W dniu 21 lutego 2019 r. sejm przyjął ustawę zmieniającą przepisy ponad 170 ustaw, w związku z wejściem w życie RODO. Przesuwające się prace nad projektem ustawy – która wprowadza niezbędne regulacje z niemal rocznym poślizgiem – pozwoliły jednocześnie na uwzględnienie problemów, które ujawniły się już w praktyce stosowania rozporządzenia. Zmiany obejmują sektor bankowy, ubezpieczeń i finansowy, zamówienia publiczne, przepisy z zakresu ochrony środowiska, ale najbardziej oczekiwane zmiany dotyczą prawa pracy.
Od dnia wejścia w życie ustawy zmieniającej, zmienił się katalog danych, których pracodawca może żądać od kandydatów do pracy oraz pracowników. W szczególności, dane o wykształceniu, kwalifikacjach zawodowych i przebiegu dotychczasowego zatrudnienia mogą być wymagane na etapie rekrutacji jedynie wówczas, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.
W ustawie zmieniającej wprost zapisano, że inne dane, niż wymienione w katalogu ustawowym, mogą być przetwarzane na podstawie zgody podmiotu danych. Dotychczas, możliwość przetwarzania danych osobowych w oparciu o zgodę pracownika, z uwagi na nierówność stron stosunku pracy i wynikające z tego wątpliwości co do dobrowolności zgody, bywała kwestionowana.
Ustawa zezwala na korzystanie z tej przesłanki przetwarzania, jednak za wyjątkiem danych dotyczących wyroków skazujących i czynów zabronionych, a także pod warunkiem, że brak zgody lub jej wycofanie nie powoduje wobec kandydata do pracy lub pracownika jakichkolwiek negatywnych konsekwencji, w szczególności – nie może to być podstawą nienawiązania ani rozwiązania stosunku pracy.
Na podstawie zgody można przetwarzać także dane o szczególnym charakterze, o których mowa w art. 9 ust. 1 RODO, tj dane dotyczące zdrowia, poglądów politycznych, przynależności do związków zawodowych, dane biometryczne – jednak jedynie w przypadku, gdy przekazanie takich danych następuje z inicjatywy kandydata lub pracownika.
W odniesieniu do danych biometrycznych pracownika, ich przetwarzanie jest możliwe także, gdy podanie danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, lub dostępu do pomieszczeń wymagających szczególnej ochrony.
Wraz z wejściem w życie ustawy zmieniającej, pracodawcy zostali zmuszeni do zrewidowania kwestionariuszy rekrutacyjnych oraz polityki przetwarzania danych pracowniczych, aby dostosować je do nowych przepisów.
Do przetwarzania danych osobowych o szczególnym charakterze dopuszczone mogą być wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych, wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy. W przypadku tego rodzaju danych pracowniczych, ustawa zmieniająca wprowadza zatem obowiązkowe pisemne upoważnienia, które nie są wprost wymagane na gruncie RODO.
Zmieniono także przepisy ustawy o zakładowym funduszu świadczeń socjalnych. Udostępnienie pracodawcy danych osobowych osoby uprawnionej do korzystania z funduszu, w celu przyznania ulgowej usługi i świadczenia oraz dopłaty z ZFŚS i ustalenia ich wysokości, następuje w formie oświadczenia. Pracodawca może żądać udokumentowania danych osobowych w zakresie niezbędnym do ich potwierdzenia. Potwierdzenie może odbywać się w szczególności na podstawie oświadczeń i zaświadczeń o sytuacji życiowej (w tym zdrowotnej), rodzinnej i materialnej osoby uprawnionej do korzystania z funduszu. Dane osobowe przetwarzane przez pracodawcę w związku z funkcjonowaniem funduszu mogą być przetwarzane przez okres niezbędny do przyznania ulgi lub świadczenia, dopłaty z funduszu oraz ustalenia ich wysokości, a także przez okres niezbędny do dochodzenia praw lub roszczeń. Nie rzadziej niż raz do roku pracodawca musi dokonywać przeglądu tych danych osobowych, w celu ustalenia niezbędności ich dalszego przechowywania. Osoby dopuszczone do przetwarzania tych danych osobowych muszą legitymować się pisemnym upoważnieniem, podobnie jak w przypadku danych o szczególnym charakterze.
Obok zmian przepisów, w kontekście danych osobowych uwagę przedsiębiorców przyciągnęła także pierwsza kara finansowa nałożona przez Prezesa Urzędu Ochrony Danych Osobowych. Kara blisko miliona złotych dotyczy przedsiębiorcy, który zaniechał poinformowania podmiotów danych o umieszczeniu ich danych osobowych w prowadzonym przez siebie wykazie podmiotów prowadzących indywidualną działalność gospodarczą. Wątpliwości na tle tej sprawy budzi fakt, że obowiązek informacyjny dotyczył de facto przedsiębiorców, których dane – po wejściu w życie RODO, stały się danymi osobowymi, a także fakt, że dane te zostały zebrane ze źródeł publicznie dostępnych i umieszczone w bazie danych prowadzonych przez ukarany podmiot jeszcze przed wejściem w życie RODO. Nałożenie kary zdaje się przesądzać o tym, że polski organ nadzorczy stoi na stanowisku, że w przypadku niewykonania obowiązku informacyjnego w chwili zbierania danych, należy go wykonać po wejściu w życie RODO.