Zmiany w prawie pracy

Możliwość pozyskiwania zaświadczeń o niekaralności i aktualizacja okresu przechowywania dokumentacji pracowniczej to nowe zmiany w prawie pracy. Chciałoby się powiedzieć nareszcie. Ustawodawca po wielu zapewnieniach i obietnicach w końcu przeszedł do ich realizacji i proponuje nowe regulacje. Pod lupę w dzisiejszym wpisie wezmę zmiany w prawie pracy objęte przez:

  1. projekt ustawy o zmianie niektórych ustaw w celu poprawy otoczenia prawnego przedsiębiorców oraz
  2. projekt założeń projektu ustawy o zmianie niektórych ustaw w związku ze skróceniem okresu przechowywania akt pracowniczych oraz ich elektronizacją.

Z uwagi na dynamiczny rozwój wydarzeń wpis jest krótką refleksją na stan legislacyjny na dzień 23 września br. Celem proponowanych zmian jest:

  • doprecyzowanie zagadnień wywołujących wątpliwości interpretacyjne,
  • redukcja niektórych obowiązków administracyjnych,
  • wspieranie rozwoju przedsiębiorczości i podniesienie efektywności pracy.

Proponuje się zmiany w prawie pracy m.in. w ustawie o swobodzie działalności gospodarczej, w prawie pracy i ubezpieczeń społecznych, w prawie budowlanym, prawie technicznym, prawie handlowym oraz finansowym i ochrony środowiska. Nie sposób opisać ich w kilku czy nawet kilkunastu wpisach. Z uwagi na doniosłość zmian w Kodeksie pracy, a także zmian w kontekście możliwości zbierania oświadczeń o niekaralności – przyjrzę się im bliżej.

Pierwsza kwestia dotyczy często przywoływanego przez nas w kontekście ochrony danych osobowych, art. 221 ustawy Kodeks pracy. Zmiany zmierzają ku poszerzeniu kręgu pracodawców, którzy będą mogli żądać od osób ubiegających się o zatrudnienie podania informacji o niekaralności. Obecnie pracodawca może ich żądać w ściśle określonych przypadkach tzn. wskazanych przez przepisy prawa. Dla przykładu nauczyciel w celu potwierdzenia spełniania warunku niekaralności za przestępstwo popełnione umyślnie przed nawiązaniem stosunku pracy obowiązany jest przedstawić dyrektorowi szkoły informację z Krajowego Rejestru Karnego ( art. 10 ust. 8a ustawy Karta Nauczyciela). Jak czytamy z uzasadnienia projektu ustawy o zmianie niektórych ustaw w celu poprawy otoczenia prawnego przedsiębiorców:

„Pracodawca, będący podmiotem podlegającym nadzorowi Komisji Nadzoru Finansowego w rozumieniu ustawy z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym będzie miał prawo żądać od osoby ubiegającej się o zatrudnienie podania informacji w zakresie skazania prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe”.

Jednocześnie należy zaznaczyć, że udokumentowanie informacji o niekaralności, będzie mogło nastąpić wyłącznie po uprzednim uzyskaniu pisemnej zgody osoby ubiegającej się o zatrudnienie. Po pierwsze brak jest zamkniętego i jasno określonego katalogu podmiotów, które będą mogły żądać od kandydatów do pracy zaświadczeń o niekaralności. Po drugie brak jasno określonych stanowisk na które aplikacja będzie wiązała się z koniecznością podania informacji z Krajowego Rejestru Karnego. Już chociażby te dwa aspekty mogą w przyszłości prowadzić do licznych nadużyć. Co warto dodać zakres przestępstw jest okrojony wyłącznie do przestępstw skarbowych. Pytanie czy jest to wystarczające? Informacje te stanowią jedynie małą część informacji gromadzonych w Krajowym Rejestrze Karnym. Pracodawca nie będzie miał zatem dostępu do informacji o prawomocnym warunkowo umorzonym postępowaniu karnym czy też prawomocnym skazaniu pracownika przez sądy państw obcych.

Druga kluczowa zmiana dotyczy skrócenia czasu przechowywania dokumentacji kadrowo – płacowej z 50 do 10 lat. Z zastrzeżeniem, że ZUS będzie gromadził informacje wystarczające do ustalenia i przyznania świadczenia z ubezpieczenia społecznego w takim zakresie, aby ubezpieczony miał zagwarantowane bezpieczeństwo otrzymania wybranego świadczenia oraz prawidłowego ustalenia jego wysokości. Warto dodać, że projekt przewiduje fakultatywną możliwość gromadzenia i przechowywania akt osobowych i pozostałej dokumentacji pracowniczej w formie elektronicznej. Celem niniejszej zmiany jest obniżenie kosztów ponoszonych przez pracodawców w związku z przechowywaniem akt osobowych w wersji papierowej. Duże koszty związane są chociażby z koniecznością powierzenia archiwizacji dokumentacji podmiotom zewnętrznym.

Kończąc, należy zauważyć, że ww. projekty ustaw jak na razie są na etapie konsultacji społecznych i ciężko jest mówić o jakichkolwiek konsekwencjach w obrębie ochrony danych osobowych. Jedyne co nam pozostaje to czekać z niecierpliwością na kolejne doniesienia z rządowego centrum legislacji.

Przejście zakładu lub jego części a ochrona danych osobowych pracowników

document-40600_640

Pomysł napisania artykułu o ochronie danych osobowych w kontekście instytucji przejścia zakładu pracy lub jego części narodził się, jak to często bywa, w praktyce. Jeden z naszych klientów postanowił wydzielić część swojego zakładu pracy i w ramach outsourcingu zlecić firmie trzeciej sprzątanie powierzchni biurowej. Tego typu proces często analizowany jest pod kątem ochrony danych osobowych w kontekście zawarcia ewentualnej umowy powierzenia przetwarzania danych osobowych. Takie podejście jest błędne. Oczywiście ten aspekt również należy badać, ale co zrobić w sytuacji, gdy firma zlecająca usługę „przekazuje” także swoich pracowników wraz z częścią swojego zakładu pracy rozumianego jako realizację określonych zadań? Często spotykamy się na rynku z brakiem zrozumienia tej sytuacji i nie raz dochodziło z tego tytułu do poważnych uchybień w procesie przetwarzania danych osobowych.

W artykule wyjaśnimy sobie co to właściwie jest instytucja przejścia zakładu pracy lub jego części na innego pracodawcę, w jakich sytuacjach może mieć miejsce i co najważniejsze, jakie obowiązki z tytułu przetwarzania (przekazywania) danych osobowych ciążą na pracodawcy który przekazuje swoich pracowników razem z zakładem pracy lub jego częścią a podmiocie, który taki zakład pracy lub jego część pozyskuje.

Jak to często w sprawach związanych z ochroną danych osobowych, najpierw musimy dokładnie rozpoznać problemy przed jakimi stoimy, a więc przeanalizować przepisy dot. przejścia zakładu pracy na innego pracodawcę. Które z nich należy brać pod uwagę analizując instytucję przejścia zakładu pracy w kontekście ochrony danych osobowych? Poniżej przedstawiam listę:

  1. dyrektywa Rady 2001/23/WE z dnia 12 marca 2001 r. w sprawie zbliżania regulacji Państw Członkowskich odnoszących się do ochrony praw pracowniczych w przypadku przejęcia przedsiębiorstw, zakładów lub części przedsiębiorstw lub zakładów
  2. ustawa z dnia 26 czerwca 1974 r. kodeks pracy
  3. ustawa z dnia 23 maja 1991 r. o związkach zawodowych
  4. ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
  5. i inne przepisy szczególne w tym akty wykonawczy

Podkreślenia wymaga fakt, że zarówno celem przepisów dot. przejścia zakładu pracy jak i przepisów o ochronie danych osobowych jest w omawianej sytuacji ochrona pracowników w sferze ich praw pracowniczych (przepisy o przejściu zakładu pracy) i w sferze prawa do prywatności (przepisy o ochronie danych osobowych). Jeżeli zatem natrafią Państwo w swojej działalności na obszar nieregulowany bezpośrednio przez przepisy lub regulacja będzie niewystarczająca, powinniśmy zawsze stosować takie rozwiązania, które możliwie najpełniej będą chroniły prawa pracownicze i ich prawo do prywatności.

Przejdźmy zatem do meritum. Polskie przepisy (inaczej niż unijne) nie wyłączają z zakresu podmiotowego instytucji przejścia zakładu pracy administracji. W praktyce zdarzają się sytuacje, gdy organy administracji przechodzą „restrukturyzację” która w finale kończy się przejściem całego lub części zakładu pracy. Powinni o tym pamiętać Administratorzy Bezpieczeństwa Informacji zatrudnieni w administracji.

Przejęcie zakładu pracy… czyli? Wbrew pozorom nie chodzi tutaj tylko o składniki materialne, ale coraz częściej również niematerialne. Istotne jest, by przejmowane składniki tworzyły zespół pozwalający realizować określone cele. Coraz bardziej dominuje podejście funkcyjne, które oznacza, że przejąć zakład pracy lub jego część poprzez przejęcie do realizacji jego zadań. Podejście to zyskało aprobatę w orzecznictwie (np. wyrok SN z dn. 19 kwietnia 2010 r. II PK 298/09).

Kolejne istotne pytanie które się nasuwa, to kiedy możemy mówić o przejściu zakładu pracy, a więc jakie są możliwe podstawy prawne przejęcia. Poniżej lista:

  1. sprzedaż, dzierżawa
  2. świadczenie usług (outsourcing)
  3. przekształcenia większych struktur (tzw. pracodawca wewnętrzny)
  4. decyzja administracja
  5. przepisy prawa

Uwaga! Nie ma mowy o przejściu zakłady pracy lub jego części w sytuacji przekształceń kapitałowych (np. sprzedaż udziałów w spółce z ograniczoną odpowiedzialnością). W tej drugiej sytuacji nie zmienia się ani pracodawca ani administrator danych – zmiana dot. jedynie sfery właścicielskiej w organizacji. Z kolei w przypadku przejścia zakładu na innego pracodawcę, mamy dwa podmioty, z których jeden oddaje a drugi zabiera część lub całość zakładu pracy tego pierwszego. Mamy tutaj dwa podmioty i dwóch odrębnych administratorów danych.

Z punkty widzenia obowiązków przewidzianych w ustawie o ochronie danych osobowych ważne jest ustalenie chwili przejścia zakładu pracy. Jest nią zawsze faktycznie przejęcie realizacji wydzielonych zadań a samo przejęcie odbywa się z mocy prawa. Oczywiście zwykle towarzyszą temu umowy i porozumienia, jednak co warto podkreślić, obowiązki z ustawy o ochronie danych osobowych związane z przekazaniem danych osobowych pracowników do nowego pracodawcy powstają dopiero z chwilą faktycznego przejęcia zakładu pracy lub jego części (a więc z chwilą przejęcia przez nowego pracodawcę realizacji zadań). Praktyka jednak komplikuje sytuację, ponieważ często dane osobowe pracowników przekazywane są jeszcze przed momentem o którym mówimy. Warto zadbać by przekazywane informacje nie stanowiły danych osobowych a jedynie informacje statystyczne, co umożliwi potencjalnemu nowemu pracodawcy pozyskiwanie informacji np. na temat warunków pracy pracowników, którzy mają zostać przejęci. Nowy pracodawca pozyskać może co do zasady tylko dane osobowe tych pracowników, którzy posiadali taki status w chwili przejęcia zakładu pracy. Dotychczasowy pracodawca nie powinien zatem przekazywać nowemu pracodawcy informacji na temat np. byłych pracowników, którzy zajmowali się realizacją związanych z przejęciem zadań, czy danych kandydatów do pracy (to byłoby możliwe dopiero po spełnieniu ogólnych wymogów określonych w przepisach o ochronie danych osobowych).

Przechodząc do ustawy o ochronie danych osobowych wskazać należy, że na dotychczasowym i nowym pracodawcy ciążą przede wszystkim obowiązki informacyjne. Nowy pracodawca niejako wchodzi w buty poprzedniego pracodawcy, natomiast dochodzi do zmiany administratora danych osobowych. Jako że dane osobowe nowy pracodawca pozyskuje zazwyczaj od dotychczasowego pracodawcy, powinien on spełnić obowiązek informacyjny określony w art. 25 ustawy o ochronie danych osobowych, gdzie jako źródło pozyskanych danych wskaże dotychczasowego pracodawcę. Mamy zatem do czynienia z instytucją udostępnienia danych osobowych. W praktyce spotkałem się z sytuacją, gdy dotychczasowy pracodawca zbierał od pracowników objętych przejęciem zgody na udostępnienie ich danych osobowych. Taka praktyka jest nieprawidłowa. Podstawą przekazania (udostępnienia) danych osobowych jest art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w zw. z art. 23^1 kodeksu pracy. Zgodnie z § 9 Rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (Dz.U. nr 62, poz. 286, z późn. zm.) dotychczasowy pracodawca obowiązany jest przekazać akta osobowe pracowników i pozostałą dokumentację w sprawach związanych ze stosunkami pracy pracodawcy nowemu pracodawcy. Analogicznie należy podejść do kwestii osób świadczących pracę na podstawie innych umów niż umowa o pracę. Przekazując dane pracowników (m.in. akta osobowe) należy stosować ogólne zasady bezpieczeństwa przewidziane w ustawie o ochronie danych osobowych. Odnośnie dokumentów papierowych należy zapewnić, by dostęp do danych osobowych ograniczony był wyłącznie do osób upoważnionych do ich przetwarzania a przy przekazywaniu dokumentów elektronicznych należy zapewnić, by w czasie przesyłania ich przez sieć publiczną zostały one zabezpieczone za pomocą kryptograficznych środków ochrony danych osobowych.

Poniżej wklejam art. 23^1 kodeksu pracy:

Art. 23^1. § 1. W razie przejścia zakładu pracy lub jego części na innego pracodawcę staje się on z mocy prawa stroną w dotychczasowych stosunkach pracy, z zastrzeżeniem przepisów § 5.
§ 2. Za zobowiązania wynikające ze stosunku pracy, powstałe przed przejściem części zakładu pracy na innego pracodawcę, dotychczasowy i nowy pracodawca odpowiadają solidarnie.
§ 3. Jeżeli u pracodawców, o których mowa w § 1, nie działają zakładowe organizacje związkowe, dotychczasowy i nowy pracodawca informują na piśmie swoich pracowników o przewidywanym terminie przejścia zakładu pracy lub jego części na innego pracodawcę, jego przyczynach, prawnych, ekonomicznych oraz socjalnych skutkach dla pracowników, a także zamierzonych działaniach dotyczących warunków zatrudnienia pracowników, w szczególności warunków pracy, płacy i przekwalifikowania; przekazanie informacji powinno nastąpić co najmniej na 30 dni przed przewidywanym terminem przejścia zakładu pracy lub jego części na innego pracodawcę.
§ 4. W terminie 2 miesięcy od przejścia zakładu pracy lub jego części na innego pracodawcę, pracownik może bez wypowiedzenia, za siedmiodniowym uprzedzeniem, rozwiązać stosunek pracy. Rozwiązanie stosunku pracy w tym trybie powoduje dla pracownika skutki, jakie przepisy prawa pracy wiążą z rozwiązaniem stosunku pracy przez pracodawcę za wypowiedzeniem.
§ 5. Pracodawca, z dniem przejęcia zakładu pracy lub jego części, jest obowiązany zaproponować nowe warunki pracy i płacy pracownikom świadczącym dotychczas pracę na innej podstawie niż umowa o pracę oraz wskazać termin, nie krótszy niż 7 dni, do którego pracownicy mogą złożyć oświadczenie o przyjęciu lub odmowie przyjęcia proponowanych warunków. W razie nieuzgodnienia nowych warunków pracy i płacy dotychczasowy stosunek pracy rozwiązuje się z upływem okresu równego okresowi wypowiedzenia, liczonego od dnia, w którym pracownik złożył oświadczenie o odmowie przyjęcia proponowanych warunków, lub od dnia, do którego mógł złożyć takie oświadczenie. Przepis § 4 zdanie drugie stosuje się odpowiednio.
§ 6. Przejście zakładu pracy lub jego części na innego pracodawcę nie może stanowić przyczyny uzasadniającej wypowiedzenie przez pracodawcę stosunku pracy.

Odpowiedzialność prawna pracownika za naruszenie przepisów ustawy o ochronie danych osobowych

odpowiedzialnośćWiele osób podczas szkoleń zadaje pytanie jaka jest odpowiedzialność prawna pracownika za naruszenie przepisów ustawy o ochronie danych osobowych. W ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2014 r. poz. 1182) znajdziemy informacje na temat odpowiedzialności karnej (cały rozdział), administracyjnej i dyscyplinarnej. Oprócz  odpowiedzialności przewidzianej w ustawie o ochronie danych osobowych możemy także opierać się na przepisach prawa cywilnego. Odpowiedzialności tej może podlegać zarówno pracodawca jak i pracownik. Różny jest oczywiście zakres tej odpowiedzialności, o czym szczegółowo pokażemy poniżej.

Jak już wyżej zostało wspomniane w ustawie o ochronie danych osobowych jest cały rozdział regulujący kwestie  odpowiedzialność karnej. Cześć z przepisów art. 49 – 54a ustawy dotyczy tylko administratora danych natomiast pracownik może ponieść odpowiedzialność z art. 51-52 i 54a ustawy. Art. 51 stanowi o odpowiedzialności za udostępnienie lub umożliwienie dostępu do danych osobowych osobom nieupoważnionym. Jest to jeden z niewielu przykładów w polskim ustawodawstwie  regulującego kwestie tzw. przestępstwa bezskutkowego – polegającego na tym, że nie musi nastąpić skutek w postaci udostępnienia danych osobom nieupoważnionym, a wystarczy samo stworzenie sposobności, żeby takie przestępstwo popełnić. W zależności od umyślności/nieumyślności działania takie działanie zagrożone jest następującymi karami: grzywny, ograniczenia wolności,  roku lub dwóch lat pozbawienia wolności. Przechodząc do praktycznego aspektu tego przepisu nie radzę zostawiać dokumentów z danymi osobowymi w samochodzie, czy niezabezpieczonego komputera.

Art. 52 ustawy o ochronie danych osobowych przewiduje odpowiedzialność karną, którą mogą ponieść również pracownicy administratora danych, zagrożoną karą grzywny, ograniczenia wolności lub pozbawienia wolności do roku. Odpowiedzialność karna jest przewidziana za choćby nieumyślne niezabezpieczenie danych przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem. Art. 54a ustawy o ochronie danych osobowych przewiduje odpowiedzialność karną za utrudnianie lub udaremnianie inspektorowi GIODO kontroli. Taki czyn zagrożony jest karą grzywny, ograniczenia wolności lub pozbawienia wolności do dwóch lat. Warto w tym miejscu wspomnieć o tym, że w praktyce, sądy nie stosują samoistnej kary pozbawienia wolności i głównymi karami jakie są stosowane są kary grzywny.

Jeżeli chodzi o odpowiedzialność cywilną pracownika to kwestie związane z ochroną danych osobowych stanowią cześć naszego prawa do prywatności, które to z kolei jest dobrem osobistym podlegającym ochronie na podstawie art. 24 kodeksu cywilnego. W związku z tym, jeżeli pracownik swoim działaniem naruszy kwestie związane z ochroną danych osobowych to może narazić się na to, że osoba poszkodowana jej działaniem wytoczy powództwo w sądzie cywilnym. Takiemu poszkodowanemu przysługują następujące roszczenia: roszczenie o zaniechanie naruszeń, o odszkodowanie lub zadośćuczynienie. Z praktyki znam sprawę w której sąd zasądził odpowiedną sumę pieniężną tytułem zadośćuczynienia od nauczyciela, który na wywiadówce w obecności pozostałych rodziców poruszał kwestie związane z problemami psychicznymi ucznia. Informacje te, stanowią dane wrażliwe w rozumieniu art. 27 ustawy.

W kontekście odpowiedzialności dyscyplinarnej to art. 17 ustawy przewiduje kompetencję dla inspektorów GIODO dla żądania wszczęcia wobec pracownika, który dokonał naruszeń postępowania dyscyplinarnego, a także informowania o wynikach postępowania i podjętych działań. Ponadto jeżeli pracownik został zapoznany z obowiązującymi procedurami, otrzymał upoważnienie do przetwarzania danych osobowych, odebrano od niego oświadczenie o zachowaniu danych w poufności to naruszenie zasad ochrony danych osobowych określonych w ustawie lub wewnętrznych procedurach może skutkować ciężkim naruszeniem obowiązków pracowniczych w rozumieniu art. 52 kodeksu pracy i skutkować rozwiązaniem umowy o pracę bez wypowiedzenia z winy pracownika, nie wspominając o karach dyscyplinarnych wyodrębnionych w kodeksie pracy.

Ostatnim rodzajem odpowiedzialności jakie jest związanych z ustawą o ochronie danych osobowych, a może dotyczyć pracownika jest odpowiedzialność administracyjna. Ten rodzaj odpowiedzialności został wprowadzony do ustawy nowelizacją z marca 2011 r. Art. 12 pkt. 3) ustawy wśród zadań Generalnego Inspektora Ochrony Danych Osobowych wymienia zapewnienie wykonania obowiązków o charakterze niepieniężnym wynikających z decyzji i daje możliwość GIODO stosowania środków egzekucyjnych przewidzianych w ustawie o postępowaniu egzekucyjnym w administracji. Takim środkiem, który może być wobec pracownika zastosowany przez GIODO jest grzywna w wysokości do 50 tyś. zł w przypadku jednorazowego naruszenia i do 200 tyś. zł. w przypadku wielokrotnego naruszenia obowiązków o charakterze niepieniężnym.

Jak widać odpowiedzialność pracownika może być różna i mieć szeroki zakres. Ten artykuł nie jest jednak czymś w rodzaju „straszaka” a raczej ma za zadanie uświadamiać o potencjalnym zagrożeniu i pokazywać, że kwestie ochrony danych osobowych są co najmniej istotne.