Pracodawca, który współpracuje wyłącznie z kontrahentami będącymi spółkami prawa handlowego, w dalszym ciągu przetwarza dane osobowe. Chodzi tu o informacje o swoich pracownikach. Ci, jako osoby fizyczne, mają konstytucyjne prawo do prywatności. Przetwarzanie danych osobowych nie dotyczy jedynie okresu zatrudnienia. O ochronie tych danych pamiętać trzeba również po zakończeniu umowy. Sprawdźmy zatem, jak wygląda przetwarzanie danych osobowych po zakończeniu umowy o pracę i kontraktu B2B.
Czy dane osobowe mogą być przetwarzane po zakończeniu umowy?
Przepisy RODO ustanowiły zasadę minimalizacji i ograniczenia celu przetwarzania. Administrator danych po zakończeniu umowy powinien zniszczyć informację o osobach fizycznych. Jednakże przepisy innych aktów prawnych w praktyce to uniemożliwiają – w przypadku umów o pracę lub kontraktu B2B prawo pracy, przepisy podatkowe oraz rachunkowe jasno wskazują na obowiązek pracodawcy do przechowywania i archiwizowania dokumentacji dotyczącej pracowników. To zaś sprawia, że w ograniczonym i jednoznacznie wskazanym przez ustawy zakresie pracodawca jest upoważnionych do przetwarzania danych osobowych po zakończeniu umowy o pracę czy współpracy B2B.
Zgodnie z RODO dane osobowe mogą być przetwarzane tylko przez określony czas i w konkretnym celu. Po ustaniu podstawy prawnej administrator powinien przestać przetwarzać dane osobowe, chyba że:
- istnieje inna podstawa prawna, np. obowiązek archiwizacyjny;
- osoba, której dane dotyczą, wyraziła zgodę na dalsze przetwarzanie, np. w celach rekrutacyjnych w przyszłości;
- przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń, np. pracownik został zwolniony dyscyplinarnie za zniszczenie mienia pracodawcy i ten zamierza wyjść z powództwem o odszkodowanie.
Przetwarzanie danych osobowych po zakończeniu umowy
W czasie zatrudnienia pracodawca jako administrator przetwarza szeroki zakres danych – jest to między innymi imię, nazwisko, PESEL, adres zamieszkania, dane kontaktowe, informacje o wykształceniu, przebiegu zatrudnienia, zwolnieniach lekarskich, wynagrodzeniu, numerze rachunku bankowego, jak również dane wrażliwe dotyczące stanu zdrowia.
Po rozwiązaniu umowy o pracę dane te wciąż mogą być przetwarzane, ale wyłącznie przez niezbędny do tego czas oraz w ograniczonym zakresie, wymaganym przez prawo lub uzasadniony interes pracodawcy.
Większość danych osobowych musi być przetwarzana przez pracodawcę z uwagi na przepisy prawa. Pierwszy wymóg dotyczy przechowywania akt pracowniczych – pracodawca jest zobowiązany przechowywać dokumentację pracowniczą przez:
- 10 lat – dla pracowników zatrudnionych od 1 stycznia 2019 roku;
- 50 lat – dla pracowników zatrudnionych przed 1 stycznia 2019 roku. Jeżeli jednak dla tych pracowników pracodawca złożył raport informacyjny do ZUS-u, wtedy obowiązuje okres 10-letni, liczony od końca roku kalendarzowego, w którym złożono raport.
Drugi wymóg jest związany z obowiązkami podatkowo-finansowymi. Pracodawca może być bowiem zobowiązany na przykład do:
- wystawienia korekty PIT-11 lub PIT-4;
- udzielania informacji ZUS;
- dokumentowania wypłat wynagrodzeń,
Co do zasady dokumentację księgową, również tę dotyczącą pracowników, należy przechowywać przez 5 lat, licząc od końca roku obrotowego, w którym dokument został sporządzony.
Trzecia i ostatnia konieczność przechowywania dokumentów związanych z pracownikami wynika z możliwości wystąpienia przez pracodawcę lub pracownika z roszczeniami do sądu pracy. Roszczenia ze stosunku pracy ulegają przedawnieniu z upływem 3 lat od dnia, w którym stało się wymagalne. Trzeba jednak pamiętać, że roszczenia pracodawcy o naprawienie szkody wyrządzonej przez pracownika wskutek niewykonania lub nienależytego wykonania obowiązków pracowniczych ulegają przedawnieniu z upływem 1 roku od dnia, w którym pracodawca powziął wiadomość o wyrządzeniu przez pracownika szkody, nie później jednak niż z upływem 3 lat od jej wyrządzenia.
Co z przetwarzaniem danych z uwagi na interes pracodawcy?
Wpływ na przetwarzanie danych osobowych byłych pracowników może mieć również interes pracodawcy. Dobrym przykładem jest tutaj stanowisko Urzędu Ochrony Danych Osobowych z 17 stycznia 2020 roku (pt. „Czy pracodawca może używać imiennego adresu e-mail byłego pracownika?”). Organ wskazał, że co do zasady pracodawca nie powinien używać imiennego adresu e-mail byłego pracownika. Po ustaniu stosunku pracy pracodawca nie ma już podstawy prawnej do przetwarzania danych osobowych byłego pracownika, w tym jego imiennego adresu e-mail, na swojej stronie internetowej czy w innych publicznych miejscach. Wyjątkiem jest sytuacja, gdy klient próbuje się skontaktować i adres ten jest używany jedynie w celu wskazania aktualnych danych kontaktowych. Istnieje zatem możliwość użycia imiennego adresu e-mail byłego pracownika, jeżeli klient próbuje się z nim skontaktować, ale tylko w celu przekazania aktualnych danych kontaktowych do osoby, która przejęła jego obowiązki.
Przetwarzanie danych z uwagi na prywatny interes pracodawcy jest wyjątkiem od ogólnej reguły RODO. Okoliczności te muszą być bardzo dobrze uzasadnione, w innym wypadku bardzo łatwo naruszyć dobra osobiste pracownika i jednocześnie przepisy o ochronie danych osobowych.
Przetwarzanie danych osobowych po zakończeniu trwania współpracy B2B
Wiele przedsiębiorstw zamiast umów o pracę preferuje kontrakty B2B. I chociaż mamy wówczas do czynienia ze współpracą na linii przedsiębiorca – przedsiębiorca, to zleceniodawca w rzeczywistości traktuje osoby prowadzące jednoosobowe działalności jako swoich pracowników. To nie zmienia jednak faktu, że w tym wypadku kwestie RODO będą wyglądały nieco inaczej.
W przypadku współpracy na zasadzie B2B przetwarzane dane osobowe byłych „pracowników” są bardziej ograniczone niż przy stosunku pracy.
Wiele osób może zadawać sobie pytania, dlaczego w ogóle mówimy o przetwarzaniu danych osobowych, jeżeli B2B to umowa między przedsiębiorcami. To prawda, jednak RODO nie dzieli podmiotów na osoby prywatne i przedsiębiorców, a na osoby fizyczne i prawne. Te pierwsze są chronione przez przepisy rozporządzenia. RODO chroni dane osobowe osób fizycznych, niezależnie od tego, czy prowadzą one działalność gospodarczą, czy nie. W JDG mamy bowiem do czynienia z osobami fizycznymi prowadzącymi działalność, a zatem wszelkie dane wskazane w CEIDG, takie jak imię, nazwisko, adres zamieszkania, numer PESEL czy NIP, są traktowane jako dane osobowe i podlegają ochronie RODO.
Przykład 1.
Urząd gminy otrzymał wniosek o udostępnienie informacji publicznej dotyczący wszystkich umów zawartych w ostatnim roku z wykonawcami usług projektowych. Wśród nich znajduje się umowa zawarta z JDG – firmą „Piękny Krajobraz” Jan Kowalski. Urząd przekazał wnioskodawcy kopię umowy wraz z danymi przedsiębiorcy – tj. imieniem i nazwiskiem; adresem prowadzenia działalności, NIP-em, numerem rachunku bankowego, adresem e-mail oraz numerem telefonu. Czy urząd gminy naruszył przepisy RODO?
Tak, mimo że urząd gminy miał obowiązek udzielić wnioskodawcy informacji publicznej, to w stosunku do osób fizycznych, których dane przetwarzał, powinien zadbać o zanonimizowanie co najmniej danych, które nie były niezbędne, tj. numeru rachunku bankowego, adresu e-mail i numeru telefonu.
Co można przetwarzać w przypadku B2B?
W przypadku współpracy B2B pracodawca może przetwarzać dane w mniejszym zakresie, niż ma to miejsce w przypadku umów o pracę. Z całą pewnością odpadają tutaj informacje związane z dokumentacją pracowniczą. Wciąż jednak pozostają dokumenty niezbędne do:
- rozliczeń podatkowych i księgowych przez co najmniej 5 lat;
- obrony przed roszczeniami – termin przedawnienia roszczeń wynosi 3 lata.
Jeżeli nie występuje inny uzasadniony interes w przetwarzaniu danych osobowych, informacje w pozostałym zakresie powinny zostać usunięte lub zanonimizowane.
Kiedy należy dane usunąć?
Usunięcie niepotrzebnych danych osobowych powinno nastąpić niezwłocznie po zakończeniu współpracy, niezależnie od tego, czy mowa o umowie o pracę, czy kontrakcie B2B. Natomiast w przypadkach, gdy pracodawca ma dalszy obowiązek przetwarzania danych, usunąć je należy, gdy:
- przestają być potrzebne do celu, w którym zostały zebrane;
- upłynął okres wymagany przepisami prawa (np. 10 lat dla akt pracowniczych);
- osoba, której dane dotyczą, skutecznie wycofała zgodę (o ile ta była podstawą przetwarzania);
- ustała potrzeba ich dalszego przechowywania z powodu roszczeń cywilnych.
Każdy pracodawca, będący jednocześnie administratorem, musi mieć wypracowaną i wdrożoną w zakładzie procedurę określającą okresy przechowywania danych osobowych swoich pracowników i współpracowników po ustaniu umów oraz sposób ich usuwania.
Obowiązki informacyjne wobec byłych pracowników
Przetwarzanie danych osobowych byłych pracowników w przypadku umów o pracę i B2B wymaga również prawidłowego przekazywania informacji osobom, których dane są w dalszym ciągu przechowywane. Administrator, po zakończeniu umów, powinien poinformować byłych pracowników między innymi o:
- fakcie dalszego przetwarzania danych osobowych;
- celu ich dalszego przetwarzania;
- czasie przechowywania danych;
- podstawie prawnej przetwarzania;
- przysługujących im prawach (prawo dostępu, sprostowania, ograniczenia, sprzeciwu, usunięcia – w zależności od przypadku).
