Jak RODO wpłynie na pracę działu Human Resources (HR)?

Od 25.05.2018 r. zacznie mieć zastosowanie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO). Będzie to skutkować istotnymi zmianami m.in. w zakresie przetwarzania danych osobowych pracowników i kandydatów do pracy, co wpłynie znacząco na pracę działów HR. Istotne są nie tylko przepisy samego RODO, ale także planowane zmiany w kodeksie pracy.
Przetwarzanie danych osobowych przez pracodawcę
Zgodnie z projektowanym art. 221 § 1 kodeksu pracy pracodawca może żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:
1) imię (imiona) i nazwisko;
2) datę urodzenia;
3) adres do korespondencji;
4) adres poczty elektronicznej albo numer telefonu;
5) wykształcenie;
6) przebieg dotychczasowego zatrudnienia.
Pracodawca może przetwarzać inne dane osobowe kandydata do pracy, gdy dotyczą one stosunku pracy i osoba ubiegająca się o zatrudnienie wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej. Brak zgody nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia. W zakresie danych wymienionych w znowelizowanym art. 221 § 1 kodeksu pracy nie będzie potrzebna klauzula zgody na przetwarzanie danych osobowych tak często wymagana obecnie w procesach rekrutacyjnych. Jeżeli jednak dane kandydata do pracy mają zostać wykorzystane w rekrutacji na inne stanowisko pracy, to należy uzyskać zgodę na przetwarzanie jego danych osobowych na potrzeby innego ogłoszenia. Zgoda taka będzie potrzebna także wtedy, gdy CV ma zostać wykorzystane także na potrzeby przyszłych rekrutacji.
Obowiązki pracodawcy wobec kandydata
Pracodawca ma obowiązek spełnić wobec kandydata do pracy obowiązek informacyjny zgodnie z wymogami RODO. Pracodawca ma obwiązek poinformować kandydata m.in. o swoich danych kontaktowych oraz danych inspektora ochrony danych osobowych (jeżeli został powołany), celu i podstawie prawnej przetwarzania, o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją, a także o okresie przechowywania danych i prawach osoby, której dane dotyczą, w szczególności prawie dostępu do danych osobowych dotyczących swojej osoby, żądania ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawie do sprzeciwu czy wniesienia skargi do organu nadzorczego (szczegółowy zakres obowiązku informacyjnego reguluje art. 13 ust. 1 i 2 RODO). Konieczność zrealizowania obowiązku informacyjnego zgodnie z RODO wyklucza możliwość przeprowadzenia tzw. rekrutacji ukrytych. Każda osoba, która aplikuje w procesie rekrutacyjnym musi wiedzieć, komu powierza swoje dane osobowe.
Jeżeli pracodawcy korzystają z usług portali rekrutacyjnych, to nie można również zapominać o konieczności zawarcia umowy o powierzeniu przetwarzania danych osobowych. Z portalami rekrutacyjnymi należy zawrzeć umowę powierzenia przetwarzania danych osobowych zgodną z RODO (przepisy szczegółowo wymieniają katalog elementów, jakie umowa taka powinna zawierać). Ponadto, zgodnie z art. 28 ust. 1 RODO administrator danych osobowych może korzystać wyłącznie z usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje, by przetwarzanie
chroniło prawa kandydatów. Przed powierzeniem danych Administrator Danych Osobowych musi więc ocenić, czy poziom stosowanych zabezpieczeń jest odpowiedni.
Od osoby już zatrudnionej, pracodawca będzie mógł się domagać podania:
1) adresu zamieszkania;
2) numeru PESEL, a w przypadku jego braku – rodzaju i numeru dokumentu potwierdzającego tożsamość;
3) innych danych osobowych pracownika, a także danych osobowych dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych będzie konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.
Wymóg uzyskania zgody na przetwarzanie danych
Do pracowników również ma zastosowanie wymóg uzyskania zgody (w postaci papierowej lub elektronicznej) na przetwarzanie innych danych, o ile dotyczą one stosunku pracy (przetwarzanie danych osobowych związanych ze sferą intymną człowieka takich jak dane o nałogach, stanie zdrowia oraz o życiu seksualnym lub orientacji seksualnej, nie będzie możliwe nawet za zgodą pracownika). Brak zgody nie może wywoływać negatywnych konsekwencji dla pracownika, np. być podstawą wypowiedzenia stosunku pracy lub jego rozwiązania bez wypowiedzenia przez pracodawcę. Projekt zakłada również, że pracodawca może przetwarzać adres do korespondencji, poczty elektronicznej i numer telefonu już po nawiązaniu stosunku pracy, tylko wówczas, gdy pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej. Pracodawca musi wobec pracownika spełnić obowiązek informacyjny z art. 13 ust. 1 i 2 RODO, a zatem stosowna klauzula informacyjna musi zostać przekazana pracownikowi wraz z umową o pracę.
Prawo do bycia zapomnianym
Projektowane zmiany dotyczą również kwestii bardziej szczegółowych, jak dopuszczalność stosowania monitoringu w pracy czy pozyskiwania danych biometrycznych. Interesująca jest kwestia stosowania wobec pracowników tzw. „prawa do bycia zapomnianym” szczegółowo uregulowanego w RODO. Prawo to ma bowiem ograniczone zastosowanie do pracowników, których dane zawarte w aktach osobowych muszą być przechowywane przez okres 50 lat od zakończenia stosunku pracy. Przez ten okres pracownik nie może zatem skutecznie powołać się na „prawo do bycia zapomnianym” w zakresie danych zawartych w jego aktach osobowych.

Anna Żmijewska
Ekspert RODO, prowadząca szkolenia w ApexNet.pl

Informacje na temat szkoleń z RODO znajdziesz TUTAJ