Poradnik Przedsiębiorcy

Ochrona danych osobowych pracowników - jakie obowiązki ma pracodawca?

Rozporządzenie RODO, którego celem jest ochrona danych osobowych osób fizycznych, znajduje zastosowanie względem wielu kategorii osób – pracowników, konsumentów, a nawet przedsiębiorców prowadzących działalność gospodarczą i posługujących się swoimi danymi osobowymi. Obowiązki pracodawców w kontekście przepisów RODO są szczególnie szerokie, obejmują bowiem w zasadzie wszystkie aspekty poszukiwania i zatrudniania pracowników. Jak wygląda ochrona danych osobowych pracowników przez pracodawców?

RODO chroni dane kandydatów 

Przepisy RODO obowiązują przedsiębiorców nie tylko względem już zatrudnionych pracowników, lecz także potencjalnych pracowników w toku procesów rekrutacyjnych. W oczywisty sposób pracodawca prowadzący proces rekrutacyjny będzie miał znaczny dostęp do danych osobowych kandydata, chcąc bowiem ocenić przydatność potencjalnego pracownika, musi dysponować informacjami o jego wykształceniu czy przebiegu zatrudnienia.

Uprawnienia pracodawcy są ograniczone przepisami Kodeksu pracy – pracodawca może żądać wskazania wyłącznie:

  • imienia i nazwiska,

  • daty urodzenia,

  • danych kontaktowych, 

  • informacji o posiadanym wykształceniu,

  • informacji o dotychczasowym zatrudnieniu.

Pracodawca może żądać podania innych danych tylko w przypadku, w którym jest to uzasadnione przepisami prawa (np. w odniesieniu do niektórych stanowisk i grup zawodowych pracodawca może żądać przedstawienia zaświadczenia o niekaralności).

Pracodawca musi poinformować kandydatów o przetwarzaniu ich danych osobowych (w tym swoich danych, celu przetwarzania, podstawie prawnej przetwarzania i prawach przysługujących osobie fizycznej w kontekście RODO – prawie dostępu do danych, żądania ich usunięcia, cofnięcia zgody na przetwarzanie i złożenia skargi do UODO).

Do pracodawcy należy wybór sposobu, w jaki poinformuje kandydatów o przetwarzaniu ich danych osobowych. Może to uczynić w ogłoszeniu o pracę lub indywidualnie, względem każdej osoby zgłaszającej chęć zatrudnienia. 

Jeżeli potencjalny pracownik zamieści w swoim CV, liście motywacyjnym albo innych przesyłanych pracodawcy dokumentach dodatkowe dane, których podania pracodawca nie żądał, wówczas pracodawca ma prawo do ich przetwarzania w oparciu o domniemaną zgodę osoby fizycznej. 

Dane osobowe pozyskane przez przedsiębiorcę w toku procesu rekrutacji mogą być wykorzystane przez niego wyłącznie do tej rekrutacji. Po zakończeniu rekrutacji obowiązkiem pracodawcy jest usunięcie danych niezatrudnionych kandydatów z bazy danych.

Jedynym odstępem od obowiązku usunięcia danych osobowych po zakończeniu rekrutacji jest sytuacja, w której potencjalny pracownik w toku rekrutacji wyraził zgodę na wykorzystanie jego danych osobowych w innym celu (np. w celu kolejnych procesów rekrutacyjnych przez określony okres).

RODO w okresie zatrudnienia

W czasie zatrudnienia pracowników pracodawca, a także inne zatrudnione przez niego osoby (np. menedżerowie, księgowe, pracownicy działu HR) mają w zasadzie nieograniczony dostęp do szerokiego katalogu danych pracowników. Najczęściej zakres danych osobowych pracowników, którymi dysponuje pracodawca, jest szerszy niż w odniesieniu do kandydatów na pracowników, zawiera bowiem również m.in. informacje o stanie zdrowia, prowadzonych względem pracownika postępowaniach (np. egzekucji świadczeń alimentacyjnych) czy przewinieniach dyscyplinarnych.

Oprócz danych zebranych w toku procesu rekrutacyjnego, zgodnie z przepisem art. 22(1) kp pracodawca może żądać od pracownika podania również informacji o:

  • adresie zamieszkania;

  • numerze PESEL albo rodzaju i numerze dokumentu tożsamości;

  • innych danych osobowych koniecznych ze względu na korzystanie ze szczególnych uprawnień przewidzianych przez przepisy prawa pracy (np. danych osobowych dzieci w kontekście korzystania z urlopów rodzicielskich);

  • numerze rachunku bankowego, o ile pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych. 

Fakt zatrudniania pracownika (nawet na wiele lat przed wejściem w życie przepisów RODO) nie zwalnia pracodawcy z wypełnienia nałożonych na niego obowiązków informacyjnych. Pracodawca ma obowiązek poinformowania pracowników o przetwarzaniu ich danych osobowych i ma obowiązek aktualizacji obowiązku informacyjnego, jeżeli zaszły zmiany w zakresie lub celu przetwarzania przechowywanych danych osobowych.

Ochrona danych osobowych pracowników a przechowywanie akt osobowych 

Pracodawca ma prawo do wykorzystywania danych osobowych pracowników wyłącznie przez okres, w jakim jest to konieczne z uwagi na cele przetwarzania danych. Co do zasady, okres przechowywania akt osobowych wynosi obecnie 10 lat i jest liczony od momentu ustania okresu zatrudnienia.

Pracodawca nie powinien żądać od pracownika kopii jego dokumentów tożsamości (dowodu osobistego, prawa jazdy, paszportu itp.) i tym bardziej nie powinien przechowywać kserokopii tych dokumentów w aktach osobowych.

Jeżeli posiada on w aktach osobowych pracownika dokumenty, które nie powinny się tam znajdować, winien dopilnować, aby dokumenty te zostały zgodnie z przepisami usunięte.

Szczególne metody kontroli pracowników

W kontekście przepisów RODO wiele wątpliwości budzi możliwość monitorowania pracowników w trakcie wykonywania przez nich obowiązków służbowych.

Odnośnie do korzystania z poczty elektronicznej i internetu pracodawca ma możliwość wprowadzenia monitoringu sposobu korzystania z tych narzędzi. Może to uczynić tylko wówczas, gdy jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi do jej wykonania.

Pracodawca może kontrolować służbową skrzynkę e-mail pracownika, jeżeli jest to konieczne z uwagi na potrzebę zapewnienia właściwej organizacji pracy.

Kontrola poczty e-mail musi ograniczać się wyłącznie do służbowej skrzynki mailowej – pracodawca nie ma prawa monitorować prywatnych kont e-mail pracowników. Jednocześnie wprowadzona kontrola poczty e-mail nie może naruszać tajemnicy korespondencji. Jeżeli w trakcie monitoringu poczty pracodawca poweźmie informację o prywatnych sprawach pracownika, jest zobowiązany do zachowania ich w tajemnicy.

Jeżeli jest to niezbędne w celu zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca może zastosować monitoring wizyjny. Nie może on obejmować wszystkich pomieszczeń udostępnianych pracownikom (np. pomieszczeń udostępnionych organizacjom związkowym, łazienek i toalet, stołówek itp.), a nagrania nie powinny być przechowywane dłużej niż przez okres trzech miesięcy. Obowiązkiem pracodawcy jest poinformowanie pracowników o zainstalowaniu kamer. Jeżeli przedsiębiorca przy instalacji i obsłudze systemu monitoringu wizyjnego korzysta z usług zewnętrznego wykonawcy, jest zobowiązany do zadbania, aby działania jego kontrahenta również były zgodne z wymogami RODO.

W toku pracy przedsiębiorstwa pracodawca może wykorzystywać urządzenia skanujące dane biometryczne (np. linie papilarne). Przez dane biometryczne RODO rozumie dane dotyczące cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiające lub potwierdzające jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne. Zgodnie z ogólną zasadą RODO przetwarzanie danych biometrycznych jest zabronione, chyba że zachodzi jeden z wyjątków wymienionych w przepisach rozporządzenia (np. zgoda osoby fizycznej albo przetwarzanie uznaje się niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy). Pracodawca może pobierać i skanować dane biometryczne pracowników, jednakże wyłącznie w ściśle określonych celach, zgodnych z przepisami RODO. Przykładowo, może zastosować czytniki linii papilarnych w celu ograniczenia dostępu do pomieszczeń zawierających tajemnicę przedsiębiorstwa, ale nie powinien używać tej metody w celu ewidencji czasu pracy. Obowiązkiem przedsiębiorcy jest zastosowanie procedur możliwie jak najmniej ingerujących w prawo pracowników do prywatności i chroniących ich dane osobowe.