Gdzie znajdę przystępnie podane, różnorodne informacje prawne?

Centrum prasowe DZP.

Pod rządami RODO przedsiębiorca nie powoła się na konieczność wykonania umowy

26.04.2018

Autorzy:
Justyna Tyc

Aby przetwarzać dane osobowe, trzeba mieć podstawę. Kłopot w tym, że nie wiadomo do końca, czy w tym zakresie trzeba będzie stosować tylko przepisy kodeksu pracy, czy również rozporządzenie UE.

28 marca 2018 r. światło dzienne ujrzał kolejny już projekt ustawy dostosowującej wiele polskich przepisów do RODO - unijnego rozporządzenia 2016/679 dotyczącego ochrony danych osobowych. W projekcie pojawiły się propozycje zmian do kodeksu pracy, które określają podstawy przetwarzania danych osobowych pracowników. A zmiany te nie są bez znaczenia dla pracodawców.

Problem jednak w tym, że w obecnej wersji projektu nie jest jasne, które podstawy przetwarzania danych trzeba będzie stosować w stosunku do pracowników - czy tylko te z kodeksu pracy, czy obok siebie te z kodeksu i te z RODO? Wątpliwości mogłoby rozwiać np. zamieszczone w przepisach kodeksowych odpowiednie odesłanie do RODO. Kwestia ta powinna zostać rozstrzygnięta na etapie prac legislacyjnych.

Wybieramy trzy podstawy

Jeśli projekt zostanie uchwalony w zaproponowanym brzmieniu, to na podstawie nowego art. 221 par. 1 i 2 k.p. pracodawca będzie dysponował następującymi danymi pracownika: imię (imiona) i nazwisko, data urodzenia, dane kontaktowe wskazane przez kandydata do pracy, wykształcenie, przebieg dotychczasowego zatrudnienia, adres zamieszkania, numer PESEL (w przypadku jego braku - rodzaj i numer dokumentu potwierdzającego tożsamość). Inne dane osobowe pracownika oraz dane osobowe jego dzieci i innych członków najbliższej rodziny będą podawane pracodawcy, jeżeli okaże się to konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.

Pracodawca będzie mógł jednak żądać podania innych danych osobowych niż określone powyżej, gdy będzie to niezbędne do wypełnienia jego obowiązku nałożonego przepisem prawa. Takim obowiązkiem jest np. zgłoszenie pracownika do obowiązkowych ubezpieczeń społecznych. Formularz zgłoszenia ZUS ZUA przewiduje obowiązek podania innych danych pracownika niż wymienione w kodeksie pracy, np. adresu zameldowania czy nazwiska rodowego. W takim przypadku ich pozyskiwanie od pracownika również będzie dopuszczalne i zgodne z prawem.

Wykonanie przez pracodawcę obowiązku nałożonego na niego przepisem prawa będzie też jedyną podstawą do przetwarzania danych osobowych wrażliwych, czyli dotyczących np. stanu zdrowia czy pochodzenia rasowego.

Dodatkowo projektowany art. 222 par. 1 i 3 itp. stanowi, że przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 221 par. 1 i 2 k.p. będzie dopuszczalne za zgodą osoby ubiegającej się o zatrudnienie lub pracownika i tylko wtedy, gdy jest to dla niej korzystne. Ponadto będzie ono mogło dotyczyć tylko danych osobowych udostępnionych przez kandydata do pracy lub pracownika na wniosek pracodawcy lub przekazanych mu z inicjatywy kandydata lub pracownika.

Zatem z projektowanych przepisów wynikają trzy podstawy do przetwarzania danych osobowych pracowników, a mianowicie:

1) art. 221 par. 1 i 2 k.p., który wprost wskazuje katalog danych, jakich może żądać pracodawca,
2) wypełnienie obowiązku pracodawcy nałożonego przepisem prawa,
3) zgoda pracownika, pod warunkiem, że przetwarzanie danych jest dla niego korzystne.

Takie ukształtowanie przepisów skłania do zadania fundamentalnego pytania: czy możliwe będzie przetwarzanie danych osobowych pracownika na innych podstawach niż te trzy wymienione powyżej, np. wtedy, gdy przetwarzanie określonych danych jest konieczne do realizacji umowy lub gdy po stronie pracodawcy istnieje usprawiedliwiony interes.

Jak jest obecnie

Obecnie obowiązujące przepisy kodeksu pracy jako podstawę przetwarzania danych wskazują:

  • 22 [1] § 1 i 2 (katalog danych możliwych do pozyskania przez pracodawcę na etapie rekrutacji i zatrudnienia),
  • odrębne przepisy, jeśli obowiązek podania dodatkowych danych z nich wynika,
  • w zakresie nieuregulowanym w kodeksie pracy, na podstawie art. 22[1] § 5 ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej u.o.d.o.).

Natomiast u.o.d.o. w art. 23 wymienia przesłanki dopuszczalności przetwarzania danych osobowych, wskazując że przetwarzanie jest dopuszczalne tylko wtedy, gdy:

  • osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;
  • jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
  • jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
  • jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
  • jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Stąd też obecnie pracodawcy przetwarzają dane osobowe pracownika nie tylko na podstawie przepisów kodeksu pracy, ale również na podstawie przepisów u.o.d.o. W  praktyce wydłuża to katalog możliwych podstaw przetwarzania danych, np. o usprawiedliwiony cel pracodawcy lub konieczność realizacji umowy.

A możemy sześć

RODO wskazuje kilka podstaw przetwarzania danych, które odnoszą się również do pracowników (art. 6). Można to robić, gdy:
1) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów,
2) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie takiej osoby przed zawarciem umowy,
3) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
4) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
5) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
6) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (z wyjątkiem sytuagi, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba ta jest dzieckiem).

Rozporządzenia unijne są stosowane bezpośrednio w państwach członkowskich. A zatem aby obowiązywać, nie muszą być implementowane do krajowych porządków prawnych, w tym do polskiego. Mają też pierwszeństwo przed ustawą krajową w razie sprzeczności pomiędzy dwoma aktami. To oznacza, że podstawy przetwarzania danych osobowych wskazane w RODO pozostają aktualne na gruncie polskiego porządku prawnego. Niemniej jednak zgodnie z art. 88 RODO państwa członkowskie mogą zawrzeć w swoich przepisach lub w porozumieniach zbiorowych bardziej szczegółowe przepisy mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem. W szczególności takie przepisy mogą wprowadzić do celów rekrutacji, wykonania umowy o pracę (w tym wykonania obowiązków określonych przepisami lub porozumieniami zbiorowymi), zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bhp, ochrony własności pracodawcy lub klienta oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy.

Przepis zatem dopuszcza wprost możliwość modyfikowania zasad i podstaw przetwarzania danych osobowych pracowników przez państwa członkowskie w ustawodawstwie krajowym.

Wzajemna relacja

Polski ustawodawca skorzystał z możliwości szczegółowego uregulowania zagadnienia danych osobowych pracowników. Projekt zmian w kodeksie pracy wskazuje wyłącznie na trzy podstawy przetwarzania danych (katalog danych zawartych wprost w kodeksie, wypełnienie obowiązku prawnego i zgoda pracownika). Tymczasem RODO wymienia ich aż sześć, w tym konieczność wykonania umowy i usprawiedliwiony cel pracodawcy, które to podstawy dotychczas były często wykorzystywane przez pracodawców. Wielu z nich będzie musiało rozstrzygnąć, czy podstawę przetwarzania danych pracowników będą mogły stanowić tylko te z kodeksu pracy, czy również te wynikające wprost z RODO. Innymi słowy: czy projektowane przepisy kodeksu pracy wyłączają w tym zakresie stosowanie RODO, a tym samym podstawy przetwarzania danych niewymienione w kodeksie? W praktyce odpowiedź na te wątpliwości może okazać się kluczowa, albowiem postępowanie pracodawcy w konkretnej sytuacji będzie zdeterminowane podstawą przetwarzania danych osobowych.

Posługując się przykładem: w przypadku przedsiębiorstw zatrudniających bardzo wielu pracowników, pracownicy ze względów bezpieczeństwa są wyposażani w identyfikatory opatrzone m.in. imieniem, nazwiskiem, stanowiskiem służbowym i zdjęciem pracownika. Pracodawcy często wskazywali na swój usprawiedliwiony interes jako podstawę do żądania zdjęcia od pracownika. Faktycznie w takim przypadku były ku temu podstawy - można było mówić o konieczności zapewnienia bezpieczeństwa. Jednakże jeśli przyjmiemy, że projekt zmian do k.p. wyklucza możliwość powołania się na inne podstawy przetwarzania danych osobowych niż zawarte w kodeksie, usprawiedliwiony interes pracodawcy nie będzie mógł już być podstawą przetwarzania zdjęcia pracownika i umieszczania go na identyfikatorach. Zatem, skoro zdjęcie nie znajduje się w katalogu wymienionym w nowym art. 221 par. 1 i 2 k.p. oraz jego żądanie nie wynika z obowiązujących przepisów prawa, to jedyną podstawą przetwarzania tej danej będzie zgoda pracownika. I tutaj może pojawić się problem z jej uzyskaniem, gdyż nietrudno sobie wyobrazić sytuację, w której pracownik odmówi takiej zgody. Jeszcze większy problem pojawi się wtedy, gdy w trakcie zatrudnienia pracownik najpierw zgody udzieli, a następnie taką zgodę cofnie i przetwarzanie zdjęcia nie będzie już możliwe.

Uszczegółowienie, czyli wyłączenie

W mojej opinii uszczegółowienie kwestii przetwarzania danych osobowych w polskich przepisach oznacza, że podstawy prawne przetwarzania wskazane w RODO są wyłączone w odniesieniu do stosunków z pracownikami. Przyjęcie innej interpretacji oznaczałoby, że przepisy kodeksu pracy nie miałyby raq'i bytu, skoro RODO zawiera wszystkie podstawy przetwarzania i są one stosowane bezpośrednio. Jednocześnie w projekcie ustawodawca kategorycznie przesądza, że przetwarzanie danych innych niż wymienione w art. 221 par. 1 i 2 jest możliwe, gdy jest to niezbędne do wypełnienia obowiązku pracodawcy nałożonego przepisem prawa lub za zgodą pracownika, ale tylko wtedy, gdy jest to dla niego korzystne. Żaden przepis kodeksu pracy jednocześnie nie odsyła do innych przepisów w zakresie podstaw przetwarzania danych.

Na marginesie warto też zwrócić uwagę na niespójność przepisów projektu zmian w kodeksie pracy. Artykuł 221 par. 3 mówi bowiem o możliwości żądania innych danych niż wymienione w par. 1 i 2 (katalog), gdy jest to niezbędne do wypełnienia obowiązku nałożonego przepisem prawa. Natomiast art. 222 par. 2 stanowi, że przetwarzanie danych innych niż wymienione w katalogu jest dopuszczalne za zgodą pracownika i gdy jest dla niego korzystne. Dla porządku legislacyjnego art. 222 par. 2 powinien wyłączać również podstawę dotyczącą obowiązku prawnego (art 221 par. 3), bo literalnie przepisy te można odczytywać jako sprzeczne ze sobą - a zapewne nie taka była intencja ustawodawcy.

Reasumując, od 25 maja 2018 r. i po wejściu w życie projektowanych zmian w kodeksie pracy pracodawca będzie miał wyłącznie trzy podstawy do przetwarzania danych pracowników (katalog wynikający z art. 221 par. 1 i 2 k.p., konieczność wykonania obowiązku prawnego oraz zgodę pracownika, pod warunkiem korzystno-ści dla pracownika). Tym samym powoływanie się na usprawiedliwiony interes pracodawcy i konieczność wykonania umowy nie będzie już możliwe. Życie i różnorodność przypadków każe przypuszczać, że w praktyce korzystanie tylko i wyłącznie z trzech wymienionych podstaw do przetwarzania danych może być niewystarczające, jak np. w przypadku omawianego identyfikatora. Uchwalenie projektu w zaproponowanym brzmieniu może faktycznie utrudnić pracodawcom wiele kwestii związanych z funkcjonowaniem zakładu pracy, zatem zmiany legislacyjne w tym zakresie są wskazane.

Podstawa prawna
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; Dz.Urz. UE z 2016 r. L 119, s. i).
Rządowy projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 z 28 marca 2018 r.

Żródło: Dziennik Gazeta Prawna, 26.04.2018