W dniu 25 maja 2016 r. weszło w życie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE - tzw. RODO. RODO jest co do zasady aktem prawnym bezpośrednio obowiązującym, tak więc będzie miało bezpośrednie zastosowanie we wszystkich państwach członkowskich Unii Europejskiej i do 25 maja 2018 r. każde z państw członkowskich zobowiązane jest do zapewnienia jego skutecznego stosowania w swoim porządku prawnym.

 

Natomiast nowa ustawa o ochronie danych osobowych, nad którą aktualnie trwają prace, będzie zawierała wyłącznie przepisy, które zostały przez prawodawcę unijnego wprost przekazane do uregulowania w prawie krajowym oraz takich, w których RODO pozostawiło pewną swobodę regulacyjną poszczególnym państwom członkowskim.

 

W zakresie zmian w Kodeksie pracy projekt przepisów wprowadzających nową ustawę o ochronie danych osobowych zakłada w szczególności dostosowanie brzmienia obowiązujących przepisów prawa pracy do wymogu zawartego w art. 6 ust. 1 lit c. RODO, wprowadzającego przesłankę istnienia obowiązku prawnego, jako podstawy pobierania danych osobowych. W konsekwencji przepisy, które obecnie zawierają jedynie możliwość żądania określonych danych osobowych w stosunkach pracy, zostaną zmienione na obowiązek pobierania tych danych.

 

Przepisy przewidują również modyfikację dotychczasowego katalogu danych osobowych pobieranych od osoby ubiegającej się o zatrudnienie oraz pracownika, uwzględniającą ich niezbędność dla pracodawcy (wyłączono np. imiona rodziców), obligatoryjność ich pobierania oraz ochronę pracownika.

 

Zaproponowano również unormowanie zasad wyrażenia zgody przez osobę ubiegającą się o zatrudnienie lub pracownika na pobranie określonych danych osobowych przez pracodawcę oraz stworzenie negatywnego katalogu danych, których pozyskanie nie może nastąpić nawet za zgodą osoby ubiegającej się o zatrudnienie lub pracownika (chodzi o dane o nałogach, stanie zdrowia, życiu seksualnym lub orientacji seksualnej).

Uregulowano też instytucję monitoringu, jako szczególną formę przetwarzania danych osobowych pracowników. Wyraźnie podkreślono, że monitoring nie może stanowić środka kontroli wykonywania pracy przez pracownika.

 

Do projektu wprowadzono również podstawę prawną do pozyskiwania i przechowywania przez pracodawcę skierowań na badania lekarskie oraz orzeczeń lekarskich wydawanych w wyniku tego skierowania, jeżeli osoba przyjmowana do pracy u innego pracodawcy posiada aktualne orzeczenie lekarskie stwierdzające brak przeciwskazań do pracy na danym stanowisku.

 

Konfederacja Lewiatan podkreśla, że mimo że w projekcie ustawy o ochronie danych osobowych resort cyfryzacji uwzględnił wiele zgłaszanych w trakcie projektowania przepisów uwag, to jednak istotne postulaty przedsiębiorców pozostały bez odpowiedzi. W związku z tym Lewiatan, który monitoruje działania resortu cyfryzacji dotyczące wdrożenia RODO, przygotował stanowisko do ustaw je wdrażających. Najwięcej zastrzeżeń budzą zapisy w projekcie ustawy o ochronie danych osobowych. Lewiatan zgłosił uwagi do niemalże każdego artykułu ustawy. Departament Prawny Konfederacji Lewiatan podkreśla, że Konfederacji szczególnie zależy na zapewnieniu, by pracodawcy mogli w jak najszerszym zakresie przetwarzać dane na temat kandydatów do pracy oraz pracowników.

 

Uwagi dotyczą m.in. możliwości badania przeszłości zawodowej kandydata przez pracodawcę. Tego typu weryfikacja może być przeprowadzana poprzez kontakt z byłym pracodawcą, a kontakt taki może być szczególnie istotny w sytuacji powstania rozbieżności, które nie są możliwe do wyjaśnienia na podstawie dostarczonej dokumentacji przez kandydata lub w sytuacji, gdy sama dokumentacja budzi wątpliwości pod kątem jej autentyczności. Lewiatan zaznacza, że propozycja nowelizacji art. 22(1) k.p. nie reguluje takiej możliwości, a byłoby to porządane.

 

Lewiatan zwraca też uwagę, że według projektu, po nawiązaniu stosunku pracy, pracodawca bez zgody pracownika nie będzie mógł przetwarzać danych pracownika w zakresie adresu do korespondencji, a to może bardzo utrudnić kontakt z pracownikiem. Uzależnienie przetwarzania tych danych od zgody będzie powodowało również wiele innych problemów praktycznych. Zgodnie z definicją zgoda może być w każdym czasie wycofana. Jeśli tak się stanie pracodawca, nie mogąc przetwarzać np. adresu do korespondencji może mieć trudności ze skontaktowaniem się nieobecnym (np. w uwagi na urlop macierzyński) pracownikiem lub z dostarczeniem mu wymaganych w przepisach dokumentów lub z przekazaniem mu informacji np. o oferowanych programach pracowniczych.

 

Lewiatan ma też dużo uwag dotyczących proponowanych regulacji o monitoringu, wskazuje na błędy w zastosowanych odesłaniach do przepisów i nieprecyzyjność niektórych zapisów - ogólnie: projekt ustawy o ochronie danych osobowych, jest zdaniem Lewiatana, do poprawki.