Wprowadzenie przepisów RODO wymusiło na wielu przedsiębiorstwach stosowanie nowych rozwiązań w zakresie ochrony danych osobowych swoich pracowników oraz klientów. Kara za naruszenie tej regulacji jest bardzo wysoka, nic więc dziwnego, że wiele osób dba o ich rzetelne przestrzeganie. Czy zarchiwizowane teczki osobowe również wymagają stosowania RODO? Konfrontujemy RODO a teczki osobowe.
Czym jest RODO?
RODO to skrót od nazwy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Przepisy wprowadzone powyższym aktem prawnym wywołały spore zamieszanie nie tylko w Polsce, lecz także w całej Unii Europejskiej. Ich zasadniczym celem jest restrykcyjna ochrona danych osobowych praktycznie każdego człowieka. Sankcją za ich nieprzestrzeganie są wielotysięczne kary liczone w euro.
Stosowanie RODO w praktyce przez długi czas było bardzo problematyczne, nikt tak naprawdę nie wiedział, jak należycie zabezpieczać dane osobowe pracowników oraz klientów firm, aby nie naruszyć unijnych regulacji i nie zostać ukaranym. Do obecnej chwili stosuje się wszelkiego rodzaju oświadczenia i zgody pozwalające na wykorzystywanie cudzych danych osobowych w związku z dokonywaną czynnością lub transakcją, a także korzysta się z zabezpieczeń fizycznych i cyfrowych uzyskanych w ten sposób danych. Co jednak z informacjami, które zostały zarchiwizowane – czy one także muszą być chronione przed nieuprawnionym dostępem osób trzecich?
Obowiązki wynikające z RODO
Rozporządzenie o ochronie danych osobowych w bardzo szczegółowy sposób określa możliwość i zasady przetwarzania informacji na temat innych osób. Zgodnie z treścią art. 5 ust. 1 RODO, dane osobowe muszą być:
- przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
- prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
- przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych bądź do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
- przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
Teczki osobowe
Każdy pracodawca ma obowiązek prowadzić dokumentację swoich pracowników, robi to oczywiście w formie akt osobowych (określanych czasami mianem teczek). Każda zatrudniona osoba posiada swoje odrębne akta, w których odnaleźć można szereg informacji na jej temat.
Pracodawca jest obowiązany w szczególności:
- prowadzić i przechowywać w postaci papierowej lub elektronicznej dokumentację w sprawach związanych ze stosunkiem pracy oraz akta osobowe pracowników (dokumentacja pracownicza);
- przechowywać dokumentację pracowniczą w sposób gwarantujący zachowanie jej poufności, integralności, kompletności oraz dostępności, w warunkach niegrożących uszkodzeniem lub zniszczeniem przez okres zatrudnienia, a także przez okres 10 lat, licząc od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł, chyba że odrębne przepisy przewidują dłuższy okres przechowywania dokumentacji pracowniczej.
W teczce osobowej pracownika znajdują się więc dane wrażliwe, które z pewnością podlegają ochronie na mocy polskich regulacji oraz unijnego rozporządzenia RODO. O ile więc konieczność ochrony akt aktualnych pracowników jest w zasadzie bezdyskusyjna, o tyle problem występuje z osobami, które straciły już zatrudnienie w danej firmie. RODO a teczki osobowe byłych pracowników - jak należy podejść do tego zagadnienia? Odpowiadamy.
RODO a teczki osobowe byłych pracowników
Akta osobowe osób, które zostały zwolnione z pracy, trafiają do archiwum. Okres przechowywania takich dokumentów wynosi obecnie co do zasady 10 lat (dawniej czas ten był o wiele dłuższy – wynosił 50 lat). Od 2019 r. pracodawca ma możliwość archiwizowania teczek osobowych w postaci elektronicznej, może oczywiście pozostać także przy tradycyjnej papierowej formie.
Tak naprawdę przepisy RODO nie znajdują zastosowania wobec zarchiwizowanych akt osobowych byłych pracowników. Chodzi oczywiście o sytuację, w której do archiwizacji doszło jeszcze przed wejściem w życie wspomnianego rozporządzenia, a więc przed 25 maja 2018 r.
Jeśli pracodawca będzie archiwizował dane osobowe swoich pracowników już po wejściu w życie unijnych przepisów, będzie to musiał zrobić w zgodzie z RODO (niemożliwe będzie więc przechowywanie danych zawierających np. imiona rodziców byłego pracownika).
Unijne przepisy wymagają, aby obecna archiwizacja teczek osobowych uwzględniała ustalenie wartości tego procesu, kosztów, możliwości zaktualizowania (w przypadku ewentualnej nowelizacji prawa), a także dokonania analizy czasu trwania podjętych w tym celu czynności. Archiwizacja według RODO musi być ograniczona do niezbędnego minimum – po upływie 10 lat od przekazania konkretnych dokumentów do archiwum muszą one zostać odpowiednio zniszczone, a informacja o tej czynności wpisana do odpowiedniego rejestru w firmie. Warto w tym miejscu zaznaczyć, że zniszczenie dokumentacji zawierającej dane osobowe nie może polegać na wyrzuceniu jej na śmietnik.
Aby proces archiwizacji akt pozostawał w zgodzie z przepisami RODO, powinien składać się z 8 etapów:
- dokonania kwalifikacji akt oraz ustalenia maksymalnego wymiaru czasu ich przechowywania;
- porządkowania zebranych akt według samodzielnie ustalonego klucza;
- oznaczenia zebranych akt – np. umowy o pracę, zwolnienia i urlopy pracownicze itd.;
- przeprowadzenia bezpośredniego procesu archiwizacji – umieszczenia akt osobowych w specjalnych pomieszczeniach, pojemnikach lub na zabezpieczonych dyskach/ serwerach komputerowych;
- niszczenia akt – ten etap pojawia się tylko wtedy, gdy minął już ustawowy okres przechowywania teczek osobowych;
- sporządzenia informacji o dokonanym zniszczeniu akt – sposobie, dacie oraz osobie odpowiedzialnej za niszczenie.
Powyższa procedura może być także stosowana wobec teczek osobowych, które zostały zarchiwizowane jeszcze przed wejściem w życie przepisów RODO.
Podsumowanie
Teczki osobowe pracowników, które zostały zarchiwizowane przed wejściem w życie RODO, tj. przed 25 maja 2018 r., nie podlegają przepisom tego rozporządzenia. Pracodawca nie musi więc martwić się o konieczność zachowania obowiązującej regulacji w tym zakresie. RODO musi być jednak stosowane wobec akt pracowniczych, które zostały zarchiwizowane już po dacie obowiązywania przepisów unijnych. W praktyce oznacza to konieczność zachowania procedury archiwizacji akt, ich należytego zabezpieczenia oraz zniszczenia w odpowiednim czasie. Zarówno cały proces archiwizacji, jak i utylizacji teczek osobowych musi być przy tym odnotowany i utrwalony w dokumentacji zakładu pracy.