Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców.

4 października 2018 r. pojawiła się publikacja „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców” wydany przez Urząd Ochrony Danych Osobowych. Poradnik wskazuje, jak przetwarzać dane osobowe zarówno podczas rekrutacji, jak i w ciągu całego okresu zatrudnienia. Nie ogranicza się jedynie do zatrudnienia na podstawie stosunku pracy, odnajdziemy w nim bowiem również informacje dot. umów cywilnoprawnych. Dedykowany jest pracodawcom, ale jest również ważnym źródłem informacji dla agencji zatrudnienia i pracowników, którzy chcą dowiedzieć się, jakie prawa przysługują im na mocy RODO. Wiele wyjaśnień odnosi się też do relacji między pracodawcą a innymi podmiotami – związkami zawodowymi, podmiotami świadczącymi usługi z zakresu medycyny pracy czy firmami szkoleniowymi.

Zachęcamy do zapoznania się z całym poradnikiem (do pobrania pod artykułem). Poniżej przedstawiamy najważniejsze (naszym zdaniem) informacje i wnioski.

Rekrutacja

Bez względu na to, w jaki sposób pracodawca będzie poszukiwał kandydatów do pracy, proces ten zawsze będzie wiązał się z pozyskiwaniem przez niego danych osobowych zawartych w dokumentach rekrutacyjnych (CV, listach motywacyjnych, świadectwach pracy, listach referencyjnych, zaświadczeniach itd.). Pracodawca powinien przetwarzać tylko takie dane, które są niezbędne ze względu na cel ich zbierania, jakim jest podjęcie przez niego decyzji o zatrudnieniu nowego pracownika. Pracodawca nie może żądać od kandydata danych wykraczających poza zakres, który został wskazany w przepisach prawa, danych nadmiarowych, w szczególności takich, które nie mają związku z celem, jakim jest zatrudnienie pracownika (np. danych o stanie cywilnym, wyznaniu).

Pracodawca może oczekiwać od kandydata do pracy podania mu danych, które ogólnie możemy określić, jako dane:

identyfikacyjne (imię, nazwisko, imiona rodziców, data urodzenia);
kontaktowe (adres zamieszkania) oraz
wykształceniu, umiejętnościach, doświadczeniu zawodowym (ukończonych szkołach oraz studiach, przebytych szkoleniach i kursach, poprzednich pracodawcach, zajmowanych stanowiskach oraz obowiązkach zawodowych)

Uwaga! Ustawa wdrażająca RODO zmieni brzmienie dotychczasowego art. 22[1] Kodeksu pracy, który precyzuje zakres danych, który pracodawca może żądać!

Pracodawca będzie uprawniony do pozyskania szerszego katalogu informacji tylko w przypadku, gdy przepis szczególny mu na to pozwala, np. w zakresie zaświadczenia o niekaralności.

Podmiot ogłaszający rekrutację ma obowiązek wywiązać z postanowień art. 13 RODO – tzn. spełnić obowiązek informacyjny. Za niezgodne z przepisami ochrony danych osobowych należy uznać poszukiwanie pracowników w ramach tzw. rekrutacji „ślepych”, „ukrytych”.

Nie jest potrzebna klauzula zgody na przetwarzanie danych osobowych. Przesyłając swoje CV i list motywacyjny kandydat do pracy wyraża zgodę na przetwarzanie udostępnionych tam danych. Wyjątek stanowi sytuacja przekazania w ten sposób szczególnych kategorii danych (np. danych dotyczących zdrowia). Jeżeli kandydat do pracy nie wyrazi odrębnej zgody na przetwarzanie tego rodzaju danych osobowych, a pracodawca nie legitymuje się przepisem prawa, który zobowiązuje go do ich przetwarzania, pracodawca powinien usunąć te dane ze swoich zasobów.

Bez odrębnej zgody pracodawca nie może wykorzystywać danych kandydata na potrzeby innych/późniejszych rekrutacji. Co do zasady pracodawca powinien trwale usunąć dane osobowe kandydata (np. poprzez zniszczenie bądź odesłanie), z którym nie zdecydował się zawrzeć umowy o pracę, niezwłocznie po zakończeniu procesu rekrutacji. Niedopuszczalne jest przetwarzanie danych tylko w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem osoby, której dotyczą.

Podczas rozmowy kwalifikacyjnej pracodawca może zadawać szereg szczegółowych pytań odnoszących się do informacji, jakie kandydat na pracownika zawarł w swoim CV. Musi jednak pamiętać, że powinny się one odnosić wyłącznie do kwestii związanych ze stanowiskiem, na które on aplikuje.

Niedopuszczalne jest pozyskiwanie przez potencjalnego pracodawcę informacji o kandydacie na pracownika od jego poprzedniego pracodawcy, jeśli nie posiada on zgody kandydata na powyższe. Podobnie, potencjalny pracodawca nie może zwrócić się do uczelni wyższej z prośbą o potwierdzenie, czy kandydat do pracy rzeczywiście uzyskał w niej dyplom.

Za niedopuszczalne należy uznać tworzenie tzw. „czarnych list” osób ubiegających się o zatrudnienie.

Okres zatrudnienia

Wraz z powstaniem stosunku pracy powstają określone prawa i obowiązki pracodawcy i pracownika, których realizacja w sposób oczywisty wiąże się z koniecznością przetwarzania danych pracownika.

Zgodnie z art. 22[1] § 2 i 4 Kodeksu pracy pracodawca ma prawo żądać od pracownika, którego zdecydował się zatrudnić, podania, niezależnie od danych osobowych, które mógł od niego pozyskać w toku rekrutacji, także:

innych jego danych osobowych, a także imion i nazwisk oraz dat urodzenia jego dzieci, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez niego ze szczególnych uprawnień prze-widzianych w prawie pracy;
jego numeru PESEL,
innych danych osobowych niż pozyskane w procesie rekrutacji i wskazane wyżej, jeżeli obowiązek ich podania wynika z odrębnych przepisów.

Uwaga! Ustawa wdrażająca RODO zmieni brzmienie dotychczasowego art. 22[1] Kodeksu pracy, który precyzuje zakres danych, który pracodawca może żądać!

Pracodawca nie powinien kopiować dokumentu tożsamości pracownika, za wyjątkiem ewentualnych sytuacji kiedy może na to zezwalać przepis prawa szczególnego.

Ponieważ dane pracownika już zatrudnionego pracodawca będzie przetwarzał w innym celu aniżeli kandydata oraz zmieni się krąg odbiorców tych danych, pracownik powinien pozyskać informacje w tym zakresie (należy uzupełnić obowiązek informacyjny wynikający z art. 13 RODO).

Dane pracownika są poufne i nie mogą być ujawniane bez jego zgody bądź innej podstawy prawnej.

Informacje m.in. o zwolnieniach lekarskich czy urlopie „na żądanie”, więc o szczególnych rodzajach nieobecności powinny znaleźć się w ewidencji czasu pracy, do którego dostęp oprócz samego pracownika, którego karta dotyczy mogą mieć jeszcze osoby odpowiedzialne za sprawy kadrowe i osoba reprezentująca pracodawcę (bezpośredni przełożony, osoby zarządzające zakładem pracy). Niedopuszczalne jest zamieszczanie takich informacji na wspólnych listach obecności.

Informacje o pracowniku takie jak np. jego imię i nazwisko, czy właśnie służbowy adres e-mail są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych. Dane te mogą być wykorzystywane (np. udostępniane) przez pracodawcę nawet bez zgody pracownika, którego one dotyczą (np. na stronie internetowej, wizytówkach). Ze względu na to, że wizerunku pracownika nie ma wśród danych wskazanych w Kodeksie pracy, aby pracodawca mógł je pozyskać i umieścić np. na identyfikatorze czy stronie internetowej musi legitymować się zgodą pracownika (o ile nie traktują o tym przepisy szczególne).

Prawo uzależnia przyznawanie ulgowych usług i świadczeń oraz wysokość dopłat z Zakładowego Funduszu Świadczeń Socjalnych od określonych kryteriów, tj. sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej. Przyznanie świadczeń, a także ich wysokość, uzależniona jest od spełnienia przez osobę ubiegającą się o to świadczenie określonych kryteriów socjalnych. W związku z tym pracodawca może pozyskiwać niezbędne dane, jednakże przetwarzanie tych danych nie może prowadzić do gromadzenia ich w zakresie szerszym, niż jest to konieczne dla realizacji celu. W przypadkach kiedy jest to możliwe należy ograniczyć się do wglądu do dokumentów (np. PIT) bez dalszego ich przechowywania.

Pozyskiwanie informacji o przynależności związkowej pracownika w toku konsultacji ze związkami zawodowymi jest uzasadnione w razie zamiaru rozwiązania umowy o pracę z konkretnym pracownikiem. Jednak brak jest podstaw do pozyskiwania przez pracodawcę od związku zawodowego danych osobowych w odniesieniu do wszystkich pracowników korzystających z ochrony danego związku zawodowego, w sytuacji, gdy pracodawca nie ma zamiaru ich zwolnić z pracy.

Nie należy zawierać umów powierzenia z jednostką służby medycyny pracy. Mamy w tym przypadku do czynienia z osobnymi administratorami danych.

Umowy powierzenia należy zawierać z zewnętrznymi firmami szkoleniowymi jeżeli pracodawca samodzielnie przesyła im dane swoich pracowników.

Coraz częściej pracodawcy, aby zachęcić pracowników do podjęcia pracy w ich firmach oferują różnego rodzaju udogodnienia np. karnety na siłownię, prywatną opiekę zdrowotną czy też dodatkowe ubezpieczenia pracownicze. W związku z faktem, iż korzystanie z tych udogodnień jest w pełni dobrowolne, pracodawca nie może udostępnić danych osobowych pracowników bez ich wiedzy i zgody na rzecz podmiotów świadczących te usługi. Udostępnienie danych osobowych przez pracodawcę odbywa się na podstawie zgody wyrażonej przez pracownika (art. 6 ust 1 lit a RODO).

Administratorzy, którzy są częścią grupy przedsiębiorstw lub instytucji powiązanych z podmiotem centralnym, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów lub pracowników. Zachodzi w tym przypadku sytuacja współadministrowania danymi (art. 26 RODO).

Pracodawca może monitorować pocztę elektroniczną swoich pracowników, ale musi pamiętać, że uprawnienie to dotyczy tylko służbowej poczty elektronicznej. Należy pamiętać o prawnie do prywatności. Materię monitoringu wizyjnego i innych form monitorowania pracowników regulują przepisy znowelizowanego Kodeksu pracy.

Inne niż określone w Kodeksie pracy formy zatrudnienia oraz praca tymczasowa

Jako niepracownicze formy zatrudnienia wyróżniamy m.in:

umowę o dzieło (art. 627 Kodeksu cywilnego);
umowę zlecenia (art. 734 Kodeksu cywilnego);
umowę o świadczenie usług (art. 750 Kodeksu cywilnego);

Ze względu na mnogość możliwych form prawnych i charakteru współpracy między stronami, różny będzie zestaw danych osobowych, który jest niezbędny do zawarcia i realizacji takich umów (zasada minimalizacji danych – art. 5 RODO). Podmiot zatrudniający powinien dokonać analizy zakresu danych, których zebranie jest konieczne w związku z realizacją umowy i ciążącymi na nim obowiązkami wynikającymi z umowy (np. wypłata wynagrodzenia) lub z przepisów prawa (np. płatność składek na ubezpieczenie społeczne).

Zgodnie z zasadą ograniczenia przechowywania, dane osobowe mogą być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których te dane są przetwarzane.

Przy określeniu czasu przechowywania podmiot zatrudniający takich współpracowników powinien wziąć pod uwagę:

okres trwania umowy,
okres ewentualnego dochodzenia roszczeń związanych z umową (okres przedawnienia roszczeń),
obowiązki wynikające z przepisów prawa.

Podmiot zatrudniający musi spełnić obowiązek informacyjny wobec takiej osoby zgodnie z art. 13 RODO. Obowiązek informacyjny może być spełniony w postaci pisemnej lub elektronicznej (np. w treści umowy, w ogłoszeniu), jak również okoliczności mogą przemawiać za ustnym poinformowaniem lub wywieszeniem tych informacji w miejscu, gdzie bezpośrednio zbiera się dane od takich osób.

W przypadku cywilnoprawnych form zatrudnienia można upoważnić osobę (również samozatrudnioną), nie ma obowiązku zawierania umowy powierzenia. Oczywiście pod warunkiem, że zatrudnione osoby przy przetwarzaniu danych osobowych korzystają ze środków i rozwiązań organizacyjnych administratora (np. systemów, pomieszczeń), a ponadto robią to na jego polecenie.

W przypadku posiadania przez administratora swojej bazy kontrahentów (osób fizycznych), podstawę przetwarzania ich danych w celach przyszłej współpracy należy upatrywać w udzielonej zgodzie.

Szczególną cechą zatrudnienia pracowników tymczasowych jest to, że agencja pracy tymczasowej zatrudnia pracownika na podstawie umowy o pracę na czas określony lub umowy o pracę na czas wykonania pracy wyłącznie w celu delegowania go do pracodawcy użytkownika, który z pracy tej korzysta i ją nadzoruje. Zarówno agencja pracy tymczasowej, jak i pracodawca użytkownik są odrębnymi administratorami danych. Pracodawca użytkownik, jako administrator danych, winien uregulować kwestię dostępu do danych osobowych bezpośrednio z pracownikiem tymczasowym i wydać mu stosowne upoważnienie do przetwarzania danych osobowych, o ile oczywiście w ramach wykonywania powierzonych mu obowiązków służbowych ma do nich dostęp.

Aby mieć pewność, że proces rekrutacyjny w naszej firmie jest przeprowadzany zgodnie z obowiązującymi przepisami, a dane naszych pracowników prawidłowo chronione – zapraszamy do uczestnictwa w maksymalnie praktycznych, czterodniowych kursach RODO.

Poradnik dotyczący zatrudnienia – do pobrania (.pdf)