Ustawa z 10 stycznia 2018 roku o zmianie niektórych ustaw w związku ze skróceniem okresu przechowywania akt pracowniczych oraz ich elektronizacją wprowadza od 1 stycznia 2019 roku szereg istotnych zmian związanych, m.in. skraca okres przechowywania dokumentacji w sprawach związanych ze stosunkiem pracy oraz akt osobowych pracownika z 50 do 10 lat. Ustawa umożliwi też pracodawcy prowadzenie i przechowywanie dokumentacji w sprawach związanych ze stosunkiem pracy i akt osobowych pracownika w postaci elektronicznej, co ma uprościć jej przechowywanie, ponieważ ZUS będzie dysponował wszystkimi danymi potrzebnymi do uzyskania świadczeń i ustalenia ich wysokości.
Okres obowiązywania
Stosownie do art. 7 ust. 2 ustawy, w przypadku stosunków pracy nawiązanych przed 1 stycznia 1999 r. okres przechowywania akt pozostanie 50-letni. Dla pracowników, którzy nawiązali stosunek pracy po 31 grudnia 1998 r., a przed 1 stycznia 2019 r., zasadniczy okres 50-letni może zostać skrócony do 10 lat w przypadku złożenia raportu informacyjnego do ZUS, a okres ten liczony jest od końca roku kalendarzowego, w którym raport złożono. Nowymi zasadami przechowania akt będą objęte stosunki pracy zawiązane po 1 stycznia 2019 roku.
Nowe przepisy a RODO
Warto zauważyć, że prawodawca w nowych uregulowaniach pochylił się nad kwestią ochrony danych osobowych pracownika, rozbudowując m.in. treść art. 94 pkt 9b kodeksu pracy o wskazanie, iż pracodawca, poza przechowywaniem dokumentacji w warunkach niegrożących uszkodzeniem lub zniszczeniem, obowiązany jest również do zapewnienia ich poufności, integralności, kompletności oraz dostępności. W art. 5 ust. 1 pkt f poufność i integralność, jako zasadę bezpieczeństwa w przetwarzaniu danych osobowych, wskazuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako: RODO), zaś kwestię dostępności można również wywnioskować z obowiązku administratora do zapobiegnięcia zniekształceniu lub utracie danych. Dodatkowo w treści art. 32 ust. 1 pkt b RODO wskazano przykładowo zobowiązanie administratora i podmiotu przetwarzającego do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania. Sformułowanie „kompletność” danych użyte przez ustawodawcę w nowelizacji kodeksu pracy nie zostało zdefiniowane w RODO ani nie ma legalnej definicji w kodeksie pracy, można jednak posiłkować się definicją „prawidłowości” wskazaną w art. 5 ust. 1 pkt d RODO np. w zakresie uaktualniania danych, co powinno po części realizować zachowanie ich kompletności. Warto zauważyć, iż wymienione wcześniej 3 zasady: poufności, integralności i dostępności stanowią również podstawy ochrony informacji wg norm bezpieczeństwa ISO 27001:2013.
W celu zapewnienia bezpieczeństwa informacji wprowadzone zostaną w kodeksie pracy również zasady zmiany formy dokumentacji z formy papierowej na elektroniczną przy użyciu kwalifikowanego podpisu elektronicznego lub kwalifikowanej pieczęci elektronicznej (art. 948 § 2 kodeksu pracy). Co istotne, z punktu widzenia praktycznego stosowania przepisów dotyczących elektronicznych akt pracowniczych zakres, sposób i warunki prowadzenia, przechowywania oraz zmiany postaci dokumentacji pracowniczej określi w drodze rozporządzenia minister właściwy do spraw pracy w porozumieniu z ministrem właściwym do spraw informatyzacji, co może ułatwić przedsiębiorcom prowadzenie tej dokumentacji, ponieważ samo RODO z uwagi na neutralność technologiczną nie zawiera szczegółowych wymogów technicznych co do systemów, w których przetwarzane są dane osobowe.
[-OFERTA_HTML-]
Podsumowanie
Omawiana ustawa w zasadniczej części wchodzi w życie z dniem 1 stycznia 2019 r. Pomocne dla pracodawców w celu zrozumienia nowych pojęć może być zapoznanie się ze znaczeniem ustalonym dla potrzeb ogólnie obowiązującego RODO (które zacznie być stosowane 25 maja 2018 roku, czyli przed wejściem w życie ustawy). To właśnie RODO wskazuje, że należy badać ryzyka i zagrożenia i na tej podstawie wiemy, co jest adekwatne pod kątem bezpieczeństwa, czego w nowelizacji ustawy brakuje. Jednocześnie szereg zmian wprowadzonych ustawą, np. dotyczących skrócenia okresu przechowywania dokumentacji, powinien zostać ujęty w wewnętrznej dokumentacji ochrony danych osobowych pracodawcy takich jak procedura retencji czy inwentaryzacja procesów przetwarzania danych oraz pracodawca powinien o tych zmianach poinformować swoich pracowników.
radca prawny Karol Kozieł, GKK Gumularz Kozieł Kozik Radcowie Prawni