Od maja 2018 roku każdy pracodawca musiał dostosować swoje procedury ochrony danych osobowych do wymagań RODO. Rozporządzenie oprócz nałożenia na pracodawców obowiązku większej dbałości podczas ochrony danych pracowników, ograniczyło również zakres informacji, jakich pracodawca może żądać od kandydatów na pracownika oraz od zatrudnionych już osób. Jakie więc dane osobowe pracownika ma prawo przetwarzać przedsiębiorca? Jakie informacje mogą zostać przekazane podmiotom zewnętrznym? W jakich sytuacjach przetwarzanie danych pracownika wymaga jego jednoznacznej i wyraźnej zgody? Na te pytania odpowiemy w niniejszym artykule.
W związku z ostatnim etapem wdrożenia RODO, tj. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), 4 maja 2019 roku weszła nowelizacja Ustawy Kodeks pracy (dalej jako kp). Zgodnie z nowymi przepisami każdy pracodawca ma obowiązek przetwarzać dane osobowe swoich pracowników zgodnie z art. 221 kp, zaś w szczególnych przypadkach na podstawie art. 221a 221b kp. Co do zasady nowela wymogła na pracodawcach, aby przetwarzali oni wyłącznie te dane osobowe pracownika, które są niezbędne do wykonywania przez nich swojej pracy. Jednakże Kodeks pracy nie reguluje wszystkich sytuacji, jakie mogą wystąpić w praktyce podczas funkcjonowania przedsiębiorstwa zatrudniającego kilkadziesiąt lub setki osób. Postaramy się więc wyjaśnić, co wolno pracodawcy, a co jest bezwzględnie zakazane w materii przetwarzania danych osobowych pracowników.
Zawarcie umowy o pracę a RODO
Zawarcie umowy o pracę jest kolejnym etapem, w którym pracodawca ma prawo żądać od pracownika podania swoich danych osobowych – pierwszym z nich jest tzw. proces rekrutacyjny. W sytuacji, kiedy przedsiębiorca zdecyduje się na zatrudnienie danego kandydata, powstają określone prawa i obowiązki zarówno po stronie pracodawcy, jak i pracownika, których realizacja wiąże się z koniecznością przetwarzania informacji o pracowniku.
W myśl art. 221 § 2 i 4 kp pracodawca ma prawo żądać od nowo zatrudnionego pracownika podania (niezależnie od danych osobowych pozyskanych w toku rekrutacji):
-
imienia i nazwiska;
-
daty urodzenia;
-
numeru PESEL;
-
danych kontaktowych (nie ma za to prawa żądać podania adresu zamieszkania);
-
wykształcenia – pod warunkiem, że jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku;
-
kwalifikacji zawodowych – o ile jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku;
-
przebiegu dotychczasowego zatrudnienia – tylko jeżeli jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku;
-
imion i nazwisk oraz dat urodzenia dzieci – jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;
-
innych danych osobowych niż wskazane wyżej, jeżeli obowiązek ich podania wynika z odrębnych przepisów.
Powyższe dane mogą znaleźć się w umowie o pracę. Z oczywistych względów pracownik może nie wyrazić zgody na podanie którychś z wymaganych od niego informacji, jednakże wówczas musi się liczyć z tym, że pracodawca zrezygnuje z zatrudnienia go.
Akta osobowe pracownika a RODO
Powstanie stosunku pracy tworzy po stronie pracodawcy szereg obowiązków związanych z dokumentowaniem przebiegu pracy pracownika. Wszystkie te informacje powinny znajdować się w pracowniczych aktach osobowych. Jakie dokumenty i dane oprócz wskazanych powyżej może przechowywać pracodawca?
Częstą dotychczasową praktyką było dołączanie do akt kserokopii dowodu osobistego (ew. paszportu) pracownika. Należy jednak wskazać, że Kodeks pracy ani żadna inna ustawa nie wskazują wprost na prawo do przetwarzania takich danych osobowych. Należy więc uznać, że nie ma żadnej uzasadnionej potrzeby wykonywania kopii tego dokumentu. Posiadanie odpisu dowodu oznacza więc gromadzenie danych niezwiązanych z wykonywaną przez pracownika pracą, co jest zakazane przez RODO i akty wykonawcze do rozporządzenia.
W praktyce pracodawca nie będzie mógł w pełni wykonywać swoich obowiązków względem pracownika, jeżeli miałby polegać wyłącznie na danych osobowych podanych mu podczas zawierania umowy o pracę. Dlatego też w danych osobowych mogą pojawić się również informacje, które nie są ściśle związane ze stosunkiem pracy. Częstokrotnie, aby pracownik mógł skorzystać ze swoich niektórych uprawnień, musi udostępnić pracodawcy informacje dotyczące jego życia osobistego. Jeżeli np. będzie chciał wziąć urlop okolicznościowy, będzie zobowiązany wskazać na daną okoliczność ze swojego życia osobistego uzasadniającą prawo do takiego urlopu, np. pogrzeb bliskiej osoby.
Ujawnianie danych osobowych pracownika a RODO
Co do zasady dane osobowe pracownika są poufne, więc dostęp do nich musi być szczególnie chroniony i kontrolowany. Zdarzają się jednak takie sytuacje, kiedy publiczne udostępnienie niektórych (tych mniej wrażliwych) danych będzie potrzebne do efektywnego wykonywania pracy w przedsiębiorstwie.
Jednym z bardzo częstych przypadków umieszczenia danych pracowników do wglądu dla szerszego grona podmiotów jest prowadzenie listy obecności. Niestety przepisy prawa nie regulują tej kwestii. Należy więc polegać na aktualnym orzecznictwie oraz komentarzach doktryny. Wydaje się więc, że składanie podpisów na liście obecności dostępnych dla wszystkich pracowników nie jest sprzeczne z RODO. Niezgodne natomiast z rozporządzeniem będzie pozostawianie na liście informacji o urlopie chorobowym pracownika bądź tzw. urlopie na żądanie. Zgodnie z przepisami dane o chorobach pracowników czy samych zwolnieniach lekarskich są danymi wrażliwymi i nie mogą być rozpowszechniane. Na listach obecności, oprócz imion i nazwisk pracowników znaleźć mogą się więc jedynie informacje o obecności bądź absencji pracownika.
Kolejną popularną praktyką stosowaną w korporacjach jest przydzielanie pracownikom identyfikatorów. Pierwszym pytaniem, które się nasuwa, jest: czy taki dokument może posiadać zdjęcie pracownika? Zdjęcie przedstawiające wizerunek pracownika nie jest informacją, na jaką wskazuje art. 221 kp, więc aby pracodawca mógł je umieścić na identyfikatorze, musi uzyskać dobrowolną zgodę pracownika – co oznacza, że jej brak nie może pociągnąć za sobą żadnych negatywnych konsekwencji. Zgoda taka może być odwołana w każdym czasie.
Dopuszczalne także w świetle prawa jest umieszczanie imion i nazwisk pracowników na drzwiach zakładów pracy, pieczątkach pracowników oraz nagłówkach pism sporządzanych przez pracowników.
Kwestią odmienna jest to, czy pracodawca może wraz z powyżej wskazanymi danymi umieścić na stronie internetowej wizerunek pracownika bez jego zgody. Tutaj odpowiedź jest prosta – nie. Publikacja zdjęcia pracownika bezwzględnie wymaga uzyskania dobrowolnej zgody. Powyższa zasada nie będzie dotyczyła tzw. intranetów firmowych (sieci z dostępem ograniczającym się do komputerów w danym przedsiębiorstwie). Jeżeli umieszczenie wizerunków pracowników w intranecie będzie służyło wyłącznie w celu polepszenia i usprawnieniu zarządzania firmą, to takie działanie można przyjąć za dopuszczalne.
Ochrona danych osobowych pracowników - jakie obowiązki ma pracodawca?
Jakie dane osobowe może przetwarzać pracodawca w świetle przepisów RODO?
RODO a dane osobowe pracownika oraz kandydata do pracy
Przetwarzanie danych osobowych pracowników a medycyna pracy
Podkreślenia wymaga, że skierowanie pracownika na wstępne, okresowe i kontrolne badania lekarskie, tj. badania profilaktyczne, jest obowiązkiem pracodawcy wynikającym z Kodeksu pracy. Jest on również zobowiązany do przechowywania tych informacji w swojej bazie danych. W związku z faktem, że dane zdrowotne pracowników są danymi wrażliwymi, pracodawca musi szczególnie uważać na ich ochronę. Mimo to orzecznictwo przyjęło, że nie jest konieczne zawieranie z jednostką służby medycyny pracy umowy powierzenia danych osobowych. Wynika to z faktu, że pracodawca i jednostka medyczna działają niezależnie od siebie, a zatem każda z nich samodzielnie ustala cele i środki przetwarzania danych osobowych.
Z kolei do samego przechowywania dokumentacji z badań profilaktycznych pracowników stosuje się przepisy ogólnie o dokumentacji medycznej. Należy przy tym mieć na uwadze, że dane zawarte w omawianej dokumentacji są objęte ścisłą tajemnicą zawodową oraz służbową, czyli mogą być one udostępniane wyłącznie podmiotom określonym w odrębnych przepisach i na zasadach w nich określonych.
Dane osobowe pracownika a szkolenia pracownicze
Kolejną sytuacją, która może nieść za sobą problemy w kwestii ochrony danych osobowych, jest organizacja szkoleń. Najczęściej pracodawcy zatrudniają firmy zewnętrzne specjalizujące się w danych rodzajach szkoleń. Oznacza to, że w przeważającej liczbie takich kursów pracodawca jest zmuszony w większym lub mniejszym zakresie przekazać takiej firmie zewnętrznej dane osobowe swoich pracowników.
Co do zasady pierwszym obowiązkowym szkoleniem, z jakim każdy pracownik będzie miał do czynienia, jest szkolenie BHP. Może ono zostać przeprowadzone przez pracownika wyznaczonego do spraw BHP lub przez podmiot zewnętrzny. Zarówno pracownik do spraw BHP, jak i podmiot zewnętrzny powinni posiadać upoważnienie do przetwarzania danych osób biorących udział w szkoleniu. Dodatkowo firma zewnętrzna jest zobowiązana do zawarcia z pracodawcą umowy powierzenia przetwarzania danych osobowych.
W przypadku innych szkoleń, również tych fakultatywnych, sytuacja pracodawcy zależna jest od tego, czy pracownik bierze w nim udział prywatnie (sam się na nie zapisał), czy też pracodawca oddelegował go na dane szkolenie. W pierwszym wypadku, jeżeli pracownik zapisał się indywidualnie na szkolenie, a pracodawca jedynie pokrywa jego udział, to nie ma on żadnych obowiązków związanych z ochroną danych takiego pracownika. Tutaj to firma zewnętrzna występuje jako odrębny administrator, więc to ona musi wykonać wobec swojego kursanta wszelkie obowiązki informacyjne oraz pozostałe zadania określone w RODO. Jeżeli jednak to pracodawca wysłał pracownika na kurs, a zewnętrzna firma szkoleniowa będzie podmiotem, któremu pracodawca powierzy przetwarzanie danych osobowych, wówczas będzie musiał on zawrzeć z zewnętrzną firmą umowę powierzenia.
Dane osobowe pracownika a RODO – podsumowanie
Przetwarzanie danych osobowych, szczególnie w dużych przedsiębiorstwach, może nastręczyć administratorom danych wielu trudności interpretacyjnych oraz problemów natury praktycznej. Nie wystarczy zadbanie o zgodność pozyskanych od pracowników informacji z Kodeksem pracy oraz RODO. Prowadzenie przedsiębiorstwa jest na tyle złożone i zróżnicowane, że nie wszystkie aspekty ochrony danych są bezpośrednio uregulowane w aktach prawnych. Wiele kwestii praktycznych wymaga skomplikowanych interpretacji przepisów oraz długotrwałego przeszukiwania portali z orzeczeniami Sądu Najwyższego. Jednakże są to informacje, które powinien posiadać każdy przedsiębiorca zatrudniający pracowników, gdyż każde działanie niezgodne z wymaganiami stawianymi przez RODO może skutkować bardzo wysokimi karami finansowymi.
System wFirma.pl zgodny z RODO!
W systemie wFirma.pl można pobrać raport o przetwarzaniu danych osobowych pracownika. Wystarczy przejść do zakładki KADRY » PRACOWNICY » SZCZEGÓŁY PRACOWNIKA (klikając na imię i nazwisko pracownika). W prawym górnym rogu pojawiają się trzy ikona. Ikona otwartego folderu oznacza Raport ODO.
Po kliknięciu na nią pojawi się okno z danymi pracownika i wszelkimi wpisami dotyczącymi wprowadzenia/zmiany danych.
Raport taki można pobrać, wystarczy kliknąć na opcję GENERUJ RAPORT.