25 maja zacznie być stosowane unijne rozporządzenie dotyczące ochrony danych osobowych (RODO). Ważne zmiany w tym zakresie planowane są również w kodeksie pracy. Czasu zostało niewiele, a prace legislacyjne nad nimi nie postępują.

Jakie ważne zmiany w związku z RODO czekają pracodawców?

Pracodawca jest administratorem danych osobowych, jak każdy inny. Wszystkie zmiany dotyczące administratorów obejmują więc również pracodawców. Natomiast inne zagadnienia, jak np. rekrutacja, monitoring i przetwarzanie danych biometrycznych mają zostać doprecyzowane w kodeksie pracy – na ostateczną wersję projektu zmian wciąż czekamy. Do pierwszej wersji, opublikowanej we wrześniu 2017 roku, zgłoszono wiele uwag, podobnie jak do projektu polskiej ustawy o ochronie danych osobowych i to on ma w tym momencie priorytet. Na zmiany w przepisach sektorowych zapewne będziemy musieli poczekać jeszcze dłużej.

Czy krajowe regulacje zastąpią RODO w tym zakresie?

Nie. RODO obowiązuje bezpośrednio we wszystkich unijnych krajach, nie może zostać zastąpione innymi regulacjami ani zmienione. Rozporządzenie uprawnia jednak kraje członkowskie do doprecyzowania niektórych przepisów. Tak właśnie będzie w przypadku polskiej ustawy o ochronie danych osobowych. Regulacje dotyczące stosunku zatrudnienia zostaną uszczegółowione. Chodzi o rekrutację, przetwarzanie danych biometrycznych, najprawdopodobniej znacznie rozszerzony zostanie zakres przetwarzania danych z monitoringu. Jesteśmy jeszcze na bardzo wczesnym etapie legislacyjnym, więc trudno mówić o konkretach, ale polska ustawa ma wprowadzić duże obostrzenia.

Może Pani podać przykład?

Zakaz przetwarzania danych dotyczących zdrowia. Pracownicy chorzy np. na cukrzycę często chcą dla swojego bezpieczeństwa powiadomić o tym pracodawcę. To przecież choroba, która nie dyskwalifikuje pracownika w pracy biurowej. Tymczasem planowany jest całkowity zakaz przetwarzania takich danych przez pracodawcę. Nie będzie to możliwe nawet za zgodą pracownika.

Spodziewa się Pani zmian w tym zakresie?

Pierwsza odsłona projektu ukazała wiele sprzeczności i niejasności, powinno to więc zostać przemodelowane.

Jakie działania w związku z RODO powinni podjąć pracodawcy?

Pracodawca musi przeprojektować cały system ochrony danych. Jeżeli jedynymi danymi, które przetwarza, są dane pracowników, to ma zdecydowanie mniej pracy, bo może ograniczyć się tylko do procesów kadrowo-płacowych i dokumentacyjnych, a nie musi wprowadzać zmian związanych z przetwarzaniem danych konsumentów.

Jak w tej chwili wygląda zarządzanie danymi pracowników?

Z moich obserwacji wynika, że pracodawcy zbierają zbyt dużo danych. Dotyczy to danych pracowników, kandydatów i byłych pracowników. RODO wprowadza zasadę ograniczonego czasu i minimalizacji zakresu przetwarzania danych. Na przykład, jeśli jednorazowo pracodawca wysyła pracownika w podróż służbową i potrzebuje skanu paszportu, to po zakończeniu tej podróży i jej rozliczeniu taki dokument nie powinien już być przechowywany. Pracodawcy gromadzą i przechowują dokumenty na wszelki wypadek. RODO na to nie pozwala.


Czy to najczęstszy problem?

Pracodawcy mają również problemy z ograniczaniem dostępów. Często przydzielany jest dostęp do pełnego zakresu informacji, niezależnie od tego, czy konkretna osoba rzeczywiście go potrzebuje. Nie jest to właściwe, gdyż zaprzecza zasadzie minimalizacji i adekwatności, o których mówi art. 5 RODO.

Od czego pracodawca powinien zacząć przygotowanie do RODO?

Od przeglądu danych, które są u niego zbierane. Pracodawcy muszą przejrzeć swoje zasoby, sprawdzić, czy w systemach informatycznych nie gromadzą zbyt wielu danych. W niektórych systemach widnieje np. rubryka stan cywilny - to nie jest informacja potrzebna pracodawcy. RODO nie pozwala na przetwarzanie takich danych. Jeśli nie da się w systemie usunąć takiej kolumny, to będzie konieczna jego zmiana.

A co z dokumentacją papierową?

Podobnie jak w przypadku systemów elektronicznych - trzeba ją przeglądnąć. Pracodawca powinien powołać zespół, który oszacuje zasadność przechowywania dokumentów i sprawdzi, które z nich powinny zostać zniszczone. Przegląd dokumentacji elektronicznej jest zdecydowanie prostszy niż działania na dokumentacji papierowej. Niebawem wejdzie w życie ustawa skracająca okres przechowywania dokumentacji. Tym bardziej mamy dobry czas na takie porządki.

Unijne rozporządzenie nie zawiera żadnych konkretnych wytycznych, jak zabezpieczać dane osobowe – to ułatwienie czy utrudnienie?

Podejście oparte na analizie ryzyka sprawia wiele trudności. Administrator sam musi zinwentaryzować procesy i ocenić ryzyka - do tego musi dostosować środki techniczne i organizacyjne. Co ważne, nie jest to działanie jednorazowe. RODO, zakładając, że postęp technologiczny jest bardzo szybki, wymaga stałej czujności administratora i sprawdzania, czy założenia przyjęte przy pierwszym szacowaniu ryzyka, są wciąż adekwatne. To uciążliwe, ale w pełni zrozumiałe.

Najwięcej pracy będzie więc na początku, później pozostanie monitorowanie procesów?

Myślę, że tak. Tym bardziej, że planowane są podręczniki, które mają ułatwić przedsiębiorcom szacowanie ryzyka. RODO pozwala również ustawodawcy na uregulowanie niektórych kwestii, przygotowanie wytycznych, podpowiedzi do niektórych procesów i kategorii danych. Ale na te ułatwienia będzie trzeba na pewno poczekać.

Pojawiły się ostatnio zapowiedzi, że firmy zatrudniające do 250 osób będą stosować RODO w ograniczonym zakresie. Czy będzie to dotyczyło obowiązków względem zatrudnionych?

Nie. Mamy tu do czynienia z chaosem informacyjnym, bo RODO nie da się wyłączyć. Ministerstwa proponują ograniczenie tylko jednego obowiązku - informacyjnego i to w ograniczonym zakresie. Nie znamy ostatecznego kształtu tej propozycji. Z pewnością jednak wyłączenie to nie będzie dotyczyć stosunków pomiędzy pracodawcą i pracownikiem.

Brak krajowych regulacji niestety nie pomaga...

To prawda. Brak ostatecznych regulacji kadrowych wiąże wielu pracodawcom ręce. Dostosowanie systemów to koszty. Pracodawcy nie są chętni, by inwestować np. z zmiany w monitoringu, jeśli mają świadomość, że krajowe regulacje, kiedy wejdą w życie, mogą wymagać kolejnych inwestycji. Gdybyśmy chociaż mieli toczące się prace legislacyjne, to byłoby łatwiej. Znany byłby chociaż zakres planowanych zmian.

Najnowsze badanie Kantar pokazuje, że niewiele firm zdaje sobie sprawę z obowiązków, jakie nakłada na nie RODO, nie wiedzą nawet, od kiedy te zmiany wchodzą w życie. Do 25 maja zostało nieco ponad 100 dni. Czy jeśli pracodawca teraz zacznie przygotowania, to zdąży na czas?

Nie siejmy paniki. 26 maja nie rozpoczną się kontrole - nie ma jeszcze ani organu kontroli, ani mechanizmów tej kontroli. Każdy moment jest dobry, by zacząć. Ważne, żeby uświadomić sobie, że zmiany są nieuchronne.

Rozmawiała Agnieszka Matłacz