W kontekście nowoczesnych wyzwań związanych z ochroną danych osobowych, RODO w okresie zatrudnienia pracownika odgrywa kluczową rolę. Pracodawcy muszą nie tylko przestrzegać zasad dotyczących przetwarzania danych osobowych, ale również dostosować swoje procedury do wymogów prawnych, które mają na celu zapewnienie bezpieczeństwa informacji. Właściwe zarządzanie danymi pracowników, od momentu ich pozyskania, przez okres zatrudnienia, aż do jego zakończenia, staje się nie tylko obowiązkiem prawnym, ale i elementem budowania zaufania w relacji pracodawca-pracownik. W artykule omówimy, jakie obowiązki ciążą na pracodawcach oraz jakie zasady należy przestrzegać, aby skutecznie chronić dane osobowe w miejscu pracy.
Przetwarzanie danych osobowych w trakcie zatrudnienia
Zakres danych osobowych, których pracodawca może żądać od pracownika jest nieco szerszy niż w przypadku osób ubiegających się o pracę.
Art. 221 § 3. Pracodawca żąda od pracownika podania dodatkowo danych osobowych obejmujących:
1) adres zamieszkania;
2) numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;
3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;
4) wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie;
5) numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.
Obowiązki pracodawcy w zakresie ochrony danych osobowych pracowników – akta osobowe
Powstanie stosunku pracy wiąże się z obowiązkami pracodawcy dotyczącymi dokumentacji, w tym prowadzeniem akt osobowych pracowników.
Jednym z pytań, które pojawia się w kontekście przetwarzania danych, jest możliwość wykonania kserokopii dokumentu tożsamości pracownika. Zazwyczaj nie ma prawnie uzasadnionej potrzeby posiadania takiej kopii, a jej gromadzenie prowadzi do zbierania nadmiarowych danych, które nie są związane z wykonywaną pracą.
Kolejną kwestią jest przechowywanie informacji dotyczących życia osobistego pracowników w ich aktach osobowych. Często wymagane jest, aby pracownik udostępnił takie informacje w celu skorzystania z określonych uprawnień, np. w przypadku urlopu związane z osobistymi zobowiązaniami (takimi jak ślub, śmierć krewnego czy wezwanie do sądu).
Należy także zwrócić uwagę na obowiązek informacyjny. W przypadku zatrudnienia pracownika, pracodawca musi ponownie spełnić ten obowiązek, ponieważ dane będą przetwarzane w innym celu, a także zmieni się krąg odbiorców tych danych. Pracodawca może to zrealizować, uzupełniając klauzulę informacyjną z etapu rekrutacji o dodatkowe informacje dotyczące celu przetwarzania danych oraz odbiorców danych w przypadku zatrudnienia kandydata.
Ochrona danych osobowych pracowników – listy obecności, dane osobowe, wizerunek, social media
Dane osobowe pracowników są poufne i nie mogą być ujawniane bez ich zgody lub innej podstawy prawnej. W kontekście prowadzenia listy obecności, pracodawcy nie powinni umieszczać informacji o szczególnych rodzajach nieobecności, takich jak zwolnienia lekarskie czy urlopy „na żądanie”. Wystarczy wskazać, czy pracownik jest obecny, aby nie naruszać zasad minimalizacji oraz poufności danych.
W przypadku umieszczania zdjęć pracowników na identyfikatorach, pracodawca musi uzyskać dobrowolną zgodę pracownika, która może być odwołana w każdym momencie. Istnieją jednak wyjątki, gdy wizerunek pracownika jest związany z jego pracą, jak w przypadku pracowników ochrony, gdzie identyfikacja jest kluczowa.
Pracodawca może udostępniać podstawowe informacje, takie jak imiona, nazwiska i służbowe adresy e-mail, ponieważ są one związane z wykonywaniem obowiązków zawodowych. Publikacja wizerunku pracownika na stronie internetowej wymaga zgody, ale umieszczanie zdjęć w Intranecie, który jest dostępny tylko dla pracowników, może być uzasadnione usprawnieniem komunikacji wewnętrznej.
Po zakończeniu stosunku pracy, adres e-mail byłego pracownika, będący danymi osobowymi, powinien zostać usunięty. Pracodawca może skonfigurować system poczty, aby przekierowywać wiadomości na inny adres i informować nadawców o usunięciu konta.
Przetwarzanie Danych Pracowników w Zakładowym Funduszu Świadczeń Socjalnych: Kluczowe Zasady i Wymogi
Zakładowy Fundusz Świadczeń Socjalnych (ZFŚS) jest instytucją, której działanie reguluje prawo, ale szczegółowe zasady korzystania z jego funduszy ustala pracodawca w regulaminie. Kluczowym zagadnieniem jest przetwarzanie danych osobowych pracowników, które musi odbywać się zgodnie z przepisami prawa, w tym RODO.
Przyznawanie świadczeń z ZFŚS zależy od oceny sytuacji życiowej, rodzinnej i materialnej pracownika oraz jego rodziny. W związku z tym pracodawca ma prawo przetwarzać dane osobowe w celu weryfikacji uprawnień do świadczeń. Ważne jest, aby nie gromadzić danych w nadmiarze; jedynie te, które są niezbędne do realizacji celu.
Pytanie, czy pracodawca może żądać przedłożenia rocznego zeznania podatkowego (PIT), staje się istotne. Przepisy wskazują, że pracodawca może jedynie żądać wglądu do dokumentów potwierdzających sytuację materialną, ale nie ma prawa ich przechowywać. Takie działanie naruszyłoby zasadę minimalizacji danych, która wymaga ograniczenia zbierania informacji do niezbędnego minimum.
Pracodawca jest zobowiązany do przetwarzania danych przez okres niezbędny do realizacji przyznawania świadczeń oraz ustalania ich wysokości. Powinien również przeprowadzać przegląd danych co najmniej raz w roku, usuwając te, które nie są już potrzebne. Na przykład, jeśli pracodawca przyznaje dofinansowanie do wypoczynku, dane z poprzednich lat powinny być usunięte.
Dla pracodawców działających w sektorze publicznym istnieją dodatkowe wymogi archiwizacyjne. Jeżeli dokumenty związane z działaniem ZFŚS są objęte kategorią archiwizacyjną, muszą być przechowywane przez określony czas, nawet jeśli nie są już potrzebne do bieżącej działalności.
Granice współpracy pracodawców i związków zawodowych w przetwarzaniu danych pracowników
Kwestie dotyczące uprawnień związków zawodowych oraz relacji między nimi a pracodawcą, które związane są z przetwarzaniem danych pracowników, regulują przepisy prawa. Wydaje się jednak, że nie określają one w sposób wyczerpujący, w jaki sposób i w jakim zakresie dane te mogą być wymieniane.
Czy pracodawca ma prawo żądać od organizacji związkowej przedstawienia pełnej listy osób objętych jej ochroną, gdy nie planuje ich zwolnienia?
Przepisy prawa pracy przewidują współdziałanie pracodawcy z zakładową organizacją związkową w sprawach indywidualnych związanych ze stosunkiem pracy. Pracodawca ma obowiązek współpracować z zakładową organizacją związkową, która reprezentuje pracownika na podstawie jego członkostwa w związku zawodowym, lub która uzyskała zgodę na obronę praw pracownika niezrzeszonego. Jednakże przepisy te nie dają podstaw do żądania od związku zawodowego pełnych danych osobowych pracowników korzystających z jego ochrony.
Informacje te dotyczą ochrony indywidualnych praw pracowników w kontekście zamierzonego rozwiązania umowy o pracę. W związku z tym, pozyskiwanie informacji o przynależności związkowej pracownika jest uzasadnione tylko w sytuacji, gdy pracodawca planuje wypowiedzenie umowy o pracę danemu pracownikowi. W przypadku, gdy pracodawca nie zamierza zwalniać pracowników, brak jest podstaw do pozyskiwania od związku danych osobowych dotyczących wszystkich osób korzystających z ochrony danego związku.
Pracodawca a przetwarzanie danych osobowych pracowników w kontekście badań profilaktycznych
Kodeks pracy zobowiązuje pracodawców do kierowania pracowników na wstępne, okresowe i kontrolne badania lekarskie (zwane łącznie badaniami profilaktycznymi) oraz do przechowywania orzeczeń wydanych na ich podstawie. Kwestia sposobu kierowania pracowników na te badania jest regulowana przepisami ustawy o służbie medycyny pracy, które stanowią, że badania oraz inne świadczenia zdrowotne są wykonywane na podstawie pisemnej umowy między pracodawcą a podstawową jednostką służby medycyny pracy.
Czy pracodawca, kierując pracowników na badania profilaktyczne, musi zawrzeć umowę powierzenia z jednostką służby medycyny pracy?
Nie. Pracodawca i jednostka służby medycyny pracy działają niezależnie i samodzielnie ustalają cele oraz środki przetwarzania danych osobowych, co oznacza, że są oddzielnymi administratorami danych.
Jakie dane pracodawca może przetwarzać w związku z badaniami profilaktycznymi?
Po przeprowadzeniu badania lekarz dokonuje w dokumentacji medycznej opisu badania oraz wpisuje treść orzeczenia, które następnie jest wydawane zarówno pracownikowi, jak i pracodawcy. Przechowywanie dokumentacji badań profilaktycznych podlega ogólnym przepisom o dokumentacji medycznej. Należy pamiętać, że dane te są objęte tajemnicą zawodową i służbową, co oznacza, że mogą być udostępniane jedynie podmiotom określonym w odrębnych przepisach i na zasadach tam określonych.
Warto zwrócić uwagę na formularz skierowania na badania profilaktyczne. W sekcji dotyczącej numeru PESEL można go podać jedynie w przypadku pracowników kierowanych na badania okresowe lub kontrolne. W sytuacji osób kierowanych na badania wstępne należy zamiast tego wpisać ich datę urodzenia.
Przetwarzanie danych osobowych pracowników w procesie szkolenia
Pracodawcy dążą do podnoszenia kwalifikacji swoich pracowników, organizując różnego rodzaju szkolenia. Oprócz szkoleń obligatoryjnych, jak te z zakresu bhp, mogą oferować dodatkowe kursy, które zwiększają kwalifikacje zawodowe pracowników. Szkolenia dzielą się na wewnętrzne, organizowane przez pracodawcę, oraz zewnętrzne, prowadzone przez firmy szkoleniowe.
Osoby prowadzące szkolenia bhp, czy to wewnętrzne, czy zewnętrzne, muszą mieć upoważnienie do przetwarzania danych uczestników. W przypadku firm zewnętrznych konieczne jest zawarcie umowy powierzenia przetwarzania danych z pracodawcą.
Gdy pracodawca oferuje pracownikom szkolenia podnoszące kwalifikacje, jeśli prowadzi je pracownik z firmy, może przetwarzać dane uczestników. W przypadku zewnętrznej firmy, która przesyła formularze do wypełnienia przez pracowników, ta firma staje się administratorem danych, a przetwarzanie odbywa się na podstawie zgody pracownika.
Obowiązki pracodawcy w zakresie przetwarzania danych zależą od formy organizacji szkolenia. Jeśli pracownik samodzielnie zapisuje się na szkolenie, a pracodawca jedynie pokrywa koszty, to firma szkoleniowa przetwarza dane jako niezależny administrator. Natomiast, jeśli pracodawca zbiera formularze i przekazuje je firmie, konieczna jest umowa powierzenia przetwarzania danych.
Podmiot zewnętrzny może przetwarzać dane adekwatne do celu szkolenia, takie jak imię, nazwisko, stanowisko i miejsce pracy, co jest potrzebne do sporządzenia listy obecności lub wydania zaświadczeń. Należy pamiętać, że dane służbowe również są danymi osobowymi.
Warto zauważyć, że zlecenie przeszkolenia pracowników nie zawsze wiąże się z koniecznością przetwarzania ich danych. Jeśli firma zewnętrzna nie zbiera żadnych informacji o uczestnikach, pracodawca nie musi regulować kwestii przetwarzania danych ani zawierać umowy powierzenia.
Dane pracowników mogą być przekazywane w formie listy lub wypełnionych formularzy firmy zewnętrznej.
Przekazywanie danych osobowych pracowników w ramach programów benefitowych
W ostatnich latach wielu pracodawców stara się przyciągnąć pracowników, oferując różnorodne benefity, takie jak karnety na siłownię, prywatna opieka zdrowotna czy dodatkowe ubezpieczenia. Ponieważ korzystanie z tych udogodnień jest dobrowolne, pracodawcy nie mogą przekazywać danych osobowych pracowników bez ich zgody. Przekazanie danych odbywa się na podstawie wyraźnej zgody pracownika, co jest zgodne z art. 6 ust. 1 lit. a RODO.
Czy należy zawrzeć umowę powierzenia z podmiotem oferującym benefity?
Decydującym czynnikiem w ustaleniu, czy dany podmiot przetwarzający dane jest ich administratorem, jest to, czy ma wpływ na cele i metody przetwarzania. Pracodawca przetwarza dane osobowe pracowników w zakresie niezbędnym do realizacji obowiązków wynikających ze stosunku pracy, natomiast usługodawcy przetwarzają te dane w kontekście świadczonych przez siebie usług. W efekcie istnieją dwa oddzielne zbiory danych, zarządzane przez różnych administratorów. Pracodawca nie ma prawa żądać od firm medycznych czy ubezpieczycieli przekazywania danych dotyczących zdrowia pracowników.
Jakie dane pracodawca może przekazać?
Zakres danych, które pracodawca może udostępnić, jest ograniczony i musi być ściśle związany z działalnością podmiotu świadczącego daną usługę. Przekazywane dane muszą być niezbędne do realizacji konkretnej usługi. Ważne jest również, że w przypadku, gdy przekazywane dane obejmują szczególne kategorie danych, wymienione w art. 9 ust. 1 RODO, konieczne jest uzyskanie odrębnej zgody pracownika (art. 9 ust. 2 pkt a RODO).
Monitoring pracowników w prze nowych technologii
W ostatnich latach rozwój technologii doprowadził do znaczących zmian w miejscu pracy, w tym do zastąpienia tradycyjnych narzędzi nowoczesnymi rozwiązaniami. Nowe technologie umożliwiają pracodawcom monitorowanie aktywności swoich pracowników, jednakże wiążą się z obowiązkiem respektowania prywatności.
Monitoring Poczty Elektronicznej
Pracodawcy mają prawo do monitorowania tylko służbowej poczty elektronicznej, jeśli jest to niezbędne do efektywnego zarządzania pracą oraz do prawidłowego wykorzystania narzędzi służbowych. Zgodnie z Kodeksem pracy, pracodawca powinien wyznaczyć cel i zakres monitoringu, informując pracowników o tych działaniach na co najmniej dwa tygodnie przed ich rozpoczęciem.
Niezbędne jest, aby monitoring nie naruszał tajemnicy korespondencji ani innych dóbr osobistych pracowników. Pracodawca nie ma prawa kontrolować prywatnych e-maili, co stanowi naruszenie konstytucyjnego prawa do prywatności
Pracodawcy są zobowiązani do jasno określenia celów i metod monitorowania w regulaminie pracy lub w układzie zbiorowym. Muszą informować pracowników o planowanych działaniach związanych z monitoringiem, a także przestrzegać przepisów RODO dotyczących ochrony danych osobowych.
Ewidencjonowanie Czasu Pracy: Prawa Pracodawcy i Ograniczenia w Użyciu Danych Biometrycznych
Ewidencjonowanie czasu pracy jest obowiązkiem pracodawcy, który musi zapewnić, że pracownicy są dostępni w godzinach ustalonych przez prawo lub umowę. Kodeks pracy nie narzuca konkretnego sposobu potwierdzania obecności, co daje pracodawcom dużą swobodę w organizacji tego procesu. Warto jednak zauważyć, że różne metody, takie jak listy obecności czy urządzenia kontrolujące, są jedynie elementami pomocniczymi, a nie pełnoprawną ewidencją czasu pracy.
Mimo że pracodawcy mają pewną elastyczność, istnieją istotne ograniczenia. Przede wszystkim zabronione jest wykorzystywanie danych biometrycznych, takich jak odciski palców czy skany tęczówki, do rejestracji obecności. Nawet za zgodą pracownika, pobieranie takich danych nie służy celom ewidencji czasu pracy i może naruszać prywatność pracowników.
Naczelny Sąd Administracyjny podkreśla, że wykorzystanie danych biometrycznych w kontekście monitorowania czasu pracy jest nieproporcjonalne do zamierzonego celu. Pracodawcy muszą przestrzegać zasad rozliczalności oraz ograniczeń dotyczących przetwarzania danych osobowych, co oznacza, że mogą żądać tylko tych informacji, które są ściśle związane z realizacją obowiązków pracowniczych.
Monitoring Pracowników za pomocą GPS: Prawo i Obowiązki Pracodawcy
W ostatnich latach wiele firm, zwłaszcza w branżach transportowych, zaczęło stosować urządzenia lokalizujące GPS do monitorowania swoich pracowników. Takie działanie ma na celu efektywne wykorzystanie zasobów oraz optymalizację kosztów. W niektórych przypadkach, np. w transporcie drogowym, monitorowanie jest wręcz obowiązkowe na mocy przepisów prawa.
Zgodnie z Kodeksem pracy, pracodawca może wprowadzić monitoring za pomocą GPS, o ile służy to zapewnieniu organizacji pracy i efektywnemu wykorzystaniu czasu pracy. Pracodawca jest zobowiązany do wcześniejszego poinformowania pracownika o stosowaniu takich urządzeń, co powinno nastąpić na piśmie oraz dwa tygodnie przed uruchomieniem monitoringu. Niezbędne jest również umieszczenie w widocznym miejscu informacji o monitorowaniu pojazdu oraz danych, które będą zbierane.
Podczas monitorowania lokalizacji pojazdów, pracodawcy mogą uzyskiwać dodatkowe informacje, takie jak styl jazdy kierowcy, miejsca zatrzymania, czy tankowania. Istnieje ryzyko, że monitoring dostarczy więcej danych, niż jest to konieczne, zwłaszcza gdy pojazd wykorzystywany jest także do celów prywatnych. W takiej sytuacji pracodawca nie ma prawa do przetwarzania danych dotyczących prywatnych aktywności pracownika, chyba że wystąpią sytuacje wyjątkowe, np. kradzież pojazdu
Aby uniknąć problemów, warto jasno określić zasady korzystania z samochodu służbowego, wskazując, że jest on przeznaczony tylko do celów służbowych. W przeciwnym razie, jeżeli pojazd jest używany także prywatnie, pracodawca musi uzyskać zgodę pracownika na przetwarzanie takich danych.
Nie wystarczy jedynie umieścić informacje o monitorowaniu w regulaminie pracy. Cel przetwarzania danych musi być zgodny z ich rzeczywistym wykorzystaniem. Na przykład, jeśli urządzenie GPS ma być wykorzystywane do monitorowania tras, nie można go stosować do celów ochrony mienia, jeśli takie działania nie są wcześniej uzgodnione w regulaminie
Źródło: Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców (wersja poradnika z 2018 r.), Urząd Ochrony Danych Osobowych (UODO).