Przetwarzanie danych osobowych podlega ścisłej reglamentacji. Głównym aktem prawnym normującym to zagadnienie jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – w skrócie „RODO”. W odniesieniu do spraw z zakresu stosunku pracy przetwarzanie danych osobowych podlega dodatkowo regulacjom zawartym w Kodeksie pracy. Zasada minimalizacji danych jest bardzo ważna w odniesieni do przechowywania informacji w działach kadrowych i płacowych.
Przetwarzanie danych osobowych
Zgodnie z art. 4 pkt 2 RODO przetwarzaniem danych osobowych jest operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak:
- zbieranie,
- utrwalanie,
- organizowanie,
- porządkowanie,
- przechowywanie,
- adaptowanie lub modyfikowanie,
- pobieranie,
- przeglądanie,
- wykorzystywanie,
- ujawnianie poprzez przesłanie,
- rozpowszechnianie lub innego rodzaju udostępnianie,
- dopasowywanie lub łączenie,
- ograniczanie,
- usuwanie lub niszczenie.
Jakich danych osobowych może żądać pracodawca?
Od osoby ubiegającej się o zatrudnienie pracodawca może wymagać podania danych osobowych obejmujących:
- imię (imiona) i nazwisko,
- datę urodzenia,
- dane kontaktowe wskazane przez taką osobę,
- wykształcenie,
- kwalifikacje zawodowe,
- przebieg dotychczasowego zatrudnienia,
przy czym danych o wykształceniu, kwalifikacjach zawodowych i przebiegu dotychczasowego zatrudnienia pracodawca może żądać, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku (art. 221 § 1 i § 2 kp).
Przykład 1.
W ogłoszeniu o naborze na stanowisko pracy gońca wśród wymagań stawianych kandydatom wymieniono wyłącznie gotowość do pracy zmianowej. W związku z tym, że pracodawca nie określił wymagań w zakresie wykształcenia, kwalifikacji zawodowych oraz przebiegu dotychczasowego zatrudnienia, nie ma on prawa żądać od osób ubiegających się o pracę na tym stanowisku podania danych osobowych w tym zakresie.
Od pracownika, poza wyżej wymienionymi danymi, pracodawca ma prawo żądać podania danych osobowych obejmujących:
- adres zamieszkania;
- numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;
- inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;
- wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie;
- numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych (art. 221 § 3 kp).
Ponadto pracodawca może żądać podania innych danych osobowych, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 221 § 4 Kodeksu pracy).
Sposób udostępnienia danych
Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której dane dotyczą. Pracodawca może żądać udokumentowania danych osobowych w zakresie niezbędnym do ich potwierdzenia (art. 221 § 5 kp).
Zgoda na przetwarzanie danych osobowych
Dane osoby ubiegającej się o zatrudnienie lub pracownika, których pracodawca nie może żądać na podstawie omówionych do tej pory regulacji, mogą być przetwarzane za zgodą osoby, której dane te dotyczą. Mowa tu zarówno o przetwarzaniu danych osobowych udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika na wniosek pracodawcy, jak i danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika.
Brak zgody lub jej wycofanie nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich żadnych negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę (art. 221a Kodeksu pracy).
Przetwarzanie danych biometrycznych
Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby, wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika.
Przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony (art. 221b kp i art. 9 ust. 1 RODO).
Przykład 2.
Pracodawca przetwarza informacje o układzie linii papilarnych pracowników upoważnionych do dostępu do pomieszczeń, w których przechowywane są informacje stanowiące tajemnicę przedsiębiorstwa – wstęp do tych pomieszczeń odbywa się po elektronicznym odczytaniu linii papilarnych kciuka pracownika.
Zasada minimalizacji danych
W art. 5 RODO sformułowano siedem zasad przetwarzania danych osobowych. Zgodnie z tym przepisem dane osobowe muszą być:
- przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zasada zgodności z prawem, rzetelności i przejrzystości);
- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami (zasada ograniczenia celu);
- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (zasada minimalizacji danych);
- prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (zasada prawidłowości);
- przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych bądź do celów statystycznych, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą (zasada ograniczenia przechowywania);
- przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności i poufności).
Administrator danych osobowych (w szczególności pracodawca) jest odpowiedzialny za przestrzeganie powyższych zasad i musi być w stanie wykazać ich przestrzeganie (zasada rozliczalności).
Postępowanie z danymi nadmiarowymi
Wymieniona wyżej – w pkt 3 – zasada minimalizacji danych wyklucza możliwość pozyskiwania i przechowywania danych nadmiarowych, czyli niekoniecznych dla realizacji wyznaczonych – zgodnych z prawem – celów, w szczególności związanych z zatrudnianiem pracowników. Pracodawca nie powinien zatem żądać, ani przyjmować od kandydatów do pracy i pracowników danych nadmiarowych, a w razie ich otrzymania, powinien je niezwłocznie zwracać tym osobom lub usuwać.
Jak wynika z powyższego, w obecnym stanie prawnym komórki kadrowe nie mogą gromadzić informacji o pracownikach „na zapas” czy „na wszelki wypadek”, a tylko ściśle w zakresie przewidzianym w obowiązujących przepisach.