Zmiany w prawie pracy

Możliwość pozyskiwania zaświadczeń o niekaralności i aktualizacja okresu przechowywania dokumentacji pracowniczej to nowe zmiany w prawie pracy. Chciałoby się powiedzieć nareszcie. Ustawodawca po wielu zapewnieniach i obietnicach w końcu przeszedł do ich realizacji i proponuje nowe regulacje. Pod lupę w dzisiejszym wpisie wezmę zmiany w prawie pracy objęte przez:

  1. projekt ustawy o zmianie niektórych ustaw w celu poprawy otoczenia prawnego przedsiębiorców oraz
  2. projekt założeń projektu ustawy o zmianie niektórych ustaw w związku ze skróceniem okresu przechowywania akt pracowniczych oraz ich elektronizacją.

Z uwagi na dynamiczny rozwój wydarzeń wpis jest krótką refleksją na stan legislacyjny na dzień 23 września br. Celem proponowanych zmian jest:

  • doprecyzowanie zagadnień wywołujących wątpliwości interpretacyjne,
  • redukcja niektórych obowiązków administracyjnych,
  • wspieranie rozwoju przedsiębiorczości i podniesienie efektywności pracy.

Proponuje się zmiany w prawie pracy m.in. w ustawie o swobodzie działalności gospodarczej, w prawie pracy i ubezpieczeń społecznych, w prawie budowlanym, prawie technicznym, prawie handlowym oraz finansowym i ochrony środowiska. Nie sposób opisać ich w kilku czy nawet kilkunastu wpisach. Z uwagi na doniosłość zmian w Kodeksie pracy, a także zmian w kontekście możliwości zbierania oświadczeń o niekaralności – przyjrzę się im bliżej.

Pierwsza kwestia dotyczy często przywoływanego przez nas w kontekście ochrony danych osobowych, art. 221 ustawy Kodeks pracy. Zmiany zmierzają ku poszerzeniu kręgu pracodawców, którzy będą mogli żądać od osób ubiegających się o zatrudnienie podania informacji o niekaralności. Obecnie pracodawca może ich żądać w ściśle określonych przypadkach tzn. wskazanych przez przepisy prawa. Dla przykładu nauczyciel w celu potwierdzenia spełniania warunku niekaralności za przestępstwo popełnione umyślnie przed nawiązaniem stosunku pracy obowiązany jest przedstawić dyrektorowi szkoły informację z Krajowego Rejestru Karnego ( art. 10 ust. 8a ustawy Karta Nauczyciela). Jak czytamy z uzasadnienia projektu ustawy o zmianie niektórych ustaw w celu poprawy otoczenia prawnego przedsiębiorców:

„Pracodawca, będący podmiotem podlegającym nadzorowi Komisji Nadzoru Finansowego w rozumieniu ustawy z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym będzie miał prawo żądać od osoby ubiegającej się o zatrudnienie podania informacji w zakresie skazania prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe”.

Jednocześnie należy zaznaczyć, że udokumentowanie informacji o niekaralności, będzie mogło nastąpić wyłącznie po uprzednim uzyskaniu pisemnej zgody osoby ubiegającej się o zatrudnienie. Po pierwsze brak jest zamkniętego i jasno określonego katalogu podmiotów, które będą mogły żądać od kandydatów do pracy zaświadczeń o niekaralności. Po drugie brak jasno określonych stanowisk na które aplikacja będzie wiązała się z koniecznością podania informacji z Krajowego Rejestru Karnego. Już chociażby te dwa aspekty mogą w przyszłości prowadzić do licznych nadużyć. Co warto dodać zakres przestępstw jest okrojony wyłącznie do przestępstw skarbowych. Pytanie czy jest to wystarczające? Informacje te stanowią jedynie małą część informacji gromadzonych w Krajowym Rejestrze Karnym. Pracodawca nie będzie miał zatem dostępu do informacji o prawomocnym warunkowo umorzonym postępowaniu karnym czy też prawomocnym skazaniu pracownika przez sądy państw obcych.

Druga kluczowa zmiana dotyczy skrócenia czasu przechowywania dokumentacji kadrowo – płacowej z 50 do 10 lat. Z zastrzeżeniem, że ZUS będzie gromadził informacje wystarczające do ustalenia i przyznania świadczenia z ubezpieczenia społecznego w takim zakresie, aby ubezpieczony miał zagwarantowane bezpieczeństwo otrzymania wybranego świadczenia oraz prawidłowego ustalenia jego wysokości. Warto dodać, że projekt przewiduje fakultatywną możliwość gromadzenia i przechowywania akt osobowych i pozostałej dokumentacji pracowniczej w formie elektronicznej. Celem niniejszej zmiany jest obniżenie kosztów ponoszonych przez pracodawców w związku z przechowywaniem akt osobowych w wersji papierowej. Duże koszty związane są chociażby z koniecznością powierzenia archiwizacji dokumentacji podmiotom zewnętrznym.

Kończąc, należy zauważyć, że ww. projekty ustaw jak na razie są na etapie konsultacji społecznych i ciężko jest mówić o jakichkolwiek konsekwencjach w obrębie ochrony danych osobowych. Jedyne co nam pozostaje to czekać z niecierpliwością na kolejne doniesienia z rządowego centrum legislacji.

Inspektor ochrony danych

Konferencja – Inspektor ochrony danych: kontynuator administratora bezpieczeństwa informacji czy nowa funkcja zapewniająca przestrzeganie przepisów o ochronie danych osobowych?

Podczas konferencji, która odbyła się 29 czerwca w Warszawie, pochylono się nad funkcją, istotą oraz zadaniami jakie będą przysługiwały inspektorowi ochrony danych na gruncie unijnego rozporządzenia w sprawie ochrony danych osobowych.

Inspektor ochrony danych powinien posiadać fachową wiedzę i znajomość praktyki. Szeroko rozumiane eksperckie umiejętności wydają się kluczem do sukcesu. Tego właśnie będzie oczekiwało się od inspektorów ochrony danych. Waga tej funkcji była podkreślana przez wszystkich prelegentów. Inspektor ma za zadanie w dużej ogólności chronić prywatność osób, których dane dotyczą.

Inspektor ochrony danych osobowych powinien być zaangażowanych w procesy przetwarzania danych osobowych zachodzące w organizacji.

Jedno z wystąpień dotyczyło tego w jaki sposób przygotować obecnych administratorów bezpieczeństwa informacji do pełnienia funkcji inspektora ochrony danych. Wnioski jakie można wysnuć dotyczą głównie tego, iż potrzebujemy specjalistów, którzy doskonale będą poruszać się w kwestiach związanych z:

  • oceną ryzyka przetwarzania danych osobowych,
  • analizą skutków procesów przetwarzania danych osobowych zachodzących w firmie,
  • koncepcją „prywatność w fazie projektowania” i możliwości jej praktycznego wykorzystania,
  • nowym podejściem przyjętym na gruncie dotyczącym zasady rozliczalności.

Co warto zauważyć decyzyjność ciągle będzie spoczywała na administratorze danych, z tym że Inspektor ochrony danych powinien być niezależny w sprawowaniu swojej funkcji. Nie można wydawać mu instrukcji co do wykonywania zadań i obowiązków z zakresu ochrony danych osobowych. Rozporządzenie wskazuje dodatkowo na ochronę zatrudnienia inspektora. Co ważne na inspektora ochrony danych nie mogą być nałożone inne obowiązki niż te związane z ochroną danych osobowych. Inspektor będzie także zobowiązany do zachowania tajemnicy zawodowej.

Wyzwania jakie stoją przed ABI w kontekście unijnego rozporządzania są niełatwe. Można najogólniej powiedzieć, iż do zadań inspektora ochrony danych będzie należało budowanie bezpieczeństwa prawnego administratora danych. I tak mówiąc bardziej szczegółowo do jego zadań będzie należało:

  1. informowanie administratora, podmiotu przetwarzającego oraz pracowników o obowiązkach związanych z ochroną danych osobowych,
  2. monitorowanie procesów przetwarzania danych osobowych zachodzących w firmie,
  3. przeprowadzanie szkoleń z zakresu ochrony danych osobowych,
  4. przeprowadzanie audytów,
  5. ciągłe monitorowanie operacji przetwarzania danych osobowych w systemach informatycznych,
  6. dokonywanie oceny skutków (analiza ryzyka) na planowe operacje związane z przetwarzaniem danych osobowych,
  7. współpraca z organem nadzorczym,
  8. pełnienie funkcji punktu kontaktowego w kwestiach związanych z przetwarzaniem danych osobowych w firmie.

Kolejna kwestia, która jest warta uwagi dotyczy tego jakie działania będzie musiał podjąć inspektor ochrony danych osobowych i nad czym powinien się zastanowić w pierwszych dniach swojej pracy. Działania te można w ślad za jednym z prelegentów pogrupować w następujący sposób:

  1. Przegląd – konieczność przeglądu przez inspektora ochrony danych osobowych klauzul zgód na przetwarzanie danych osobowych, a także klauzul obowiązków informacyjnych. Jak wskazano podczas konferencji klauzule obowiązku informacyjnego w sferze publicznej będzie można ograniczyć do wskazanym enumeratywnie zakresie. W kontekście klauzul zgód na przetwarzanie danych osobowych trzeba będzie się zastanowić nad rozdzieleniem dwóch celów, które w praktyce są określane jako jeden cel – określany zbiorczo marketingowym. Mam na myśli cel analityczny. Prelegenci postulowali nad rozłączeniem tych dwóch celów. Inspektor ochrony danych osobowych powinien dodatkowo dokonać przeglądu umów powierzenia przetwarzania danych osobowych. Pewnym novum będzie także konieczność szczegółowego i konkretnego określenia środków bezpieczeństwa występujących w firmie. Nie będzie można już posługiwać się sformułowaniem zapewniamy „odpowiednie środki techniczne i organizacyjne”. Konkretne działania i konkretne środki bezpieczeństwa!
  2. Strategia – należy zauważyć, że w przypadku wtórnego wykorzystania danych osobowych muszą one zostać poddane operacji pseudonimizacji. Inspektor ochrony danych osobowych powinien się także zastanowić nad przeglądem mechanizmów transferowych.
  3. IT – ta sfera według prelegentów konferencji to klucz programu. Działania w tej sferze będą kosztowne chociażby „wbudowanie” koncepcji prywatność w fazie projektowania. Pojęcie to jak na razie nie jest dokładnie sprecyzowane. Niemniej dział IT każdej firmy powinien wspierać realizację praw podmiotów, których dane dotyczą (w tym prawo dostępu do danych osobowych przetwarzanych przez administratora danych).
  4. Monitoring – w tym ocena skutków regulacji z zakresu ochrony danych osobowych.
  5. Procedury – do zadań inspektora ochrony danych będzie należało stworzenie procedur obejmujących następujące kwestie: prawo dostępu (na jakich warunkach, kto może mieć dostęp do danych osobowych – należy wspomnieć, że na gruncie unijnego rozporządzenia nie będzie już 6 miesięcznej karencji jak w przypadku polskiej ustawy o ochronie danych osobowych), procedurę dotycząca wydawania kopii danych osobowych, czy procedurę zgłaszania naruszeń do GIODO.
  6. Mechanizm spójności – w tym konieczność uzyskania certyfikacji czy spełnienie wymagań stawianych przez standardy ISO.

Kształcenie inspektorów ochrony danych to istotne zagadnienie, ale teraz regulacje natury technicznej wydają się ważniejsze.

W trakcie konferencji pojawił się pomysł by rozbudować Kodeks etyki zawodowej administratorów bezpieczeństwa informacji i dostosować go do rozwiązań jakie będą przyjęte w ramach unijnego rozporządzenia.

Zauważono także, że polski porządek prawny należy dostosować do standardów unijnych. Rozporządzenie unijne przewiduje bowiem działania polskiego ustawodawcy. W 60 miejscach rozporządzenia istnieje możliwość by polski regulator dokonał zmian dostosowując unijną regulację do polskiego porządku prawnego. Dlatego też warto zaczekać z wprowadzaniem zmian zarówno w sferze organizacyjnej jak i prawnej każdej z organizacji. Warto śledzić na bieżąco poczynania polskiego ustawodawcy, analizować treść rozporządzenia, a także wytycznych czy zalecenń wydawanych przez instytucje unijne.

Prawo do prywatności a dyrektywa PNR

Dzisiejsza debata Parlamentu Europejskiego skłoniła mnie do wpisu odnośnie reformy ochrony danych osobowych w kontekście dyrektywy w sprawie danych dotyczących przelotów pasażera. Pierwsza część wpisu dotyczy niedoskonałości jakie zauważam na tle ww. regulacji, druga zaś dotyczy ingerencji służb specjalnych i organów ścigania w dane osobowe pasażerów (PNR).

Dyrektywa w sprawie danych dotyczących pasażerów

Jak czytamy w komunikacie[1], w kontekście ochrony danych osobowych, Parlament Europejski dąży do tego, by dyrektywa była zgodna z zasadą proporcjonalności i zapewniała w maksymalny sposób zabezpieczenie danych osobowych poprzez zawężenie wykazu poważnych przestępstw uzasadniających wykorzystywanie danych PNR przez służby specjalne i organy ścigania w celach komercyjnych.

Kolejne wątpliwości dotyczą kwestii powołania urzędników ds. ochrony danych w każdej jednostce ds. informacji o pasażerach. Jakie warunki powinien spełnić kandydat na takie stanowisko i jakie będzie posiadał kompetencje powinny zostać szczegółowo określone. W mojej ocenie należy także wzmocnić uprawnienia organów ochrony danych w zakresie monitorowania wykorzystywanych danych PNR, a także rygorystyczne warunki dostępu do zanonimizowanych danych PNR po upływie sześciu miesięcy. Kto będzie mógł mieć do nich dostęp, w jakich sytuacjach i na jakiej podstawie prawnej.

Intuicyjnie potrafimy wskazać przypadki ingerencji uprawnionych służb i organów ścigania w przyznane nam konstytucyjne wolności i prawa. Nie sposób opisać ich wszystkich stąd druga część wpisu dotyczyć będzie analizy projektu dyrektywy w sprawie danych dotyczących przelotów pasażera (PNR) w kontekście szeroko rozumianego prawa do prywatności.

Wiele organizacji pozarządowych zgłasza uwagi co do projektu dyrektywy. Organizacje stawiają pytanie co stało się z koniecznością zapewnienia równowagi pomiędzy wymogami związanymi z zapewnieniem bezpieczeństwa, a gwarancjami w zakresie praw podstawowych. Przed szereg wysuwają się zastrzeżenia co do pozyskiwania danych o pasażerach przez służby. Organy państwa uzyskają nieograniczony dostęp do szczegółowych danych pasażera. Dane te można podzielić na trzy grupy. Po pierwsze są to dane osobowe pasażera w zakresie imienia, nazwiska, wieku itd. Druga grupa dotyczy natomiast danych o locie. Warto wspomnieć, iż pasażer zobowiązany jest do podania szczegółowych informacji po zamknięciu bramek (dane kontaktowe osoby dokonującej rezerwacji, adnotacje o niestawieniu się na lot czy kontakt do agencji turystycznej lub biura linii lotniczych, w których dokonano rezerwacji). Co prawda celem dyrektywy jest zapobieganie i zwalczanie przestępstw terrorystycznych oraz innych poważnych przestępstw, ale cel ten zmierza w mojej ocenie ku profilowaniu i ograniczaniu prywatności. Profilowanie sprowadza się do sklasyfikowania podróżnego pod kątem takich kryteriów, jak pochodzenie etniczne, miejsce do którego leci czy informacje o powrocie.

W komunikacie wydanym przez Parlament Europejski czytamy, iż dane PNR obejmują informacje o pasażerach korzystających z transportu lotniczego znajdującego się w posiadaniu linii lotniczych i wykorzystywane są do celów operacyjnych. Z danych o pasażerach korzystają między innymi uprawnione polskie służby, służby innych państw, a także jednostka ds. informacji. Przy czym jednostka ds. informacji odpowiedzialna jest za wymianę informacji o pasażerach pomiędzy państwami członkowskimi. Organy te następnie są odbiorcami danych PNR. Dane przechowywane są przez okres 5 lat: wszystkie dane identyfikacyjne są w pełni dostępne przez sześć miesięcy, a następnie przechowuje się je w formie zanonimizowanej (Komisja wstępnie proponowała okres 30 dni, zaś Rada dwóch lat). Okres ten powinien być wystarczający do prowadzenie analiz i wykorzystywania ich w dochodzeniach.

Z projektu dyrektywy czytamy, iż za prawidłową wymianę informacji za pomocą bezpiecznego unijnego systemu wymiany danych PNR między państwami członkowskimi powinien odpowiadać EUROPOL. Będzie on odpowiedzialny za opracowanie i zarządzanie systemu. W projekcie jest także wzmianka o tym, że Europejski Inspektor Ochrony Danych powinien odpowiadać za monitorowanie przetwarzania danych osobowych z użyciem unijnego systemu wymiany danych PNR z Europolem.

Kończąc należy zauważyć, że przyjęcie dyrektywy PNR pozwoli na zwalczanie najpoważniejszych zagrożeń dla bezpieczeństwa obywateli z odpowiednim wyprzedzeniem. Aktywność służb będzie bazowała przede wszystkim na informacjach przekazanych przez jednostki ds. informacji na dwa sposoby. Pierwszą z nich jest metoda „pobierania” polegająca na tym, że właściwe organy państw członkowskich potrzebujące danych mogą sięgnąć (skorzystać z dostępu) do systemu rezerwacji przewoźnika lotniczego i uzyskać kopię potrzebnych danych. Druga zaś to metoda „dostarczania”, polegająca na tym, że przewoźnicy lotniczy i podmioty gospodarcze niebędące przewoźnikami przekazują potrzebne dane PNR na wniosek danego organu, co pozwala przewoźnikom lotniczym zachować kontrolę nad tym, jakie dane są przekazywane. Tym samym druga z metod zapewnia wyższy stopień ochrony danych osobowych.

To tylko niektóre z wątpliwości jakie zauważam na tle omawianych regulacji. Trudno jest mi powiedzieć jak będzie wyglądać przyszłość ochrony danych osobowych pasażerów. Pozostaje nam tylko czekać na oficjalne komunikaty z dzisiejszego posiedzenia i zastanawiać się co przyniesie jutro…

[1] Komunikat z posiedzenia plenarnego Parlamentu Europejskiego 07/04/2016