W dniu 3 marca 2016 r. odbyła się konferencja, podczas której debatowano o zasadach stosowanych przez pracodawców przy przetwarzaniu danych osobowych pracowników. Kwestie te analizowane były z uwzględnieniem zarówno obecnie obowiązujących przepisów prawa, jak i regulacji unijnego Rozporządzenia o ochronie danych osobowych, które już wkrótce wprowadzi istotne zmiany w tym zakresie. Jego formalne uchwalenie przez Radę i Parlament Europejski ma nastąpić w pierwszej połowie 2016 r., a wejście w życie po dwuletnim vacatio legis. Jak wskazywała Dyrektor Departamentu Orzecznictwa, Legislacji i Skarg w Biurze Generalnego Inspektora Ochrony Danych Osobowych, będzie ono stosowane bezpośrednio, bez konieczności implementacji do prawa krajowego. Dlatego już dziś trzeba przeanalizować, jakie konsekwencje się z tym wiążą.
Ekspert z Instytutu Allerhanda zaznaczał, że Rozporządzenie nie określa w sposób szczególny zasad przetwarzania danych osobowych pracowników przez pracodawców, ani nie wprowadza pojęcia danych pracowniczych. Niemniej zgodnie podkreślano, że do przetwarzania danych osobowych w sektorze zatrudnienia będzie miało zastosowanie. Wskazywano też, że przewiduje ono możliwość doregulowania w przepisach krajowych tych kwestii, które będą tego wymagały. W tym m.in. kontekście odnoszono się do o przepisu art. 221 Kodeksu pracy, który określa, jakie dane osobowe kandydatów do pracy i pracowników może pozyskiwać pracodawca. Już teraz zarówno praktycy, jak i przedstawiciele środowisk naukowych, specjalizujący się w prawie pracy, wskazują na potrzebę jego zmiany, spowodowaną choćby postępem technologicznym, który prowadzi do pozyskiwania i gromadzenia przez pracodawców coraz to nowszych kategorii danych, np. geolokalizacyjnych, czy dotyczących aktywności w sieci.
Również kwestia pozyskiwania danych na temat karalności kandydatów do pracy i pracowników wymaga, zwłaszcza w opinii pracodawców, nowego uregulowania. Zdaniem wielu zabierających głos ekspertów i praktyków, wraz z wejściem w życie unijnego Rozporządzenia art. 221 Kodeksu pracy straci moc. Innym wątkiem dyskusji była zgoda pracownika jako przesłanki legalizującej przetwarzanie jego danych osobowych przez pracodawcę. Dyrektor wskazywała np., że ponieważ prawo przewiduje możliwość wycofania jej w dowolnym momencie, lepiej korzystać z innych podstaw uprawniających do wykorzystywania danych, gdyż będą one bezpieczniejsze. Podkreślała ponadto, że w przypadku zgody wyrażanej przez pracownika istotna jest sprawa dobrowolności jej udzielania, co jest warunkiem niezbędnym do uznania zgody za udzieloną w sposób prawidłowy. GIODO od dawna zaznacza, że w relacji pracodawca – pracownik, w której istnieje stosunek podległości służbowej, trudno mówić o dobrowolności wyrażania zgody. Również unijne Rozporządzenie w podobny sposób będzie regulowało kwestie zgody, co potwierdza treść jego motywu 32 i kolejnych.
Kolejne kwestie, które omawiano w czasie konferencji, a które w praktyce wciąż budzą wiele problemów, to stosowanie przez pracodawców monitoringu wizyjnego czy kontrolowanie poczty elektronicznej i billingów podwładnych. Eksperci wskazywali, że najnowsze orzecznictwo dowodzi poluzowywania zasad ochrony prywatności, jak np. wyrok Europejskiego Trybunału Praw Człowieka ze stycznia 2016 r. w sprawie Barbulescu, który korzystał ze służbowego komunikatora internetowego w celach prywatnych. Trybunał uznał, że choć pracodawca, który monitorował jego zachowanie naruszył prawo pracownika do ochrony prywatności i życia rodzinnego, to było to uzasadnione i proporcjonalne.