Facebook

Jak szukać?»

Aktualnie jesteś: Gofin.pl (strona główna)  »  Prawo pracy  »  Inne zagadnienia  »   Dostosowanie przepisów zakładowych do wymogów RODO
POLECAMY
A A A  drukuj artykuł

Dostosowanie przepisów zakładowych do wymogów RODO

Gazeta Podatkowa nr 66 (1523) z dnia 16.08.2018
Agata Barczewska

Od 25 maja 2018 r. obowiązuje ogólne rozporządzenie o ochronie danych osobowych (zwane RODO). Zasady wynikające z tego rozporządzenia powinny znaleźć odzwierciedlenie w krajowych przepisach prawa pracy rangi zakładowej, do których należą układy zbiorowe pracy oraz regulaminy: pracy i wynagradzania. Do aktów prawnych o charakterze wewnątrzzakładowym należy też regulamin zakładowego funduszu świadczeń socjalnych. Wszystkie te akty powinny być zmodyfikowane pod kątem RODO.

Regulaminy zgodne z RODO

Jedną z konsekwencji wejścia w życie RODO jest konieczność dostosowania treści obowiązujących w danej firmie przepisów zakładowych do wymogów wynikających z unijnego rozporządzenia. RODO obowiązuje niezależnie od krajowych regulacji dotyczących ochrony danych osobowych.

Przetwarzanie danych osobowych przez pracodawców powinno uwzględniać zasady tego przetwarzania, określone m.in. w art. 5 RODO. Zgodnie z tym przepisem dane osobowe muszą być:

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zasada zgodności z prawem, rzetelności i przejrzystości),
     
  • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, z zastrzeżeniem możliwości dalszego przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych albo do celów statystycznych (zasada ograniczenia celu),
     
  • adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (zasada minimalizacji danych),
     
  • prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (zasada prawidłowości),
     
  • przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane są przetwarzane; dane osobowe można przechowywać przez okres dłuższy tylko przy spełnieniu określonych warunków (zasada ograniczenia przechowywania),
     
  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności i poufności).

Zapisy regulacji wewnątrzzakładowych (układu zbiorowego pracy, regulaminu pracy i wynagradzania, regulaminu ZFŚS) powinny zostać przeanalizowane pod kątem zgodności z powyższymi zasadami i odpowiednio skorygowane. Będzie to wymagało rozszerzenia w tych aktach katalogu obowiązków pracodawcy o wymóg postępowania w zakresie ochrony danych osobowych zgodnie z zasadami RODO i przepisami krajowymi (patrz przykładowe fragmenty regulaminów). Konieczne też będzie uzupełnienie listy obowiązków pracownika o taki sam wymóg - co ma istotne znaczenie wobec pracowników mających szerszy dostęp do danych osobowych. Za naruszenie regulacji chroniących dane osobowe pracodawcy grożą bowiem surowe kary finansowe, określone w art. 83 RODO.

Klauzula może być osobno

RODO znacznie rozszerzyło zakres informacji przekazywanych przez administratora (tu pracodawcę) osobom, których dane są przetwarzane. Ma to związek z przyznaniem im szeregu nowych uprawnień, np. prawa do bycia zapomnianym. Informacje o tych uprawnieniach powinny znaleźć się w tzw. klauzulach informacyjnych przekazywanych osobom, od których są pobierane dane, np. od kandydatów do pracy. W przypadku już zatrudnionych pracowników przekazanie wspomnianych klauzul nie jest bezwzględnie obowiązkowe. Niemniej wydaje się to celowe, ponieważ w ten sposób pracownicy zostaną poinformowani o nowych uprawnieniach przysługujących im na mocy RODO.

Przepisy RODO nie określają sposobu przekazania klauzuli informacyjnej pracownikom, można więc ją włączyć do układu zbiorowego bądź regulaminu pracy. Nie jest to jednak wymagane - pracodawca może opracować klauzulę w formie odrębnego dokumentu i zapoznać z nią indywidualnie każdego z pracowników. Wybór formy poinformowania pracowników o przyznanych im przez RODO uprawnieniach należy do pracodawcy.

Zakładowy monitoring

Wejście w życie RODO pociągnęło za sobą nowelizację Kodeksu pracy. Z dniem 25 maja br. do Kodeksu dodano dwa nowe przepisy - art. 222 i 223 K.p. Regulują one zasady stosowania monitoringu w zakładzie pracy.

Pracodawca może wprowadzić na terenie lub wokół zakładu pracy monitoring wizyjny, jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników, ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Generalnie monitoring nie może obejmować pomieszczeń sanitarnych, szatni, stołówek oraz palarni lub pomieszczeń udostępnianych zakładowej organizacji związkowej. Zastosowanie monitoringu w tych pomieszczeniach jest możliwe tylko wtedy, gdy jest to niezbędne do realizacji celu i nie narusza to godności oraz innych dóbr osobistych pracownika, a także zasady wolności i niezależności związków zawodowych.

Cele, zakres oraz sposób stosowania monitoringu muszą być ustalone w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty przepisami zakładowymi. Niezależnie od powyższego wymogu pracodawca jest zobowiązany poinformować pracowników o wprowadzeniu monitoringu, w sposób u niego przyjęty, nie później niż 2 tygodnie przed jego uruchomieniem. Przed dopuszczeniem pracownika do pracy musi też przekazać mu na piśmie informacje na temat monitoringu.

Przykładowy fragment regulaminu pracy
Rozdział II. Podstawowe prawa i obowiązki
stron stosunku pracy

§ 6

1. Do obowiązków pracodawcy należy m.in.:

(wyszczególnienie obowiązków w pkt 1 pominięto)

2. Pracodawca, jako administrator danych osobowych pracowników, jest zobowiązany przestrzegać regulacji związanych z ochroną danych osobowych, wynikających z przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE... (Dz. Urz. UE L 119/1 z 4.5.2016), ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000) oraz wewnątrzzakładowej polityki bezpieczeństwa oraz wszelkich aktów zakładowych w tym zakresie.

§ 7

1. Do obowiązków Pracownika należy m.in.:

(część obowiązków wyszczególnionych w pkt 1 pominięto)

- nieujawnianie informacji objętych ochroną danych osobowych, do uzyskiwania których został uprawniony zgodnie z przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE... (Dz. Urz. UE L 119/1 z 4.5.2016) i ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000) oraz przestrzegania wewnątrzzakładowej polityki bezpieczeństwa w tym zakresie.

Rozdział III. Monitoring w zakładzie pracy

§ 8

1. Zgodnie z art. 222 i 223 K.p. oraz z art. 5 i art. 6 ust. 1 lit. a, c i f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych... (Dz. Urz. UE L 119/1 z 4.5.2016 r.), w zakładzie pracy stosuje się monitoring:

- wizyjny w pomieszczeniach produkcyjnych w celu kontroli procedur bezpieczeństwa i higieny pracy, a także w pomieszczeniach magazynowych w celu ochrony przed kradzieżami; kamery wideo są zainstalowane w każdym rogu pomieszczenia produkcyjnego i magazynowego, obejmując swoim zasięgiem łącznie całą przestrzeń poszczególnych pomieszczeń,
- służbowych telefonów komórkowych oraz służbowych skrzynek e-mailowych, przeznaczonych wyłącznie do celów służbowych, w celu kontroli ich właściwego wykorzystywania - polegający odpowiednio na kontroli billingów otrzymywanych od operatorów telefonicznych za każdy miniony okres rozliczeniowy oraz raportów aktywności.

2. Zgodnie z art. 111 K.p. monitoring będzie prowadzony z poszanowaniem godności i dóbr osobistych pracowników. Materiały powstałe w trakcie monitoringu będą wykorzystane jedynie w ww. celach, a dostęp do materiałów z monitoringu będą miały wyłącznie osoby upoważnione do przetwarzania zawartych w nich danych. Każda z osób upoważnionych zachowuje w tajemnicy wiedzę wynikającą z tych materiałów.

§ 9

Materiały z monitoringu będą przechowywane przez 30 dni, licząc od dnia ich wytworzenia (wideo) lub otrzymania (billing, raport aktywności), a po upływie tego okresu będą niszczone w sposób uniemożliwiający ich odtworzenie.

§ 10

Pracownikowi, którego dane znajdują się w materiałach pozyskanych z monitoringu, przysługuje prawo:

- dostępu do danych,
- sprostowania i usunięcia danych,
- ograniczenia przetwarzania,
- przenoszenia danych,
- wniesienia sprzeciwu.

Przykładowy fragment regulaminu wynagradzania
Rozdział I. Przepisy ogólne.

§ 1

(pkt 1 i 2 pominięto)

3. Dane przekazywane przez pracownika służbom kadrowym Pracodawcy, będącego administratorem danych osobowych pracowników, w celu udokumentowania prawa do poszczególnych składników wynagrodzenia, świadczeń związanych ze stosunkiem pracy oraz ustalenia ich wysokości i wypłaty podlegają ochronie, zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE... (Dz. Urz. UE L 119/1 z 4.5.2016) i ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000).

4. Dane przekazywane przez pracownika będą wykorzystywane wyłącznie w celach ustalenia prawa do poszczególnych składników wynagrodzenia oraz świadczeń związanych ze stosunkiem pracy, ustalenia ich wysokości i wypłaty.

5. Pracownikowi przysługuje prawo dostępu do przekazanych danych, żądania ich sprostowania, usunięcia albo ograniczenia przetwarzania, przenoszenia do innego administratora, sprzeciwu wobec przetwarzania danych oraz wycofania zgody (jeśli była udzielona) w dowolnym momencie.

6. Dane przekazane przez pracownika będą przechowywane przez okres trwania stosunku pracy oraz obowiązkowy okres ich archiwizacji.


Przykładowy fragment regulaminu zakładowego funduszu świadczeń socjalnych

§ 1

(pkt 1 i 2 pominięto)

3. Dane osób uprawnionych są przetwarzane na podstawie art. 8 ustawy o zakładowym funduszu świadczeń socjalnych (Dz. U. z 2018 r. poz. 1316)w związku z art. 6 ust. 1 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych... (Dz. Urz. UE L119/1 z 4.5.2016).

4. Dane osób uprawnionych są przetwarzane przez Pracodawcę (nazwę pracodawcy pominięto) jako administratora danych osobowych oraz działających w jego imieniu i z jego upoważnienia członków zakładowej komisji socjalnej, zobowiązanych do zachowania w tajemnicy danych w okresie wykonywania funkcji w komisji oraz po jej zakończeniu. Dane osób uprawnionych są przetwarzane wyłącznie w celu realizacji uprawnień do uzyskania świadczeń z Funduszu.

5. Osoba uprawniona ma prawo do uzyskania dostępu do swoich danych, żądania sprostowania lub usunięcia (bycia zapomnianym) danych albo ograniczenia ich przetwarzania, przenoszenia danych otrzymanych w ustrukturyzowanym formacie (np. w pliku pdf) do innego administratora, sprzeciwu wobec przetwarzania danych.

Podstawa prawna

Ustawa z dnia 26.06.1974 r. - Kodeks pracy (Dz. U. z 2018 r. poz. 917 ze zm.)

Więcej na ten temat w zasobach płatnych:

Inne zagadnienia - czytaj także:

 
Przydatne linki
 
Sklep internetowy - sklep.gofin.pl
 
Wydawnictwo Podatkowe GOFIN sp. z o.o., ul. Owocowa 8, 66-400 Gorzów Wlkp., tel. 95 720 85 40, faks 95 720 85 60
Wydawnictwo Podatkowe GOFIN
Szanowny Użytkowniku !
Prosimy o zapoznanie się z poniższymi informacjami oraz wyrażenie dobrowolnej zgody poprzez kliknięcie przycisku "Zgadzam się".
Pamiętaj, że zawsze możesz wycofać zgodę.

Serwis internetowy, z którego Pani/Pan korzysta używa plików cookies w celu:

  • niezbędnego zapewnienia prawidłowego działania Serwisów (utrzymania sesji),
  • realizacji funkcjonalności ułatwiających obsługę Serwisu,
  • analizy statystyk ruchu i reklam w Serwisach,
  • zbierania i przetwarzania danych osobowych w celu wyświetlenia reklam produktów własnych i klientów reklamowych.
Pliki cookies

Są to pliki instalowane w urządzeniach końcowych osób korzystających z Serwisu, w celu administrowania Serwisem, dostosowania treści Serwisu do preferencji użytkownika, utrzymania sesji użytkownika oraz dla celów statystycznych i targetowania reklamy (dostosowania treści reklamy do indywidualnych potrzeb użytkownika). Informujemy, że istnieje możliwość określenia przez użytkownika Serwisu warunków przechowywania lub uzyskiwania dostępu do informacji zawartych w plikach cookies za pomocą ustawień przeglądarki lub konfiguracji usługi. Szczegółowe informacje na ten temat dostępne są u producenta przeglądarki, u dostawcy usługi dostępu do internetu oraz w Polityce prywatności i plików cookies.

Administratorzy

Administratorem Pana/Pani danych osobowych w związku z korzystaniem z Serwisu internetowego i jego usług jest Wydawnictwo Podatkowe GOFIN sp. z o.o. Administratorem danych osobowych w plikach cookies w związku z wyświetleniem analizy statystyk i wyświetlaniem spersonalizowanych reklam są partnerzy Wydawnictwa Podatkowego GOFIN sp. z o.o., Google Inc, Facebook Inc.

Jakie ma Pani/Pan prawa w stosunku do swoich danych osobowych?

Wobec swoich danych mają Pan/Pani prawo do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych, prawo do cofnięcia zgody.

Podstawy prawne przetwarzania Pani/Pana danych osobowych
  • Niezbędność przetwarzania danych w związku z wykonaniem umowy.

    Umowa w naszym przypadku oznacza akceptację regulaminu naszych usług. Jeśli zatem akceptuje Pani/Pan umowę na realizację danej usługi, to możemy przetwarzać Pani/Pana dane w zakresie niezbędnym do realizacji tej umowy.

  • Niezbędność przetwarzania danych w związku z prawnie uzasadnionym interesem administratora.

    Dotyczy sytuacji, gdy przetwarzanie danych jest uzasadnione z uwagi na usprawiedliwione potrzeby administratora, tj. dokonanie pomiarów statystycznych, ulepszania naszych usług, jak również prowadzenie marketingu i promocji własnych usług administratora.

  • Dobrowolna zgoda.

    Aby móc realizować cele:
    - zapamiętania Pani/Pana decyzji w Serwisach w zakresie korzystania z dostępnych opcjonalnie funkcjonalności,
    - analiz statystyk ruchu i reklam w Serwisach,
    - wyświetlania spersonalizowanych reklam produktów własnych i klientów reklamowych w związku z odwiedzaniem niniejszego Serwisu internetowego partnerzy Wydawnictwa Podatkowego Gofin sp. z o.o. muszą mieć możliwość przetwarzania Pani/Pana danych.

Potrzebna jest Nam Pani/Pana dobrowolna zgoda na zapisy w plikach cookies w celach realizacji powyższych celów.
W związku z powyższymi wyjaśnieniami prosimy o wyrażenie dobrowolnej zgody na zapisywanie informacji w plikach cookies przez kliknięcie przycisku „Zgadzam się” lub „Nie teraz” w przypadku braku zgody. Istnieje możliwość skorzystania z „ustawień zaawansowanych” plików cookies w celu określenia indywidualnych zgód na zapis wybranych plików cookies realizujących wybrane cele.