Publicystyka - ngo.pl

Na początku maja 2019 r., po 14 dniowym vacatio legis, zaczęła obowiązywać ustawa z dnia 21 lutego 2019 roku o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Ustawa nowelizuje ponad 160 ustaw w tym m.in. Kodeks pracy czy ustawę o zatrudnieniu socjalnym. Jest to drugi akt prawnych (po ustawie o ochronie danych osobowych z 10 maja 2018 r.), wprowadzający zmiany w obowiązujących w obrocie prawnym ustawach, odnoszące się do RODO (zobacz: RODO w NGO - podstawy). 

Przepisy zawarte w tym akcie dotykają również organizacje pozarządowe, ponieważ zmieniono ustawy, które odnoszą się do różnych sfer działalności NGO.

W niniejszym artykule zostaną opisane najistotniejsze (wybrane) zmiany dotyczące organizacji pozarządowych.

Znowelizowane ustawy ważne dla NGO

• Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy;
• Ustawa z dnia 7 września 1991 r. o systemie oświaty;
• Ustawa z dnia 27 sierpnia 1997 r. o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych;
• Ustawa z dnia 13 czerwca 2003 r. o zatrudnieniu socjalnym;
• Ustawa z dnia 12 marca 2004 r. o pomocy społecznej.

Zmiany w Kodeksie pracy dotyczą wszystkich organizacji, które zatrudniają pracowników na podstawie stosunku pracy. Znowelizowane zostały artykuły 22¹, 22² oraz 229, a także dodane zostały artykuły 22¹ᵅ oraz 22¹ᵇ. Wskazane zmiany skupiają się na katalogu informacji, które pracodawca może pozyskać od osoby ubiegającej się o zatrudnienie.

Po nowelizacji pracodawca uprawniony jest do przetwarzania imion i nazwiska pracownika, daty jego urodzenia, danych kontaktowych przez niego wskazanych, wykształcenia, kwalifikacji zawodowych oraz przebiegu dotychczasowego zatrudnienia.

Informacje takie jak adres zamieszkania, numer PESEL (lub inny rodzaj i numer dokumentu potwierdzającego tożsamość), inne dane pracownika, a także dane osobowe jego dzieci i innych członków rodziny pracodawca może żądać jedynie, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia spoczywającego na pracodawcy obowiązku prawnego.

Przepisy art. 22¹ᵅ i 22¹ᵇ skupiają się wokół zgody pracownika na przetwarzanie jego danych osobowych. Zgodnie z nowymi regulacjami zgoda pracownika może stanowić podstawę przetwarzania danych osobowych innych niż wskazanych bezpośrednio w ustawie, chyba że byłyby to dane dotyczące wyroków skazujących i naruszeń prawa.

Odmowa udzielenia zgody na przetwarzanie danych osobowych spoza ustawowego katalogu, wyrażona przez pracownika lub osobę ubiegającą się o zatrudnienie nie może powodować żadnych negatywnych konsekwencji, a w szczególności nie może stanowić przyczyny odmowy zatrudnienia lub wypowiedzenia czy rozwiązania umowy bez wypowiedzenia przez pracodawcę. To samo dotyczy sytuacji, w której osoba udzieloną zgodę wycofuje.

Zgoda może jednak stanowić podstawę przetwarzania danych wrażliwych pracownika lub osoby ubiegającej się o zatrudnienie, ale przekazanie tych danych musi nastąpić z inicjatywy tej osoby. W przypadku gdy to pracodawca domagałby się udostępnienia takich danych na podstawie zgody, przesłanka uzasadniająca ich przetwarzanie byłaby bezprawna.

Nowelizacja wprowadza również obowiązek udzielania przez pracodawcę pisemnego upoważnienia osobom, które przetwarzać będą dane wrażliwe pracowników.

Duża zmiana w Kodeksie pracy dotyczy również stosowania przez pracodawców monitoringu pomieszczeń. Nowelizacja wyłącza możliwość stosowania monitoringu w pomieszczeniach organizacji związkowej. Zakaz obejmuje również stosowanie monitoringu pomieszczeniach sanitarnych, szatniach, stołówkach i palarniach chyba, że jest to niezbędne do zapewnienia bezpieczeństwa pracowników, ochrony mienia, kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie narazić by mogło pracodawcę na szkodę. Założenie monitoringu w pomieszczeniach sanitarnych wymaga uzyskania zgody zakładowej organizacji związkowej lub przedstawicieli pracowników.

Na temat zawieranych umów i przepisów kodeksu pracy przeczytasz też w informacji: RODO podczas rekrutacji oraz w umowach o pracę i umowach cywilnoprawnych.

Organizacje pozarządowe prowadzące szkoły, placówki lub inne formy wychowania pozaszkolnego będące organami nadzoru pedagogicznego lub realizujące zadania i obowiązki określone w ustawie o systemie oświaty, uzyskały uprawnienie do przetwarzania danych osobowych w zakresie, w jakim jest to dla nich niezbędne dla realizacji tych zadań i obowiązków.

Oznacza to, iż podstawą prawną przetwarzania danych osobowych w wynikających z ustawy procesach będzie art. 6 ust. 1 lit. c RODO, który pozwala administratorom danych na ich przetwarzanie w związku z wypełnieniem obowiązku prawnego. Organizacje pozarządowe nie będą więc zobowiązane do pozyskiwania dodatkowych zgód lub wskazywania innych przesłanek stanowiących podstawę przetwarzania danych (np. swojego uzasadnionego interesu).

Nowelizacja wprowadza również ustawowy obowiązek zachowania w poufności informacji uzyskanych w związku z pełnioną funkcją lub wykonywaną pracą, dotyczących zdrowia, potrzeb rozwojowych i edukacyjnych, możliwości psychofizycznych, seksualności, orientacji seksualnej, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych uczniów - przez nauczycieli lub inne osoby pełniące funkcje w podmiocie realizującym zadania wynikające z ustawy o systemie oświaty. Przy czym obowiązek zachowania niniejszej tajemnicy nie dotyczy sytuacji zagrożenia zdrowia ucznia, wyrażenia zgody przez rodzica ucznia lub ucznia pełnoletniego na ujawnienie tych informacji oraz w przypadku gdy przewidują to przepisy szczególne.

Nowelizacja dodaje do ustawy art. 2b oraz art. 6 ust. 5 i 6. Zgodnie z pierwszym z nich pracodawca przetwarza dane osobowe, w tym dane dotyczące zdrowia, osób:

• pozostających z nim w stosunku pracy oraz niepracujących byłych pracowników i członków ich rodzin,
• niepełnosprawnych wykonujących pracę nakładczą,
• uczestniczących w procesie rekrutacji,
• odbywających szkolenia, staż, przygotowanie zawodowe albo praktyki zawodowe lub absolwenckie,
• osób korzystających z usług publicznych i niepublicznych jednostek organizacyjnych, których wyłączonym przedmiotem prowadzonej działalności jest rehabilitacja społeczna i lecznicza osób niepełnosprawnych ich edukacja lub opieka nad nimi
• niepełnosprawnych dzieci, wychowanków, uczniów, studentów lub słuchaczy uczących się lub studiujących w danej jednostce.

Ustawodawca nie nałożył obowiązku przedstawienia pracodawcy dokumentów potwierdzających stan zdrowia. Obowiązek ten określił jako dobrowolny. Oznacza to, iż pracodawca nie posiada kompetencji do obligatoryjnego wymagania od wskazanych osób takich dokumentów.

W związku z obowiązkami pracodawcy, wskazanymi w art. 25a, 25c, 25d oraz 26a-26c, nowelizacja przyznaje pracodawcy prawo do przetwarzania danych w oparciu o zautomatyzowane przetwarzanie danych. Proces ten obejmować może przy tym dane dotyczące stanu zdrowia. Organizacja jako administrator danych osobowych jest w tym przypadku obowiązana do wdrożenia odpowiednich środków technicznych oraz fizycznych, zabezpieczających przetwarzane dane oraz zapewniających możliwość realizacji praw osoby, której dane dotyczą.

Minimalny katalog zabezpieczeń zawarty został w art. 2b ust. 6 i wskazuje na dopuszczenie do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych oraz pisemne zobowiązanie do zachowania owych danych w poufności.

Nowelizacja wskazuje również na okres przetwarzania danych przez pracodawców oraz podmioty wypełniające obowiązki wynikające z ustawy. Okres ten opisany został jako nie dłuższy niż jest to niezbędne i konieczne do realizacji celów przetwarzania danych osobowych. Nałożono również obowiązek dokonywania przeglądu przydatności przetwarzanych danych nie rzadziej niż co 5 lat.

Organizacje pozarządowe tworzące lub prowadzące centra integracji społecznej (CIS) muszą uwzględnić w swojej działalności zmiany wprowadzane nowelizacją. Wskazano w niej, że CIS-y jako administratorzy danych osobowych mogą przetwarzać tylko dane wymienione w art. 8b ustawy. Są to dane uczestników zajęć w CIS-ach obejmujące imię i nazwisko, numer PESEL, datę urodzenia, dane adresowe, stan cywilny, wykształcenie, doświadczenie lub kwalifikacje zawodowe, pochodzenie etniczne, stan zdrowia, nałogi, skazania, orzeczenia o ukaraniu, a także inne orzeczenia wydane w postępowaniu sądowym lub administracyjnym oraz dane członków rodziny lub przedstawiciela ustawowego uczestnika obejmujące imię i nazwisko, numer PESEL, datę urodzenia i dane adresowe.

Dane wskazane powyżej centrum integracji społecznej przetwarzać może jedynie w celu realizacji usług reintegracji zawodowej i społecznej wskazanych w ustawie.

Obowiązek informacyjny, który centrum integracji społecznej spełnić musi wobec osób, od których dane osobowe pozyskuje, zostaje spełniony poprzez wywieszenie klauzuli informacyjnej w widocznym miejscu budynku, w którym usługi są realizowane.

W nowelizacji określone zostały również minimalne zabezpieczenia stosowane przez CIS w celu ochrony danych osobowych. Polegają one przede wszystkim na dopuszczeniu do przetwarzania danych wyłącznie osób posiadających pisemne upoważnienie oraz pisemne zobowiązanie do zachowania poufności. Oba dokumenty wystawione muszą zostać przez administratora danych osobowych czyli centrum integracji społecznej.

Ustawodawca wskazał również okres przez który centra integracji społecznej zobowiązane są do przechowywania danych osobowych. Jest to okres 10 lat licząc od końca roku kalendarzowego, w którym zakończono realizację usług na rzecz osób, których dane dotyczą.

Gminy, organizacje pozarządowe oraz pozostałe podmioty prowadzące klub integracji społecznej również otrzymały ustawowy zakres danych, które mogą przetwarzać w ramach prowadzenia klubu integracji społecznej (KIS). Zgodnie z dodanym art. 18f ust. 1 uprawnione są do przetwarzania danych uczestników klubów, w tym dane obejmujące imię i nazwisko, numer PESEL, datę urodzenia, dane adresowe, stan cywilny, wykształcenie, doświadczenie lub kwalifikacje zawodowe, pochodzenie etniczne, stan zdrowia, nałogi, skazania, orzeczenia o ukaraniu, a także inne orzeczenia wydane w postępowaniu sądowym lub administracyjnym, imię i nazwisko, numer PESEL, datę urodzenia, dane adresowe członków rodziny lub przedstawiciela ustawowego - w zakresie niezbędnym do prowadzenia reintegracji zawodowej i społecznej.

Spełnienie obowiązku informacyjnego oraz regulacje dotyczące nadawania upoważnień do przetwarzania danych oraz oświadczeń o zachowaniu poufności są tożsame z opisanymi powyżej - dotyczącymi działalności centrów integracji społecznej.

Zgodnie ze zmianami w ustawie o pomocy społecznej, organizacje pozarządowe, którym ograny administracji rządowej i samorządowej zleciły realizację zadania z zakresu pomocy społecznej, udzielając dotacji na finansowanie lub dofinansowanie realizacji zleconego zadania, na mocy dodanego nowelizacją art. 25 ust. 7, stają się administratorami danych osobowych osób, do których stosuje się ustawę oraz członków ich rodzin - w zakresie i celu niezbędnym do realizacji zadań wynikających z ustawy.

Spełnienie obowiązku informacyjnego przez podmioty udzielające świadczeń w postaci interwencji kryzysowej, pracy socjalnej, poradnictwa, uczestnictwa w zajęciach klub samopomocy dla osób z zaburzeniami psychicznymi, schronienia w formie ogrzewalni i noclegowi, świadczenia usług w ośrodkach wsparcia, rodzinnych domach pomocy, mieszkaniach chronionych i domach pomocy społecznej, zgonie z art. 100 ust. 3, polegać ma na umieszczeniu klauzuli informacyjnej w widocznym miejscu budynku, w którym udzielane są świadczenia lub świadczone usługi. Podmioty nie musza więc przedstawiać klauzuli informacyjnej osobno każdej osobie, której dane pozyskują.

W nowelizacji określony został również minimalny zakres zabezpieczeń, które administrator danych (w tym także organizacje pozarządowe), musi wdrożyć. Są to upoważnienia do przetwarzania danych oraz zobowiązania do zachowania tajemnicy w stosunku do przetwarzanych danych.

Organizacje pozarządowe, posiadające na mocy ustawy o pomocy społecznej status organizacji partnerskich w projektach finansowanych z programów operacyjnych, uzyskały uprawnienie do przetwarzania danych osobowych osób korzystających z pomocy określonej w tych programach. Obejmują one imiona i nazwiska, liczbę osób wchodzących w skład gospodarstwa domowego, w tym płeć, wiek i przynależność do grupy docelowej programu operacyjnego, dochód osób lub rodziny oraz powody udzielenia pomocy.

Organizacje partnerskie spełniają obowiązek informacyjny przez umieszczenie klauzuli informacyjnej w widocznym miejscu w budynku, w którym udzielana jest pomoc. Zabezpieczenie danych osobowych polegać natomiast powinno na pisemnym wydaniu przez administratora upoważnień do przetwarzania danych osobowych oraz pisemnym zobowiązaniu osób upoważnionych do zachowania tajemnicy.