Poradnik Przedsiębiorcy

Dane osobowe pracowników w świetle nowych przepisów RODO

25 maja 2018 roku  wchodzi w życie Rozporządzenie Parlamentu Europejskiego i Rady (EU) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenie dyrektywy 95/46 WE (ogólne rozporządzenie o ochronie danych osobowych), zwane dalej RODO. Jakie dane osobowe pracowników w świetle nowych przepisów RODO może otrzymać pracodawca? Sprawdź!

Kiedy mamy do czynienia z danymi osobowymi?

Są nimi wszystkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, np. imię i nazwisko, adres zamieszkania, PESEL itp. Dane osobowe dzielimy na zwykłe i wrażliwe. Dane wrażliwe podlegają szczególnej ochronie i ujawnienie ich nawet za zgodą osoby, której dotyczą, jest zabronione. Są to informacje o pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym, skazaniu przez sąd, orzeczeniach o ukaraniu i mandatach karnych, a także innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym. Pozostałe dane osobowe pracowników pracodawca będzie mógł przetwarzać, jeżeli będzie miał do tego podstawę prawną. W tym przypadku jest to Kodeks pracy.

W związku z wejściem w życie RODO zmieni się zakres danych osobowych, których pracodawca żąda od kandydata na pracownika oraz od pracownika. Projekt ustawy o ochronie danych osobowych pracowników zgodnej z RODO przewiduje całkowitą zmianę przepisu art. 22¹ kp określającego m.in. zakres danych osobowych, których podania może żądać pracodawca od kandydata  do pracy. Zmianie będzie musiał ulec zatem kwestionariusz dla osoby ubiegającej się o zatrudnienie, który będzie obejmował takie dane osobowe pracowników takie jak: imię (imiona) i nazwisko, datę urodzenia, adres do korespondencji, adres poczty elektronicznej albo numer telefonu, wykształcenie i przebieg dotychczasowego zatrudnienia.

Takie dane osobowe pracowników, jak imiona rodziców kandydata do pracy oraz o miejscu zamieszkania, nie bedą w posiadaniu pracodawcy. Kandydat będzie natomiast musiał podać albo numer telefonu albo adres poczty elektronicznej. Ważne też, aby data podpisania kwestionariusza dla osoby ubiegającej się o zatrudnienie była wcześniejsza niż data wypełnienia kwestionariusza osobowego pracownika, gdyż różny będzie zakres informacji, jaki mogą być podane dane osobowe osoba ubiegająca się o zatrudnienie i osoba już zatrudniona.

Dane osobowe pracowników w świetle nowych przepisów RODO

W świetle tych przepisów problematyczne wydaje się wystawianie skierowań na wstępne badania lekarskie. Jak wiadomo pracownik, aby zostać dopuszczony do pracy, musi przedstawić zaświadczenie lekarskie o zdolności do niej. Aby je uzyskać, musi najpierw otrzymać skierowanie na badanie. Do tej pory na skierowaniu pracodawca umieszczał imię i nazwisko, adres oraz PESEL. Po wejściu w życie przepisów RODO, PESEL będzie musiał zostać zastąpiony datą urodzenia, a adres w ogóle nie będzie mógł być podawany, gdyż na etapie rekrutacji pracodawca nie może żądać jego podania.

Projekt zakłada, że od osoby, która została zatrudniona, pracodawca będzie żądał podania:  adresu zamieszkania, numeru PESEL, a w przypadku jego braku - rodzaju i numeru dokumentu potwierdzającego tożsamość. Może żądać również innych danych osobowych, w tym także danych osobowych dzieci pracownika i innych członków jego rodziny, jeżeli będzie to konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy, np. korzystanie ze zwolnienia na dziecko z art. 188 kp, zgłoszenie do ZUS-u członków rodziny pracownika, a więc podanie ich imion, nazwisk czy numeru PESEL.

Przetwarzanie danych osobowych osoby zatrudnionej takich jak numer telefonu lub adres poczty elektronicznej podanych przez niego na etapie rekrutacji będzie możliwe dopiero po uzyskaniu od niego osobnej zgody na przetwarzanie tych danych w formie papierowej lub elektronicznej.

Często w aktach można znaleźć dane osobowe pracowników, takie jak: odpis skróconego aktu małżeństwa celem udokumentowania zmiany nazwiska przez pracownika. Od 25 maja 2018 r. będzie to naruszeniem RODO. Włączenie do akt osobowych tego dokumentu stoi także w sprzeczności z postanowieniami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 z późn. zm.). Skrócony akt małżeństwa oprócz danych osobowych pracownika zawiera również dane osobowe małżonka pracownika, a także jego rodziców i rodziców małżonka. Takie dane osobowe pracowników nie są pracodawcy do niczego potrzebne i nie powinien ich przetwarzać. W związku z powyższym należy z akt osobowych usunąć wyżej wymienione dokumenty, a w ich miejscu umieścić oświadczenie pracownika o zmianie nazwiska, na którym pracownik do spraw kadr powinien umieścić swoją adnotację, że oświadczenie jest zgodne z prawdą, gdyż akt małżeństwa został okazany. Należy zatem przed wejściem w życie RODO przejrzeć akta pracownicze i usunąć z nich wszystkie dokumenty, które nie powinny się tam znaleźć, takie jak - oprócz aktów małżeństwa - akty urodzenia dzieci, muszą zniknąć kserokopie dowodów osobistych czy książeczek wojskowych. Zawartość teczki osobowej pracownika nie może być dowolna. Dokumenty, które powinny się tam znaleźć, wskazuje rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (Dz. U. z 2017 r., poz. 894 z późn. zm.).

RODO a ewidencja czasu pracy

Jednym z najistotniejszym elementów prawa pracy jest czas pracy. Wymaga od odpowiedniego planowania oraz ewidencjonowania. Właściwa ewidencja czasu pracy jest jednym z podstawowych obowiązków pracodawcy, który wynika wprost z art. 149 kp. Natomiast zawartość ewidencji czasu pracy reguluje § 8.1 rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy. Pracodawca ma obowiązek sporządzania rozkładów czasu pracy w formie pisemnej lub elektronicznej (art. 129 § 3 kp). W związku z nowymi regulacjami zmieni się także wzór listy obecności. Zgodnie z art. 104¹ § 1 kp sposób potwierdzania przez pracowników obecności w pracy powinien być określony w regulaminie pracy, a jeżeli takiego nie ma, to pracownik powinien zostać poinformowany o tym przez pracodawcę w Informacji o warunkach zatrudnienia w ciągu 7 dni od zawarcia umowy o pracę (art. 29 § 3 kp). Przepisy nie precyzują sposobu potwierdzania obecności pracownika w pracy. Najczęściej spotykanym sposobem jest złożenie podpisu na liście obecności. Jeżeli pracownik jest nieobecny, pracodawca wpisuje powód nieobecności, czyli np. choroba, zwolnienie na dziecko z art. 188 kp, urlop macierzyński, urlop wychowawczy itp. Po zmianie przepisów będzie to niedopuszczalne. Przede wszystkim dane dotyczące zdrowia należą do danych szczególnie chronionych, a ich przetwarzanie jest zabronione (art. 9 ust. 1, 2 RODO). Co zatem należy umieszczać na listach obecności w miejscu, gdzie nie podpisuje się pracownik, bo jest nieobecny np. z powodu choroby? Najbezpieczniejszym rozwiązaniem będzie wpisywanie: „nieobecność usprawiedliwiona”. Szczegóły i rodzaj tej nieobecności powinien się znaleźć w ewidencji czasu pracy, którą pracodawca jest zobowiązany prowadzić. Lista obecności służy tylko potwierdzaniu obecności pracownika w pracy. Jedynym usprawiedliwieniem nieobecności pracownika w pracy, który może znaleźć się na liście obecności, jest informacja o urlopie wypoczynkowym planowanym lub na żądanie.

Czy pracodawcy mogą wykorzystywać dane biometryczne dla celów ewidencji czasu pracy?

Zdaniem GIODO nie mogą. Gromadzenie odcisków linii papilarnych, obrazu tęczówki oka czy kodu DNA dla celów ewidencji czasu pracy nie jest proporcjonalne do zamierzonego celu ich przetwarzania. Według GIODO czas pracy powinien być kontrolowany za pomocą środków mniej ingerujących w prywatność pracowników.

Monitoring - jako środek kontroli wykonywania pracy przez pracownika

Innym elementem, który zdecydowanie ingeruje w prywatność i narusza dane osobowe pracowników, jest monitoring w miejscu pracy. Do tej pory żaden akt prawny nie regulował kwestii tego środka kontroli. Lukę w tym zakresie ma wypełnić nowy Kodeks pracy. Przede wszystkim ma pojawić się nowe zdefiniowanie pojęcia monitoringu. Będą nim środki techniczne umożliwiające rejestrację obrazu, który można wykorzystać w celu zapewnienia bezpieczeństwa w miejscu pracy oraz na terenie wokół niego. Będzie on mógł być stosowany także do ochrony mienia pracodawcy lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Co ważne, nie będzie on mógł być wykorzystywany jako środek kontroli wykonywania pracy przez pracownika. W projekcie zmian dotyczących kwestii monitoringu wprowadzono także postanowienie, że dane osobowe pracowników uzyskane w wyniku zastosowania monitoringu nie będą mogły być wykorzystane w innym celu, niż w tym, dla którego zostały zebrane, a więc dla bezpieczeństwa i ochrony mienia. Oczywiście pracodawca będzie musiał na 14 dni przed wprowadzeniem monitoringu poinformować pracownika o zamiarze stosowania tego środka nadzoru, a w stosunku do nowych pracowników ten obowiązek będzie musiał zostać spełniony przed dopuszczeniem do pracy.

Zgoda na przetwarzanie danych osobowych dla potrzeb rekrutacji

W związku z obowiązywaniem RODO zmieniona będzie musiała zostać zgoda na przetwarzanie danych osobowych dla potrzeb rekrutacji. Zgodnie z art. 13 rozporządzenia kandydatom do pracy będzie trzeba przekazać informację o okresie przetwarzania danych, podstawie prawnej, prawie do wniesienia sprzeciwu czy też prawie do wniesienia skargi do organu nadzorczego. Klauzule te powinny być napisane jasno, zwięźle i konkretnie.

Czy udzielone zgody na przetwarzanie danych zebrane na podstawie ustawy o ochronie danych osobowych (przed 25 maja 2018 r.) stracą ważność? Zdaniem GIODO „osoba, której dane dotyczą nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia”. Art. 4 ust. 11 RODO definiuje zgodę jako „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane osobowe pracowników dotyczą w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.

Reasumując, każdy pracodawca jako administrator danych osobowych powinien zadbać o właściwe przetwarzanie tych danych. Wiąże się to z analizą adekwatności ich zbierania na potrzeby procesu rekrutacji lub zatrudnienia pracownika. Powinien przy tym kierować się zasadą “im mniej, tym lepiej”. Wszystkie dane osobowe pracowników znajdujące się w zbiorze, powinny zostać sprawdzone pod kątem tego, czy są niezbędne i czy jest podstawa prawna do ich przetwarzania. Za nieprzestrzeganie przepisów RODO ustawodawca przewidział bardzo wysokie kary pieniężne, dlatego dla każdego pracodawcy bardzo ważne jest przygotowanie się na wejście w życie nowych przepisów.