Przetwarzanie danych osobowych pracowników. Część 1 – najważniejsze informacje

Na co należy zwrócić uwagę przetwarzając dane osobowe pracowników w kontekście przepisów RODO

Przetwarzanie danych osobowych pracowników odbywa się na kilku podstawach. Wszystkie te podstawy zostały – bezpośrednio albo pośrednio – wskazane w przepisach Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego potocznie RODO czy rozporządzeniem RODO.

O przetwarzaniu danych osobowych kandydatów do zatrudnienia i pracowników mówimy szerzej w naszym szkoleniu online – Kurs online RODO w kadrach i rekrutacji

Zanim przejdziemy do omówienia konkretnych podstaw przetwarzania danych osobowych pracowników warto zwrócić uwagę na kilka ogólnych kwestii. Przede wszystkim przetwarzanie danych osobowych pracowników odbywa się (jak w każdym przypadku przetwarzania danych osobowych) w oparciu o kilka ogólnych zasad. Zasady przetwarzania danych osobowych wskazane zostały w treści art. 5 RODO. Zgodnie z powołanym przepisem:

  1. Dane osobowe muszą być:
  2. a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
  3. b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
  4. c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
  5. d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
  6. e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
  7. f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
  8. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

Te reguły pracodawca jako administrator danych osobowych pracowników musi nie tylko stosować, ale odpowiednio uwzględnić w dokumentacji RODO w swoim zakładzie pracy. Przepisy rozporządzenia RODO nie wskazują, jak ma wyglądać polityka bezpieczeństwa danych osobowych, w tym danych osobowych pracowników i w tym zakresie to pracodawca musi ustalić „system”, które będzie zapewniał bezpieczeństwo wszelkich pozyskanych danych osobowych i zapewni, że przetwarzanie danych osobowych pracowników odbywać się będzie bez naruszeń i zgodnie z przepisami RODO.

Pracodawca jest administratorem danych osobowych ze wszystkim co się z tym wiąże. Ostatecznie to on odpowiada za przetwarzanie danych osobowych pracowników, choćby powołał w zakładzie pracy Inspektora Ochrony Danych osobowych, nadał określonym osobom (kadrowej, księgowej itp.) określone uprawnienia do przetwarzania danych osobowych.

Jednym z istotnych obowiązków administratora danych osobowych – w tym wypadku pracodawcy – jest obowiązek informacyjny wobec osoby fizycznej, której dane osobowe są przetwarzane. Oczywiście już na etapie zatrudnienia pracownik wie, kto jest jego pracodawcą, a więc w domyśle kto jest administratorem jego danych osobowych. Pracownik musi też znać nie tylko osobę administratora danych osobowych, ale znać również zakres i cel przetwarzania jego danych osobowych.

Nie ma tu jednej ustalonej praktyki – klauzulę informacyjną można wręczyć każdemu z pracowników osobno, umieścić w regulaminie pracy czy innym dokumencie, będącym częścią dokumentacji RODO w zakładzie pracy, zamieścić na stronie internetowej zakładu pracy itp.

Przepis art. 13 RODO zawiera katalog informacji jakie pracodawca, działając jako administrator danych osobowych, ma przekazać kandydatowi do zatrudnienia czy pracownikowi. Wskazuje w nich m.in. swoją tożsamość, dane Inspektora Ochrony Danych Osobowych, jeśli został w zakładzie pracy powołany, cele przetwarzania danych osobowych pracowników, a w przypadku gdy przetwarzanie danych osobowych pracowników odbywa się w celu zrealizowania przez administratora jego obowiązku prawnego (np. zgłoszenia pracownika do ubezpieczeń w ZUS), również wskazanie tego obowiązku.

Pracodawca musi również w klauzuli informacyjnej o przetwarzaniu danych osobowych wskazać odbiorców danych oraz poinformować, czy dane osobowe są przekazywane do państwa trzeciego (państwa spoza Europejskiego Obszaru Gospodarczego). Wskazuje również cele przetwarzania danych osobowych, okres ich przechowywania, ma również obowiązek poinformować pracownika o jego uprawnieniach w związku z przetwarzaniem danych osobowych pracowników – prawie wglądu, żądania zmiany, usunięcia, wniesienia skargi do Prezesa UODO itp.

W tym zakresie nieco inna będzie oczywiście informacja dla osoby ubiegającej się o zatrudnienie i inna dla już zatrudnionego pracownika, choćby z tego powodu, że w związku z zakończeniem procesu rekrutacji kończy się cel przetwarzania danych osobowych kandydata do pracy, węższy jest też zakres danych osobowych, jakich przyszły pracodawca może żądać od kandydata do zatrudnienia.

Zanim omówimy zakres tych danych osobowych i przetwarzanie danych osobowych pracowników należy jeszcze zwrócić uwagę, że pracodawca ma obowiązek odpowiedni pozyskane dane osobowe zabezpieczyć. Znów – rozporządzenie RODO nie wskazuje konkretnych rozwiązań. Ważne jest, aby pracodawca jako administrator danych osobowych zapewnił techniczne możliwości wykluczenia dostępu do danych osobowych pracowników przez osoby nieuprawnione.

Wszystko tu zatem zależy od nośników danych – dane przechowywane na nośnikach papierowych przechowuje się w odpowiednio zamykanych pomieszczeniach, szafach itp. Chodzi tu głownie o dane osobowe w aktach osobowych, dokumentacji związanej z czasem pracy, wynagrodzeniami itp. Z kolei jeśli dane osobowe przetwarzane są w systemach informatycznych, np. oprogramowaniu do prowadzenia kadr i płac, to oczywiście dostęp jest ograniczany posiadaniem konta ze stosownymi uprawnieniami, odpowiednio silnymi hasłami itp.

Kwestia bezpieczeństwa danych osobowych i stosowania odpowiednich zabezpieczeń jest determinowana głównie ilością tych danych. Zupełnie inaczej będzie wyglądać to w małej kilkuosobowej firmie, gdzie dane osobowe można przechowywać wyłącznie w postaci papierowej, a do prowadzenia kadr i płac nie używa się oprogramowania, a zupełnie inaczej u pracodawcy zatrudniającego kilkanaście tysięcy czy więcej pracowników. RODO niczego tu nie narzuca, ale wymaga, aby dane osobowe pracowników były zabezpieczane, a przetwarzanie danych osobowych pracowników nie narażało pracownika na wyciek danych.

Dobrze. Przejdźmy teraz do danych osobowych, jakich pracodawca może żądać od kandydata do zatrudnienia oraz już zatrudnionego pracownika. To istotne o tyle, że te „podstawowe dane osobowe” zostały wskazane wprost w przepisie art. 22(1) kodeksu pracy, ale nie są to jedyne dane, jakich pracodawca może wymagać od pracownika i jakie może przetwarzać.

W szczególności pracodawca może przetwarzać (a nawet musi) dane dotyczące zdrowia, które są uważane za dane szczególnej kategorii (zgodnie z art. 4 ust. 15 RODO „dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia. A pracodawca przetwarza dane dotyczące zdrowia realizując jeden ze swoich obowiązków – choćby w kwestii wstępnych, okresowych i kontrolnych badań lekarskich pracowników.

Przetwarzanie danych osobowych pracowników i kandydatów do zatrudnienia – podstawa przetwarzania z kodeksu pracy

Zgodnie z art. 12 RODO pracodawca jako administrator danych osobowych ma obowiązek ujawnić swoją tożsamość wobec osoby, której dane osobowe przetwarza. Już choćby z tego powodu nie jest możliwe np. zamieszczanie ogłoszeń o pracę bez podawania danych przyszłego pracodawcy, pozwalających na jego identyfikację. Jedyny wyjątek stanowi sytuacja, w której poszukiwaniem pracownika i procesem rekrutacji zajmuje się firma zewnętrzna – tyle, że wówczas to ona musi się ujawnić, bo pozyskuje i przetwarzana na tym wstępnym etapie dane osobowe kandydata do zatrudnienia.

Podstawą przetwarzania danych osobowych kandydata jest jego zgoda oraz przepis art. 22(1) §1 kodeksu pracy. Stosownie do powołanego przepisu pracodawca może żądać od kandydata do zatrudnienia podania następujących danych osobowych:

  1. imię (imiona) i nazwisko;
  2. datę urodzenia;
  3. dane kontaktowe wskazane przez taką osobę;
  4. wykształcenie;
  5. kwalifikacje zawodowe;
  6. przebieg dotychczasowego zatrudnienia.

Należy jednak zaznaczyć, że danych dotyczących wykształcenia, kwalifikacji zawodowych i przebiegu dotychczasowego zatrudnienia pracodawca może od kandydata na pracownika żądać, jeśli jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.

Powyższe to katalog danych, których pracodawca może żądać od kandydata do pracy, w celu podjęcia działań zmierzających do zawarcia z nim umowy. Co istotne, z uwagi na specyfikę procesu rekrutacji, do zawarcia tej umowy wcale nie musi ostatecznie dojść.

W praktyce wszystkie te informacje kandydat do zatrudnienia przedstawia np. w swoim CV. Jeśli to CV zawiera klauzulę o zgodzie na przetwarzanie danych osobowych, w tym wskazanych w pkt 4 – 6, to pracodawca może oczywiście te dane osobowe przyszłego pracownika przetwarzać – podstawą ich przetwarzania jest zgoda. Należy jednak zwrócić uwagę, czy klauzula zgody na przetwarzanie danych osobowych w CV jest aktualna – sporo osób wciąż wskazuje nieaktualną podstawę prawną, powołującą ustawę o ochronie danych osobowych, która przestała obowiązywać w 2018 roku i została zastąpiona nową ustawą o ochronie danych osobowych. Przykładowa poprawna klauzula poniżej:

Wyrażam zgodę na przetwarzanie moich danych osobowych dla potrzeb niezbędnych do realizacji procesu rekrutacji zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Należy też zwrócić uwagę, czy klauzula zgody na przetwarzanie danych osobowych kandydata jest klauzulą ogólną, w tym dotyczącą przyszłych procesów rekrutacji, czy jedynie klauzulą zgody na przetwarzanie danych osobowych w tym jednym konkretnym procesie rekrutacji.

Inne niż wymienione powyżej dane osobowe kandydata do zatrudnienia mogą być przetwarzane wyłącznie za jego zgodą. Przepis art. 22(1) §1 kodeksu pracy jest podstawą przetwarzania jedynie tych wymienionych danych osobowych. Natomiast jeśli kandydat wyraża zgodę, czy wręcz sam przedkłada pracodawcy szerszy zakres danych osobowych niż wskazane powyżej, domyślnie wyrażając zgodę na ich przetwarzanie (np. w klauzuli w CV), to pracodawca może te dane przetwarzać.

To bardzo ważne – zgodnie z przepisem art. 22(1a) oraz 22(1b) kodeksu pracy dane osobowe inne niż wymienione powyżej, w szczególności dotyczące pochodzenia rasowego czy etnicznego, przynależności do związków zawodowych, wyznania itp. mogą być przetwarzane wyłącznie za odrębną zgodą kandydata do zatrudnienia i wyłącznie, jeśli to z jego inicjatywy doszło do przekazania tych danych. Innymi słowy – pracodawca nie może tych danych żądać, ale jeśli kandydat przedstawi je z własnej inicjatywy i wyrazi zgodę na ich przetwarzanie, przetwarzanie danych osobowych pracowników – a wcześniej kandydatów do zatrudnienia – jest dozwolone.

A kandydat może mieć interes w tym, aby te dane przekazać. Choćby osoba innego wyznania planuje korzystać ze zwolnień od pracy (z obowiązkiem odrobienia) w celu celebrowania świąt nieznanych polskim przepisom, ale mających miejsce w wyznaniu tej osoby. Są na to konkretne przepisy prawa pracy – pracodawca musi udzielić pracownikowi innego wyznania dnia wolnego na celebrowanie jego święta, ale pracownik musi taki dzień odrobić – więcej o tym znajdziesz w tym artykule (link poniżej).

Polskie święta państwowe i kościelne a dni wolne od pracy dla obywateli Ukrainy i innych państw i wyznań

W każdym razie – przyszły pracodawca może żądać od kandydata do zatrudnienia danych, o których mowa w art. 22(1) §1 kodeksu pracy, a inne dane kandydat przedkłada z reguły z własnej inicjatywy. W czasie postępowania rekrutacyjnego pracodawca może żądać dokumentowania okoliczności, dotyczących np. wykształcenia, dotychczasowego zatrudnienia itp., może zadawać pytania kandydatowi, ale muszą one odnosić się do kwestii stanowiska, na które aplikuje kandydat.

Co więcej, może się okazać, że pozyskanie innych danych osobowych może wynikać z przepisów, np. pracodawca chce mieć pewność co do niekaralności kandydata, bo niekaralność jest jednym z kryteriów możliwości zatrudnienia danej osoby na danym stanowisku.

Tyle, że w praktyce działa to tak – dana osoba przedkłada np. zaświadczenie o niekaralności. W zaświadczeniu nie ma informacji o skazaniach, bo osoba ta nie była karana. Gdyby ta osoba była karana, to prawdopodobnie nie ubiegałaby się o pracę na stanowisku, na którym niekaralność jest wymagana, a więc i tak nie przedłożyłaby pracodawcy zaświadczenia z zapisami o karalności. W konsekwencji pracodawca i tak nie przetwarzałby danych osobowych szczególnej kategorii – danych dotyczących skazań. Taka sytuacja często ma miejsce w przypadku zatrudnienia nauczyciela, urzędnika samorządowego, funkcjonariusza Policji, Straży Granicznej itp. – tu wymóg niekaralności za przestępstwo umyślne jest bezwzględny.

Przetwarzanie danych osobowych pracowników obejmuje nieco szerszy zakres tych danych. Od kandydata do zatrudnienia nie można np. żądać numeru PESEL, podczas gdy od pracownika można, a nawet trzeba (choćby do zgłoszenia go do ubezpieczeń w ZUS).

Oprócz danych, jakich pracodawca może żądać od kandydata, od już zatrudnionego pracownika pracodawca może żądać dodatkowo (art. 22(1) §3 kodeksu pracy), a przetwarzanie danych osobowych pracowników możliwe jest już po zatrudnieniu (danych tych nie można wymagać od kandydata do zatrudnienia):

  1. adres zamieszkania;
  2. numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;
  3. inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;
  4. wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie;
  5. numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.

Przetwarzanie danych osobowych pracowników jest ograniczone w zakresie i celu. Zarówno zakres, jak i cel przetwarzania są różne. Różne są też podstawy przetwarzania danych osobowych pracowników. Dla pracodawcy najważniejszą podstawą jest przepis art. 22(1) kodeksu pracy, wskazujący, jaki danych osobowych pracodawca może żądać od kandydata do pracy, jak i zatrudnionego pracownika.

Przetwarzanie danych osobowych pracowników w zakresie wskazanym w powyższym przepisie jest dozwolone nie tylko na podstawie zgody pracownika, ale również innych podstaw – np. obowiązku prawnego administratora danych osobowych. O tych obowiązkach i – już konkretnie – przetwarzaniu danych osobowych pracowników w praktyce napiszemy więcej już niebawem.

Kurs online RODO – ochrona danych osobowych w zakładzie pracy

0Komentarzy o "Przetwarzanie danych osobowych pracowników. Część 1 – najważniejsze informacje"

Zostaw wiadomość

Wszelkie prawa zastrzeżone dla SPD SZKOLENIA - praktyczne kursy online z zaświadczeniem MEN