poniedziałek, 2 lipca 2018

Monitoring w zakładzie pracy i monitoring korespondencji pod RODO

Wraz z wejściem w życie tzw. RODO w dniu 25 maja 2018 roku do Kodeksu pracy wprowadzono długo wyczekiwaną regulację monitoringu. Obecnie kwestią tą zajmuje się art. 22 (2) oraz art. 22 (3) Kodeksu pracy. Obecnie w zakładzie pracy może legalnie funkcjonować monitoring przy spełnieniu poniższych założeń – pracodawca może zainstalować monitoring jeśli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.

Przez monitoring Kodeks pracy rozumie szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu. Kodeks nie mówi zaś nić o nagrywaniu dźwięku, jednak na pierwszy rzut oka ten rodzaj monitoringu wydawać się może też dozwolony, gdy jego wprowadzenie jest konieczne dla realizacji wyżej wskazanych celów. Jednak ze względu na wcześniejsze orzecznictwo Europejskiego Trybunału Praw Człowieka zalecałabym powściągliwość i wstrzymanie się do pierwszych orzeczeń sądowych w tym zakresie.

Spod monitoringu wyłączone są wprost następujące pomieszczenia: pomieszczenia sanitarne, szatnie, stołówki oraz palarnie lub pomieszczenia udostępniane zakładowej organizacji związkowej, chyba że stosowanie monitoringu w tych pomieszczeniach jest niezbędne do realizacji celu określonego powyżej i nie naruszy to godności oraz innych dóbr osobistych pracownika, a także zasady wolności i niezależności związków zawodowych, w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób. Zauważmy, że regulacja ta dotyczy pracowników, nie dotyczy monitorowania gości hotelowych, choć i goście mogą znaleźć się w zasięgu monitoringu. Generalnie pracodawca może przechowywać te nagrania przez okres maksymalnie 3 miesięcy, chyba, że mogą one stanowić dowód w postępowaniu prowadzonym na podstawie prawa wówczas do czasu prawomocnego zakończenia takiego postępowania (oczywiście chodzi o faktyczną możliwość użycia ich w postępowaniu np. mamy nagraną kradzież, a nie hipotetyczną sposobność do wykorzystania ich co do zasady w takim postępowaniu). Monitoring powinien zostać uregulowany w regulaminie pracy, lub w obwieszczeniu dla pracowników (zakładam, że układy zbiorowe w hotelarstwie nie występują tak często). Pracownicy powinni być poinformowani na co najmniej 2 tygodnie o wprowadzeniu monitoringu przed jego uruchomieniem, a w przypadku nowych pracowników taka informacja na piśmie powinna być im udostępniona przed dopuszczeniem pracownika do pracy. Miejsca monitorowane powinny być oznakowane.

Monitoring może także dotyczyć poczty elektronicznej, oczywiście tylko służbowej. Podstawa jego stosowania jest na tyle szeroka, że na pewno również do uzasadnienia w przypadku hotelarstwa. Monitoring taki ma bowiem zapewnić pełne wykorzystanie czasu pracy oraz właściwe użytkowanie udostępnionych pracownikowi narzędzi pracy. Jako pobożne życzenia potraktowałabym w takim wypadku zastrzeżenie przez ustawodawcę, że monitoring taki nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. Sposób wprowadzenia monitoringu poczty jest analogiczny jak w przypadku wyżej wskazanym.

Pozostałe publikacje dotyczące RODO znajdziecie Państwo klikając tu.

Aleksandra Dalecka
adwokat
Kancelaria Zdanowicz i Wspólnicy
Kontakt: blog@zdanowiczlegal.pl

niedziela, 10 czerwca 2018

Kiedy upoważnienie a kiedy umowa powierzenia przetwarzania danych?


Umowa o powierzeniu przetwarzania danych osobowych oraz upoważnienie do przetwarzania danych osobowych to znane instrumenty prawne zagwarantowane przez RODO, które są swego rodzaju kontynuacją dotychczas obowiązujących przepisów z zakresu danych osobowych. 

Ważną kwestią pozostaje jaki będzie katalog podmiotów, wobec których można zastosować czy to umowę czy też upoważnienie, przy zachowaniu wszelkich wymogów i warunków jakimi objęte są te instrumenty prawne. 

Można uznać, że podstawowym kryterium, oprócz brzmienia przepisów stanowiących o upoważnieniu i umowie na przetwarzanie danych osobowych, jest realny wpływ i podległość wobec administratora danych osobowych czy też podmiotu przetwarzającego, często też jego wewnętrzna polityka działania. Nie bez znaczenia pozostaje też kwestia charakteru podmiotu z jakim współpraca ma zostać podjęta. W praktyce rodzi to duże problemy ocenne, gdyż w naszych uwarunkowaniach prawnopracowniczych, znaczna część osób, która prowadzi działalność gospodarczą, powinna de facto być zatrudniona na umowę o pracę, gdyż spełnia przesłanki zatrudnienia na podstawie stosunku pracy, zwłaszcza podległość pracodawcy.

Uznaje się, iż upoważnienie do przetwarzania danych osobowych, które oparte jest na poleceniu administratora danych osobowych lub podmiotu przetwarzającego, jest wystarczającym środkiem na podstawie którego osoby fizyczne mogą przetwarzać dane osobowe zgodnie z poleceniem. Oczywiście zastrzec należy, iż są to osoby, które w jakiś sposób związane są z administratorem lub procesorem. Przykładem takiego działania jest upoważnienie udzielane przez administratora lub procesora na rzecz swoich pracowników, stażystów, praktykantów, osób współpracujących na podstawie stosunku cywilnoprawnego. Zatem ma tu miejsce podległość takiej osoby wobec administratora czy to procesora, w zależności od sytuacji.

Natomiast w przypadku podejmowania współpracy z podmiotami prowadzącymi działalność gospodarczą w formie zarówno jednoosobowej działalności gospodarczej jak i spółki, winno dojść do powierzenia przetwarzania danych osobowych w drodze zawarcia umowy na przetwarzanie danych osobowych. Takie stanowisko można opierać przede wszystkim na fakcie, iż współpraca z powyższymi podmiotami nie zawiera w sobie podległości wobec administratora danych osobowych czy też podmiotu, któremu zostało powierzone przetwarzanie danych osobowych. Przykładami takiej współpracy, w związku z którą powinna zostać zawarta umowa o powierzenie danych osobowych jest współpraca z biurem księgowym, firmą techniczno-informatyczną, warto też rozważyć także biuro tłumaczeń.

Inaczej będzie w przypadku, gdy w ramach struktury organizacyjnej administratora lub procesora wyodrębnione są działy np. informatyczny, księgowy, które podlegają bezpośrednio administratorowi danych osobowych bądź podmiotowi przetwarzającemu. Wtedy za wystarczające można stwierdzić udzielenie upoważnienia takim osobom, funkcjonującym w ramach struktury wewnętrznej podmiotu uprawnionego.

Warto podkreślić, że kwestią istotną, choć nie do końca określoną w przepisach jest forma udzielenia zarówno upoważnienia jak i zawarcia umowy na przetwarzanie danych osobowych. Zalecana jest oczywiście forma pisemna, co wynika w przypadku umowy na powierzenie przetwarzania danych osobowych wprost z art. 29 RODO, a co winno być analogicznie zastosowane w stosunku do upoważnienia. Będzie to zabezpieczenie dla podmiotu udzielającego upoważnienia lub zawierającego umowę oraz potwierdzenie działania danych podmiotów w zakresie przetwarzania powierzonych danych osobowych. Takie działanie ma na celu także zagwarantowanie podmiotowi przetwarzającemu wypełniania obowiązków, jakie od 25 maja 2018 roku spoczywają na nim, a przede wszystkim kwestii rozliczalności. Dodatkowo jest to na pewno ta forma zabezpieczenia dla podmiotu jest pewnym ułatwieniem wykazania procedury przetwarzania danych osobowych w ramach działalności danego administratora czy też procesora.

Pozostałe posty o RODO i danych osobowych: kliknij tu.

Anna Dudkiewicz
prawnik

środa, 16 maja 2018

Tajemnica lekarska a RODO

Tajemnica lekarska jest jedną z tajemnic zawodowych jaka funkcjonuje w obrocie, której można przyznać duże znaczenie nie tylko pod względem prawnym, ale także społecznym. Tajemnica lekarska jest obecnie uregulowana w art. 40 ustawy o zawodach lekarza i lekarza dentysty „Lekarz ma obowiązek zachowania w tajemnicy informacji związanych z pacjentem, a uzyskanych w związku z wykonywaniem zawodu”.

Oczywistym jest, że w ramach wykonywania zawodu lekarza czy lekarza dentysty dochodzi do przetwarzania danych osobowych pacjentów. W związku z tym również tę grupę zawodową obejmować będzie regulacja tzw. RODO, czyli rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r., przez co powstaje pytanie jak stosować wchodzące już 25 maja 2018 roku unijne regulacje i wypełniać wszystkie wynikające z niej obowiązki, a jednocześnie nie naruszyć obowiązku zachowania tajemnicy lekarskiej.

Przykładem daleko idącego obowiązku wynikającego z RODO jest konieczność rozliczalności i przedstawienia przez administratora danych osobowych wszelkich zebranych i przetwarzanych danych osobowych na żądanie właściwego organu.

Uznać należy, iż zgodnie z art. 90 RODO, w zakresie danych osobowych objętych ochroną tajemnicy zawodowej, jaką jest tajemnica lekarska, podmioty nią objęte mają obowiązek odmówić ich ujawnienia, chyba, że państwo członkowskie przyjmie przepisy, w drodze których określi szczególne uprawnienia organów nadzorczych wobec administratorów lub podmiotów przetwarzających, którzy podlegają - na mocy prawa Unii lub prawa państwa członkowskiego lub przepisów ustanowionych przez właściwe organy krajowe - obowiązkowi zachowania tajemnicy zawodowej lub innym równoważnym obowiązkom zachowania tajemnicy. Unijny ustawodawca pozostawia tu zastrzeżenia w postaci niezbędności i proporcjonalności celem pogodzenia prawa ochrony danych osobowych z obowiązkiem zachowania tajemnicy zawodowej. Przepisy te mają zastosowanie wyłącznie do danych osobowych, które administrator lub podmiot przetwarzający otrzymali lub pozyskali w wyniku lub w ramach działania objętego tym obowiązkiem zachowania tajemnicy.

W projekcie ustawy wprowadzającej ustawę o ochronie danych osobowych nie przewidziano zmiany w zakresie ustawy o zawodzie lekarza i lekarza dentysty, jak ma to miejsce np. na gruncie ustawy – prawo o adwokaturze czy nawet branżowo - ustawy o zawodzie pielęgniarki jak i ustawy o prawach pacjenta.

W projekcie ustawy o ochronie danych osobowych w proponowanym art. 58 wskazana została kompetencja dla Prezesa Urzędu Ochrony Danych Osobowych w brzmieniu: „W celu realizacji swoich zadań Prezes Urzędu ma prawo dostępu do informacji objętych tajemnicą prawnie chronioną, chyba że przepisy szczególne stanowią inaczej.”

Art. 40 ustawy o zawodach lekarza i lekarza dentysty w ust. 2 pkt 1 wskazuje na niestosowanie obowiązku zachowania tajemnicy lekarskiej, gdy ustawa tak stanowi. Jednak z brzmienia proponowanego art. 58 ustawy o ochronie danych osobowych wynika, że do wyłączenia stosowania tajemnicy lekarskiej nie dochodzi. Zatem przy żądaniu organu o ujawnienie danych, lekarze mogą powołać się na tajemnicę lekarską.

W Polsce trwają obecnie prace nad przygotowaniem kodeksu branżowego, obejmującego podmioty zajmujące się działalnością leczniczą, co oznacza skorzystanie przez środowiska medyczne z dyspozycji art. 40 RODO, stanowiącego o możliwości przygotowania kodeksu postępowania w ramach danych branż. Kodeks, zwany kodeksem dla ochrony zdrowia, jest obecnie na etapie projektowym, jego wstępna treść jest dostępna, jednakże jeszcze nie wszystkie planowane postanowienia danego kodeksu zostały w rzeczonym projekcie ujęte.

Należy pamiętać że taki kodeks musi zostać zatwierdzony przez właściwy organ i nie wcześniej niż z dniem wejścia w życie regulacji wynikającej z RODO. Oczywiście nie jest wiadomo, kiedy wspomniany kodeks branżowy będzie gotowy, a prace nad nim zakończą się. Można też się zastanawiać, czy powinno dojść do zamknięcia prac nad takim zbiorem. W przypadku nieprzyjęcia wspomnianego kodeksu postępowania, jak również braku regulacji poszczególnych kwestii przez ustawodawcę, w mocy pozostaną dotychczas obowiązujące przepisy dotyczące m.in. obowiązku zachowania tajemnicy zawodowej osób wykonujących zawody medyczne, które posiadają rangę ustawową. W tak zaistniałej sytuacji informacje udzielone takim podmiotom podlegają ochronie na podstawie wspomnianych przepisów.

W kolejnych postach omówimy, co lekarz musi robić pod rządami RODO.

Pozostałe wpisy o RODO tutaj (klik).

Anna Dudkiewicz
prawnik
Kancelaria Zdanowicz i Wspólnicy
Kontakt: blog@zdanowiczlegal.pl

 

 

poniedziałek, 7 maja 2018

Upoważnienie a umowa na powierzenie przetwarzanie danych pod rządami RODO

Wchodząca w życie 25 maja bieżącego roku regulacja zawarta w rozporządzeniu Parlamentu Europejskiego i Rady 2016/679, czyli tzw. RODO jest kolejnym aktem dotyczącym danych osobowych. Przetwarzać dane osobowe może bezpośrednio administrator danych osobowych, może także do tego umocować w odpowiedni sposób określone podmioty. W ramach postanowień RODO wskazane są dwa instrumenty prawne, które mogą stanowić umocowanie do przetwarzania danych osobowych przez podmioty inne niż administrator danych osobowych. Są to umowa o powierzenie danych osobowych bądź inny instrument przewidziany prawem (art. 28 RODO) oraz upoważnienie do przetwarzania danych osobowych (art. 29 RODO). Podkreślić należy, że na gruncie obecnie obowiązującej ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 roku te instytucje są już znane.

Zgodnie z art. 28 RODO administrator danych osobowych może powierzyć ich przetwarzanie innemu podmiotowi, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą̨. Może dojść także do podpowierzenia, które ma odpowiadać wymogom powierzenia przetwarzania danych osobowych. Umowa lub inny akt prawny mają mieć zachowaną formę pisemną, w tym formę elektroniczną, o czym stanowi art. 28 ust. 9 RODO. Wskazana w RODO forma elektroniczna może zostać uznana za pojęcie tożsame z pojęciem formy elektronicznej na gruncie art. 781 § 1 i 2 KC. Umowa lub inny akt prawny mają podlegać prawu Unii lub prawu państwa członkowskiego i wiążą administratora i podmiot powierzający, pomiędzy którymi doszło do powierzenia przetwarzania danych osobowych. 

Jak wskazuje RODO, umowa lub inny akt prawny zawarty na gruncie art. 28 RODO określa:

  1. Przedmiot przetwarzania;
  2. Czas przetwarzania;
  3. Charakter przetwarzania;
  4. Cel przetwarzania;
  5. Rodzaj danych osobowych;
  6. Kategorie osób, których dane dotyczą;
  7. Obowiązki i prawa administratora.
W odniesieniu do umowy powierzenia aktualność́ zachowuje wyrażone w literaturze na gruncie ustawy o ochronie danych osobowych stanowisko, że najczęściej umowa taka będzie miała postać́ umowy o świadczenie usług, do której odpowiednie zastosowanie znajdą przepisy KC o zleceniu. Jak wskazuje motyw 81 RODO, administrator i podmiot przetwarzający mogą̨ skorzystać́ z umowy indywidualnej lub ze standardowych klauzul umownych, które zostały przyjęte bezpośrednio przez Komisję albo które zostały przyjęte przez organ nadzorczy zgodnie z mechanizmem spójności, a następnie przyjęte przez Komisję. Art. 28 wskazuje na podstawowe obowiązki podmiotu przetwarzającego dane osobowe, konieczność niesienia pomocy administratorowi danych osobowych.

Zgodnie z art. 28 ust. 3 lit. a RODO procesor, czyli podmiot, któremu powierza się przetwarzanie danych osobowych, może przetwarzać́ dane osobowe wyłącznie na udokumentowane polecenie administratora. Polecenie to może być́ elementem umowy powierzenia lub też stanowić́ odrębny dokument. Warunkiem koniecznym jest jednak to, by forma przekazania polecenia (w tym ustalona w wiążącej administratora i procesora umowie lub innym instrumencie prawnym) umożliwiała jego udokumentowanie (zarówno przez administratora, jak i podmiot przetwarzający). Udokumentowanie polecenia ma istotne znaczenie dla wypełnienia wymogów rozliczalności.

Odrębnym od ww. umowy instrumentem, jest upoważnienie do przetwarzania danych osobowych, które uregulowane zostało w art. 29 RODO. Jest to bardzo zwięzła, jednozdaniowa regulacja. Z art. 29 RODO wynika zasada udzielania upoważnienia przez podmiot przetwarzający lub administratora każdej osobie fizycznej mającej dostęp do zbieranych danych osobowych. Upoważnienie do przetwarzania danych osobowych różni się od tego, które wynika z jeszcze obowiązującej polskiej ustawy o ochronie danych osobowych. RODO nie reguluje kwestii upoważnienia w sposób tak dalece sformalizowany, jak ma to miejsce na gruncie polskiej ustawy. Zgodnie z brzmieniem art. 29 RODO do udzielenia upoważnienia do przetwarzania danych osobowych może dojść przez administratora danych osobowych jak podmiot przetwarzający. Zatem katalog podmiotowy uprawnionych do upoważnienia jest szerszy niż w art. 28 RODO.

Przepis ten nie wskazuje formy jaką zachować ma upoważnienie. Oczywiście ze względów ostrożnościowych i dowodowych, warto zachować formę pisemną, w tym elektroniczną, w ramach udzielenia upoważnienia danej jednostce. Będzie to stanowiło zabezpieczenia dla upoważniającego, który ma nałożony na siebie obowiązek rozliczalności.

Z upoważnieniem na gruncie art. 29 RODO wiąże się w sposób bezpośredni polecenie administratora. Jednakże art. 29 RODO nie wskazuje żadnych wymogów formalnych w zakresie wydawanego polecenia. Zgodnie z doktryną może ono być elementem umowy o pracę, umów cywilnoprawnych jak umowa zlecenia czy umowa o dzieło, umowy o świadczenie usług administratora z podmiotem przetwarzającym.

Wyjątkiem jest oczywiście, wskazane w końcowej części art. 29 RODO wymóg przetwarzania danych osobowych wynikający z prawa Unii lub prawa państwa członkowskiego.

Mimo braku wymogów formalnych, uznać należy, iż polecenie administratora winno zostać udokumentowane w sposób umożliwiający wykazanie w każdym momencie zaistnienia udzielenia takiego polecenia przez administratora danych osobowych.
Pozostałe posty o ochronie danych osobowych znajdziesz TU.

Anna Dudkiewicz
prawnik
 

czwartek, 26 kwietnia 2018

Zgoda na przetwarzanie danych osobowych w ramach rekrutacji a RODO


Biorąc udział w procesie rekrutacyjnym, kandydat wraz z udostępnianiem swojego CV potencjalnemu pracodawcy, oddaje w jego ręce szereg danych osobowych, które następnie są przetwarzane. Oczywiście przetwarzanie takie musi się odbywać zgodnie z literą prawa, jednakże nie zawsze wymagane jest uzyskanie oświadczenia o wyrażeniu zgodny na przetwarzanie danych osobowych.

Obecnie art. 221 k.p. przewiduje katalog danych osobowych, których pracodawca ma prawo żądać od pracownika, w tym także od kandydata biorącego udział w rekrutacji. Przetwarzanie tych danych osobowych, które stanowią katalog zamknięty, odbywa się w związku z art. 23 ust 1 pkt 3 ustawy o ochronie danych osobowych, który stanowi, iż przetwarzanie jest możliwe jeżeli jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. A zatem w przypadku takich danych, nie ma konieczności uzyskania zgody na przetwarzanie, ponieważ podmiot – np. pracodawca uprawniony jest bezpośrednio na podstawie ustawy.

Natomiast, jeżeli w CV podane są inne informacje, spoza tego katalogu, wówczas do ich przetwarzania wymagana jest zgoda kandydata. To właśnie na potrzeby wskazanej zgody powszechnym stało się dodawanie do CV klauzuli z oświadczeniem o wyrażeniu zgody na przetwarzanie danych osobowych.

Wchodząca w życie regulacja zawarta w rozporządzeniu Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 roku, czyli tzw. RODO, dotyczy także sytuacji poruszonych powyżej, tj. przetwarzania danych osobowych w ramach rekrutacji. A zatem zarówno wymogi określone w rozporządzeniu, dotyczące wyrażenia zgody na przetwarzanie danych osobowych, jak i obowiązki informacyjne ciążące na administratorze danych osobowych, którym będzie rekruter, czyli potencjalny pracodawca znajdują tu zastosowanie.

Jednakże, mając na uwadze szczególny charakter stosunków pracowniczych, zapewne również powszechność procesów rekrutacji, a przez co wolę nieutrudniania osobom poszukującym pracy tego procesu, RODO przewiduje możliwość uregulowania w sposób odmienny przez państwa członkowskie kwestii dotyczącej przetwarzania danych osobowych pracowników oraz danych udzielonych w wyniku prowadzonego procesu rekrutacji.

Powyższa wola prawodawcy unijnego wynika z motywu 155 oraz art. 88 RODO, który wskazuje na możliwość państw członkowskich do wprowadzenia w ramach wewnętrznego porządku prawnego państwa, w sposób bardziej szczegółowy przepisów, które mają zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem, a w szczególności do celów rekrutacyjnych.

W przypadku przyjęcia takich regulacji muszą one obejmować odpowiednie i szczegółowe środki zapewniające osobie, której dotyczą poszanowanie takich przymiotów jak godność, prawnie uzasadniony interes i prawa podstawowe. Na państwie członkowskim wraz ze skorzystaniem z dyspozycji art. 88 RODO ciąży obowiązek poinformowania Komisji o przyjęciu powyższych przepisów, jak i o każdorazowej ich zmianie.

Polska zamierza skorzystać z takiego uprawnienia poprzez przyjęcie nowelizacji w zakresie kodeksu pracy w drodze ustawy o wprowadzeniu ustawy o ochronie danych osobowych, która jest obecnie na etapie projektu. W ramach nowelizacji dojdzie do zmiany art. 221 kodeksu pracy oraz dodania następujących po nim art. 222-224 k.p.

Zgodnie z brzmieniem projektowanych przepisów, zachowana zostanie dotychczasowo funkcjonująca zasada, że w przypadku udostępnienia danych osobowych, co do których żądania uprawniony jest pracodawca ex lege, nie jest wymagana zgoda kandydata na pracownika na przetwarzanie danych osobowych. Natomiast w przypadku udostępnienia innych danych, które nie znajdują się w zamkniętym katalogu określonym w kodeksie pracy, wówczas do ich przetwarzania wymagana jest zgoda podmiotu, wyrażona w sposób wyraźny, jasny, konkretny i dobrowolny, w drodze złożonego oświadczenia.

Swego rodzaju novum stanowi zastrzeżenie, iż brak zgody nie może powodować niekorzystnego traktowania osoby ubiegającej się̨ o zatrudnienie lub pracownika, a także nie może powodować́ wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić́ przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenia stosunku pracy lub jego rozwiązania bez wypowiedzenia przez pracodawcę̨.

Zatem, wraz z dniem 25 maja 2018 roku regulacja zawarta w RODO obejmie także kwestię procesów rekrutacyjnych. Oczywiście, jeśli polski ustawodawca nie zdąży do tego czasu uchwalić planowanej nowelizacji, zastosowanie będą miały dotychczasowe regulacje w połączeniu z wymogami określonymi w RODO, natomiast projektowana zmiana poszerzy dotychczasową regulację z zakresu danych osobowych udzielanych w ramach rekrutacji.

Należy pamiętać, iż regulacja zawarta w kodeksie pracy ma zastosowanie do procesów rekrutacji, których zwieńczeniem będzie powstanie stosunku pracowniczego między stronami. W związku z powyższym, nie znajdzie ona zastosowania do osób, które podejmą się współpracy na podstawie umów cywilnoprawnych.

Zwróćmy uwagę, iż pracodawca jako administrator danych osobowych musi pamiętać o ciążącym na nim obowiązku informacyjnym, który w przypadku rekrutacji polega na m.in. wskazaniu danych administratora, wskazaniu danych podmiotu przetwarzającego, jeżeli taki został powołany, określeniu stanowiska w związku z celem przetwarzania jakim jest rekrutacja, czy też informacji o braku negatywnych skutków nie wyrażenia zgody na przetwarzanie danych osobowych. Zapewne za pożądane można uznać sformułowanie przez pracodawcę propozycji klauzuli z oświadczeniem o wyrażeniu zgody na przetwarzanie danych osobowych, w którym podstawa prawna, dane administratora czy cel zostaną już wskazane.

Mimo funkcjonujących obecnie jak i planowanych swego rodzaju zwolnieniach w zakresie uzyskania zgody na przetwarzanie danych osobowych kandydatów na pracowników, można jednak spodziewać się, iż każde CV przedkładane przez osobę ubiegającą się o dane stanowisko będzie zawierało klauzulę z oświadczeniem obejmującym zgodę na przetwarzanie danych osobowych. Wynika to z faktu, iż obecnie na rynku pracy przedkładając CV, wskazywane jest w nim o wiele więcej informacji, niż te określone w kodeksie pracy, co do których pracodawca jest usprawiedliwiony, celem zwiększenia swoich szans na zatrudnienie. I mimo przyszłej gwarancji braku negatywnych skutków niewyrażenia zgody na przetwarzanie danych osobowych, trudno wyobrazić sobie sytuację, gdy osoba szukająca pracy zaryzykuje i takiej zgody nie wyrazi.

Pozostałe publikacje na temat RODO znajdziecie Państwo TU.

Anna Dudkiewicz
prawnik

piątek, 20 kwietnia 2018

Prowadzenie działaności gospodarczej innej niż wpisana w CEiDG

Jedną z form funkcjonowania podmiotu w obrocie gospodarczym i prowadzenia przedsiębiorstwa jest jednoosobowa działalność gospodarcza, którą stanowi zgodnie z art. 2 ustawy z dnia 2 lipca 2004 roku o swobodzie działalności gospodarczej (dalej: ustawa), zarobkowa działalność wytwórcza, budowlana, handlowa, usługowa oraz poszukiwanie, rozpoznawanie i wydobywanie kopalin ze złóż, a także działalność zawodowa, wykonywana w sposób zorganizowany i ciągły. 

Podjęcie działalności przez przedsiębiorcę może odbyć się już tego samego dnia, którego doszło do złożenia przez niego wniosku o wpis do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (dalej: CEiDG). Jednakże, co istotne każda osoba może posiadać jedynie jeden wpis do CEiDG, zaś każdy kolejny wniosek o nowy wpis zgodnie z art. 27 ust 2 pkt 5 ustawy uznawany jest za niepoprawny. 

Składając wniosek o wpis do CEiDG, zawrzeć w nim należy zgodnie z art. 25 ust. 1 ustawy m. in. firmę, adres wykonywania działalności gospodarczej, adres do doręczeń oraz przedmiot prowadzonej działalności.  

Wskazanie przedmiotu działalności ma na celu określenie przez przedsiębiorcę rodzajów działalności przez niego prowadzonych. Chodzi o swego rodzaju zakwalifikowanie danej działalności do określonej grupy przedsiębiorców według charakteru świadczonych usług. Zatem rozpoczynając prowadzenie działalności gospodarczej, podmiot, wiedząc jakiego charakteru czynności będą wiązały się z jego przedsiębiorstwem, winien dopasować planowane pola działania do przedmiotów działalności przewidzianych w Polskiej Klasyfikacji Działalności, czyli tzw. PKD.  

Polska Klasyfikacja Działalności to umownie przyjęty i usystematyzowany zbiór działalności społeczno-gospodarczej, która realizowana jest przez podmioty gospodarcze. Obecnie obowiązującą jest PKD 2007, która zaczęła obowiązywać wraz z dniem 1 stycznia 2008 roku. Jest ona klasyfikacją złożoną z pięciu poziomów, tj. sekcji, działów, grup, klas oraz podklas, natomiast rodzaje działalności określane są jako przeważające, drugorzędne, pomocnicze.  

Podkreślić należy, iż zgodnie z art. 25 ust. 1 pkt 8 ustawy przedsiębiorca, wnosząc o wpis do CEiDG, określa przedmioty działalności zgodnie z PKD, co oznacza, iż w ramach jednej działalności gospodarczej możliwe jest określenie więcej niż jednego przedmiotu działalności. Umożliwia to prowadzenie przedsiębiorstwa na wielu różnych polach gospodarczych oraz zapewnienie realizacji dla zasady swobody działalności gospodarczej, która stanowi fundament powszechnego obrotu.  

Nadto przedsiębiorca może podać kilka i do tego różnych przedmiotów działalności, o różnej charakterystyce, które planuje wykonywać w ramach swojej działalności gospodarczej. Jednakże nie oznacza to obowiązku działania na wszystkich tych wskazanych obszarach, gdyż może wystąpić sytuacja, w której przedsiębiorca nigdy nie podejmie się działalności w zakresie któregoś z rodzajów PKD.  

Oczywiście wraz ze złożeniem wniosku podmiot nie traci prawa do wykonywania działalności o innym rodzaju, gdyż w każdym momencie ma prawo do zaktualizowania dotychczasowego wpisu poprzez zmianę przedmiotu bądź przedmiotów działalności gospodarczej. Wniosek taki należy złożyć w terminie 7 dni od dnia zdarzenia wymagającego zmiany.
 

Anna Dudkiewicz
prawnik
Kancelaria Zdanowicz i Wspólnicy
Kontakt: blog@zdanowiczlegal.pl







czwartek, 5 kwietnia 2018

Kiedy potrzebny, a kiedy obowiązkowy jest inspektor ochrony danych? – zmiany w danych osobowych – cz. 10


Rozporządzenie Parlamentu Europejskiego i Rady nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, czyli z tzw. RODO, wprowadza nowy podmiot, który zastąpi dotychczasowego administratora bezpieczeństwa informacji, a mianowicie inspektora ochrony danych (dalej też „inspektor”).

Niektóre podmioty będą miały obowiązek powołania inspektora. Zgodnie z art. 37 ust. 1 RODO administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy zachodzi jeden z poniższych przypadków:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 (tzw. dane wrażliwe lub inaczej – sensytywne), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Największe kontrowersje może wzbudzać pkt. b), który posługuje się bardzo ocennym pojęciem „głównej działalności”, a dodatkowo pojęciem „wymagania regularnego systematycznego monitorowania osób”. W słowniku pojęć dla RODO znajdującym się w art. 4 nie odnajdziemy żadnej podpowiedzi, jak te pojęcia powinny być interpretowane. Mając jednak na względzie bezpieczeństwo administratora w kwestiach wątpliwych, doradzałabym powołanie takiego inspektora. Dopiero praktyka narosła wokół obowiązywania RODO wykaże, jak organy będą interpretować te pojęcia.

Pkt c) wzbudza też wątpliwości. Na zdrowy rozum np. placówka medyczna, która jest niewątpliwie administratorem przetwarzającym dane sensytywne, jakimi są dane dotyczące stanu zdrowia, nie ma takiego obowiązku, gdyż jej główna działalność nie polega na przetwarzaniu danych osobowych lecz na świadczeniu usług medycznych. Anglojęzyczna wersja RODO również wskazuje, że chodzi o te podmioty, których trzon działalności stanowi przetwarzanie takich danych osobowych.

Wizja jednak sankcji zawartych w art. 83 ust. 4 lit. a) RODO, a mianowicie administracyjnej kary pieniężnej w kwocie do 10.000.000 Euro, a w przypadku przedsiębiorstwa w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) skutecznie z pewnością wpłynie (przynajmniej w początkowym okresie obowiązywania RODO), na to, iż wiele podmiotów wyznaczy takiego administratora, nawet gdy obowiązek jego wyznaczenia będzie wątpliwy lub kontrowersyjny.


Inne posty na temat RODO do przeczytania tu (klik).

Aleksandra Dalecka
adwokat