Dostosowanie przepisów zakładowych do nowych zasad ochrony danych osobowych

Według art. 9 § 1 K.p., prawem pracy obok przepisów kodeksowych, innych ustaw i aktów wykonawczych, są układy zbiorowe pracy, porozumienia zbiorowe, regulaminy i statuty określające prawa i obowiązki stron stosunku pracy. Do tej grupy należą m.in.: regulamin pracy, regulamin wynagradzania, porozumienie dotyczące zwolnień grupowych czy warunków zatrudnienia w związku z przejściem zakładu pracy na innego pracodawcę w całości lub w części. Pracodawca może także posiadać obwieszczenia i procedury, jeśli nie jest objęty układem zbiorowym pracy ani nie podlega obowiązkowi wdrożenia regulaminów wynagradzania i pracy, a ponadto różnego rodzaju instrukcje postępowania (np. w sprawie bezpieczeństwa i higieny pracy) czy zarządzenia.

Wymusza ono zmiany w przepisach wewnątrzzakładowych oraz przygotowanie nowych procedur ściśle z nim związanych (patrz tabela na str. 64), uwzględniających przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, dalej zwanej ustawą krajową. Ponadto należy mieć na uwadze ustawę o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, dalej zwaną projektowaną ustawą zmieniającą (poprzednia nazwa: ustawa - Przepisy wprowadzające ustawę o ochronie danych osobowych), nad którą prace legislacyjne nadal nie są zakończone. 

Generalne reguły ochrony danych osobowych określa art. 5 RODO. Przepis ten zobowiązuje każdego pracodawcę, jako administratora danych (osobę fizyczną, prawną, podmiot publiczny, inne jednostki i podmioty ustalające cele i sposoby przetwarzania danych osobowych), do przetwarzania danych osobowych w myśl następujących zasad:

• zgodności z prawem, rzetelności i przejrzystości - dopuszczono przetwarzanie danych uzyskanych na podstawie dobrowolnej zgody osoby, której dotyczą lub na innej uzasadnionej podstawie przewidzianej prawem; pracownik musi wiedzieć kto, w jakim celu i na jakiej podstawie prawnej zbiera i przetwarza jego dane osobowe, a informację na ten temat powinien otrzymać (i mieć do niej łatwy dostęp) w prostym i przystępnym języku (motywy 39-47, 58 i 60 preambuły RODO),
   
• ograniczenia co do celu - dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, wynikających ze stosunków pracy oraz obowiązków podatkowo-składkowych i innych przepisów, o których pracodawca informuje pracowników w momencie zbierania danych (motywy 39, 50 i 61 preambuły oraz art. 13-14 RODO),
   
• minimalizacji danych - gromadzone są wyłącznie te dane osobowe, które są niezbędne do wyznaczonych celów (motyw 39 preambuły RODO),
   
• prawidłowości - zgromadzone dane mają być prawidłowe (uaktualniane), a nieprawidłowe - niezwłocznie prostowane lub usuwane (motywy 39 i 65 preambuły oraz art. 16-17 RODO),
   
• ograniczenia przechowywania - okres przechowywania danych ma być zredukowany do minimum, adekwatnego do celu ich przetwarzania, zgodnie z przepisami o archiwizacji dokumentacji pracowniczej,
   
• integralności i poufności - zapewnienie danym osób zatrudnionych bezpieczeństwa, ochrony przed niedozwolonym i niezgodnym z prawem przetwarzaniem, utratą, zniszczeniem lub uszkodzeniem, przy użyciu odpowiednich środków technicznych i organizacyjnych - dostęp do danych mogą mieć tylko osoby upoważnione, które są zobowiązane do zachowania tajemnicy (motyw 39 preambuły oraz art. 9 ust. 3 i art. 29 RODO),
   
• rozliczalności - możliwość wykazania, że przedstawione wyżej zasady są przestrzegane (art. 5 ust. 2 RODO).

To one właśnie powinny znaleźć swoje odbicie w regulacjach wewnątrzfirmowych. W polityce bezpieczeństwa pracodawca, mimo złagodzenia wymogów co do funkcjonalności systemów informatycznych, dodatkowo powinien umieścić gwarancje:

• pseudonimizacji i szyfrowania danych,
   
• poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
   
• zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
   
• regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych.

Zapewnienia bezpieczeństwa wymaga bowiem art. 32 RODO, w tym na etapie projektowania (np. zatwierdzony mechanizm certyfikacji, którego zasady pozyskiwania reguluje ustawa krajowa).

Podstawową kwestią do wprowadzenia we wszystkich regulacjach wewnętrznych jest rozszerzenie katalogu obowiązków pracodawcy o postępowanie w zakresie ochrony danych osobowych pracowników zgodnie z zasadami RODO i przepisami krajowymi oraz polityką bezpieczeństwa i innymi przepisami wewnątrzzakładowymi. Dotyczy to zwłaszcza układu zbiorowego pracy, regulaminu pracy i regulaminu wynagradzania (pkt 4 opracowania), a gdy pracodawca nie podlega obowiązkowi posiadania żadnego z nich - przepisów wewnątrzzakładowych, które posiada. W tych dwóch pierwszych dokumentach taki sam punkt powinien być umieszczony na liście podstawowych obowiązków pracownika. Ma to szczególne znaczenie w odniesieniu do osób na etatach, które przetwarzają dane innych pracowników tej samej firmy, współpracowników, kooperantów oraz jej klientów. Za naruszenie przez nich regulacji chroniących dane osobowe, pracodawca może zapłacić karę finansową. Według art. 83 RODO w związku z art. 101 ustawy krajowej, jej wysokość jest uzależniona od rodzaju naruszenia i może wynieść maksymalnie:

• 10 mln euro, a dla przedsiębiorstw - 2% całkowitego rocznego światowego obrotu za poprzedni rok obrotowy lub
   
• 20 mln euro, a dla przedsiębiorstw - 4% całkowitego rocznego światowego obrotu za poprzedni rok obrotowy.

W firmie obowiązuje regulamin pracy, określający w § 8 podstawowe obowiązki pracodawcy, a w § 10 podstawowe obowiązki pracownika. Od 25 maja 2018 r. treść obydwu przepisów została uzupełniona o kolejny punkt o treści podanej poniżej.

Układ zbiorowy pracy (zakładowy i ponadzakładowy) określa m.in. warunki, jakim powinna odpowiadać treść stosunku pracy (nie naruszając praw osób trzecich), w tym zasady wynagradzania i przyznawania innych świadczeń związanych z pracą (art. 77¹ K.p.) oraz miejsce, termin i czas wypłaty wynagrodzenia (art. 86 K.p.). Jeśli pracodawca nie jest objęty układem, wówczas postanowienia z tego zakresu umieszcza w regulaminie wynagradzania, co do zasad wynagradzania oraz w regulaminie pracy, co do miejsca, terminu i czasu wypłaty, a gdy nie podlega obowiązkowi ich wprowadzenia - w innych przepisach wewnątrzzakładowych lub w umowach o pracę i pisemnej informacji o warunkach pracy i płacy (art. 29 § 1 pkt 3 i § 3 K.p.). Przyznanie i wypłata poszczególnych składników wynagrodzenia oraz świadczeń związanych ze stosunkiem pracy wiąże się z przekazaniem przez pracownika konkretnych danych potwierdzających spełnienie warunków ich otrzymania. Ochronę tych właśnie danych oraz realizację prawa dostępu do nich, żądanie sprostowania lub usunięcia (bycia zapomnianym) danych albo ograniczenia ich przetwarzania, przenoszenia danych do innego administratora (otrzymanych w ustrukturyzowanym formacie np. w pliku pdf), sprzeciwu wobec przetwarzania danych oraz wycofania zgody (jeśli była udzielona) w dowolnym momencie powinny zapewniać wymienione regulacje zakładowe.

Regulamin wynagradzania zawiera na wstępie Przepisy ogólne. Tę część pracodawca rozszerzył, wprowadzając następujące postanowienie:

Ustawa krajowa uregulowała zasady monitoringu, dodając do Kodeksu pracy art. 22² i art. 22³. Nowe przepisy zobowiązały pracodawców do zapisania celu, zakresu i sposobu monitoringu (każdego rodzaju: wizyjnego, poczty elektronicznej, rozmów telefonicznych czy aktywności internetowej) w jednym z wewnętrznych dokumentów pracodawcy: układzie zbiorowym pracy, regulaminie pracy albo obwieszczeniu, jeśli nie posiada żadnego z dwóch pierwszych.

Jeśli pracodawca monitoruje lub zamierza monitorować teren zakładu pracy, musi dostosować treść obowiązujących/planowanych u niego postanowień do nowych wymagań. Szerzej na temat monitoringu pisaliśmy w UiPP nr 10/2018, str. 4-6, zastrzegając, że przepisy krajowe mogą wymusić kolejną aktualizację rozwiązań firmowych w tym zakresie, którą sygnalizowaliśmy w UiPP nr 11/2018, str. 7-8. Podkreślamy raz jeszcze, że monitoring polegający na rejestracji obrazu (tzw. wizyjny) może być stosowany, gdy jest niezbędny do zapewnienia bezpieczeństwa pracowników, ochrony mienia lub kontroli produkcji albo zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Zakazany jest w pomieszczeniach sanitarnych, szatniach, stołówkach oraz palarniach i pomieszczeniach udostępnianych zakładowej organizacji związkowej. Ten zakaz nie działa jednak, gdy konieczna jest realizacja podstawowych celów monitoringu wizyjnego. W takim przypadku monitoring nie może naruszać godności oraz innych dóbr osobistych pracownika, a także zasad wolności i niezależności związków zawodowych. Stąd powinny być stosowane techniki uniemożliwiające rozpoznanie przebywających w tych pomieszczeniach osób.

Oprócz monitoringu wizyjnego pracodawca może monitorować służbową pocztę elektroniczną, gdy jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, ale przestrzegając tajemnicę korespondencji oraz nie naruszając innych dóbr osobistych pracownika. Po inne formy monitoringu wolno mu sięgnąć jedynie w takich samych celach, jak przy poczcie elektronicznej.

Bez względu na to, w jakim dokumencie pracodawca ureguluje monitoring (wszystkie typy), informuje o jego wprowadzeniu nie później niż 2 tygodnie przed uruchomieniem, w sposób u niego przyjęty. W tym celu może wywiesić na tablicy ogłoszeń, rozesłać do wszystkich pracowników drogą e-mailową stosowną informację, publikując ogłoszenia w intranecie, przekazując tekst na piśmie wszystkim pracownikom czy odbierając podpisy pod oświadczeniem w tej sprawie. Z celem, zakresem i sposobem monitorowania musi też zapoznać na piśmie nowych pracowników przed dopuszczeniem ich do pracy.

W razie wprowadzania monitoringu, pracodawca będzie musiał oznaczyć pomieszczenia i teren monitorowany w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem.

Zgodnie z art. 4 pkt 14 RODO, dane biometryczne to dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczna identyfikacje tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne. Ich przetwarzanie podlega ogólnym zasadom RODO, ale w stosunkach pracy zostaną wprowadzone dodatkowe wymogi. Polski ustawodawca zakłada bowiem, że przetwarzanie takich danych pracownika będzie dopuszczalne wyłącznie za jego zgodą, a także wtedy, gdy podanie takich danych będzie niezbędne z uwagi na kontrole dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony (art. 4 pkt 2 projektowanej ustawy zmieniającej - numeracja przepisów zmieni się ze względu na przeniesienie rozwiązań o monitoringu do ustawy krajowej).

Aktualnie nie ma ostatecznego kształtu unormowań związanych z danymi biometrycznymi, dlatego też pracodawcy na razie powinni powstrzymać się ze zmianami w regulacjach zakładowych przewidujących lub mających przewidywać zastosowanie takich danych.

W myśl art. 240 § 2 K.p., w układzie zbiorowym pracy mogą być zamieszczone kwestie, które nie są uregulowane w przepisach prawa pracy w sposób bezwzględnie obowiązujący, np. działalność socjalna pracodawcy w rozumieniu ustawy o zakładowym funduszu świadczeń socjalnych, dalej ustawy. Jeśli tak jest, wówczas konieczne jest dostosowanie tych postanowień do RODO i przepisów krajowych. Pracodawca musi w nich umieścić:

• swoje dane jako podmiotu uprawnionego do zbierania danych osobowych osób uprawnionych do korzystania z funduszu, jeśli ich tam nie umieścił,
   
• cel przetwarzania danych tych osób, czyli realizację przysługujących im uprawnień z funduszu,
   
• podstawę prawną przetwarzania danych, tj. art. 8 ustawy w związku z art. 6 ust. 1 lit. c RODO,
   
• czas przechowywania danych zredukowany do minimum adekwatnego do realizacji celu.

Powyższe dotyczy też regulaminów zakładowego funduszu świadczeń socjalnych, o czym piszemy na str. 8-10 niniejszego numeru UiPP.

Zmiany w przepisach wewnętrznych wynikające z ochrony danych osobowych mają być wprowadzane w trybach przyjętych dla poszczególnych dokumentów. Wymaga to zatem w przypadku układu zbiorowego pracy, regulaminu pracy i regulaminu wynagradzania:

• uzgodnień z organizacjami związkowymi (art. 77² § 4, art. 104² § 1 oraz art. 241⁹ § 1 K.p.),
   
• podania do wiadomości pracowników w sposób przyjęty u danego pracodawcy (art. 77² § 6, art. 104³ § 1, art. 241¹² § 2 pkt 1 K.p.).

Aktualizacja przepisów wewnątrzzakładowych wchodzi w życie po upływie 2 tygodni od dnia podania do wiadomości pracowników, a w przypadku protokołu dodatkowego do układu zbiorowego - w terminie w nim ustalonym, ale nie wcześniej niż z dniem zarejestrowania protokołu.

Nowe regulacje wewnątrzzakładowe