RODO wzbudza wiele obaw przedsiębiorców. Czy Pana zdaniem są one uzasadnione?
Może powiem coś zaskakującego, ale w mojej ocenie szum, jaki wytworzył się wokół wejścia w życie europejskiego rozporządzenia dotyczącego danych osobowych, czyli tzw. RODO, jest – używając języka prawniczego – nieproporcjonalny. Musimy bowiem pamiętać, że Unia Europejska nie wymyśla koła na nowo, ale nadaje skuteczniejszą rangę prawną regulacjom czy zasadom, obowiązującym w Unii od przeszło dwudziestu lat. Tyle obowiązuje bowiem dyrektywa dotycząca ochrony danych osobowych. Powiem więcej, przecież nasza ustawa o ochronie danych osobowych funkcjonuje ponad 20 lat. Jeśli zwróci się uwagę na to, że RODO w gruncie rzeczy w 95% powtarza obowiązujące już dzisiaj przepisy prawne, to panika „około RODO-wa” wydaje się przesadzona. Owszem, RODO zmienia filozofię podejścia do ochrony danych, ale nie czyni tego w sposób rewolucyjny. Określił bym to inaczej, jako odpowiedź prawodawcy unijnego na dostrzeżone niebezpieczeństwa w obszarze ochrony danych osobowych osób fizycznych, i próbę skutecznego ich przeciwdziałania na szczeblu wspólnotowym. Inna rzecz, że RODO w swoim podstawowym założeniu ma życie administratorów danych ułatwić, a nie utrudnić. Trzeba tylko wziąć pod uwagę kontekst rozwiązań RODO i cel, jakim one służą. A chodzi również o to, aby wymagania prawne stawiane przed administratorami danych na obszarze całej Unii były przewidywalne i jednakowe.
Jakie są główne różnice między obowiązującą już od ponad 20 lat ustawą o ochronie danych osobowych a RODO?
Tak jak wspomniałem, RODO zmienia filozofię w podejściu do ochrony danych. Do tej pory polska ustawa, a w zasadzie rozporządzenie wykonawcze do tej ustawy przewidywało czy narzucało wszystkim administratorom, niezależnie od ich wielkości i ilości przetwarzanych danych, minimalne rozwiązania w zakresie ich zabezpieczenia. To znaczy do 25 maja 2018 r. każdy administrator danych w Polsce powinien posiadać politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym, o ile przetwarzał dane elektronicznie. RODO przerzuca ciężar wykazania, że ochrona danych została zapewniona, na poszczególnych administratorów. I w zależności od konkretnego kontekstu przetwarzania danych oznacza to, że właściciel kiosku zatrudniający dwóch pracowników może ocenić, że w ogóle nie potrzebuje przygotowywać polityki bezpieczeństwa, bo ryzyka naruszenia prawa w związku z przetwarzaniem danych osobowych jest marginalne. Natomiast administrator przetwarzający stale i na dużą skalę dane wrażliwe, nie tylko powinien wdrożyć odpowiednią dokumentację, ale powinien również przeprowadzać cykliczne szkolenia dla swoich pracowników, którzy na tych danych pracują.
Zmiana filozofii polega głównie na tym, że to nie ustawodawca wskaże nam sposoby zabezpieczania danych, ale to administrator będzie musiał dopasować stopień zabezpieczeń do swojej organizacji i ryzyka, jakie u siebie zidentyfikuje. Do tego dojdzie konieczność „donoszenia na samego siebie” w przypadku naruszenia przepisów, czy katalog kilkunastu uprawnień naprawczych organu nadzorczego, czyli dzisiejszego GIODO. I na tle tych uprawnień znowu narosło bardzo dużo mitów, bo wcale nie jest tak, że RODO wprowadza wyłącznie administracyjne kary pieniężne, i to jeszcze po to, żeby łatać dziury budżetowe.
W jakich branżach przedsiębiorcy szczególnie odczują wejście w życie nowych przepisów?
Na pewno w tych branżach, w których przetwarzanych jest bardzo dużo danych, w tym tych wrażliwych. A więc szeroko rozumiany sektor usług medycznych, sektor bankowy, ubezpieczeniowy. Ale też sektor usług outsourcingowych, obsługujących procesy z wykorzystaniem danych osobowych. Zatem call-center, biura kadrowe, rachunkowe, wreszcie znowu szeroko pojęte IT, zarówno jeśli chodzi o centra hostingowe, jak i podmioty oferujące, a następnie wspierające obsługę oprogramowania wykorzystywanego do przetwarzania danych.
Jakie zmiany najbardziej dotkną działy HR?
Działy HR będą musiały uwrażliwić się na ochronę danych. Dzisiaj zdarza nam się chyba przymrużać oko na obowiązujące regulacje, które to wydają nam się zbędne lub niezrozumiałe. Albo co najmniej „zakurzone”, bo nieużywane. Wspomnijmy chociażby o tym, że nasza ustawa wymaga poinformowania osoby, której dane przetwarzamy, m.in. o celu przetwarzania czy prawie dostępu do ich treści. W praktyce pracodawcy wcale, albo bardzo rzadko realizują ten obowiązek. Podobny obowiązek jest przewidziany w RODO.
Dzisiaj pracodawcy przygotowują się na realizację obowiązku informacyjnego z art. 13 RODO w taki sposób, jakby było to coś nowego. A wcale tak nie jest. Podobnie z kwestią upoważnień do przetwarzania danych. Każdy pracownik przetwarzający dane powinien być przez administratora, czyli swojego pracodawcę, umocowany do takich czynności, na zasadach podobnych jak przy udzielaniu pełnomocnictwa. Bez upoważnienia ani pracodawca nie może powierzyć pracownikowi działu HR danych osobowych pracowników, ani pracownik taki nie może na danych pracować.
W moim przekonaniu wejście w życie RODO będzie miało pozytywny skutek ze względu na to, że będziemy musieli przypomnieć sobie zasady, zgodnie z którymi powinniśmy pracować na danych. I to będzie najbardziej wymagająca zmiana. Nie tylko dla działów HR, ale każdej osoby zajmującej się ochroną danych. Zmiana nie merytoryczna, bo tych jest niewiele, ale mentalna. Musimy raz na zawsze uznać, że ochrona poufności danych osobowych jest ważna. Choćby portale społecznościowe, gdzie sami i dobrowolnie publikujemy przeróżne informacje na swój temat, przekonywały że jest inaczej.
Jakie dane osobowe pracowników w świetle rozporządzenia będą szczególnie chronione?
Wszystkie dane muszą być chronione tak samo. Nie ma danych osobowych mniej lub bardziej ważnych. Z perspektywy RODO mówimy o jednym wielkim katalogu z napisem „dane osobowe”, do którego wrzucamy takie informacje jak dane teleadresowe, informacje o stanie zdrowia, ale też kolorze oczu czy numerze buta. Wszystkie one, o ile stanowią dane osobowe, podlegają ochronie.
Podział na dane „zwykłe” i „szczególnie wrażliwe” ma znaczenie z punktu widzenia podstaw ich przetwarzania, to znaczy tego, w jakich okolicznościach mogę te dane zbierać i w jakim celu. Oczywiście, przetwarzając dane medyczne administrator powinien zachować większą ostrożność i zastosować lepsze mechanizmy zabezpieczające, ale nie wynika to z charakteru tych danych, tylko ryzyka naruszenia praw lub wolności osoby, której te dane dotyczą - w przypadku gdyby doszło np. do wycieku danych. I tutaj wracamy znowu do zmiany filozofii w podejściu do ochrony danych. Skoro to administrator ma ocenić, jakie ryzyko niesie przetwarzanie przez niego danych osobowych, kontekst przetwarzania i charakter danych będzie wymagał zastosowania odpowiednich środków organizacyjnych i technicznych w celu minimalizacji tych ryzyk.
Jakie widzi Pan potencjalne korzyści dla pracowników?
Świadomość. To w mojej ocenie największa korzyść. Zresztą nie tylko dla pracowników, ale dla każdego. Ze względu na konieczność przestrzegania przez administratorów zasady przejrzystości przetwarzania, w tym konieczność przekazywania osobom, których dane dotyczą, szeregu informacji na temat tego, co dzieje się z ich danymi, będziemy mogli domagać się np. dostępu do tych danych czy ich sprostowania lub usunięcia. Oczywiście, w przypadku pracowników nie wszystkie uprawnienia będą możliwe do realizacji. Ze względu na obowiązki prawne w zakresie przechowywania dokumentacji pracowniczej pracownik nie będzie mógł przykładowo skutecznie skorzystać z prawa do bycia zapomnianym lub ograniczyć przetwarzania swoich danych. Natomiast będziemy mogli zażądać całkowitego skasowania naszych danych przez operatora telefonii komórkowej lub bank, z którego usług już nie korzystamy. Mówiąc o tym, zawsze przypomina mi się przypadek byłego klienta jednego z banków, który pozwał bank o zadośćuczynienie w związku z nielegalnym przetwarzaniem jego danych osobowych. Cel związany z przetwarzaniem przestał istnieć, bo umowa o świadczenie usług uległa rozwiązaniu. W czym przejawiło się zatem to nielegalne przetwarzanie? Bank wysyłał do swojego byłego klienta kartki z życzeniami świątecznymi. Sprawa zakończyła się tym, że sąd zasądził od banku zadośćuczynienie za naruszenie prawa do prywatności.
Zajmijmy się kwestią wynagrodzeń w świetle RODO. Czy informacja o wysokości wynagrodzenia konkretnego pracownika jest daną osobową?
Bez wątpienia tak. Mówimy tutaj o wynagrodzeniu konkretnego pracownika, a więc o informacji dotyczącej zidentyfikowanej osoby fizycznej. Zgodnie z definicją RODO, wszelkie takie informacje podlegają ochronie prawnej, chyba że prawo wyraźnie przewiduje jakieś wyjątki w tym zakresie.
Czy rozporządzenie w jakiś dodatkowy sposób będzie chroniło dane o wysokości wynagrodzeń pracowników?
Rozporządzenie nie zmienia obecnej zasady, że należy przestrzegać poufności takich danych. Dodatkowa dbałość w tym zakresie nie będzie wynikała z jakichś szczególnych obowiązków poufności o wysokości otrzymywanego wynagrodzenia, bo dane takie są danymi „zwykłymi”, a nie szczególnej kategorii, jak dane medyczne czy dotyczące przynależności związkowej. Mówimy tu raczej o ogólnej zmianie podejścia do ochrony danych.
Czy zmiany dotyczyć będą również przechowywania i przetwarzania danych o wynagrodzeniach?
W pewnym sensie tak. Mówię „w pewnym sensie”, bo zasada ograniczenia czasowego przetwarzania danych czy ograniczonego dostępu do danych obowiązują już obecnie. Wraz z wejściem w życie RODO, trzeba będzie bardziej uważnie podejść do przechowywania dokumentacji kadrowo-płacowej, i po okresie wymaganym przez przepisy ubezpieczeniowe, taką dokumentację anonimizować lub niszczyć. Podobnie jeśli chodzi o dostęp do danych. Administratorzy powinni dążyć do tego, aby krąg osób przetwarzających dane, a więc także mających dostęp do danych płacowych, był w miarę możliwości wąski.
Czy wprowadzenie RODO oznacza, że przepisy dotyczące ochrony danych dotyczących wynagrodzeń pracowników zostaną ujednolicone w Unii Europejskiej?
Tak, ale odnosi się to nie tylko do danych dotyczących wynagrodzeń, ale do wszystkich danych osobowych. Przetwarzanie danych w ramach całej Unii będzie prostsze, bo będziemy mieli pewność, że każdy podmiot zlokalizowany na terenie UE musi spełniać taki sam standard bezpieczeństwa jak my.
Czy RODO zaostrza w jakiś sposób przekazywanie danych o pracownikach pomiędzy oddziałami spółki znajdującymi się w różnych krajach?
Wręcz przeciwnie, RODO łagodzi dzisiejsze dylematy. W motywie 48 RODO wprost przewiduje, że administratorzy będący częścią grupy kapitałowej, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy do wewnętrznych celów administracyjnych, co dotyczy też danych osobowych klientów lub pracowników. W mojej ocenie oznacza to, że będzie dopuszczalne przesyłanie danych dotyczących wysokości wynagrodzeń pracowników wewnątrz grupy kapitałowej, w celu prowadzenia wspólnej polityki płacowej. Do tej pory istniały poważne wątpliwości co do tego, czy spółki córki mogą przesyłać swoje listy płac do spółki matki. Z punktu widzenia prawa, dochodziło wtedy do przekazywania danych osobowych pomiędzy różnymi administratorami, i to jeszcze w celu innym niż realizacja umowy o pracę.
W świecie wynagrodzeń coraz większą rolę odgrywa transparentność wynagrodzeń. Dąży się do osiągniecia jak najwyższego jej stopnia. Jak przepisy RODO wpłyną na ten trend?
Wspominana przeze mnie zasada poufności informacji o wysokości otrzymywanego wynagrodzenia jest według mnie nieporozumieniem, gdyż prowadzi do kolizji wartości chronionych, w tym także na szczeblu unijnym. Mam tutaj na myśli rozdźwięk pomiędzy ochroną danych osobowych z jednej strony, a regulacjami antydyskryminacyjnymi lub szerzej równościowymi z drugiej. Proszę się zastanowić, w jaki sposób pracownik ma dzisiaj ustalić, czy jest traktowany równo w zakresie wynagradzania, nie mając wiedzy na temat tego, jakie wynagrodzenie otrzymuje jego kolega zatrudniony przy tej samej pracy lub pracy o tej samej wartości? Przecież nie będzie chodził i pytał każdego kolegi z osobna, ile zarabia. Doskonale wiemy, że systemy wynagradzania stosowane przez pracodawców zazwyczaj niewiele nam w tym temacie powiedzą. Informacja o tym, że na moim stanowisku widełki płacowe wynoszą od 3 000 PLN do 5 000 PLN, przy czym ja zarabiam 4 000 PLN wcale nie musi oznaczać, że jestem w połowie stawki. Przecież wszyscy pozostali mogą zarabiać 5 000 PLN, a ja będę opłacany najgorzej. Inna rzecz, że dzisiaj nikt w Polsce nie odważy się powiedzieć, że pracodawca nie może zaproponować pracownikowi warunków płacowych bardziej korzystnych od tych ustalonych w regulaminie wynagradzania. Pokutuje u nas wizja tego, że dyskryminacja może być wyłącznie negatywna, to znaczy że wszyscy mają lepiej, tylko ja mam źle. A przecież faworyzowanie jednej osoby z zespołu oznacza, że również mamy do czynienia z nierównym traktowaniem, tyle że nierówno traktowana jest grupa osób, a nie jedna osoba. Z punktu widzenia równości, nie ma to absolutnie żadnego znaczenia. Jak zatem mam ustalić, czy ze względu na moje słabsze umiejętności negocjacyjne, pracodawca nie płaci mi mniej niż innym?
Jeśli chodzi o informację o wysokości wynagrodzeń, jestem za transparentnością, która słusznie jest aktualnym trendem w krajach zachodnich. Oczywiście nie oznacza to, że muszę znać wysokość wynagrodzenia wszystkich pracowników. Ale już pracowników wykonujących podobne prace, mających podobne kwalifikacje lub których stanowiska są w zasięgu mojej ręki, to i owszem. Do tego niezbędna byłaby jednak interwencja ustawodawcza. A wcześniej zmiana naszego sposobu myślenia o równości i negocjowaniu warunków płacowych. Dzisiaj niestety nawet prawnikom często wydaje się, że równość to to samo co jednakowość. A jednakowość kojarzy nam się pejoratywnie z wizją świata z książki Orwela „1984”. Tymczasem równość to nie to samo co jednakowość. Wynagradzanie równe, to nie wynagradzanie w takiej samej wysokości. Zawsze musimy postawić pytanie, czy pracownicy posiadają takie same cechy istotne, np. wykształcenie, doświadczenie, staż pracy, umiejętności zarządcze. Jeśli cechy istotne są zróżnicowane, to i zróżnicowane może być wynagrodzenie, choćby na tym samym stanowisku.
Jak nowe przepisy wpłyną na outsourcing kadr i płac firmom zewnętrznym?
Przy outsourcingu usług kadrowo – płacowych RODO nie wprowadza jakiś nowych wymogów. Już dzisiaj, aby przekazanie danych do podmiotu trzeciego było legalne, musimy zawrzeć z takim podmiotem umowę powierzenia przetwarzania danych, czyli zalegalizować proces przetwarzania przez podmiot zewnętrzny względem administratora danych. Zasada przekazywania danych w oparciu o umowę pomiędzy administratorem, a podmiotem przetwarzającym pozostanie aktualna. RODO w sposób szczegółowy reguluje przedmiot takiej umowy, wskazując że przetwarzanie danych przez procesora ma się odbywać wyłącznie na udokumentowane polecenie administratora.
Administrator będzie musiał zadbać również o to, aby dostawca któremu dane osobowe zostaną przekazane, zapewnił wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych po to, aby przetwarzanie było zgodne z RODO. Innymi słowy, wybierając dostawcę usług przetwarzania, np. firmę obsługującą kadry i płace, administrator będzie ponosił odpowiedzialność za zachowanie poufności danych przez swojego kontrahenta. Oczywiście będę mógł wybrać kogokolwiek, ale ryzyko za działanie takiego dostawcy będę ponosił ja... Stąd kluczowe jest zabezpieczenie interesów administratora w zawieranej umowie, aby zapewnić sobie możliwość dochodzenia odszkodowania, w przypadku naruszenia zasad przetwarzania lub warunków zabezpieczenia danych wskazanych w umowie.
Podsumowując, co doradziłby Pan działom HR przygotowującym się do wejścia w życie nowych przepisów? Na co warto zwrócić szczególną uwagę?
Zwróciłbym uwagę na to, by uwrażliwić się na kwestię przetwarzania danych. Koniecznym byłoby sięgniecie do obowiązujących dokumentów - polityki bezpieczeństwa, wzorów zgód, informacji czy upoważnień i odświeżenie ich zapisów. Jeśli dziś procesy przetwarzania są kontrolowane i mamy świadomość ważności tematu jakim jest poufność danych, to RODO nie będzie dla nas rewolucją. Jeśli jednak do tej pory ochrona danych osobowych nie była u nas priorytetem, to trzeba będzie uświadomić sobie ryzyka związane z takim podejściem. Nie jest jednak tak, że od wejścia w życie RODO pracodawcy na pierwszym miejscu w organizacji będą musieli postawić ochronę danych osobowych. Nie popadajmy w skrajność. Rozwiązania przyjęte w RODO opierają się na zasadzie proporcjonalności, i nikt od nas nie będzie wymagał tego, na co racjonalnie patrząc nie bylibyśmy w stanie sobie pozwolić.
Dziękuję za rozmowę!
dr Karol Kulig
Uczestnik licznych projektów na styku prawa i biznesu, dotyczących m.in. wynagradzania pracowników, oskładkowania wynagrodzenia, przeprowadzania zwolnień grupowych czy zatrudniania kadry menadżerskiej. W ramach codziennej praktyki wspiera pracodawców i działy HR w obszarach związanych z ochroną danych osobowych oraz w zakresie prawnych aspektów procesu rekrutacji. Doświadczony szkoleniowiec.
