Wejście w życie przepisów tzw. ustawy wdrażającej RODO (ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679[1]) oznacza kolejne modyfikacje w obszarze ochrony danych osobowych. Przygotowany przez Ministerstwo Cyfryzacji dokument ma na celu dostosowanie przepisów sektorowych do standardów wyznaczonych przez RODO, efektem czego jest zmiana aż 168 ustaw. Większość przepisów weszła w życie z dniem 4 maja 2019r. Z punktu widzenia miko- i małych przedsiębiorców, warto zwrócić szczególną uwagę na nowelizację trzech aktów prawnych: Kodeksu pracy, ustawy o prawach konsumenta oraz ustawy o świadczeniu usług drogą elektroniczną. Poniżej – w dużym skrócie – przedstawiamy zestawienie wprowadzonych zmian.
-
Kodeks pracy, czyli jakich danych może żądać pracodawca?
Przedsiębiorcy powinni zwrócić szczególną uwagę na zmiany w zakresie kodeksu pracy, w tym na zakres danych, których żądają od osoby ubiegającej się o pracę i od pracownika. Nowelizacja Kodeksu pracy [„KP”] była bez wątpienia jedną z najszerzej komentowanych zmian. Znowelizowano podstawowy katalog danych, jakich pracodawca może żądać od osoby ubiegającej się o zatrudnienie oraz od pracownika. O ile dotychczas pracodawca miał prawo – a nie obowiązek – żądania od pracownika / kandydata określonych informacji („Pracodawca ma prawo żądać…”), z którego to prawa mógł skorzystać lub nie, o tyle aktualne przepisy nakładają na niego obowiązek żądania informacji wskazanych w art. 221(„Pracodawca żąda…”).
Czego możemy żądać od kandydata?
Aktualnie, od osoby ubiegającej się o zatrudnienie, pracodawca żąda podania następujących danych:
- imienia i nazwiska;
- daty urodzenia;
- danych kontaktowych wskazanych przez taką osobę (czyli: to kandydat decyduje o tym, jakie dane kontaktowe poda: e-mail, telefon, adres, itp.)
- informacji o wykształceniu, kwalifikacjach zawodowych i przebiegu dotychczasowego zatrudnienia, jednak wyłącznie, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.
Podsumowując: danych z pkt 1-3 należy żądać zawsze, natomiast tych z pkt 4 tylko w sytuacji, gdy uzasadnia to charakter pracy. Co zmieniło się w stosunku do poprzednich przepisów? Pracodawca nie ma prawa, by żądać podania imion rodziców (punkt ten został wykreślony); natomiast „miejsce zamieszkania (adres korespondencyjny)” zastąpiono „danymi kontaktowymi wskazanymi przez taką osobę” (tj. kandydata). Widać więc, że ustawodawca pozostawił większą swobodę po stronie osoby ubiegającej się o pracę.
A czego od pracownika?
Dodatkowo (a więc ponad dane, których można żądać od kandydata), od pracownika, pracodawca żąda podania:
- adresu zamieszkania;
- numeru PESEL, a w przypadku jego braku – rodzaju i numeru dokumentu potwierdzającego tożsamość;
- innych danych pracownika / członków jego rodziny, związanych z korzystaniem z uprawnień wynikających z prawa pracy (przykładowo: świadczenia z ZFŚS);
- wykształcenia i przebiegu dotychczasowego zatrudnienia – o ile nie istniała podstawa, by ubiegać się o nie wcześniej;
- numeru rachunku bankowego.
Co zmieniło się w stosunku do poprzednich przepisów?
Wcześniej pracodawca mógł żądać podania jedynie nr PESEL, obecnie może to być również inny dokument potwierdzający tożsamość (przykładowo: paszport). W zakresie danych związanych ze świadczeniami socjalnymi, pracodawca był uprawniony do żądania „imion i nazwisk oraz dat urodzenia dzieci pracownika”; aktualne KP wskazuje na „dane dzieci pracownika” – a więc w tym przypadku większą swobodę uzyskali pracodawcy, ponieważ przepis nie wymienia konkretnych danych.
Z innych zmian wprowadzonych do KP warto wspomnieć o uregulowaniu kwestii przetwarzania danych wrażliwych. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę takich danych jedynie w sytuacji, gdy ich przekazanie następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Nowością jest również zakaz monitorowania pomieszczeń zakładowej organizacji związkowej; natomiast w odniesieniu do pomieszczeń sanitarnych wprowadzono wymóg uzyskania przez pracodawcę uprzedniej zgody zakładowej organizacji związkowej / przedstawicieli pracowników.
-
Prawa konsumenta
Spore zamieszanie wprowadziły zmiany w ustawie o prawach konsumenta. Celem nowego przepisu miało być ułatwienie mikroprzedsiębiorcom realizacji obowiązku informacyjnego, tj. art. 13 RODO. Mikroprzedsiębiorcy – a więc osoby, które zatrudniają do 10 pracowników i mają obrót nie przekraczający 2 mln euro netto rocznie – będą mogli zrealizować wspomniany obowiązek informacyjny „przez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub udostepnienie na swojej stronie internetowej stosownych informacji”. Powyższe oznacza, iż nie trzeba będzie bezpośrednio informować każdej osoby, której dane są przetwarzane. Ustawa wprowadza jednak dwa wyjątki. Nowy przepis nie będzie miał zastosowania, jeśli osoba, której dane dotyczą nie ma możliwości zapoznania się z ww. informacjami lub gdy administrator (mikroprzedsiębiorca) przetwarza dane wrażliwe. W praktyce więc wyłączeniu będzie podlegał np. pracodawca, który ma dostęp do informacji w zakresie zdrowia swoich pracowników lub firmy ubezpieczeniowe / świadczące opiekę zdrowotną, przetwarzające dane swoich klientów.
Jakkolwiek zmiana wydaje się na pierwszy rzut oka korzystna dla przedsiębiorców, wzbudziła jednak pewne wątpliwości. Po pierwsze, sformułowanie „osoba, której dane dotyczą, nie ma możliwości zapoznania się z informacjami” jest dosyć niejasne i ogólne, stąd też może być szeroko interpretowane. Jak w praktyce ocenić, że osoba, której dane przetwarzamy faktycznie nie miała możliwości, by zapoznać się z wywieszonymi przez nas informacjami? Z uwagi na znaczną odległość nie mogła udać się osobiście do lokalu przedsiębiorcy? A może nie miała dostępu do Internetu, by sprawdzić informacje opublikowane na stronie? Po drugie, pojawia się pytanie, czy ustawa szczególna, jaką jest ustawa o ochronie konsumentów może wprowadzać wyłączenia spod obowiązywania przepisów RODO? Z przepisów Rozporządzenia nie wynika przecież, by mikroprzedsiębiorcy mogli w inny sposób, bardziej preferencyjny niż pozostali administratorzy danych, realizować obowiązek informacyjny.
Z punktu widzenia mikroprzedsiębiorcy należy dokładnie rozważyć, czy korzystanie z „ułatwienia”, wprowadzonego na gruncie ustawy o prawach konsumenta nie okaże się iluzoryczne: w praktyce dużo trudniejsze może być wykazanie, iż dana osoba faktycznie miała możliwość zapoznania się z informacjami niż poinformowanie jej bezpośrednio. Szczególnie, iż z dotychczasowej praktyki PUODO – w tym decyzji nakładającej karę administracyjną – wynika, iż realizacja obowiązku informacyjnego przez administratorów, oceniana jest dosyć rygorystycznie.
-
Świadczenie usług drogą elektroniczną
Przedsiębiorców, których działalność podlega ustawie o świadczeniu usług drogą elektroniczną, również czekają zmiany. Zgodnie z nowym art. 18 ust. 4, usługodawca będzie mógł przetwarzać dane usługobiorcy (inne, niż niezbędne do świadczenia usług drogą elektroniczną) dla celów reklamy, badania rynku oraz zachowań i preferencji użytkowników na podstawie zgody usługobiorcy. Co to oznacza w praktyce? Jeśli właściciel portalu czy sklepu internetowego chciałby wyświetlić odbiorcy dedykowaną reklamę (tj. wygenerowaną na podstawie jego zachowań w sieci, odwiedzanych stron internetowych), powinien uzyskać jego zgodę.
Większość znowelizowanych przepisów weszła w życie z dniem 4 maja 2019r.
[1]Pełna nazwa aktu: ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)