Kadry i Płace w Administracji

Strona główna » Lipiec – Sierpień 2018 » Stosunek pracy » Obowiązki pracodawcy w kontekście rodo
 
Iwo Klisz

Obowiązki pracodawcy w kontekście rodo

25 maja 2018 r. zaczęło obowiązywać rodo. W tym samym dniu weszła w życie zupełnie nowa ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych. Oba akty prawne wprowadziły nowe zasady postępowania z danymi osobowymi.

Rys. B. Brosz

Podstawowe znaczenie w tym zakresie ma rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: rodo)1, którego przepisy znajdują bezpośrednie zastosowanie w krajowym porządku prawnym. Dla jego stosowania nie jest potrzebna implementacja w drodze uchwalenia konkretnej ustawy, jak dzieje się to w przypadku dyrektyw. W praktyce oznacza to, że stosując się do zasad ochrony danych osobowych, musimy odnosić się bezpośrednio do treści rodo, czyli tekstu uchwalonego przez Parlament Europejski i Radę UE, a nie do krajowej ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej: uodo)2. Przepisy uodo regulują głównie strukturę krajowego organu kontrolnego, czyli Urzędu Ochrony Danych Osobowych (dalej: UODO) oraz zasady prowadzenia kontroli podmiotów przetwarzających dane osobowe.

Rola i znaczenie reformy przepisów o ochronie danych osobowych

Rodo nie powinno być postrzegane jako rewolucja w zakresie ochrony danych osobowych. Większość zasad czy mechanizmów funkcjonowała już na podstawie poprzednio obowiązujących przepisów. Obecne unormowania można rozpatrywać w kategorii ewolucji.

Nie ulega jednak wątpliwości, że o rewolucji możemy mówić w zakresie postrzegania ochrony danych osobowych. Być może zdaniem niektórych może to być teza nieco na wyrost, ale za sprawą rodo rola przepisów o ochronie danych osobowych będzie dla każdego przedsiębiorcy tak samo istotna, jak przepisów podatkowych czy zusowskich.

Bez znajomości podstawowych rozwiązań z tego zakresu funkcjonowanie pracodawcy na rynku będzie niemożliwe.

Podstawowe pojęcia rodo

Centralnym punktem rodo są pojęcia danych osobowych i ich przetwarzania. Właściwe zrozumienie tego, kiedy mamy do czynienia z danymi osobowymi, i tego, kiedy je przetwarzamy, pozwoli na prawidłowe wypełnienie wszystkich obowiązków wg rodo.

Zgodnie z art. 4 ust. 1 rodo „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Na tym definicja danych osobowych się kończy, a przepis uszczegóławia tylko pojęcie „możliwej do zidentyfikowania osoby fizycznej”, precyzując, że jest to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numeru identyfikacyjnego, danych o lokalizacji, identyfikatora internetowego lub jednego bądź kilku szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Nie ma wątpliwości, że dla każdego pracodawcy pracownik jest osobą fizyczną, którą można zidentyfikować. W związku z tym kluczowym elementem definicji, na który trzeba zwrócić uwagę, jest fragment, który mówi o tym, że dane osobowe to wszelkie informacje o osobie fizycznej. Oprócz tak oczywistych kwestii jak imię i nazwisko, adres zamieszkania, numer PESEL czy numer dowodu osobistego danymi osobowymi będą także wszelkie informacje o majątku osoby fizycznej, jej cechy osobowościowe, sposób spędzania wolnego czasu, informacje o chorobach3 czy marce telefonu komórkowego, którego używa.

Jako dane osobowe kwalifikujemy nie tylko te informacje, które zostaną nam ujawnione, ale także te, które sami zaobserwujemy (kiedy i gdzie pobiera pieniądze z bankomatu) lub ustalimy (np. dane z KRS, CEIDG)4. Za dane osobowe uważamy też informacje, które wcale nie muszą być prawdziwe albo są wyrazem naszych subiektywnych ocen5 (np. ocena okresowa pracownika dokonana przez pracodawcę czy przełożonego).

Wśród danych osobowych wyróżniamy dane „zwyczajne” i dane szczególnych kategorii (dane wrażliwe). Do tych ostatnich zaliczamy informacje ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych.

Za wrażliwe uznamy też dane genetyczne, biometryczne (np. odcisk palca), dane dotyczące zdrowia (badania lekarskie pracownika), seksualności lub orientacji seksualnej. Ochronie podlegają wszelkie dane osobowe zarówno te „zwyczajne”, jak i dane szczególnych kategorii. Różnica pomiędzy nimi sprowadza się głównie do tego, że podstawy prawne przetwarzania danych wrażliwych są inne niż w przypadku danych „zwyczajnych”.

[...]

Iwo Klisz
adwokat, specjalista prawa pracy, prowadzi blog ekspercki wypowiedzenie-umowy-o-prace.pl

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.
Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.