Ustawa sektorowa RODO, czyli ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, w istotny sposób zmienia Kodeks pracy. Zmianie uległ zakres danych osobowych pracowników oraz kandydatów do pracy, które pracodawca może przetwarzać bez zgody podmiotu danych, co wymusza na administratorach danych dokonanie modyfikacji szeregu dokumentów.
W poprzednim wpisie omówiliśmy zakres zmian dotyczących kodeksowego katalogu danych osobowych kandydatów do pracy, które przetwarzać może (a od teraz już powinien) pracodawca. Niniejszy wpis poświęcamy nowemu kodeksowemu zakresowi danych osobowych pracowników, a ten zmienia się w sposób bardzo istotny. Zgodnie bowiem z nowymi przepisami (art. 221 § 1 i § 2 k.p.) pracodawca będzie żądał od pracownika następujących danych osobowych:
imię̨ (imiona) i nazwisko;
datę̨ urodzenia;
dane kontaktowe wskazane przez taką osobę̨;
wykształcenie;
kwalifikacje zawodowe;
przebieg dotychczasowego zatrudnienia;
adres zamieszkania;
numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;
inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;
numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę̨ wynagrodzenia do rąk własnych.
Zwracamy przy tej okazji uwagę na sformułowanie „pracodawca żąda”, a nie – jak dotąd – „ma prawo żądać”, co oznacza nałożenie na pracodawcę obowiązku prawnego w miejsce dotychczasowego uprawnienia. Jest to rozwiązanie mniej kontrowersyjne w porównaniu do tego, które zastosowano przy rekrutacji, niemniej należy pamiętać, by te dane od pracownika pobrać.
Jak z powyższego wynika, zasadniczo nie można od pracownika pobrać danych w postaci rodzaju i numeru dokumentu tożsamości, a z doświadczenia wiemy, że działy kadr bardzo chętnie pobierają te informacje, wręcz kopiując lub skanując dowody osobiste pracowników. Oczywiście taka praktyka jest co do zasady zabroniona, tym niemniej, zgodnie z art. 221 § 4 k.p. możliwe będzie żądanie podania przez pracownika innych danych osobowych niż wskazane w art. 221 § 1-2 k.p., jednakże tylko pod warunkiem, że będzie to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Dysponując zatem numerem PESEL pracownika pracodawca nie będzie mógł żądać podania danych z dowodu osobistego, chyba że powoła się na uprawnienie lub obowiązek wynikający z konkretnego i wskazanego przez siebie przepisu prawa.
Warto również zaakcentować, iż zgodnie z art. 221 § 5 zd. 2 k.p. pracodawca może żądać udokumentowania danych osobowych pracownika w zakresie niezbędnym do ich potwierdzenia.
W praktyce sporych problemów dostarcza określenie zakresu danych kontaktowych pracowników, które pracodawca może przetwarzać. Obecne brzmienie przepisów Kodeksu pracy zezwala pracodawcy jedynie na przetwarzanie tych danych kontaktowych, które zostaną wskazane przez pracownika – oznacza to, że nie można żądać od pracownika podania prywatnego numeru telefonu czy adresu e-mail. Trudno byłoby też doszukać się uprawnienia czy obowiązku wynikającego z przepisu prawa dla przetwarzania tego rodzaju danych. Oznacza to, że jedyną podstawą prawną w tym wypadku może być zgoda pracownika, którą wyrazić może poprzez działanie potwierdzające, np. wypełnienie kwestionariusza osobowego. Kwestii zgody wyrażanej przez pracownika poświęcimy osobny wpis, bowiem jest to kolejne istotne novum wprowadzone przez ustawę sektorową RODO.
Z wyżej opisanych zmian ustawowych wynika zatem, że pracodawcy będą musieli zmodyfikować treść dokumentów kadrowych, w tym kwestionariusz osobowy i rejestr czynności przetwarzania danych, dostosowując je do obecnych wymogów Kodeksu pracy.
Data publikacji: 08.04.2019.