PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY W NOWYM PROJEKCIE KODEKSU PRACY r.pr. Patrycja Kozik
Nowa ustawa o ochronie danych osobowych a prawo pracy Motyw 155: W prawie państwa członkowskiego lub w porozumieniach zbiorowych, w tym zakładowych porozumieniach z przedstawicielami pracowników, mogą być przewidziane przepisy szczegółowe o przetwarzaniu danych osobowych pracowników w związku z zatrudnieniem, w szczególności warunki, na których dane osobowe w związku z zatrudnieniem można przetwarzać za zgodą pracownika do celów procedury rekrutacyjnej, wykonywania umowy o pracę, w tym wykonywania obowiązków określonych w przepisach lub w porozumieniach zbiorowych, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy.
RODO Nowa ustawa a podstawy prawne przetwarzania Artykuł 88 Przetwarzanie w kontekście zatrudnienia Państwa członkowskie mogą zawrzeć w swoich przepisach lub w porozumieniach zbiorowych bardziej szczegółowe przepisy mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem, w szczególności: do celów rekrutacji, wykonania umowy o pracę, w tym wykonania obowiązków określonych przepisami lub porozumieniami zbiorowymi, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy, ochrony własności pracodawcy lub klienta, do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, do celów zakończenia stosunku pracy.
RODO a nowa ustawa o ochronie danych osobowych
RODO Nowa ustawa a podstawy prawne przetwarzania Projekt przepisów z 12 września 2017 https://www.gov.pl/documents/31305/0/ustawa_- _przepisy_wprowadzajace_ustawe_o_ochronie_danych_osobowych_- _13.09.2017.pdf/564d020d-d970-cce5-9b64-3805e1a1f1da (Strona 2 do 5) Projekt przepisów z 28 marca 2018 https://legislacja.rcl.gov.pl/docs//2/12302951/12457722/12457723/dokument3354 53.pdf (strona 7 do 11)
Projektowane przepisy KP Obowiązujący Kodeks Pracy Projekt zmian z dnia 12. Września 2017 r. Projekt zmian z dnia 28 marca 2018 r. Art. 22 (1) 1. Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko; 2) imiona rodziców; 3) datę urodzenia; 4) miejsce zamieszkania (adres do korespondencji); 5) wykształcenie; 6) przebieg dotychczasowego zatrudnienia. Art. 22 (1) 1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko; 2) datę urodzenia; 3) adres do korespondencji; 4) adres poczty elektronicznej albo numer telefonu; 5) wykształcenie; 6) przebieg dotychczasowego zatrudnienia. (brak obowiązku podania imion rodziców) Art. 22 (1). 1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko; 2) datę urodzenia; 3) dane kontaktowe wskazane przez taką osobę; 4) wykształcenie; 5) przebieg dotychczasowego zatrudnienia. (brak obowiązku podania imion rodziców)
RODO PODSTAWY PRAWNE PRZETWARZANIA 1. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; 2. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; 3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; 4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; 5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; 6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
PODSTAWY PRAWNE PRZETWARZANIA - REKRUTACJE Zamknięty katalog danych zbieranych na podstawie przepisów k.p. + przepisy szczególne 1) imię (imiona) i nazwisko; 2) datę urodzenia; 3) dane kontaktowe wskazane przez taką osobę; 4) wykształcenie; 5) przebieg dotychczasowego zatrudnienia. Z katalogu danych kandydata wyłączono: imiona rodziców adres zamieszkania
PODSTAWY PRAWNE PRZETWARZANIA - REKRUTACJE Zamknięty katalog danych zbieranych na podstawie przepisów k.p. + przepisy szczególne 3. Pracodawca żąda podania innych danych osobowych niż określone w 1 i 2, gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca może żądać udokumentowania danych osobowych osób, o których mowa w 1 i 2, w zakresie niezbędnym do ich potwierdzenia
PODSTAWY PRAWNE PRZETWARZANIA - REKRUTACJE Przepis szczególny, ale czy tylko? Projekt zmiany z dnia 12. Września 2017 r. Projekt zmiany z dnia 28 marca 2018 r. Art. 22 2 1. Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 22 1 1 i 2 jest dopuszczalne tylko wtedy, gdy dotyczą one stosunku pracy i osoba ubiegająca się o zatrudnienie lub pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej. Art. 22[2]. 1. Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 221 1 i 2 jest dopuszczalne za zgodą osoby ubiegającej się o zatrudnienie lub pracownika i tylko wtedy, gdy jest to dla nich korzystne.
Warunki wyrażenia zgody Projekt zmiany z dnia 12. Września 2017 r. Projekt zmiany z dnia 28 marca 2018 r. 3. Brak zgody, o której mowa w 1 i 2, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenia stosunku pracy lub jego rozwiązania bez wypowiedzenia przez pracodawcę. 2. Brak zgody, o której mowa w 1 lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę
ZGODA C.D. Przetwarzanie danych za zgodą - dotyczy danych osobowych udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika na wniosek pracodawcy lub danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika Kiedy można przetwarzać dane dodatkowe? Zgoda Przepis szczególny A co z danymi wrażliwymi? A co z innymi przesłankami?
Warunki wyrażenia zgody Projekt zmiany z dnia 12. Września 2017 r. Projekt zmiany z dnia 28 marca 2018 r. 5. Przetwarzanie danych osobowych obejmujących dane: 1) o nałogach; 2) o stanie zdrowia; 3) o życiu seksualnym lub orientacji seksualnej nie jest możliwe nawet za zgodą, o której mowa w 1. Art. 22[3]. 1. Przetwarzanie danych osobowych, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1), zwanego dalej rozporządzeniem 2016/679, jest dopuszczalne tylko wtedy, gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa.
PODSTAWY PRAWNE PRZETWARZANIA - REKRUTACJE Projekt z 12 września nie wykluczał pozyskiwania informacji innych niż o: nałogach stanie zdrowia życiu seksualnym lub orientacji seksualnej Na podstawie zgody. Przepis szczególny ZGODA ALE Zasada minimalizacji Dane muszą być: ( ) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ( minimalizacja danych );
PODSTAWY PRZETWARZANIA DANYCH PRACOWNIKÓW na gruncie RODO
Obowiązujący Kodeks Pracy Projekt zmian z dnia 12. Września 2017 r. Projekt zmian z dnia 28 marca 2018 r..pracodawca ma prawo żądać od pracownika podania, niezależnie od danych osobowych, o których mowa w 1, także: 1) innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy; 2) numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL). 2. Pracodawca żąda od pracownika podania danych osobowych obejmujących: 1) adres zamieszkania; 2) numer PESEL, a w przypadku jego braku rodzaj i numer dokumentu potwierdzającego tożsamość; 3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy. 2. Pracodawca żąda od pracownika podania dodatkowo danych osobowych obejmujących: 1) adres zamieszkania; 2) numer PESEL, a w przypadku jego braku rodzaj i numer dokumentu potwierdzającego tożsamość; 3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.
PODSTAWY PRAWNE PRZETWARZANIA - ZATRUDNIENIE Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca żąda udokumentowania danych, jeżeli uzna za konieczne ich potwierdzenie. Inne dane - gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa + Art. 22[2]. 1. Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 221 1 i 2 jest dopuszczalne za zgodą osoby ubiegającej się o zatrudnienie lub pracownika i tylko wtedy, gdy jest to dla nich korzystne. Brak zgody brak negatywnych konsekwencji Dane szczególnych kategorii przetwarzanie dopuszczalne tylko wtedy, gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa.
PODSTAWY PRAWNE PRZETWARZANIA - ZATRUDNIENIE Dane szczególnych kategorii przetwarzanie dopuszczalne tylko wtedy, gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa. A co z danymi biometrycznymi?
PODSTAWY PRAWNE PRZETWARZANIA - ZATRUDNIENIE Projekt z 28.03.2018: Przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub dostępu do pomieszczeń wymagających szczególnej ochrony. Dane biometryczne pracownika! W projekcie z 12 września 2017 było:. Przetwarzanie przez pracodawcę danych biometrycznych obejmuje tylko dane osobowe pracownika, jeśli dotyczą one stosunku pracy i pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej
CO JESZCZE? DPIA
RODO CO JESZCZE? Data Protection Impact Assessment (DPIA) Zgodnie z powyżej wskazaną koncepcją, w przypadku wdrożenia w Spółce procesów z którymi związane jest przetwarzanie danych mogące skutkować wysokim prawdopodobieństwem naruszania praw lub wolności osób fizycznych, przed rozpoczęciem przetwarzania należy przeprowadzić sformalizowaną ocenę wpływu procesu na ochronę danych osobowych. Przykładem takiego procesu związanego z ryzykiem naruszenia praw lub wolności jest monitorowanie na dużą skalę miejsc dostępnych publicznie.
RODO OCENTA SKUTKÓW Ocena skutków dla ochrony danych jest wymagana w szczególności w przypadku: a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną; b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
RODO OCENTA SKUTKÓW Jak wskazuje wyrażenie w szczególności w zdaniu wprowadzającym w art. 35 ust. 3 RODO, wymienione przykłady nie stanowią wyczerpującego wykazu. Mogą występować operacje przetwarzania wysokiego ryzyka, których nie uwzględniono w wykazie, lecz stwarzają równie wysokie ryzyko. Wspomniane operacje przetwarzania powinny również podlegać ocenom skutków dla ochrony danych. Przykład wskazany przez Grupę roboczą w opinii o ocenie skutków: przedsiębiorstwo systematycznie monitoruje działania swoich pracowników, m.in. ich stanowiska pracy i aktywność w internecie, z uwagi na: - systematyczne monitorowanie - dane dotyczące osób wymagających szczególnej opieki, których dane dotyczą
RODO OCENTA SKUTKÓW W ASPEKCIE DANYCH PRACOWNICZYCH Zgodnie z dokumentem GIODO proponowany wykaz rodzajów przetwarzania wymagających przeprowadzenia oceny skutków https://www.giodo.gov.pl/pl/1520281/10430 - podlega konsultacjom do 30.04.18r. Przykłady operacji/zakresu danych/okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania: - przetwarzanie danych spoza zbioru określonego w Kodeksie pracy na podstawie zgody pracownika - Systemy służące do zgłaszania nieprawidłowości (związanych np. z korupcją, mobbingiem) w szczególności, gdy przetwarzane są w nim dane pracowników. - Systemy monitorowania czasu pracy oraz przepływu informacji w wykorzystywanych przez pracowników narzędziach (np. poczcie elektronicznej, Internecie) i oceny pracownika - Biometria w celu identyfikacji lub weryfikacji osoby w systemach kontroli dostępu
Dziękuję za uwagę! p.kozik@gkklegal.pl