Pracodawcy mają problemy z RODO

50 milionów euro kary nałożono na Google we Francji za nieprzejrzystość procedur amerykańskiego giganta. Prawie milion złotych grzywny otrzymała polska firma, administrująca danymi osobowymi z ogólnodostępnych rejestrów CEIDG oraz KRS, za nierealizowanie obowiązku informacyjnego, wynikającego z rozporządzenia RODO. Jakie wnioski płyną z pierwszych kontroli w Polsce? Czego przedsiębiorcy obawiają się najbardziej?

W maju 2018 roku rozporządzenie o ochronie danych osobowych szturmem wdarło się w świadomość zbiorową Polaków. Pomimo obowiązywania od 1997 roku takiej ustawy dopiero w ubiegłym roku do większości polskich przedsiębiorców dotarła informacja, że posiadają dobro chronione prawem, jakim są dane osobowe – mówi Mateusz Górny, prawnik, ekspert Ogólnopolskiego Centrum Rozliczania Kierowców. W firmach, których działalność oparta jest na relacjach B2B, czyli biznes dla biznesu, nie ma większego problemu z zewnętrznym stosowaniem regulacji. Ustawodawca europejski wykluczył osoby prawne z zakresu obowiązywania rozporządzenia.

Jednak polska specyfika gospodarcza starła się z unijnymi przepisami, bowiem u nas oprócz osób prawnych, w obrocie gospodarczym są również osoby fizyczne, prowadzące działalność. Wywołało to spory rozdźwięk w doktrynie, gdyż część prawników twierdzi, że są to osoby fizyczne, posiadające dane osobowe. Inni zaś stoją na stanowisku, że przyjęcie, iż podmiot gospodarczy dysponuje danymi osobowymi wykorzystywanymi w kontaktach na zewnątrz, powoduje podważenie pewności obrotu gospodarczego, bowiem tego typu dane podlegają innym regulacjom niż dane spółek – wyjaśnia ekspert OCRK. – Obecnie nie ma jednoznacznej odpowiedzi, jakie rozwiązanie przyjąć i prawdopodobnie oznacza to dla pracodawców oczekiwanie na pojawienie się – nie tyle wytycznych – co orzecznictwa europejskiego Trybunału Sprawiedliwości. Kara nałożona przez Urząd wskazuje na właściwość pierwszej interpretacji.

Oko wielkiego brata

Często niejasna jest realizacja obowiązku informacji o monitoringu stosowanym w przedsiębiorstwie. O ile ustawodawca uregulował tę kwestię w kodeksie pracy, wskazując, gdzie nie można stosować monitoringu i jaka jest podstawa do jego stosowania, to część pracodawców nadal ma problem z uporządkowaniem tych kwestii w dokumentacji wewnątrzzakładowej. – Powszechnie brakuje ikonografii, oznaczającej teren monitorowany oraz informacji o administrowaniu danymi. Jest to o tyle dziwne, że większość pracodawców posiada już klauzule informacyjne dla klientów indywidualnych. Te są przedstawiane przy zawieraniu umów lub świadczeniu usług. Natomiast brakuje takiej wiadomości przy wejściu do przedsiębiorstwa lub w recepcji – mówi Mateusz Górny.

Skrupulatność czy nadgorliwość?

Niepewność pracodawcy co do przepisów i poprawności funkcjonowania firmy po wejściu ustawy o RODO powoduje szereg niepotrzebnych praktyk. Okazuje się na przykład, że nie jest konieczne zbieranie zgód na przetwarzanie podstawowych danych pracowników takich jak imię, nazwisko i adres korespondencyjny. Co więcej, często obejmują one też okresy zatrudnienia niezbędne do wyliczenia urlopu wypoczynkowego czy stażu pracy. Zastosowanie tego typu dokumentów powoduje, że pracownik, który nie wyrazi zgody na dysponowanie danymi, zostanie potraktowany niezgodnie z przepisami kodeksu, a to może skutkować pozwem przed sąd pracy.

Część firm wdrożyła również programy oparte na modelu informacji niejawnych. Zastosowanie wzorców zachowania przewidzianych dla danych dużo bardziej wrażliwych niż te, które obejmuje RODO, bywa zwyczajnie kłopotliwe dla funkcjonowania przedsiębiorstwa. Dla przykładu – potwierdzenie pobrania i zdania teczki osobowej pracownika własnoręcznym podpisem kadrowej jest, co do zasady, procedurą wdrożoną na wyrost. Nie można bagatelizować zasad właściwego postępowania z danymi, jakimi dysponuje firma, ale należy rozróżnić RODO od tajemnicy państwowej – zauważa ekspert prawa OCRK.

Kto i za co odpowiada?

Widoczny jest konflikt na linii Urząd Ochrony Danych Osobowych (UODO), a Ministerstwo Cyfryzacji. Dlaczego obie instytucje wchodzą sobie w kompetencje? – Trudno ocenić, kto właściwie ma rację. Inicjatywy UODO nie dostarczają odpowiedzi na wszystkie pojawiające się wciąż pytania. Ministerstwo Cyfryzacji próbuje wyjaśniać część wątpliwości. Jednak wyraźny jest brak porozumienia między tymi dwoma organami – komentuje Górny. Ochronę danych osobowych w praktyce sprawdza UODO, a w zakresie zatrudnienia Państwowa Inspekcja Pracy (PIP).

Nałożona przez Prezes UODO kara wysokości blisko miliona złotych jest pierwszą karą za nieprzestrzeganie rozporządzenia w Polsce. Szczególną uwagę należy zwrócić na fakt, za co przyznano grzywnę. Postepowanie Urzędu nie dotyczyło naruszenia zasad ochrony danych w zakresie ich integralności, poufności czy dostępności, a realizacji obowiązku informacyjnego w związku z przetwarzaniem danych osobowych.

Największe emocje wzbudził ustęp 5 artykuł 14 rozporządzenia, będący kanwą całej sprawy. Przedsiębiorca bronił się, że wykonanie obowiązku informacyjnego będzie zgodnie z ustępem 5 niewspółmierne, przedstawiając wyliczenie kosztu listów poleconych do osób, których dane dotyczą. Urząd nie wskazał właściwej formy informowania osób, natomiast uznał, że forma listu poleconego nie jest wymagana – mówi Mateusz Górny z OCRK. – Decyzja Prezes UODO wywołała niemałą burzę wśród przedstawicieli doktryny. Stanowisko Prezes podważa bowiem przyjmowaną do tej pory analogię do przepisów krajowych. Duża ilość komentarzy dotyczy też milczenia Urzędu w zakresie, w jakim informacja miała by być przedstawiona. Ukarana spółka odwołała się od decyzji i można spodziewać się pierwszych rozstrzygnięć w sądach administracyjnych, możliwe jest również skierowanie sprawy w ramach zapytania prejudycjalnego do Trybunału Sprawiedliwości Unii Europejskiej – dodaje ekspert.

Czy są dobre strony?

Zgodnie z nowymi przepisami CV przesyłane podczas procesu rekrutacji nie muszą zawierać klauzul tak, jak to było stosowane przed RODO. Aplikacja nadesłana w odpowiedzi na ogłoszenie może być przetwarzana, a odnotowanie przez kandydata w wiadomości lub na samym dokumencie zgody na wykorzystanie danych w kolejnych rekrutacjach, pozwoli stworzyć bazę kontaktów. Jednak warto zauważyć, że często i niepotrzebnie dokumenty aplikacyjne gromadzone są na zapas. UODO zaś w wytycznych i wskazówkach wyraźnie dąży do ograniczenia przechowywania danych osobowych. – Nie chodzi tutaj o całość dokumentacji związanej z pracownikiem od momentu zatrudnienia do ustania stosunku pracy i dalszej realizacji obowiązku archiwizacyjnego. Istotne jest tutaj rozdzielenie informacji w ten sposób, by systematycznie po okresie, w którym firma jest zobowiązana do ich przechowywania, poszczególne dokumenty po prostu usuwać – podsumowuje ekspert OCRK.

ZOSTAW ODPOWIEDŹ

Please enter your comment!
Please enter your name here