Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

radca prawny Patrycja Kozik audytor wewnętrzny systemu zarządzania

Podobne prezentacje


Prezentacja na temat: "radca prawny Patrycja Kozik audytor wewnętrzny systemu zarządzania"— Zapis prezentacji:

1 radca prawny Patrycja Kozik audytor wewnętrzny systemu zarządzania
Ochrona danych pracowników i kandydatów do pracy radca prawny Patrycja Kozik audytor wewnętrzny systemu zarządzania bezpieczeństwem informacji wg normy ISO 27001:2013

2 Plan prezentacji Ochrona danych pracowników i kandydatów do pracy – wprowadzenie Podstawy przetwarzania danych kandydatów Podstawy przetwarzania danych pracowników Monitoring pracowników Zakładowy Fundusz świadczeń socjalnych Wymogi RODO istotne z punktu widzenia danych pracowników i kandydatów – decyzja PUODO i prawo dostępu do danych

3 WPROWADZENIE

4 Nowa ustawa o ochronie danych osobowych a prawo pracy
Motyw 155: W prawie państwa członkowskiego lub w porozumieniach zbiorowych, w tym zakładowych porozumieniach z przedstawicielami pracowników, mogą być przewidziane przepisy szczegółowe o przetwarzaniu danych osobowych pracowników w związku z zatrudnieniem, w szczególności warunki, na których dane osobowe w związku z zatrudnieniem można przetwarzać za zgodą pracownika do celów procedury rekrutacyjnej, wykonywania umowy o pracę, w tym wykonywania obowiązków określonych w przepisach lub w porozumieniach zbiorowych, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy.

5 RODO – Nowa ustawa a podstawy prawne przetwarzania
Artykuł 88 Przetwarzanie w kontekście zatrudnienia Państwa członkowskie mogą zawrzeć w swoich przepisach lub w porozumieniach zbiorowych bardziej szczegółowe przepisy mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem, w szczególności: do celów rekrutacji, wykonania umowy o pracę, w tym wykonania obowiązków określonych przepisami lub porozumieniami zbiorowymi, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy, ochrony własności pracodawcy lub klienta, do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, do celów zakończenia stosunku pracy.

6 Podstawy przetwarzania danych w warunkach zatrudnienia – stan obecny
RODO Ustawa o ochronie danych osobowych ( r.) KODEKS PRACY (zmieniony ustawą wdrażającą RODO) Inne przepisy regulujące kwestie dotyczące zatrudnienia

7 RODO – Nowa ustawa a podstawy prawne przetwarzania
Obowiązujące: RODO – zasady ogólne przetwarzania danych Ustawa z 10 maja o ochronie danych osobowych – monitoring pracowników Kodeks pracy zmieniony ustawą o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO – nowe przepisy dot. przetwarzania danych pracowników i kandydatów

8 Kto odpowiada za stosowanie przepisów?
„administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania; administrator danych – podmiot decydujący o celach i środkach przetwarzania danych osobowych (także z sektora publicznego) Pracodawca = Administrator danych

9 PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY

10 Projektowane przepisy KP
Poprzednio obowiązujący Kodeks Pracy Projekt zmian z dnia 28 marca 2018 r. Aktualnie obowiązujący kodeks pracy – ustawa wdrażająca Art. 22 (1) § 1. Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko; 2) imiona rodziców; 3) datę urodzenia; 4) miejsce zamieszkania (adres do korespondencji); 5) wykształcenie; 6) przebieg dotychczasowego zatrudnienia. .Art. 22 (1). §1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 2) datę urodzenia; 3) dane kontaktowe wskazane przez taką osobę; 4) wykształcenie; 5) przebieg dotychczasowego zatrudnienia. (brak obowiązku podania imion rodziców) zamiana miejsca zamieszkania na dane kontaktowe „Art § 1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 5) kwalifikacje zawodowe; 6) przebieg dotychczasowego zatrudnienia + kwalifikacje zawodowe

11 RODO – PODSTAWY PRAWNE PRZETWARZANIA
przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

12 PODSTAWY PRAWNE PRZETWARZANIA - REKRUTACJE
Zamknięty katalog danych zbieranych na podstawie przepisów k.p. + przepisy szczególne 1) imię (imiona) i nazwisko; 2) datę urodzenia; 3) dane kontaktowe wskazane przez taką osobę; 4) wykształcenie; 5) kwalifikacje zawodowe; 6) przebieg dotychczasowego zatrudnienia. Z katalogu danych kandydata wyłączono: imiona rodziców adres zamieszkania

13 PODSTAWY PRAWNE PRZETWARZANIA - REKRUTACJE
Zamknięty katalog danych zbieranych na podstawie przepisów k.p. § 2. Pracodawca żąda podania danych osobowych, o których mowa w § 1 pkt 4 - 6, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. A więc: 4) wykształcenie; 5) kwalifikacje zawodowe; 6) przebieg dotychczasowego zatrudnienia. Należy to uprzednio ocenić!

14 PODSTAWY PRAWNE PRZETWARZANIA - REKRUTACJE
Zamknięty katalog danych zbieranych na podstawie przepisów k.p. + przepisy szczególne: § 4. Pracodawca żąda podania innych danych osobowych niż określone w § 1 i 3, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. § 5. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca może żądać udokumentowania danych osobowych osób, o których mowa w § 1 i 3, w zakresie niezbędnym do ich potwierdzenia.”;

15 PODSTAWY PRAWNE PRZETWARZANIA - REKRUTACJE
Mechanizm jest taki Najpierw patrzymy do Kodeksu Pracy Potem szukamy w przepisach szczególnych np. prawo bankowe Co jeśli chcemy więcej danych?

16 PODSTAWY PRAWNE PRZETWARZANIA - REKRUTACJE
Projekt zmiany z dnia 28 marca 2018 i z 7 czerwca 2018 r : Nowy kodeks pracy „Art. 22[2]. §1. Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 221 §1 i 2 jest dopuszczalne za zgodą osoby ubiegającej się o zatrudnienie lub pracownika i tylko wtedy, gdy jest to dla nich korzystne. Projekt z 7 czerwca: „Art. 221a. § 1. Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 221 § 1 i 3 jest dopuszczalne za zgodą osoby ubiegającej się o zatrudnienie lub pracownika. „Art. 221a. § 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione w art. 22[1] § 1 i 3, z wyjątkiem danych osobowych o których mowa w art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z , str. 1), zwanego dalej „rozporządzeniem 2016/679”.

17 Warunki wyrażenia zgody
Projekt zmiany z dnia 28 marca i 7 czerwca 2018 Nowy kodeks pracy §2. Brak zgody, o której mowa w §1 lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę § 2. Brak zgody, o której mowa w § 1 lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.

18 ZGODA C.D. Przetwarzanie danych za zgodą - dotyczy danych osobowych udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika na wniosek pracodawcy lub danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika Kiedy można przetwarzać dane dodatkowe? Zgoda Przepis szczególny A co z danymi wrażliwymi?

19 Dane wrażliwe Nowy kodeks pracy
Projekt zmiany z dnia 28 marca 2018 r. i 7 czerwca 2018 r. Nowy kodeks pracy Art. 22[3]. §1. Przetwarzanie danych osobowych, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z , str. 1), zwanego dalej „rozporządzeniem 2016/679”, jest dopuszczalne tylko wtedy, gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa. Art. 221b. § 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679 wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Art. 221a § 2 stosuje się odpowiednio Dane wrażliwe w oparciu o zgodę!

20 Dane wrażliwe a upoważnienie i zachowanie tajemnicy
§ 3. Do przetwarzania danych osobowych, o których mowa w § 1, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy.”;

21 Pytania Czy można wymagać zaświadczenia o niekaralności? Co jeśli kandydat poda więcej danych w CV? Czy praktyka umieszczania zgód w CV jest prawidłowa? Co z przyszłymi rekrutacjami? Czy można prowadzić rekrutacje ukryte? Czy można zweryfikować kandydata u byłego pracodawcy? Czy można sprawdzić na uczelni czy faktycznie ukończył szkołę którą podaje w CV? Jak długo można przechowywać CV kandydata?

22 PODSTAWY PRZETWARZANIA DANYCH PRACOWNIKÓW

23 Poprzednio obowiązujący Kodeks Pracy
Projekt zmian z dnia 28 marca 2018 r. Aktualny KODEKS PRACY .Pracodawca ma prawo żądać od pracownika podania, niezależnie od danych osobowych, o których mowa w § 1, także: 1) innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy; 2) numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL). §2. Pracodawca żąda od pracownika podania dodatkowo danych osobowych obejmujących: 1) adres zamieszkania; 2) numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość; 3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy. § 3. Pracodawca żąda od pracownika podania dodatkowo danych osobowych obejmujących: 3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy; 4) wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie. 5) numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych

24 PODSTAWY PRAWNE PRZETWARZANIA - ZATRUDNIENIE
Zamknięty katalog danych zbieranych na podstawie przepisów k.p. + przepisy szczególne: § 4. Pracodawca żąda podania innych danych osobowych niż określone w § 1 i 3, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. § 5. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca może żądać udokumentowania danych osobowych osób, o których mowa w § 1 i 3, w zakresie niezbędnym do ich potwierdzenia.”;

25 PODSTAWY PRAWNE PRZETWARZANIA - ZATRUDNIENIE
Mechanizm jest taki Najpierw patrzymy do Kodeksu Pracy Potem szukamy w przepisach szczególnych np. prawo bankowe Co jeśli chcemy więcej danych?

26 PODSTAWY PRAWNE PRZETWARZANIA - ZATRUDNIENIE
Projekt zmiany z dnia 28 marca 2018 i z 7 czerwca 2018 r : Projekt zmiany z dnia 21 sierpnia i 23 listopada 2018 r. „Art. 22[2]. §1. Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 221 §1 i 2 jest dopuszczalne za zgodą osoby ubiegającej się o zatrudnienie lub pracownika i tylko wtedy, gdy jest to dla nich korzystne. Projekt z 7 czerwca: „Art. 221a. § 1. Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 221 § 1 i 3 jest dopuszczalne za zgodą osoby ubiegającej się o zatrudnienie lub pracownika. „Art. 221a. § 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione w art. 22[1] § 1 i 3, z wyjątkiem danych osobowych o których mowa w art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z , str. 1), zwanego dalej „rozporządzeniem 2016/679”.

27 Warunki wyrażenia zgody
Projekt zmiany z dnia 28 marca i 7 czerwca 2018 Projekt zmiany z dnia 21 sierpnia i 23 listopada 2018 r. §2. Brak zgody, o której mowa w §1 lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę § 2. Brak zgody, o której mowa w § 1 lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.

28 ZGODA C.D. Przetwarzanie danych za zgodą - dotyczy danych osobowych udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika na wniosek pracodawcy lub danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika Kiedy można przetwarzać dane dodatkowe? Zgoda Przepis szczególny A co z danymi wrażliwymi?

29 Dane wrażliwe Projekt zmiany z dnia 21 sierpnia i 23 listopada 2018 r.
Projekt zmiany z dnia 28 marca 2018 r. i 7 czerwca 2018 r. Projekt zmiany z dnia 21 sierpnia i 23 listopada 2018 r. Art. 22[3]. §1. Przetwarzanie danych osobowych, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z , str. 1), zwanego dalej „rozporządzeniem 2016/679”, jest dopuszczalne tylko wtedy, gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa. Art. 221b. § 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679 wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Art. 221a § 2 stosuje się odpowiednio Dane wrażliwe w oparciu o zgodę!

30 Dane wrażliwe a upoważnienie i zachowanie tajemnicy
§ 3. Do przetwarzania danych osobowych, o których mowa w § 1, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy.”;

31 PODSTAWY PRAWNE PRZETWARZANIA - ZATRUDNIENIE
A co z danymi biometrycznymi?

32 PODSTAWY PRAWNE PRZETWARZANIA - ZATRUDNIENIE
Projekt z 23 listopada: § 2. Przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony. Dane biometryczne pracownika! czyli nie-kandydata

33 ZATRUDNIENIE - PYTANIA
Czy pracodawca może wykorzystać zdjęcie pracownika do umieszczenia go na swojej stronie internetowej? Czy może opublikować imię i nazwisko pracownika oraz służbowy adres na swojej stronie internetowej? Czy może wykorzystać zdjęcie poprzez umieszczenie na identyfikatorze? A w intranecie? Czy można kserować dowód osobisty pracownika? Czy można odnotowywać powód nieobecności pracownika na listach?

34 Pracownicy – zakres danych
Czy pracodawca może potwierdzić telefonicznie zarobki pracownika pracownikowi Banku w którym pracownik ubiega się o kredyt? Czy może odmówić udzielenia informacji?

35 Pracownicy – zakres danych
pismo Narodowego Banku Polskiego do Generalnego Inspektora Nadzoru Bankowego z dnia 6 kwietnia 2001 r. (NB/BPN/I/214/01) skierowane do osób kierujących bankami, które zawiera stwierdzenie, iż „przepisy ustawy - Prawo bankowe i ustawy o ochronie danych osobowych nie przewidują telefonicznej formy pozyskiwania żądanych informacji. Banki nie mogą więc uzależniać przyznania kredytu od udzielenia informacji w tej formie”.

36 Pracownicy – zakres danych
Pomocnicze wzory dokumentów związanych z ubieganiem się o zatrudnienie, nawiązaniem, zmianą oraz ustaniem stosunku pracy dokumentow-zwiazanych-z-ubieganiem-sie-o-zatrudnienie- nawiazaniem-zmiana-oraz-ustaniem-stosunku-pracy

37 MONITORING

38 MONITORING Przepisy po raz pierwszy do polskiego porządku prawnego regulację dotyczącą monitoringu w ramach stosunku pracy . Rodo nie reguluje kwestii dotyczących dopuszczalności stosowania monitoringu. Niemniej jednak odwołuje się do „monitorowania” dotyczącego osób w następujących kontekstach: - monitorowania zachowania osób, których dane dotyczą, przebywających w UE przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w UE, dokonywanego na terenie UE (terytorialny zakres stosowania – art. 3 ust. 2 lit. b rodo oraz związany z nim obowiązek wyznaczenia przedstawiciela w Unii wskazany w art. 27 rodo), -systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie (w kontekście dokonywania oceny skutków dla ochrony danych – art. 35 ust. 2 c rodo), - regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (w kontekście obowiązku powołania inspektora ochrony danych).

39 MONITORING Art. 22[2] § 1 KP: Jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring). Definicja monitoringu Obszar stosowania Cele stosowania Czy wyczerpująco? Co jest podstawą?

40 MONITORING Uregulowanie stosowania monitoringu w sposób wskazany w komentowanym przepisie (wyliczenie celów dla których monitoring może być stosowany), nie oznacza, że podstawą dla stosowania monitoringu w warunkach wskazanych w przepisie będzie art. 6 ust. 1 lit. c rodo (przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze). Wskazany przepis nie nakłada bowiem obowiązku stosowania monitoringu, a jedynie wskazuje jakie są cele i zasady korzystania z monitoringu. W konsekwencji, przyjąć należy, że najwłaściwszą podstawą będzie art. 6 ust. 1 lit. f) rodo – niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów administratora danych.

41 MONITORING – CZEGO NIE OBEJMUJE?
Monitoring nie obejmuje pomieszczeń udostępnianych zakładowej organizacji związkowej. „§ 2. Monitoring nie obejmuje pomieszczeń sanitarnych, szatni, stołówek oraz palarni, chyba że stosowanie monitoringu w tych pomieszczeniach jest niezbędne do realizacji celu określonego w § 1 i nie naruszy to godności oraz innych dóbr osobistych pracownika, w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób. Monitoring pomieszczeń sanitarnych wymaga uzyskania uprzedniej zgody zakładowej organizacji związkowej, a jeżeli u pracodawcy nie działa zakładowa organizacja związkowa – uprzedniej zgody przedstawicieli pracowników wybranych w trybie przyjętym u danego pracodawcy.”

42 MONITORING – JAK DŁUGO MOŻNA PRZECHOWYWAĆ?
§ 3. Nagrania obrazu pracodawca przetwarza wyłącznie do celów, dla których zostały zebrane i przechowuje przez okres nieprzekraczający 3 miesięcy od dnia nagrania. § 4. W przypadku, w którym nagrania obrazu stanowią dowód w postępowaniu prowadzonym na podstawie prawa lub pracodawca powziął wiadomość, iż mogą one stanowić dowód w postępowaniu, termin określony w § 3 ulega przedłużeniu do czasu prawomocnego zakończenia postępowania. § 5. Po upływie okresów, o których mowa w § 3 lub 4, uzyskane w wyniku monitoringu nagrania obrazu zawierające dane osobowe, podlegają zniszczeniu, o ile przepisy odrębne nie stanowią inaczej.

43 MONITORING – JAK POINFORMOWAĆ?
§ 6. Cele, zakres oraz sposób zastosowania monitoringu ustala się w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. § 7. Pracodawca informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy, nie później niż 2 tygodnie przed jego uruchomieniem. § 8. Pracodawca przed dopuszczeniem pracownika do pracy przekazuje mu na piśmie informacje, o których mowa w § 6. § 9. W przypadku wprowadzenia monitoringu pracodawca oznacza pomieszczenia i teren monitorowany w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem.

44 MONITORING – JAK POINFORMOWAĆ?
§ 10. Przepis § 9 nie narusza przepisów art. 12 i art. 13 rozporządzenia 2016/679

45 MONITORING – JAK POINFORMOWAĆ?
§ 10. Przepis § 9 nie narusza przepisów art. 12 i art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z , str. 1).

46 MONITORING – JAK POINFORMOWAĆ?
Powyższe oznacza, że niezależnie od: - podania informacji o monitoringu w regulaminie pracy lub obwieszczeniu poinformowania o stosowaniu monitoringu w sposób zwyczajowo przyjęty u danego pracodawcy, przekazania informacji pracownikowi na piśmie informacji przed dopuszczeniem do pracy, oznaczenia pomieszczenia i terenu monitorowanego należy spełnić obowiązek informacyjny na zasadach wynikających z RODO

47 MONITORING – JAK POINFORMOWAĆ?
Jak wskazał Prezes Urzędu w wytycznych dotyczących stosowania monitoringu: istotne znaczenie ma realizacja wobec osoby obserwowanej obowiązku informacyjnego ujętego w art. 13 RODO. Musi on być, zgodnie z art. 12 rozporządzenia, realizowany w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Pełna informacja o monitoringu (niezależna od dodatkowych wymogów wskazanych w kodeksie pracy), obejmująca wszystkie wymogi art. 13 RODO, powinna być dostępna w miejscu monitorowanym, np. na tablicach albo w formie dokumentu dostępnego na recepcji czy też u przedstawiciela administratora. Czyli możliwa jest realizacja obowiązku informacyjnego poprzez podanie informacji podstawowych i uzupełnienie ich w kolejnych warstwach informacyjnych

48 MONITORING – JAKIE INNE FORMY PRZEWIDUJE KP?
Art. 22[3]. § 1. Jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej). § 2. Monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. § 3. Przepisy art. 22[2] § 6–10 stosuje się odpowiednio. § 4. Przepisy § 1–3 stosuje się odpowiednio do innych form monitoringu niż określone w § 1, jeśli ich zastosowanie jest konieczne do realizacji celów, określonych w § 1.”.

49 MONITORING – JAKIE INNE FORMY PRZEWIDUJE KP?
wyłącznie poczta służbowa wyłącznie do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy przepisy dotyczące monitoringu wizyjnego stosuje się odpowiednio analogicznie inne formy np. czas pracy, GPS

50 MONITORING – JAKIE INNE FORMY PRZEWIDUJE KP?
ROZPORZĄDZENIE MINISTRA RODZINY, PRACY I POLITYKI SPOŁECZNEJ z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej w części B - oświadczenia lub dokumenty dotyczące nawiązania stosunku pracy oraz przebiegu zatrudnienia pracownika, w tym: (….) o celu, zakresie oraz sposobie zastosowania monitoringu (art. 22[2] § 8 Kodeksu pracy),

51 MONITORING – JAKIE INNE FORMY PRZEWIDUJE KP?
Czy pracodawca może przeprowadzać losowe badania alkomatem? Czy badanie alkomatem to monitoring?

52 MONITORING – JAKIE INNE FORMY PRZEWIDUJE KP?
należy odróżnić kwestię podstawy do przeprowadzenia badania trzeźwości pracownika od kwestii posiadania podstawy prawnej do przetwarzania jego danych w tym zakresie. Pierwsza z nich jest uregulowana w ustawie o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi, która w art. 17 ust. 1 stanowi, że kierownik zakładu pracy lub osoba przez niego upoważniona mają obowiązek niedopuszczenia do pracy pracownika, jeżeli zachodzi uzasadnione podejrzenie, że stawił się on do pracy w stanie po użyciu alkoholu albo spożywał alkohol w czasie pracy. W związku z tym, podjęcie działań wobec pracownika o których mowa we wskazanym przepisie i ewentualna kontrola stanu trzeźwości na zasadach opisanych w art. 17 ust. 3 ustawy, może mieć miejsce jedynie w sytuacji uzasadnionego podejrzenia stawienia się przez pracownika do pracy w stanie po użyciu alkoholu albo spożycia alkoholu w czasie pracy – wyklucza to zatem możliwość dokonywania losowych kontroli trzeźwości i poddawania kontroli osoby, co do których takie podejrzenie nie zachodzi

53 MONITORING – JAKIE INNE FORMY PRZEWIDUJE KP?
Co więcej, na gruncie powołanych przepisów, wobec brzmienia art. 17 ust. 3, zgodnie z którym na żądanie kierownika zakładu pracy, osoby przez niego upoważnionej, a także na żądanie pracownika, badanie stanu trzeźwości pracownika przeprowadza uprawniony organ powołany do ochrony porządku publicznego, zachodzi wątpliwość czy kontroli trzeźwości może dokonać sam pracodawca (z wykorzystaniem swojego alkomatu). Choć jest to temat, który wywołuje kontrowersje, w doktrynie dopuszcza się przeprowadzenie takiej kontroli za zgodą pracownika, co oczywiście nie wyklucza możliwości zażądania kontroli przeprowadzonej przez uprawniony organ w warunkach art. 17 ust. 3 powołanej ustawy (np. Policję).

54 MONITORING – JAKIE INNE FORMY PRZEWIDUJE KP?
Co więcej, na gruncie powołanych przepisów, wobec brzmienia art. 17 ust. 3, zgodnie z którym na żądanie kierownika zakładu pracy, osoby przez niego upoważnionej, a także na żądanie pracownika, badanie stanu trzeźwości pracownika przeprowadza uprawniony organ powołany do ochrony porządku publicznego, zachodzi wątpliwość czy kontroli trzeźwości może dokonać sam pracodawca (z wykorzystaniem swojego alkomatu). Choć jest to temat, który wywołuje kontrowersje, w doktrynie dopuszcza się przeprowadzenie takiej kontroli za zgodą pracownika, co oczywiście nie wyklucza możliwości zażądania kontroli przeprowadzonej przez uprawniony organ w warunkach art. 17 ust. 3 powołanej ustawy (np. Policję). Ale jak to się ma do przetwarzania danych?

55 MONITORING – JAKIE INNE FORMY PRZEWIDUJE KP?
Czy dochodzi do przetwarzania danych? Czy to dane wrażliwe? Jaka podstawa?

56 ZFŚS

57 ZFŚS – ZMIANY WPROWADZONE USTAWĄ WDRAŻAJĄCĄ
Art Przyznawanie ulgowych usług i świadczeń oraz wysokość dopłat z Funduszu uzależnia się od sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu. 1a. Udostępnienie pracodawcy danych osobowych osoby uprawnionej do korzystania z Funduszu, w celu przyznania ulgowej usługi i świadczenia oraz dopłaty z Funduszu i ustalenia ich wysokości, następuje w formie oświadczenia. Pracodawca może żądać udokumentowania danych osobowych w zakresie niezbędnym do ich potwierdzenia. Potwierdzenie może odbywać się w szczególności na podstawie oświadczeń i zaświadczeń o sytuacji życiowej (w tym zdrowotnej), rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu CELE ZFŚS!

58 ZFŚS – ZMIANY WPROWADZONE USTAWĄ WDRAŻAJĄCĄ
Do przetwarzania danych osobowych dotyczących zdrowia, o których mowa w art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z , str. 1, z p óźn. zm.3), mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy

59 ZFŚS – ZMIANY WPROWADZONE USTAWĄ WDRAŻAJĄCĄ
1c. Pracodawca przetwarza dane osobowe, o których mowa w ust. 1a, przez okres niezbędny do przyznania ulgowej usługi i świadczenia, dopłaty z Funduszu oraz ustalenia ich wysokości, a także przez okres niezbędny do dochodzenia praw lub roszczeń. 1d. Pracodawca dokonuje przeglądu danych osobowych, o których mowa w ust. 1a, nie rzadziej niż raz w roku kalendarzowym w celu ustalenia niezbędności ich dalszego przechowywania. Pracodawca usuwa dane osobowe, których dalsze przechowywanie jest zbędne do realizacji celu określonego w ust. 1a i 1c.

60 CZY BYŁY JUŻ JAKIEŚ DECYZJE PUODO DOTYCZĄCE PRACOWNIKÓW?

61 Pracownicy w decyzjach PUODO
Decyzja: ZSZZS Sprawa ze skargi Odmowa uwzględnienia wniosku w zakresie przetwarzania danych osobowych Pana P.P. (pracownika) w zakresie adresu mailowego […] przez F. sp. z o.o.; Umorzenie postępowanie w pozostałym zakresie. Skarżący był wspólnikiem i pracownikiem w Spółce F.. Po zbyciu udziałów w kapitale zakładowym oraz rezygnacji z udziału w zarządzie Spółki, podpisał Porozumienie ze Spółką, które obligowało Spółkę do usunięcia między innymi nagrania głosowego z zapowiedzi słownej odtwarzanej przy połączniu z ww. numerem telefonu oraz dezaktywacji ww. skrzynki mailowe Spółka wykorzystywała adres do przesłania autoodpowiedzi informującej, że Skarżący nie jest pracownikiem spółki i należy się kontaktować na inny adres. Zaprzestała korzystania z nagrania głosowego wykorzystującego głos Skarżącego

62 Pracownicy decyzjach PUODO
Decyzja: ZSZZS Skarżącego oraz Spółkę łączyła umowa, zgodnie z którą Skarżący jako wspólnik oraz wiceprezes Spółki był odpowiedzialny za prowadzenie jej spraw i kontakt z kontrahentami. Po zakończeniu współpracy Spółka wykorzystuje adres mailowy Pana P. jedynie w celu poinformowania kontrahentów o zmianach jakie nastąpiły we władzach Spółki, które odbywa się za pomocą automatycznej odpowiedzi kierowanej do kontrahenta zainteresowanego kontaktem ze Skarżącym. Komunikat obejmuje informację o tym, że Skarżący nie jest już zatrudniony w Spółce oraz wskazanie pod jakim adresem mailowym można kontaktować się z aktualnymi przedstawicielami Spółki. W ocenie Prezesa Urzędu tego rodzaju działanie można potraktować jako prawnie usprawiedliwiony interes administratora danych, w rozumieniu art. 6 ust. 1 lit. f RODO.

63 Pracownicy w decyzjach PUODO
Decyzja: ZSZZS Jak wskazuje zarówno art. 6 ust. 1 lit. f oraz motyw 47 RODO, prawnie uzasadnione interesy administratora mogą stanowić podstawę do przetwarzania tylko w sytuacji, w której mają one nadrzędny charakter w stosunku do interesów lub podstawowych praw i wolności osób której dane dotyczą. Oczekiwania co do ochrony i nadrzędności interesów i praw osób których dane dotyczą powinny być rozsądne. Prezes Urzędu podziela stanowisko, że omawiana przesłanka wymaga pogłębionej analizy stanu faktycznego (zob. również: Chomiczewski, Witold. Prawnie uzasadniony interes jako przesłanka legalizująca przetwarzanie danych – pojęcie. System Informacji Prawnej LEX, dostępny pod adresem:

64 Pracownicy w decyzjach PUODO
Po pierwsze, ocenić należy obecność prawnie uzasadnionego interesu administratora, który jak wskazano wyżej utożsamiony jest w przedmiotowej sprawie z przekazaniem informacji o aktualnych władzach spółki oraz możliwościach kontaktu z nimi. Ocenić należy również niezbędność przetwarzania danych osobowych dla realizacji tego celu oraz uwzględnienie w procesie zasady minimalizacji danych w związku z art. 5 ust. 1 lit. c RODO. W przedmiotowej sprawie koniecznym dla ochrony uzasadnionego interesu Spółki jest by poinformować kontrahentów, podejmujących próby nawiązania kontaktu ze Spółką poprzez adres mailowy opatrzony danymi Skarżącego, o aktualnych władzach Spółki i ścieżkach kontaktu. Co więcej, trwający proces przetwarzania odbywa się z poszanowaniem dla wyżej wskazanych zasad, w związku z ograniczonym celem przetwarzania jak i ograniczeniem zakresu przetwarzanych danych Skarżącego do adresu mailowego składającego się z imienia i nazwiska oraz informacji o tym, że nie jest już pracownikiem Spółki.

65 Pracownicy w decyzjach PUODO
Należy wskazać, iż art. 6 ust. 1 lit. f RODO wymaga również, by uzasadniony interes administratora miał nadrzędny charakter w stosunku do interesów oraz podstawowych praw osoby, której dane dotyczą. W przedmiotowej sprawie uznać należy, że interes realizowany przez Spółkę ma taki charakter. Dane Skarżącego są używane przez Spółkę jedynie w sytuacjach, gdy klient podejmie próbę kontaktu i jedynie w celu wskazania aktualnych danych kontaktowych do Spółki. Adres mailowy zawierający imię i nazwisko Skarżącego nie jest aktywnie wykorzystywany przez Spółkę do pozyskiwania nowych klientów bądź wskazywania na powiązanie pomiędzy Skarżącym a Spółką. Przy ocenie nadrzędności interesów jednej ze stron w doktrynie podkreśla się znaczenie między innymi relację pomiędzy podmiotem danych a administratorem (zob. Chomiczewski, Witold. Prawnie uzasadniony interes jako przesłanka legalizująca przetwarzanie danych – pojęcie. System Informacji Prawnej LEX). W przedmiotowej sprawie Skarżący, jako były członek zarządu Spółki zajmował się klientami oraz sprawami Spółki. Konsekwencją prowadzenia tego kontaktu, jest obecne przetwarzanie przez Spółkę adresu mailowego Skarżącego, w związku z koniecznością utrzymania kontaktu z klientami.

66 Uzasadniony interes w decyzjach PUODO
Uwzględnić należy również, że adres ten przetwarzany jest w sposób ograniczony, jedynie w celu informacyjnym. W automatycznej odpowiedzi zawarta jest również informacja, że Skarżący nie jest już pracownikiem Spółki, co jednoznacznie wskazuje na brak trwającej relacji pomiędzy Skarżącym a Spółką. Wobec powyższego należy uznać, że spełniona jest przesłanka art. 6 ust. 1 lit. f RODO i przetwarzanie adresu mailowego Skarżącego należy uznać za zgodne z obowiązującymi przepisami o ochronie danych osobowych.

67 Uzasadniony interes w decyzjach PUODO
Test wg PUODO: a. zidentyfikowanie prawnie uzasadnionego interesu administratora, b. ocena niezbędności przetwarzania danych osobowych dla realizacji celu przetwarzania, c. uwzględnienie zasady minimalizacji danych, d. weryfikacja czy uzasadniony interes administratora ma nadrzędny charakter w stosunku do interesów oraz podstawowych praw osoby, której dane dotyczą (należy wziąć pod uwagę relację pomiędzy podmiotem danych a administratorem)

68 PRAWA PODMIOTÓW DANYCH

69 RODO – KOMUNIKACJA Z PODMIOTEM DANYCH
Prowadzenie komunikacji z podmiotem danych Obowiązki informacyjne Prawo dostępu przysługujące osobie, której dane dotyczą Sprostowanie i usuwanie danych Prawo do ograniczenia przetwarzania Prawo do przenoszenia danych Prawo do sprzeciwu Prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji w tym profilowaniu

70 RODO – OBOWIĄZEK INFORMACYJNY
RODO nakłada na administratorów danych osobowych (w tym na pracodawców) obowiązek przekazania osobom, od których dane są zbierane (np. kandydatom do pracy) bardzo wielu informacji (art. 13 i 14 RODO) Obowiązki informacyjne względem kandydata powstają niezależnie od konieczności zapewnienia odpowiedniej podstawy do przetwarzania ich danych (np. przepisu prawa pracy). Oznacza to, że niezależnie od tego, czy administrator będzie przetwarzał dane w oparciu o zgodę, czy np. w celu realizacji ciążącego na nim obowiązku prawnego, będzie musiał przekazać kandydatowi/pracownikowi informacje wymagane Rozporządzeniem. Wyjątkiem będzie wyłącznie sytuacja, w której osoba, której dane dotyczą, będzie już dysponować stosownymi informacjami, co jednak w praktyce będzie mieć miejsce niezwykle rzadko.

71 RODO – OBOWIĄZEK INFORMACYJNY
Nowa treść obowiązku informacyjnego - zgodna z wymogami art. 13 i 14 RODO (w zakresie treści) Obowiązek zapewnienia przejrzystości przetwarzania – zgodnie z art 12 RODO (sposób przekazania informacji) Informacje zawarte w klauzuli powinny być przekazane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą (art. 12 Rozporządzenia).

72 RODO – OBOWIĄZEK INFORMACYJNY
Niezależnie od wybranej formy przekazania informacji, pracodawcy powinni zwrócić uwagę na konieczność zapewnienia rozliczalności, tj. powinni być w stanie wykazać, że zrealizowali obowiązek informacyjny zgodnie z przepisami prawa. Zasadę rozliczalności pracodawcy powinni uwzględnić w zakresie momentu spełnienia obowiązku informacyjnego, który jak wskazuje art. 13 Rozporządzenia, powinien być zrealizowany podczas pozyskiwania danych. Będzie to np. moment wypełniania formularza aplikacyjnego przez kandydata w odpowiedzi na zamieszone przez pracodawcę ogłoszenie o pracy. Dla wielu pracodawców spełnienie obowiązku informacyjnego będzie wymagało zmiany wewnątrz organizacji np. w postaci stworzenia procedury przyjmowania papierowych CV na portierni.

73 RODO – PRAWO DOSTĘPU DO DANYCH
Prawo dostępu do danych – elementy: Żądanie uzyskania zindywidualizowanych informacji Żądanie dostępu do danych osobowych; Żądanie uzyskania kopii danych osobowych Co z notatkami rekrutera na CV?

74 RODO – PRAWO DOSTĘPU DO DANYCH
.

75 Dziękuję za uwagę!


Pobierz ppt "radca prawny Patrycja Kozik audytor wewnętrzny systemu zarządzania"

Podobne prezentacje


Reklamy Google