Tło strzałki Strzałka
przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Kadrowy
  3. Prawo pracy
  4. Usunięcie danych pracownika przechowywanych w systemie kadrowym

Usunięcie danych pracownika przechowywanych w systemie kadrowym

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Pracodawca musi uczynić wszystko, aby dane osobowe zatrudnianych przez niego osób były należycie chronione, zgodnie z przepisami RODO. Pracodawca może także zlecić obsługę informatyczną w zakresie dokumentacji osobowej innemu podmiotowi lub skorzystać z gotowego oprogramowania. Jak w takiej sytuacji wygląda sprawa dostępu do danych? Czy i kiedy usunięcie danych pracownika przechowywanych w systemie kadrowym jest konieczne? Wyjaśniamy. 

Dostęp lub usunięcie danych pracownika przechowywanych w systemie kadrowym — podstawa prawna

Zasady dostępu do danych pracownika lub ich usunięcia regulują unormowania zawarte w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, zwane dalej „RODO”).

Najważniejsze pojęcia zawarte w RODO

Omawiając tematykę dostępu do danych pracownika oraz ich usunięcia, zasadne jest wskazanie kilku podstawowych pojęć zdefiniowanych w RODO. 

Wobec powyższego należy stwierdzić, że przez:

  • dane osobowe — trzeba rozumieć informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

  • przetwarzanie — rozumie się operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zarówno zautomatyzowany, jak i niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

  • administratora — rozumie się osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;

  • podmiot przetwarzający — należy rozumieć osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Prawo dostępu przysługujące osobie, której dane dotyczą

Artykuł 15 RODO zawiera katalog praw w zakresie dostępu przysługujących osobie, której dane dotyczą. Oznacza to, że powyższa osoba jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji: 

  • cele przetwarzania;

  • kategorie odnośnych danych osobowych;

  • informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;

  • w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

  • informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;

  • informacje o prawie wniesienia skargi do organu nadzorczego;

  • jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;

  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. 

Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych, które podlegają przetwarzaniu. Za wszystkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. 

W razie gdy osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną. 

Prawo pracownika do żądania usunięcia danych

Prawo do usunięcia danych, czyli prawo do bycia zapomnianym, wynika wprost z art. 17 RODO.

W konsekwencji osoba, której dane dotyczą — w omawianym przypadku pracownik — ma prawo żądania od administratora (pracodawcy) niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności: 

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

  • osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania;

  • osoba, której dane dotyczą, wnosi sprzeciw co do przetwarzania danych dla potrzeb i w zakresie marketingu bezpośredniego;

  • dane osobowe były przetwarzane niezgodnie z prawem;

  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii Europejskiej (UE) lub prawie państwa członkowskiego, któremu podlega administrator;

  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego bezpośrednio dziecku. 

Powyższe postanowienia nie mają zastosowania w zakresie, w jakim przetwarzanie jest niezbędne: 

  • do korzystania z prawa do wolności wypowiedzi i informacji;

  • do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa UE lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

  • z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego;

  • do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile prawdopodobne jest, że wykonanie żądania usunięcia danych uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;

  • do ustalenia, dochodzenia lub obrony roszczeń.

Dostęp do danych pracownika lub ich usunięcie — odpowiedzialność administratora i podmiotu przetwarzającego

Generalnie należy przyjąć tezę, zgodnie z którą odpowiedzialność za przetwarzanie danych osobowych pracownika, w tym dostęp do tych danych lub ich usunięcie, ponosi pracodawca, czyli administrator.

Jeżeli pracodawca korzysta z usług podmiotu zewnętrznego w odniesieniu do przetwarzania danych osobowych pracowników, trzeba pamiętać o wyborze firmy lub dostawcy oprogramowania spełniającej określone w RODO kryteria.

Jak wynika z art. 28 ust. 1 RODO, w przypadku gdy przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

Brak uwzględnienia kryteriów wyboru podmiotu przetwarzającego określonych w przytoczonym przepisie RODO może oznaczać poważne konsekwencje dla pracodawcy (administratora) z karą pieniężną nałożoną przez uprawniony organ publiczny włącznie.

Wybór przez pracodawcę podmiotu przetwarzającego zgodnie z zasadami określonymi w art. 28 RODO wprowadza jednocześnie czynnik współodpowiedzialności w razie zaistnienia naruszenia danych osobowych, np. w formie utrudnienia pracownikowi dostępu do tych danych lub ich nieusunięcia na żądanie pracownika.

Jako przykład prawidłowości takiej linii interpretacyjnej można wskazać wyrok Wojewódzkiego Sądu Administracyjnego (WSA) z 5 października 2021 roku, (II SA/Wa 528/21), na podstawie którego WSA postanowił uchylić decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO) przewidującą karę wyłącznie w odniesieniu do administratora, w związku z naruszeniem danych przez podmiot przetwarzający. W konkluzji tego wyroku WSA uznał, że Prezes UODO, nakładając karę, nie uwzględnił roli podmiotu przetwarzającego w zaistnieniu naruszenia ochrony danych osobowych. W konsekwencji wymierzenie administratorowi kary nastąpiło bez zachowania zasady proporcjonalności.

Przykład 1.

Pracodawca (administrator) powierzył przetwarzanie danych osobowych pracowników podmiotowi zewnętrznemu. Po pewnym czasie okazało się, że pracownicy zgłaszali zastrzeżenia w sprawie utrudniania im przez podmiot przetwarzający dostępu do danych oraz braku reakcji na żądanie usunięcia wybranych danych. W konsekwencji postępowania na pracodawcę nałożono karę finansową, wykazano bowiem, że nie sprawował on wystarczającego nadzoru nad podmiotem przetwarzającym. Ukarano także podmiot przetwarzający, który dopuścił się ewidentnego naruszenia przepisów o ochronie danych osobowych.

Oznacza to zatem, że sprawa odpowiedzialności za naruszenie postanowień RODO powinna być rozpatrywana w kontekście konkretnych okoliczności. Wobec tego możliwa jest zarówno wyłączna odpowiedzialność pracodawcy (administratora), jak i wspólna odpowiedzialność administratora i podmiotu przetwarzającego.

Dostęp lub usunięcie danych pracownika przechowywanych w systemie kadrowym — kto odpowiada za realizację tego prawa? Podsumowanie

Pracodawca jako administrator danych osobowych pracownika ma obowiązek zapewnić osobie zatrudnionej dostęp do jej danych, a w określonych przypadkach — do ich usunięcia. Jeżeli pracodawca korzysta z usług innego podmiotu lub zewnętrznego oprogramowania w przedmiocie przetwarzania danych osobowych pracowników, to należy pamiętać o wyborze firmy lub dostawcy oprogramowania spełniającej określone w RODO wymagania. Zależnie od okoliczności możliwa jest zarówno wyłączna odpowiedzialność pracodawcy (administratora), jak i wspólna odpowiedzialność administratora i podmiotu przetwarzającego w związku z naruszeniem przepisów o ochronie danych osobowych.

Polecamy:

Akta osobowe pracownika - jak należy je prowadzić

Wzór PIT-2 (9) 2025 do pobrania z instrukcją wypeł...
Styczeń 2025
14
Wtorek
  • Dzień ustawowo wolny od pracy
  • Remanent początkowy
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT 7K
  • VAT UE (elektroniczna)
  • PIT 4R
  • PIT 8AR
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Umowa zlecenie 2025 - warunki pracy, zasady na umowie zlecenie
  2. Przekroczenie pierwszego progu podatkowego - jak dokonać obliczeń?
  3. PIT-2 2025 r. - czym jest i kto powinien go złożyć?
  4. Kiedy następuje nabycie prawa do 26 dni urlopu?
  5. Ile dni urlopu wypoczynkowego przysługuje pracownikowi w 2024 roku?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Prawo pracy

Wzór PIT-2 (9) 2025 do pobrania z instrukcją wypełnienia

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Kongres HR 2025: HR jako strategiczny partner: budowanie bezpiecznego, efektywnego i przyszłościowego środowiska pracy
Mobile Trends Conference 2025 – najważniejsze wydarzenie dla branży technologicznej już w marcu!
2. Expo HR „Sprawdzone rozwiązania dla Twojej kadry”
Konferencja dla Biur Rachunkowych, Księgowych i Przedsiębiorców: Innowacje i Wyzwania w Świecie Księgowości
Konferencja AI TASK FORCE Innovation Summit Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów