzania danych osobowych. Z drugiej strony, RODO wprowadzi pewne uelastycznienie zasad zbierania danych osobowych pracowników i kandydatów, umożliwiając ich pozyskiwanie także na podstawie zgody. Szczegółowe zasady w tym zakresie zostaną najprawdopodobniej wprowadzone do Kodeksu pracy w ramach zmian legislacyjnych związanych z krajową reformą ochrony danych osobowych.

Czy ta strona była pomocna?