Opublikowana została kolejna wersja ustawy o zmianach ustaw szczegółowych w celu ich dostosowania do RODO https://legislacja.rcl.gov.pl/docs//2/12302951/12457722/12457723/dokument335453.pdf
Projekt wraz z uzasadnieniem liczy ponad 800 stron. Jedną ze zmian, która budzi największe zainteresowanie jest zmiana do kodeksu pracy. W nowym projekcie warto zwrócić uwagę na następujące kwestie dotyczące tej regulacji:
- Rozbudowano zasady monitoringu pracowników.
Obok wideo-monitoringu, projekt wprowadza możliwość monitoringu poczty elektronicznej, a także prowadzenia innego monitorowania pracowników. Zasady dotyczące wideo-monitoringu ma stosować się odpowiednio do innego monitorowania pracowników. Istotną zmianą jest konieczność określenia celów, zakresu i sposobu monitoringu w układzie zbiorowym pracy, w regulaminie pracy lub jeśli pracodawca nie ma obowiązku ustalenia regulaminu ani nie jest objęty układem zbiorowym – w obwieszczeniu. Wymóg ten może istotnie ograniczyć możliwość monitoringu w dużych podmiotach posiadających układ zbiorowy pracy. Projekt wprowadza standardowy 3 miesięczny okres retencji danych z monitoringu, który w przypadku prowadzonych postępowań może zostać przedłużony do prawomocnego zakończenia postępowania. Dane z monitoringu po upływie tych okresów mają zostać zniszczone, co może rodzić problemy zwłaszcza w kontekście przechowywania danych dot. logowania w systemach IT, które ze względów bezpieczeństwa często są przechowywane dłużej.
- Istotne wątpliwości co do możliwości przetwarzania danych pracowników nie wskazanych w przepisach przez pracodawcę na podstawie jego prawnie uzasadnionego interesu.
Projekt przewiduje, że pracodawca może żądać od pracownika jedynie tych danych, które są określone w przepisach prawa (w tym w kodeksie pracy). Jednocześnie, wskazuje się, że przetwarzanie innych danych osobowych, niż wskazane w przepisach jest możliwe wyłącznie za zgodą pracownika (kandydata) i gdy jest dla niego korzystne. Zapis ten w praktyce może wyłączyć możliwość przetwarzania innych danych pracownika niż te wskazane w przepisach prawa przez pracodawcę w jego prawnie uzasadnionych interesach. W chwili obecnej, usprawiedliwiony interes pracodawcy lub spółek z grupy jest podstawą przetwarzania danych pracowników pozyskiwanych np. w toku postępowań wyjaśniających prowadzonych w wyniku zgłoszeń nieprawidłowości w ramach wewnętrznych procedur zgłaszania nieprawidłowości (tzw. linii alarmowych), czy też na potrzeby rozwoju i planowania kariery zawodowej. Konieczność pozyskiwania zgody i wymóg aby przetwarzanie było korzystne dla pracownika w praktyce uniemożliwi przetwarzanie danych w tych celach co jest niezgodne z RODO i dotychczasowym stanowiskiem Grupy Roboczej.
- Ograniczenie przetwarzania specjalnych kategorii danych.
Projekt ogranicza możliwość przetwarzania danych specjalnych tylko do sytuacji, gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa, co jest istotnym zawężeniem w stosunku do przesłanek przetwarzania takich danych wskazanych w art. 9 RODO. W przypadku danych biometrycznych przewidziano jednak wyjątek i możliwość przetwarzania takich danych jeżeli będzie to niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub dostępu do pomieszczeń wymagających szczególnej ochrony. Wydaje się, że ta przesłanka przetwarzania danych biometrycznych modyfikuje podstawy ich przetwarzania wskazane w art. 9 RODO co będzie budziło wątpliwości w zakresie jej skuteczności.