Ogólne rozporządzenie o ochronie danych (RODO) wprowadziło zupełnie nowe podejście do problematyki ochrony danych osobowych. Wraz z wejściem w życie rozporządzenia to administratorzy-pracodawcy stali się odpowiedzialni za prowadzenie procesów przetwarzania danych w taki sposób, aby zapewnić im optymalny poziom bezpieczeństwa. W związku z tym niezbędna jest regularna weryfikacja funkcjonujących w organizacji zasad przetwarzania danych, w tym danych pracowników we wszystkim obszarach kadrowych. Brak rozwiązań adekwatnych do rodzaju przetwarzanych danych może skutkować nałożeniem przez UODO wysokich kar finansowych.
W maju 2020 r. upłyną 2 lata od czasu, kiedy w Polsce stosujemy RODO, a tym samym od momentu, w którym pracodawcy powinni wdrożyć w swoich zakładach pracy zasady prawidłowego przetwarzania danych osobowych. Na proces prawidłowego przetwarzania danych osobowych składa się nie tylko konieczność stworzenia odpowiednich dokumentów, procedur i systemów, które będą działały zgodnie z RODO, ale również wynikający z rozporządzenia o RODO obowiązek weryfikacji tych procesów.
Ogólne rozporządzenie o przetwarzaniu danych osobowych (RODO) reguluje sposób, w jaki administrator-pracodawca powinien przetwarzać dane osobowe. Jednak nie są to szczegółowe wytyczne, lecz jedynie zbiór ogólnych zasad, których należy przestrzegać w trakcie przetwarzania danych. Administrator-pracodawca musi sam ustalić, w jaki sposób będzie realizować te zasady u siebie. Taki poziom ogólności przepisów i pozostawienie administratorom-pracodawcom swobody w doborze indywidualnych rozwiązań nadal stanowi problem dla pracodawców.
Weryfikując procesy przetwarzania pracowniczych danych osobowych pracodawcy muszą dokonać przeglądu każdego procesu przetwarzania pod kątem 8 elementarnych zasad RODO.
Zasady, które muszą być przestrzegane podczas przetwarzania danych osobowych zgodnie z RODO i których przestrzeganie należy zweryfikować, to:
Przetwarzane danych osobowych zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą, oznacza posiadanie podstawy do przetwarzania danych. RODO wymienia wyraźnie, jakie są dopuszczalne podstawy przetwarzania danych osobowych.
Przetwarzanie jest zgodne z prawem na następujących podstawach przetwarzania (art. 6 RODO):
Zatem podczas weryfikacji poprawności procesu przetwarzania należy sprawdzić, czy każda z przetwarzanych przez nas danych ma swoją podstawę przetwarzania. Jeśli jest nią zgoda, to czy na pewno taka zgoda została udzielona i pracodawca jest w stanie ją wykazać.
Zasada ta oznacza, że zbieranie danych osobowych powinno odbywać się w konkretnych, wyraźnych i prawnie uzasadnionych celach i dane te nie powinny być przetwarzane dalej w sposób niezgodny z tymi celami.
Zatem należy zweryfikować, czy na pewno dane będące w posiadaniu pracodawcy nie są wykorzystywane do innych celów niż obsługa procesów personalno-kadrowych.
Zasada to oznacza, że zebrane i przetwarzane dane osobowe powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów ich przetwarzania.
Zatem należy dokonać przeglądu zakresu danych, jakie posiada w swoich bazach pracodawca, i sprawdzić, czy nie znajduje się w nich więcej danych niż absolutnie konieczne do obsługi procesów personalno-kadrowych. Pozostałe dane należy usunąć.
Zasada ta oznacza, że dane osobowe zebrane i przetwarzane powinny być prawidłowe i w razie potrzeby uaktualniane. Oznacza to również konieczność podjęcia wszelkich rozsądnych działań, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.
Zatem pracodawca powinien dokonać przeglądu danych pod kątem ich aktualności i prawidłowości. W tym przypadku nie jest wystarczająca jednorazowa weryfikacja. Zgodnie ze stanowiskiem UODO z 6 lutego 2020 r. powinien być to nieprzerwany proces:
(...) Prezes UODO wskazuje, że RODO wymaga nieprzerwanego, ciągłego, prawidłowego przetwarzania danych, w każdym procesie wykonywania operacji na danych. Nie wystarczy więc dokonać jednorazowego przeglądu danych w istniejących zasobach. Przepisy te nakazują pracodawcy usuwać dane osobowe, których dalsze przechowywanie jest zbędne, jest ściśle związane z zasadą ograniczenia celu (art. 5 ust. 1 lit. b RODO).
Pomocne w tym zakresie może być ustalenie stałych standardowych działań, które wejdą do zakresu zadań pracowników działów personalnych. Najlepszym sposobem jest zamieszczenie opisu takich obowiązków w wewnątrzzakładowym zarządzeniu w sprawie bezpieczeństwa danych osobowych lub procedurze pracy z danymi osobowymi w dziale personalnym.
Zasada ta oznacza, że dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której one dotyczą, a ponadto nie powinny być przechowywane i przetwarzane przez okres dłuższy, niż jest to niezbędne do celów przetwarzania.
Aby to ocenić, pracodawca musi posiadać odpowiednie wewnętrzne regulacje, jak długo jakiego rodzaju dane przechowuje w sytuacjach, kiedy nie reguluje tego wprost przepis prawa. Zatem pracodawca musi zweryfikować, czy posiada takie regulacje i czy są one stosowane. Następnie pracodawca powinien dokonać przeglądu danych i sprawdzić, czy nie upłynął termin ich przechowywania, a dane przeterminowane usunąć.
Zasada ta oznacza konieczność przetwarzania danych osobowych w sposób zapewniający im odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.
W celu zapewnienia stosownego poziomu bezpieczeństwa za pomocą środków organizacyjnych (procedur) oraz technicznych powinno się dokonać analizy skutków planowanych operacji przetwarzania dla ochrony danych osobowych (DPIA).
DPIA jest obowiązkowe zawsze, gdy:
W opinii UODO istnieją rodzaje operacji przetwarzania danych, dla których tego rodzaju ocena DPIA jest wymagana. W przypadku pracodawców UODO wskazuje na taki obowiązek w razie przetwarzania danych przy udziale systemów monitoringu, np. czasu pracy, a także systemów oferowanych przez portale rekrutacyjne (załącznik do komunikatu Prezesa UODO z 17 sierpnia 2018 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony). Nie ma rekomendowanego wzoru ani jednoznacznych wytycznych, jak taką ocenę przeprowadzić. Decyduje o tym sam podmiot przetwarzający dane.
Zatem pracodawca musi sprawdzić, czy występujące u niego procesy wymagają przeprowadzenia analizy DPIA. Jeśli są wymagane, należy zweryfikować, czy zostały przeprowadzone i czy są aktualne.
Ponadto pracodawca musi sprawdzić, czy osoby przetwarzające dane pracownicze w jego imieniu mają stosowne upoważnienia do przetwarzania danych w określonych celach i czy są one aktualne.
Wzór upoważnienia do przetwarzania danych osobowych
Warszawa, dnia …………………… r. …………………………………….. Pracodawca
Upoważnienie do przetwarzania danych osobowych
W imieniu XXX Sp. z o.o. upoważniam pracownika: ……………Annę Gajewską………….. zatrudnioną na stanowisku ……specjalisty ds. kadr i płac ……….. do przetwarzania danych osobowych zleceniobiorców i pracowników Spółki oraz ich bliskich w zakresie niezbędnym do realizacji obowiązków ciążących na zleceniodawcy i pracodawcy, w szczególności w celu:
Przetwarzanie danych w ramach nadanego upoważnienia jest ściśle związane z realizacją zadań i obowiązków wynikających ze stosunku pracy łączącego osobą upoważnioną z administratorem. Upoważnienie do przetwarzania danych osobowych ograniczone jest do przetwarzania tylko takich kategorii danych oraz do wykonywania tylko takich operacji na danych, które są niezbędne do realizacji zadań i obowiązków osoby upoważnionej.
Upoważnienie traci ważność z chwilą rozwiązania, wygaśnięcia umowy lub zmiany stanowiska pracy.
................................................ ........................................... Data nadania upoważnienia Podpis osoby uprawnionej
|
Ważne też, aby sprawdzić, czy wszystkie osoby upoważnione do przetwarzania danych pracowników zostały poinformowane o obowiązku poufności i konieczności przestrzegania zasad przetwarzania danych.
Najlepszą metodą na przekazanie wymagań i standardów, jakich należy przestrzegać pracując z danymi osobowymi, jest przeprowadzenie szkolenia, podczas którego zostanie to w przystępny sposób objaśnione. Z kolei zaświadczenie o obecności na takim szkoleniu może mieć wartość dowodową w przypadku kontroli.
Równie skuteczną metodą jest stworzenie procedury przetwarzania danych osobowych, zapoznanie z jej treścią wszystkich przetwarzających dane pracowników, a na koniec pobranie oświadczenia od tych pracowników, że przeczytali dokument i mają świadomość ciążących na nich obowiązków, w szczególności konieczności zachowania poufności danych.
Wzór oświadczenia o zapoznaniu się z zarządzeniem w sprawie bezpieczeństwa danych osobowych
Warszawa, dnia …………………………. ………………………………………. pracodawca
OŚWIADCZENIE O ZAPOZNANIU SIĘ Z ZARZĄDZENIEM W SPRAWIE BEZPIECZEŃSTWA DANYCH OSOBOWYCH ORAZ O OBOWIĄZKU ZACHOWANIA POUFNOŚCI PRZETWARZANYCH DANYCH OSOBOWYCH
Ja, niżej podpisany(a).............................................................................................................. (imię i nazwisko)
w związku z nadaniem mi upoważnienia do przetwarzania danych osobowych oświadczam, że zapoznałem/am się z dokumentem "Zarządzenie w sprawie bezpieczeństwa danych osobowych" oraz przepisami dotyczącymi ochrony danych osobowych, w szczególności Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) i zobowiązuję się do ich przestrzegania. Zobowiązuję się do:
………………….............………………………………………… (data i czytelny podpis pracownika) |
Bardzo ważnym elementem prawidłowego przetwarzania danych osobowych jest ciążący na administratorze, w tym przypadku pracodawcy, obowiązek przekazania osobie, której dane dotyczą, podstawowych informacji o przetwarzaniu danych osobowych.
W takiej informacji powinny się znaleźć:
Ponadto jeżeli administrator planuje dalsze przetwarzanie danych osobowych w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on o tym osobę, której dane dotyczą.
Zatem należy sprawdzić, czy każdy z kandydatów do pracy i pracowników, czasem także byłych pracowników, otrzymał taką informację. Ponadto należy sprawdzić, czy treść tej informacji jest aktualna i odpowiada faktycznym celom i zakresom przetwarzania.
Przykładowe oświadczenie o przetwarzaniu danych osobowych kandydatów przez pracodawcę w procesie rekrutacji
……………………………………….. (miejscowość i data)
Informacja o przetwarzaniu danych osobowych dla kandydatów do pracy
Administratorem danych osobowych podawanych w celu realizacji procesów rekrutacji jest XXX Sp. z o.o. z siedzibą w Warszawie, adres: 01-001 Warszawa ul. Miła 100, e-mail: daneosobowe@xxx.pl, telefon: XXX XXX XXX, KRS XXXXXXXXX, NIP XXX XXX XX XX, REGON XXXXXXXXX, ( "Spółka"). Podstawą prawną przetwarzania danych osobowych są:
Dane osobowe będą przetwarzane w celu realizacji procesów rekrutacji w Spółce oraz podjęcia ewentualnych działań zmierzających do zatrudnienia kandydata w Spółce. Dane osobowe będą przechowywane maksymalnie przez okres wynoszący 1 rok, licząc od daty ich pierwszego przetwarzania przez Spółkę. Z końcem okresu przechowywania dane osobowe zostaną usunięte lub zanonimizowane. Dane osobowe mogą być przekazane podmiotom przetwarzającym je na zlecenie Administratora, dla wypełnienia celów, dla jakich dane te są zbierane, np. podmiotom obsługującym na zlecenie Spółki proces rekrutacji w Spółce, operatorom usług informatycznych świadczącym usługi na rzecz Spółki oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa. Dane osobowe są przetwarzane w sposób zautomatyzowany. Dane osobowe nie są profilowane. Osobom, których dane osobowe dotyczą, przysługuje prawa do:
W celu realizacji praw przysługujących osobie, której dane dotyczą, należy skontaktować się z Administratorem na adres e-mail: daneosobowe@xxx.pl lub telefonicznie pod nr.: XXX XXX XXX. Otrzymałem Informację o przetwarzaniu danych osobowych dla kandydatów do pracy: …………………………………………………………… |
Administrator jest odpowiedzialny za przestrzeganie przepisów o ochronie danych osobowych i musi być w stanie wykazać ich przestrzeganie.
W praktyce oznacza to, że administrator-pracodawca w trakcie ewentualnej kontroli musi okazać dokumenty, których posiadania wprost wymagają przepisy RODO, oraz inne dowody wskazujące na to, że dane są przetwarzane prawidłowo, np. okazanie systemów i ich zabezpieczeń, innych technologii mających za zadanie chronić bezpieczeństwa danych.
Interesujący dla UODO podczas czynności kontrolnych w tym obszarze może być również rejestr czynności przetwarzania. Jest to dokument wymagany od każdego administratora danych, zatem od każdego pracodawcy (art. 30 ust. 1 RODO). W praktyce jest to tabela, w której umieszcza się następujące informacje:
Rejestr czynności przetwarzania jest to dokument będący podstawą do wszelkich działań audytowych czy kontrolnych w obszarze przetwarzania danych osobowych.
Zatem pracodawca powinien sprawdzić, czy ma rejestr czynności przetwarzania pracowniczych danych osobowych i czy jest on aktualny oraz czy nie pomija żadnej nowej czynności przetwarzania.
Administrator-pracodawca, chcąc mieć pewność, że prawidłowo przetwarza dane osobowe pracowników, powinien każdy z procesów przetwarzania danych na bieżąco analizować pod kątem powyżej omówionych zasad.
Najłatwiej przeprowadzić taką analizę za pomocą pytań, które powinien sobie zadać pracodawca podczas weryfikowania procesów przetwarzania.
Przykładowy zestaw pytań wspomagający weryfikację poprawności procesów przetwarzania danych
Pytania wspomagające weryfikację poprawności procesów przetwarzania danych | |
Zasada RODO | Pytania weryfikujące poprawność stosowania zasady RODO |
Zgodność z prawem, rzetelność i przejrzystość | Czy mam zgodę osoby, której dane dotyczą, na przetwarzanie tych danych? Czy przetwarzam dane, ponieważ jest to niezbędne do wykonania umowy, która łączy mnie z osobą, której dane dotyczą? Czy ciąży na mnie obowiązek prawny (wynikający z ustawy), którego wykonanie wymaga przetwarzania danych osobowych? Czy przetwarzanie jest niezbędne do ochrony interesów osoby, której dane dotyczą? |
Ograniczenie celu | Czy zbieranie i przetwarzanie danych odbywa się wyłącznie w konkretnym, wyraźnym i prawnie uzasadnionym celu? |
Minimalizacja danych | Czy dane, które przetwarzam, są adekwatne oraz ograniczone stosownie do celu w których są przetwarzane? |
Prawidłowość | Czy przetwarzane dane są prawidłowe? Czy przetwarzane dane są uaktualniane? Czy nieprawidłowe dane (błędne lub niezgodne z celem przetwarzania) zostały niezwłocznie usunięte lub sprostowane? |
Ograniczenie przechowywania | Czy dane osobowe są przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą? Czy dane osobowe nie są przechowywane przez okres dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane? |
Integralność i poufność | Czy dane są przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem? Czy dane są przetwarzane przez osoby do tego upoważnione? |
Rozliczalność | Czy jestem w stanie wykazać, że dane osobowe są przetwarzane zgodnie z RODO? Czy posiadam wszystkie niezbędne wymagane przez RODO dokumenty:
|
Działy personalne są jednymi z najbardziej newralgicznych miejsc w organizacji pod względem przetwarzania danych osobowych. To w ich zakresie zadań znajdują się liczne procesy wymagające przetwarzania ogromnej ilości bardzo szczegółowych danych, nierzadko także danych szczególnych (wrażliwych). Jednym z ważniejszych elementów weryfikacji poprawności przetwarzania danych osobowych jest ustalenie i spisanie wszystkich procesów, w których dane te są przetwarzane, aby w następnej kolejności można było dokonać przeglądu, w jaki sposób dane w tych procesach są przetwarzane.
Do najczęściej występujących procesów w działach personalnych, w których dochodzi do przetwarzania danych osobowych, należą:
Każdy z wymienionych procesów należy zweryfikować pod kątem poprawności przetwarzania danych osobowych w jego trakcie.
Najczęstszą podstawą przetwarzania danych osobowych na etapie rekrutacji pracowników jest art. 221 Kodeksu pracy oraz zgoda samego kandydata na przetwarzanie jego danych. Zazwyczaj jest ona formułowana przez kandydata na piśmie i zamieszczana w formie klauzuli przesyłanej przez kandydata w aplikacji. Obowiązkiem pracodawcy jest poinformować osobę, która wyraziła zgodę na przetwarzanie danych, że można ją wycofać. Co istotne, wycofanie zgody powinno być równie łatwe, jak było jej wyrażenie.
Ważne!
Kandydat do pracy musi być poinformowany o możliwości i sposobie wycofania zgody na przetwarzanie jego danych osobowych.
W przypadku odwołania zgody kandydata na przetwarzanie jego danych pracodawca ma obowiązek zaprzestać przetwarzania danych oraz powinien niezwłocznie je usunąć.
W procesie rekrutacji trzeba jasno ustalić, czy zebrane i przetwarzane dane mają służyć wyłącznie konkretnemu procesowi rekrutacji, czy pracodawca i kandydat będą chcieli je wykorzystać także przy innych procesach rekrutacyjnych, które, być może, będą miały miejsce w przyszłości.
Jeśli kandydat wyraźnie nie zaznaczy, że wyraża zgodę na wykorzystanie danych także w przyszłości przy innych rekrutacjach, pracodawca musi pamiętać, że nie może wówczas danych tych użyć poza jednym konkretnym procesem naboru.
Przykładowa klauzula zgody na wykorzystanie danych osobowych w konkretnym procesie rekrutacji
Wyrażam zgodę na przetwarzanie przez XXX Sp. z o.o. moich danych osobowych zawartych w niniejszym CV w celu przeprowadzenia procesu rekrutacji na stanowisko specjalisty ds. księgowości. |
Przykładowa klauzula zgody na wykorzystanie danych osobowych w procesie rekrutacji aktualnym i przyszłych
Wyrażam zgodę na przetwarzanie przez XXX Sp. z o.o. moich danych osobowych zawartych w niniejszym CV w celu przeprowadzenia procesu rekrutacji na stanowisko specjalisty ds. księgowości, a także przyszłych procesów rekrutacyjnych prowadzonych przez XXX Sp. z o.o. w okresie 5 lat od dnia przesłania niniejszego CV. |
W praktyce zdarzają się także sytuacje, kiedy kandydat ubiegając się o dane stanowisko nie zamieszcza żadnej klauzuli zgody na przetwarzanie danych. Wówczas pracodawcy często obawiają się rozpatrywać taką kandydaturę pracownika. Jednak UODO stoi na stanowisku, że dopuszczalne jest wyrażenie dorozumianej zgody przez kandydata na przetwarzanie jego danych. Wynika ona z jego działania, które wyraźnie świadczy o braku sprzeciwu do przetwarzania danych.
Przykład
Pracodawca w odpowiedzi na ogłoszenie zamieszczone w portalu społecznościowym, że poszukuje pracownika na stanowisko inżyniera produkcji, otrzymał CV Jana Kowalskiego. Nie ma w nim klauzuli zgody na przetwarzanie danych osobowych. CV zostało wysłane jako załącznik do e-maila przesłanego z prywatnej skrzynki mailowej należącej do kandydata, a w treści maila kandydat napisał, że w załączeniu przesyła swoje CV i bardzo prosi o rozpatrzenie jego kandydatury. Jest to wystarczająca dla pracodawcy informacja, że kandydat dobrowolnie przekazuje swoje dane osobowe na potrzeby procesu rekrutacji na to konkretne stanowisko zawarte w ogłoszeniu.
Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:
Przy czym danych o wyksztalceniu, kwalifikacjach zawodowych i przebiegu dotychczasowego zatrudnienia pracodawca może żądać tylko w przypadku, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.
Zatem weryfikacji wymagają formularze, które pracodawcy często przekazują do wypełnienia czy to podczas spotkań rekrutacyjnych, czy już na etapie zbierania aplikacji on-line.
Przykładowy formularz ankiety personalnej dla kandydata do pracy
Ankieta personalna kandydata do pracy | |
Imię i nazwisko |
|
Data urodzenia |
|
Dane kontaktowe, np. adres kontaktowy, nr telefonu, e-mail* |
|
Wykształcenie** |
|
Kwalifikacje zawodowe** |
|
Doświadczenie zawodowe** |
|
*Kandydat sam decyduje, jakiego rodzaju dane kontaktowe wskazuje ** Zakres danych ujętych w tej rubryce powinien się ograniczyć wyłącznie do danych niezbędnych do oceny kandydata pod kątem stanowiska, na które aplikuje. |
Podczas procesu rekrutacji nie wolno zbierać danych dotyczących wyroków skazujących oraz czynów zabronionych (art. 10 RODO). W praktyce w zasadzie uniemożliwia to pracodawcom żądanie od kandydatów zaświadczenia o niekaralności. Wyjątkiem są sytuacje, kiedy przepisy przewidują wymóg niekaralności przy zatrudnieniu na danym stanowisku, np. nauczyciele, straż graniczna, detektywi. Ponieważ przed wejściem w życie RODO przepisy nie były tak jednoznaczne, warto zweryfikować, czy w dokumentacji kadrowej (np. aktach osób z długim stażem) nie są archiwizowane zaświadczenia o niekaralności. Należy też sprawdzić, czy nadal się ich nie pobiera.
WAŻNE!
Podczas procesu rekrutacji nie wolno zbierać danych dotyczących wyroków skazujących oraz czynów zabronionych.
W praktyce częstą sytuacją jest przekazanie przez kandydatów szerszego zakresu danych, niż wskazują przepisy Kodeksu pracy. Zgodnie ze wskazówkami UODO:
(…) w takiej sytuacji przyjmuje się, że dane osobowe kandydata, są przetwarzane przez pracodawcę na podstawie zgody, która może polegać na oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.
Wyjątek stanowią dane szczególnej kategorii (np. o zdrowiu), na których przetwarzanie pracodawca musi mieć wyraźną zgodę. Jeśli takiej zgody nie ma, aplikację należy usunąć.
WAŻNE!
Jeśli kandydat sam ujawnia w CV więcej informacji, niż jest to dopuszczalne w przepisach, przyjmuje się, że są one przetwarzane na postawie jego zgody.
Pracodawca musi kontrolować aktualność i poprawność archiwizowanych danych kandydatów do pracy. Warto zatem zweryfikować, czy dane kandydata, jeśli przechowujemy je z poprzedniej rekrutacji, są aktualne, czy znajdują się we właściwych i odpowiednio opisanych folderach.
Kandydat może także w klauzuli o zgodzie na przetwarzanie danych określić czas, przez jaki pracodawca może to robić. Wówczas pracodawca powinien tego przestrzegać. Należy zatem zweryfikować, czy kandydat w swoim oświadczeniu nie określił czasu, przez jaki wolno dane przechowywać.
Pracodawcy często decydują się na przechowywanie dokumentacji związanej z procesem rekrutacji przez 3 lata od jego zakończenia, tłumacząc się koniecznością obrony przed ewentualnymi roszczeniami kandydatów do pracy o dyskryminację w procesie zatrudnienia. Jednak UODO stoi na stanowisku, że jest to działanie niedopuszczalne. W publikacji z października 2018 r. "Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców" (www.uodo.gov.pl) UODO wskazał, że:
(...) w toku rekrutacji nie powstaje żaden stosunek zobowiązaniowy pomiędzy kandydatem do pracy, a pracodawcą. Brak jest dokonania wzajemnych rozliczeń lub możliwości zarzucenia drugiej stronie niewykonania umowy lub nieprawidłowego jej wykonania. Nie ma więc podstaw do uznania, że pracodawca jest uprawniony do przetwarzania danych z uwagi na konieczność ustalenia bądź nie, istnienia roszczenia. Działanie pracodawcy stanowiłoby przetwarzanie danych kandydata "na wszelki wypadek"(...) W przypadku roszczeń wynikających z dyskryminacji kandydata do pracy, to na kandydacie spoczywa obowiązek przedstawienia faktów, z których wynika domniemanie nierównego traktowania.
W procesie rekrutacji powinny uczestniczyć wyłącznie osoby posiadające upoważnienie do przetwarzania danych osobowych kandydatów w celu wyłonienia osoby do zatrudnienia. Wymóg posiadania stosownego upoważnienia dotyczy nie tylko pracowników działu HR, ale również innych uczestników procesu, np. przełożonych, do których zespołów odbywa się rekrutacja i którzy również przeglądają aplikacje kandydatów i odbywają z nimi spotkania. Ważne jest, aby byli oni także poinstruowani o zasadach przetwarzania danych w tym procesie i o obowiązku poufności. Należy zatem zweryfikować, czy wszystkie osoby uczestniczące w rekrutacji posiadają upoważnienie do przetwarzania danych osobowych kandydatów do pracy i mają świadomość poufności procesu.
Pracodawca powinien zadbać o to, aby kandydaci odpowiadający na ofertę pracy byli odpowiednio poinformowani o tym, kto i w jaki sposób przetwarza ich dane. Przekazanie informacji o sposobie przetwarzania danych w procesie rekrutacji może się odbywać drogą elektroniczną, np. w postaci e-maila czy wyświetlonego w portalu rekrutacyjnym okienka. Możliwe jest także przekazanie takiej informacji w formie papierowej.
Problem w praktyce stanowią rekrutacje "ukryte", w których pracodawca nie chce ujawnić swojej tożsamości. Chęć zachowania anonimowości pracodawcy kłóci się z obowiązkiem poinformowania kandydata o podmiocie, który jego dane pobiera i będzie przetwarzał. UODO wyraźnie wskazuje, że jest to niezgodne z przepisami. Sposobem na rozwiązanie tej sytuacji jest zlecenie rekrutacji profesjonalnej agencji, która na początkowym etapie występuje w roli administratora danych osobowych i to jej dane są wskazane w informacji o przetwarzaniu danych na etapie zbierania aplikacji. Należy jednak pamiętać, że w momencie gdy agencja dokona pierwszej selekcji, przed przekazaniem pracodawcy danych wybranych kandydatów należy im przesłać stosowną informację o tym, komu ich dane zostają przekazane i w jakim celu. Wówczas kandydaci powinni przekazać zgodę na przekazanie ich danych do pracodawcy.
Innym spotykanym w praktyce problemem są rekrutacje, w których pracodawca korzysta z należących do innego podmiotu narzędzi do rekrutacji on-line. W takiej sytuacji, jeśli za pomocą narzędzia on-line nie tylko jest nadawane ogłoszenie, ale też zbierane są aplikacje kandydatów, a zatem i przetwarzanie danych kandydatów, pracodawca powinien zawrzeć z dostawcą narzędzia on-line umowę powierzenia przetwarzania danych osobowych.
Zatem pracodawca na etapie poprawności weryfikacji przetwarzania danych w procesie rekrutacji powinien sprawdzić, na jakiś zasadach korzysta z usług platform rekrutacyjnych, czy wymaga to podpisania umowy powierzenia przetwarzania danych, a jeśli wymaga, to czy została ona podpisana i czy zawiera wszystkie niezbędne elementy, m.in. charakter i cel przetwarzania danych osobowych, przedmiot i czas trwania przetwarzania, rodzaj danych osobowych oraz kategorie osób (w tym przypadku dane kandydatów do pracy), których dane dotyczą, a także prawa i obowiązki administratora.
Ponieważ proces rekrutacji wiąże się z gromadzeniem często dużej ilości danych, warto przeprowadzić analizę ryzyka dla baz danych kandydatów do pracy. Warto zatem sprawdzić, czy została ona przeprowadzona i czy jest aktualna.
Tabela. Przykładowe działania weryfikujące poprawność przetwarzania pracowniczych danych osobowych
Co należy sprawdzić (!) |
Czy aplikacja kandydata do pracy zawiera klauzulę zgody na przetwarzanie jego danych osobowych na potrzeby rekrutacji |
Czy aplikacja zawiera zgodę na przetwarzanie w innych procesach rekrutacyjnych |
Jeśli nie ma zgody na wykorzystanie danych w przyszłych rekrutacjach, to czy nie przechowuje takich danych |
Czy w aktach osobowych lub innej dokumentacji nie przechowuje się zaświadczeń o niekaralności |
Czy w aplikacjach kandydatów nie ma danych szczególnej kategorii, dla których przetwarzania należy mieć wyraźną zgodę kandydata, a jeśli takie dane są, to czy jest wyraźna zgoda |
Czy dane kandydata, jeśli przechowujemy je z poprzedniej rekrutacji, są aktualne, czy znajdują się we właściwych i odpowiednio opisanych folderach oraz czy są adekwatne do celu przetwarzania |
Czy kandydat w swoim oświadczeniu nie określił czasu, przez jaki wolno dane przechowywać, a jeśli to zrobił, to czy okres ten już nie upłynął |
Czy w systemach informatycznych albo dokumentacji nie są przechowywane dane dotyczące zakończonych procesów lub dla których okres zgody na przetwarzanie upłynął |
Czy wszystkie osoby uczestniczące w rekrutacji posiadają upoważnienie do przetwarzania danych osobowych kandydatów do pracy |
Czy kandydaci otrzymali informacje o przetwarzaniu danych |
Czy została zawarta z dostawcą narzędzia on-line do rekrutacji umowa powierzenia przetwarzania danych osobowych |
Czy została przeprowadzona analiza ryzyka skutków naruszenia zasad przetwarzania danych dla baz danych kandydatów i czy jest ona aktualna |
Podstawą przetwarzania danych osobowych na etapie badań pracowników przez lekarza medycyny pracy (kierowania na nie kandydata, ich przeprowadzania oraz wystawienia i przekazania pracodawcy zaświadczenia o zdolności do pracy) są przepisy Kodeksu pracy. Zobowiązują one pracodawcę do kierowania pracowników na wstępne, okresowe i kontrolne badania lekarskie oraz do przechowywania wydanych orzeczeń.
Przechowywanie orzeczeń z badań lekarskich pracowników w jednostkach służby medycyny pracy ma także podstawę w przepisach o dokumentacji medycznej.
Warto podkreślić, że pracodawca i jednostka służby medycyny pracy działają niezależnie od siebie. Są zatem oddzielnymi administratorami danych osobowych (każdy z nich samodzielnie ustala cele i środki przetwarzania danych osobowych).
Zakres danych, jakie może przetwarzać jednostka medycyny pracy, regulują przepisu o dokumentacji medycznej, natomiast pracodawca powinien mieć wyłącznie informację, czy pracownik jest zdolny do pracy, czy też nie. Nie powinien mieć jednak szczegółowych informacji o stanie zdrowia pracownika.
WAŻNE(!)
Pracodawca nie powinien otrzymywać szczegółowych informacji o stanie zdrowia pracownika z jednostki medycyny pracy.
Należy dbać, aby dane pracownika były prawidłowo uzupełnione, a zaświadczenia znajdowały się we właściwych teczkach lub folderach w systemach informatycznych. Konieczne jest zatem dokonywanie przeglądów skierowań na badania medycyny pracy i orzeczeń medycyny pracy - czy nie zawierają szczegółowych danych o zdrowiu pracownika oraz czy są prawidłowe.
Należy zweryfikować, czy do zaświadczeń lekarskich nie mają dostępu osoby bez upoważnienia do przetwarzania danych osobowych pracowników i czy osoby te mają świadomość obowiązku zachowania poufności tych danych.
Tabela. Przykładowe działania weryfikujące poprawność przetwarzania pracowniczych danych osobowych na potrzeby badań lekarskich
Co należy sprawdzić (!) |
Czy dane pracownika były prawidłowo uzupełnione, a zaświadczenia znajdowały się we właściwych teczkach lub folderach w systemach informatycznych |
Czy zaświadczenia nie zawierają szczegółowych informacji o stanie zdrowia pracownika |
Czy do zaświadczeń lekarskich nie mają dostępu osoby bez upoważnienia do przetwarzania danych osobowych pracowników i bez świadomości poufności tych dokumentów |
Czy zaświadczenia są przechowywane w sposób bezpieczny (w zakresie ochrony zarówno przed zniszczeniem, jak i przed dostępem nieupoważnionych osób) |
Na tym etapie podstawą przetwarzania danych osobowych pracownika przez pracodawcę będzie głównie obowiązek prawny administratora, czyli sytuacja, kiedy przetwarzanie danych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, np. obowiązek przekazania pracownikowi umowy o pracę na piśmie, a także zarejestrowania pracownika w systemie ZUS oraz fakt, że przetwarzanie danych pracownika jest niezbędne do wykonania zobowiązań stron wynikających z umowy o pracę. W przypadku danych wychodzących poza zakres niezbędny do realizacji obowiązków pracodawcy konieczna jest zgoda pracownika.
Na tym etapie pracodawca może poza danymi zebranymi już na etapie rekrutacji dodatkowo uzyskać od pracownika następujące dane:
Kodeks pracy też przewiduje możliwość zażądania przez pracodawcę podania innych danych osobowych, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której dane dotyczą. Zatem posiadanie kopi dokumentów pracownika, np. dowodu osobistego, będzie prowadziło do gromadzenia nadmiarowych danych niezwiązanych z wykonywaną przez pracownika pracą.
Pracownicy często przynoszą pracodawcy samodzielnie skopiowane dokumenty zawierające ich dane osobowe, nie zawsze konieczne do procesu nawiązania stosunku pracy. Pracodawca powinien oddawać je pracownikom i nie przechowywać w swoich zasobach. Pracodawca powinien zatem przejrzeć akta osobowe i pozostałą dokumentację pracowniczą i pousuwać z niej kopie takich dokumentów.
Także przy zatrudnieniu obowiązuje zasada przetwarzania danych przez osoby upoważnione i zobowiązane do zachowania ich poufności. Zatem także w tym przypadku należy zweryfikować spełnienie tych wymogów.
Ponieważ dane pracownika już zatrudnionego pracodawca będzie przetwarzał w innym celu aniżeli kandydata, więc może także zmienić się zakres odbiorców tych danych. Pracownik powinien uzyskać informację w tym zakresie. Zatem należy przygotować nową informację o przetwarzaniu danych osobowych pracownika, zawierającą nowy cel przetwarzania danych osobowych, jakim jest zatrudnienie i wszystkie procesy przetwarzania w trakcie stosunku pracy.
Tabela. Przykładowe działania weryfikujące poprawność przetwarzania pracowniczych danych osobowych związanych z zatrudnieniem pracownika
Co należy sprawdzić (!) |
Czy dane pobrane na potrzeby zatrudnienia są oświadczeniami? Czy nie tworzono kopii dokumentów z danymi zatrudnianego pracownika |
Czy przy zatrudnieniu uczestniczyły osoby upoważnione i zobowiązane do zachowania poufności |
Czy pracownikowi przekazano informację o przetwarzaniu danych osobowych pracownika w zatrudnieniu |
Podstawą przetwarzania danych osobowych na potrzeby dokumentacji stosunku pracy, w tym ewidencji czasu pracy czy wynagrodzeń, są przepisy prawa pracy nakładające na pracodawcę taki obowiązek. Zatem nie jest wymagana zgoda pracowników.
Zakres danych możliwych do przetwarzania w dokumentacji kadrowej i płacowej został jasno określony w Kodeksie pracy oraz rozporządzeniu regulującym sposób prowadzenia dokumentacji pracowniczej. W związku z tym kwestia ta nie powoduje większych praktycznych problemów, poza kontrowersjami związanymi z metodami ewidencjonowania czasu pracy oraz przetwarzania wizerunku pracowników.
Z uwagi na fakt, że wizerunku zasadniczo nie ma wśród danych wskazanych w przepisach prawa pracy (wyjątek stanowią sytuacje, kiedy przepis prawa wprost pozwala na korzystanie z wizerunku pracownika, np. pracownicy ochrony), pracodawca, chcąc go przetwarzać, musi uzyskać zgodę pracownika. Zatem jeśli pracodawca umieszcza np. na identyfikatorach czy w intranetowych bazach kontaktowych pracowników zdjęcia pracowników, powinien sprawdzić, czy taką zgodą się legitymuje.
Natomiast w kontekście przetwarzania danych osobowych na potrzeby ewidencji czasu pracy najczęściej wątpliwości budzi fakt, że popularne papierowe listy obecności są dostępne dla wielu innych pracowników, a można w nich znaleźć informację o tym, że dany pracownik jest chory bądź korzysta z urlopu "na żądanie". W ocenie UODO taka praktyka jest niewłaściwa. W publikacji "Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców" UODO stwierdził, że:
(...) informacje m.in. o zwolnieniach lekarskich czy urlopie "na żądanie", więc o szczególnych rodzajach nieobecności powinny znaleźć się w ewidencji czasu pracy, do którego dostęp oprócz samego pracownika, którego karta dotyczy mogą mieć jeszcze osoby odpowiedzialne za sprawy kadrowe i osoba reprezentująca pracodawcę (bezpośredni przełożony, osoby zarządzające zakładem pracy). Reasumując symbol absencji nie powinien być zamieszczony na liście obecności. Wystarczy wskazanie czy dany pracownik jest obecny czy też nie.
Zatem pracodawca musi zweryfikować, czy listy obecności w jego zakładzie pracy nie są dostępne dla zbyt szerokiego grona pracowników i czy nie zawierają informacji o przyczynie nieobecności.
Liczne wątpliwości powoduje również możliwość zastosowania danych biometrycznych przy ewidencjonowaniu czasu pracy. W tej sprawie UODO w cytowanej wyżej publikacji "Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców"wyraźnie wskazało na kategoryczny zakaz użycia tego typu danych na potrzeby ewidencji czasu pracy:
(...) prawo w tym elemencie [ewidencji czasu pracy - przyp. red.] daje dużą swobodę, ale wprowadza też wymogi. Jednym z nich jest kategoryczny zakaz wykorzystywania danych biometrycznych dla celów ewidencji czasu pracy.
Zatem pracodawca musi sprawdzić, czy występujący u niego sposób ewidencjonowania czasu pracy nie wykorzystuje danych biometrycznych pracowników.
Pracodawca powinien na bieżąco wprowadzać zgłaszane przez pracowników zmiany w ich danych, np. zmiany nazwiska. Musi także pilnować, aby dane były prawidłowe, zapisywane i przechowywane w odpowiednich miejscach. Przy dużej ilości dokumentacji w działach personalnych pomyłki są nieuniknione. Wobec tego należy regularnie dokonywać przeglądów dokumentacji.
Należy też pilnować, aby dane pracowników nie były wykorzystywane w celach innych niż prowadzenie dokumentacji pracowniczej i realizacja obowiązków wynikających ze stosunku pracy.
Przykład
Klient dużej sieci handlowej zadzwonił do działu personalnego z prośbą o podane prywatnego numeru telefonu do pani, która obsługiwała go 2 dni wcześniej w sklepie tej firmy w Poznaniu. Dział personalny powinien odmówić udzielenia jakichkolwiek informacji w takiej sytuacji, nawet jeśli posiada takie dane, ponieważ są one zebrane na potrzeby stosunku pracy.
Przepisy prawa pracy również szczegółowo regulują kwestię przechowywania dokumentacji pracowniczej, a więc i zgromadzonych w niej danych osobowych. Po ustalonych przepisami okresach dane osobowe należy usunąć.
Przy przechowywaniu danych pracowniczych niezwykle istotną kwestią jest ich zabezpieczenie. W przypadku systemów kadrowo-płacowych szczególnie ważne jest ograniczenie ryzyka wycieku danych. Natomiast w przypadku dokumentacji papierowej - jej zabezpieczenie przed zniszczeniem lub trafieniem do nieupoważnionych osób. Należy zatem zweryfikować, czy takie działania mające na celu zabezpieczenie dokumentacji pracowniczej zostały podjęte.
Tabela. Przykładowe działania weryfikujące poprawność przetwarzania pracowniczych danych osobowych w zakresie prowadzenia dokumentacji pracowniczej
Co należy sprawdzić (!) |
Czy wszystkie dane pracowników są aktualne, prawidłowe i umieszczone we właściwych miejscach |
Czy nie są przechowywane nadmierne ilości danych |
Czy wykorzystywany u pracodawcy sposób ewidencjonowania czasu pracy nie wykorzystuje danych biometrycznych |
Czy przy zatrudnieniu uczestniczyły osoby upoważnione i zobowiązane do zachowania poufności |
Czy pracodawca ma zgodę na przetwarzanie wizerunku pracowników, jeśli z niego korzysta |
Czy została zrobiona analiza ryzyka utraty danych pracowniczych |
Czy dane pracowników są odpowiednio zabezpieczone |
Czy listy obecności w zakładzie pracy nie są dostępne dla zbyt szerokiego grona pracowników i czy nie zawierają informacji o przyczynie nieobecności pracownika w pracy |
Czy dane nie są wykorzystywane do innych celów niż zatrudnienie pracowników |
Czy dane nie są przechowywane dłużej, niż przewidują to przepisy |
Podstawą przetwarzania danych w tym przypadku jest obowiązek prawny administratora - przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na pracodawcy na podstawie przepisów podatkowych, przepisów z zakresu ubezpieczeń społecznych i ustawy o Pracowniczych Planach Kapitałowych (PPK).
Pracodawca ma prawo przetwarzać wszystkie informacje, których podanie jest niezbędne w formularzach podatkowych i ubezpieczeniowych. Kwestie te nie budzą wątpliwości.
Natomiast wątpliwości pojawiają się odnośnie do zakresu danych w związku z obowiązkiem zawarcia umowy o prowadzenie PPK z wybraną instytucją finansową. Zgodnie z wytycznymi UODO zaprezentowanymi w stanowisku z 8 listopada 2019 r pracodawca musi przekazać instytucji finansowej numer telefonu i adres e-mail pracownika - jeżeli dysponuje tymi danymi, mimo że nie znajdują się one w kodeksowym katalogu danych, których pracodawca może żądać:
(...) pracodawca ma obowiązek prawny do pozyskania danych osobowych uczestnika PPK takich jak adres poczty elektronicznej oraz numer telefonu i przekazania tych danych do wybranej instytucji finansowej. Takie dane stanowią załącznik do umowy o prowadzenie Pracowniczych Planów Kapitałowych i zgodnie z ustawą są uznane za dane identyfikujące uczestnika PPK.
Warto zatem sprawdzić, jakie dane znajdują się w załączniku do umowy o prowadzenie PPK i jakie dane faktycznie są przekazywane.
Przepisy podatkowe i ubezpieczeniowe szczegółowo wskazują, jak długo pracodawca ma przechowywać dokumenty z tym związane. Dane osobowe, które przetwarza płatnik podatków, powinny być przechowywane maksymalnie do czasu przedawnienia zobowiązań podatkowych, czyli 5 lat, licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku (art. 70 Ordynacji podatkowej).
Płatnik składek jest zobowiązany przechowywać kopie deklaracji rozliczeniowych i imiennych raportów miesięcznych oraz dokumentów korygujących te dokumenty przez 5 lat od dnia ich przekazania do ZUS, w formie dokumentu pisemnego lub elektronicznego (art. 47 ust. 3c ustawy o systemie ubezpieczeń społecznych).
UODO w stanowisku z 6 maja 2019 r. wskazuje na możliwość przechowywania dokumentacji wytworzonej w związku z odprowadzeniem wpłat na PPK przez okres zatrudnienia oraz 10 lub 50 lat po jego ustaniu. Wskazuje bowiem, że dokumenty takie stanowią element dokumentacji, o której mowa w art. 125a ust. 4 lub 4a ustawy z 17 grudnia 1999 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych. Nie odnosi się jednak do całości dokumentacji dotyczącej PPK, lecz tylko do tej jej części, która dotyczy naliczania wpłat.
Jednak należy zaznaczyć, że przepisy odnoszące się do okresów przechowywania dokumentów osobowych bywają niejednoznaczne, a ich interpretacje przez poszczególne urzędy się zmieniają. Warto więc na bieżąco sprawdzać stanowiska UODO w tym zakresie i weryfikować okresy przechowywania tych dokumentów.
Dane przy tym procesie przetwarzania są regularnie udostępniane innym podmiotom za pomocą systemów informatycznych. Zatem warto przeprowadzić analizę ryzyka utraty lub wycieku tych danych.
Tabela. Przykładowe działania weryfikujące poprawność przetwarzania pracowniczych danych osobowych na potrzeby PPK
Co należy sprawdzić (!) |
Jakie dane znajdują się w załączniku do umowy o prowadzenie PPK i jakie dane faktycznie są przekazywane do instytucji finansowej |
Czy dane są przekazywane w sposób bezpieczny |
Czy przeprowadzono analizę ryzyka naruszenia bezpieczeństwa tych danych |
Czy dane te nie są przechowywane zbyt długo |
W przypadku przekazywania danych osobowych pracownika do komornika lub syndyka, do organów administracji publicznej lub organów ścigania podstawą przetwarzania jest ciążący na pracodawcy obowiązek wynikający z przepisów prawa. Zatem nie ma konieczności uzyskania zgody przed przekazaniem informacji, których zgodnie z przepisami prawa mogą żądać te instytucje.
Warto zwrócić uwagę, czy zakres żądanych informacji od wskazanych podmiotów nie wykracza poza ustalone w przepisach ramy. W takiej sytuacji należy przekazać występującemu o zbyt szeroki zakres danych podmiotowi, że możliwe jest przetwarzanie wyłącznie danych wskazanych w przepisach.
WAŻNE(!)
Jeśli podmiot zwracający się z prośbą o udzielenie informacji o danych pracownika wykracza w niej poza ustalony przepisami zakres, pracodawca powinien ograniczyć się do przekazania tylko dozwolonych prawem danych.
Dobrą praktyką jest również nieudzielanie informacji o danych pracowników przez telefon, lecz jedynie na piśmie.
Dane osobowe powinny być przechowywane do czasu zakończenia postępowań prowadzonych przez wyżej wskazane podmioty. Zatem należy weryfikować na bieżąco, czy takie postępowania nie zakończyły się.
Pracodawca musi być w stanie wykazać, że udziela informacji wyłącznie w odpowiedzi na pytania pochodzące od uprawnionego podmiotu. Zatem należy zweryfikować, czy są przechowywane zapytania pisemne tych podmiotów.
Tabela. Przykładowe działania weryfikujące poprawność przetwarzania pracowniczych danych osobowych na potrzeby współpracy z organami państwowymi
Co należy sprawdzić (!) |
Czy żądanie udzielenia informacji od wyżej wskazanych podmiotów nie wykracza poza ustalone w przepisach ramy |
Czy podmiot proszący o informację o pracowniku został zweryfikowany |
Podstawą do przetwarzania danych wynikających z monitoringu są art. 222-223 Kodeksu pracy.
W zakresie wykraczającym poza kodeksowe zasady monitorowania niezbędna jest zgoda pracownika.
Kodeks pracy nakazuje pracodawcy, aby cele, zakres oraz sposób zastosowania monitoringu zostały ustalone w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest zobowiązany do ustalenia regulaminu pracy.
Dopuszczalny jest monitoring wizyjny, jak i służbowej poczty elektronicznej, a także aktywności pracowników w trakcie pozostawania przez nich w dyspozycji pracodawcy w czasie pracy, o ile kontrola ta nie narusza tajemnicy korespondencji oraz innych dóbr osobistych pracownika. Zatem należy zweryfikować, czy pracodawca posiada stosowne regulacje wewnątrzzakładowe i czy nie przekraczają dopuszczalnych prawem granic monitoringu.
Wątpliwości wzbudza także praktyczne stosowanie lokalizatorów GPS. W ocenie UODO jest to dopuszczalne w przypadku np. firm realizujących czynności transportowe i o ile odbywa się to w czasie pracy.
Przykład
Sklep internetowy zatrudnia kierowców-dostawców realizujących usługi dostawy asortymentu zakupionego przez klientów. Z uwagi na optymalizacje czasu przeznaczanego na dojazd do klienta, tak aby jak najwięcej kursów zrealizować w ciągu dnia, w samochodach dostawczych zamontowano system lokalizacji GPS. Taka praktyka jest dopuszczalna.
Problem stanowi zatem sytuacja, kiedy pracownik poza godzinami pracy może wykorzystywać samochód służbowy do celów prywatnych, a jest w nim zainstalowane monitorowanie za pomocą GPS. Zdaniem UODO, ponieważ istnieje ryzyko, że za pomocą takiego monitorowania pracodawca może uzyskać więcej informacji, niż tego potrzebuje, należy uzyskać zgodę pracownika na przetwarzanie tych danych. Zatem pracodawca powinien sprawdzić, czy nie monitoruje za pomocą GPS pracowników po godzinach pracy, a jeśli to robi, musi sprawdzić, czy ma zgodę na taką formę kontroli.
Kodeks pracy jednoznacznie reguluje kwestię okresu przechowywania nagrań monitoringu, ograniczając go do 3 miesięcy. Okres ten może być wydłużony w przypadku, w którym nagrania te stanowią dowód w postępowaniu prowadzonym na podstawie prawa lub pracodawca powziął wiadomość, iż mogą one stanowić dowód w takim postępowaniu. Wówczas nagrania można przechowywać do czasu prawomocnego zakończenia postępowania. Zatem przejrzenia wymagają wszystkie posiadane przez pracodawcę nagrania.
Pracodawca musi poinformować pracowników o planowanym uruchomieniu monitoringu najpóźniej 2 tygodnie przed jego uruchomieniem. W przypadku nowych pracowników realizacja tego obowiązku powinna nastąpić przed dopuszczeniem ich do pracy.
WAŻNE(!)
Pracodawca musi poinformować pracowników o monitoringu najpóźniej 2 tygodnie przed jego uruchomieniem, a nowo zatrudnionych pracowników - przed dopuszczeniem do pracy.
W przypadku wprowadzenia monitoringu pracodawca oznacza pomieszczenia i teren monitorowany w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem. Pracodawca powinien więc sprawdzić, czy miejsca monitoringu zostały właściwie oznakowane.
Tabela. Przykładowe działania weryfikujące poprawność przetwarzania pracowniczych danych osobowych na porzeby prowadzenia monitoringu
Co należy sprawdzić (!) |
Czy została wyrażona zgoda na monitoring wykraczający poza kodeksowe ramy |
Czy cele, zakres oraz sposób zastosowania monitoringu zostały ustalone w wewnątrzzakładowych źródłach prawa pracy |
Czy kontrola pracowników nie narusza tajemnicy korespondencji oraz innych dóbr osobistych pracowników |
Czy nie są monitorowani pracownicy za pomocą GPS po godzinach pracy, a jeśli tak, to czy pracownik wyraził zgodę na taką formę kontroli |
Czy nagrania monitoringu nie są przechowywane dłużej niż 3 miesiące |
Czy wszyscy pracownicy dostali informację o prowadzeniu monitoringu |
Czy zostały oznakowane miejsca, w których prowadzony jest monitoring |
Informacje o pracowniku takie jak np. jego imię i nazwisko, czy służbowy adres e-mail, są ściśle związane z wykonywaniem przez niego obowiązków służbowych. W związku z tym wykorzystywanie tych danych jest niezbędne w celu wykonania zawartej między stronami umowy o pracę. Oznacza to, że dane te mogą być wykorzystywane w taki sposób przez pracodawcę bez zgody pracownika.
W związku z tym dopuszczalne jest umieszczanie imion i nazwisk pracowników na wizytówkach, na pieczątkach imiennych, pismach sporządzanych w związku z pracą oraz prezentowanie w informatorach na stronach internetowych czy folderach pracodawcy.
Przykład
Pracownik jest zatrudniony na stanowisku przedstawiciela handlowego u producenta odzieży. Jego dane pracodawca zamieszcza w zakładce "kontakt" na stronie internetowej z ofertą fabryki. Ponieważ umieszczenie danych kontaktowych handlowca jest konieczne przy wykonywaniu pracy na jego stanowisku, pracodawca nie potrzebuje jego zgody na użycie danych w ten sposób.
Taki sposób przetwarzania danych osobowych jest dopuszczalny w okresie zatrudnienia. Po jego zakończeniu wymagana jest już zgoda pracownika. Zatem pracodawca powinien zweryfikować czy usunął dane byłego pracownika wykorzystywane w taki sposób.
Kwestie tego typu powinny zostać uregulowane w regulacjach wewnątrzzakładowych, a pracownik powinien być świadomy tego przed nawiązaniem stosunku pracy.
Tabela. Przykładowe działania weryfikujące poprawność przetwarzania pracowniczych danych osobowych na potrzeby wykonywania zadań służbowych
Co należy sprawdzić (!) |
Czy usunięto dane byłego pracownika z materiałów reklamowych czy innych miejsc, w których były wykorzystywane |
Jeśli nie usunięto danych byłego pracownika, to czy pobrano zgodę na przetwarzanie ich po zakończeniu stosunku pracy |
Przetwarzanie danych osobowych na potrzeby organizowanych przez pracodawcę konkursów wymaga oddzielnej zgody pracownika. Ponadto częstą praktyką jest organizowanie konkursów nie tylko dla samych pracowników, ale także członków ich rodzin, w tym dzieci. W takiej sytuacji konieczne jest uzyskanie zgody na przetwarzanie także ich danych osobowych. W przypadku dzieci zgody takiej udzielają opiekunowie prawni nieletniego.
Dane powinny ograniczyć się wyłącznie do informacji niezbędnych do przeprowadzenia konkursu i przekazania nagrody.
Przykład
Pracodawca organizuje konkurs świąteczny dla dzieci pracowników, w ramach którego powinni nadesłać prace plastyczne przedstawiające pisanki wielkanocne. Oceniany będzie pomysł i poziom wykonania. Prace będą oceniany w 3 kategoriach wiekowych 1-6 lat, 7-13 lat, 14-18 lat. W takim przypadku uzasadnione jest przetwarzanie danych o wieku dzieci biorących udział w konkursie.
Dane przekazane na okoliczność konkursu powinny być przechowywane wyłącznie w okresie trwania konkursu i na czas niezbędny do wręczenia ewentualnej nagrody.
Należy przy tym pamiętać, że także osoby, które na co dzień nie przetwarzają danych osobowych, a incydentalnie biorą udział w obsłudze konkursu np. jako członkowie jury powinni posiadać stosowne upoważnienia do przetwarzania danych osobowych uczestników konkursu.
Pracodawca ma obowiązek poinformować uczestników konkursu (zarówno pracowników, jak i ich bliskich) o przetwarzaniu ich danych osobowych. Można to zrobić np. w regulaminie konkursu.
Tabela. Przykładowe działania weryfikujące poprawność przetwarzania pracowniczych danych osobowych na potrzeby prowadzenia konkuresu pracowniczego
Co należy sprawdzić (!) |
Czy zebrano zgody na wykorzystanie danych wszystkich uczestników konkursu (także bliskich pracowników) |
Czy zebrano wyłącznie dane wymagane do przeprowadzenia konkursu |
Czy usunięto dane po zakończaniu konkursu |
Benefity pracownicze stanowią rodzaj dodatkowego "wynagrodzenia" pracownika. Jednak nie zawsze wynikają one z umowy o pracę. W takiej sytuacji zgody pracownika wymaga przetwarzanie danych przez pracodawcę na potrzeby skorzystania z takiego benefitu.
Benefity pracownicze, jak np. pakiety medyczne czy sportowe, zazwyczaj są realizowane przez zewnętrznych usługodawców, zatem pracodawca niejednokrotnie jest zmuszony udostępnić dane pracowników innym podmiotom w celu realizacji tego benefitu. W każdej takiej sytuacji pracodawca musi mieć podstawę prawną zarówno do udostępnienia danych pracownika jak i żądania ich od innego podmiotu.
Zawsze gdy występuje element przekazania danych na zewnątrz, należy sprawdzić, jaka jest relacja obu podmiotów przetwarzających dane, czy nie będzie potrzeby zawrzeć umowy powierzenia przetwarzania, a co najważniejsze czy przekazywanie tych danych jest zorganizowane w sposób bezpieczny.
Tabela. Przykładowe działania weryfikujące poprawność przetwarzania pracowniczych danych osobowych na potrzeby przyznawania benefitów pracowniczych
Co należy sprawdzić (!) |
Czy pracodawca posiada zgodę na przetwarzanie danych w tym przekazanie do innego podmiotu, w celu realizacji usługi benefitowej |
Czy nie potrzeba zawrzeć umowy powierzenia przetwarzania danych osobowych z dostawcą usługi benefitowej, a jeśli jest taka konieczność to czy została zawarta |
Czy dane pracowników do usługodawcy benefitu są przekazywane w sposób bezpieczny |
Wysłanie pracownika na szkolenie zazwyczaj wiąże się z przetwarzaniem jego danych osobowych. Patrząc na proces szkolenia pracowników z perspektywy przetwarzania danych osobowych można wyróżnić 3 rodzaje szkoleń:
W tym przypadku osoba szkoląca musi mieć upoważnienie do przetwarzania danych uczestników i na pracodawcy ciąży obowiązek poinformowania o przetwarzaniu danych osobowych w celach szkoleniowych.
W tym przypadku znaczenie będzie miało to, czy podmiot zewnętrzny jest osobą fizyczną czy jest to podmiot gospodarczy. W pierwszym przypadku osoba fizyczna prowadząca szkolenie z zewnątrz powinna posiadać upoważnienie do przetwarzania danych osób biorących udział w szkoleniu. Z kolei firma zewnętrzna będzie musiała zawrzeć z pracodawcą umowę powierzenia przetwarzania danych osobowych;
W tej sytuacji możliwe są trzy różne warianty przetwarzania danych osobowych. W pierwszym z nich to zewnętrzna firma szkoleniowa przesyła do pracodawcy ofertę szkoleń. Na jej podstawie pracownicy pracodawcy decydują się na skorzystanie z tych szkoleń i w rezultacie firma szkoleniowa przekazuje pracodawcy puste formularze zgłoszenia na szkolenie do wypełnienia przez samych pracowników. Następnie oni we własnym zakresie oddają je do firmy szkoleniowej. W takim wariancie firma szkoleniowa jest administratorem danych osobowych pracowników i potrzebuje osobnej zgody pracowników na przetwarzanie danych.
W drugim wariancie pracodawca zajmie się przekazaniem formularzy zgłoszenia na szkolenie do pracowników i następnie uzupełnione formularze odbierze od nich i przekaże firmie szkoleniowej. W takim wariancie firma szkoleniowa musi zawrzeć z pracodawcą umowę powierzenia przetwarzania danych osobowych.
W trzecim wariancie pracownik bierze udział w szkoleniu firmy zewnętrznej, na które sam się zapisał, natomiast pracodawca jedynie finansuje jego udział w szkoleniu. W takim wariancie firma szkoleniowa jest niezależnym administratorem danych pracownika i powinna wykonywać w stosunku do niego obowiązki informacyjne oraz pozostałe zadania określone w RODO.
Pracodawca powinien się upewnić, czy dane są przekazywane w sposób bezpieczny.
Dane te po zrealizowaniu szkolenia i wystawieniu ocen, certyfikatów powinny zostać usunięte.
Tabela. Przykładowe działania weryfikujące poprawność przetwarzania pracowniczych danych osobowych na potrzeby prowadzenia szkoleń dla pracowników
Co należy sprawdzić (!) |
Czy podmiot prowadzący szkolenie ma upoważnienie do przetwarzania danych osobowych w celu szkolenia lub umowę powierzenia przetwarzania danych osobowych (w zależności od rodzaju szkolenia i podmiotu) |
Czy zakres danych pracowników przekazanych do firmy szkoleniowej nie wykracza poza potrzeby zorganizowania i przeprowadzenia szkolenia |
Czy dane pracowników uczestniczących w szkoleniu są przekazywane w sposób bezpieczny |
Czy dane pracowników uczestniczących w szkoleniu po jego zakończeniu zostały usunięte |
Podstawami uprawniającymi pracodawców do przetwarzania danych na potrzeby korzystania ze świadczeń zfśs są przepisy ustawy o zakładowym funduszu świadczeń socjalnych i związan z tym konieczność wypełnienia obowiązku prawnego ciążącego na administratorze.
W przypadku danych szczególnej kategorii, np. dotyczących zdrowia, których przetwarzanie na potrzeby zfśs jest częstą praktyką, istnieje taka możliwość z uwagi na przepis RODO, który dopuszcza przetwarzanie takich danych, gdy jest to niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej.
W praktyce problem powoduje konieczność ustalenia sytuacji rodzinnej i materialnej pracownika, która determinuje rodzaj świadczenia, jakie pracownik może uzyskać, ponieważ wymaga każdorazowego jej zbadania, czyli przetwarzania danych osobowych pracownika i członków jego rodziny.
Zakres danych, jakich może żądać pracodawca, powinien zostać określony w regulaminie zfśs. Należy jednak pamiętać, że zakazane jest zbieranie danych niemających znaczenia, jak i danych o większym, niż konieczny stopniu szczegółowości, jak również danych zbieranych "na przyszłość".
Na etapie ustalania zakresu danych do pobrania od pracowników często wątpliwości budzi to, czy można żądać od pracownika okazania lub skopiowania PIT jego bliskich. W tym zakresie UODO w opinii z 6 lutego 2020 r. zajęło następujące stanowisko:
(...) jeżeli na potrzeby udokumentowania spełnienia określonych kryteriów przydatny byłby dostęp do różnych dokumentów, np. PIT-u małżonka, to powołana regulacja umożliwia pracodawcy jedynie wgląd do nich, ale nie daje prawa do przechowywania ich kopii czy innego utrwalania. Powodowałoby to gromadzenie danych w szerszym zakresie niż jest to niezbędne do celu przetwarzania.
Oświadczenie na temat sytuacji rodzinnej, życiowej i materialnej przedstawia sam pracownik. Nie ma potrzeby pobierania dodatkowych oświadczeń od jego bliskich.
WAŻNE(!)
Oświadczenie o sytuacji rodzinnej, życiowej i materialnej całej rodziny na potrzeby zfśs przedstawia wyłącznie pracownik.
Pracodawcy często obawiają się sytuacji, w której pracownik odmówi złożenia takiego oświadczenia, a mimo to będzie domagał się świadczeń. Jak wskazuje UODO w opinii z 6 lutego 2020 r., w takiej sytuacji pracodawca nie powinien go do tego zmuszać, jednak pracownik musi liczyć się z odmową przyznania świadczenia:
(...) pracownik, który będzie chciał skorzystać z przysługującego mu uprawnienia, np. dofinansowania do wypoczynku, będzie obowiązany wypełnić oświadczenie. W sytuacji, kiedy nie będzie on chciał złożyć stosownego oświadczenia, pracodawca nie będzie zaś miał podstaw do wypłacenia danego świadczenia.
Dane osobowe na potrzeby zfśs powinny być przetwarzane przez okres niezbędny do przyznania świadczenia oraz przez okres niezbędny do dochodzenia praw lub roszczeń (np. zobowiązania podatkowe ulegają przedawnieniu po 5 latach).
Zgodnie z ustawą o zfśs pracodawcy prowadzący fundusz muszą dokonywać corocznych przeglądów, aby zweryfikować, czy przetwarzają jedynie dane niezbędne do realizacji celów zfśs i czy usunięto dane, których dalsze przechowywanie jest zbędne.
Tabela. Przykładowe działania weryfikujące poprawność przetwarzania pracowniczych danych osobowych na potrzeby zfśs
Co należy sprawdzić (!) |
Czy został przygotowany regulamin zfśs i czy zwiera on wskazanie, jakie dane pobiera pracodawca |
Czy pobierane dane na potrzeby zfśs są adekwatne do celu |
Czy nie są przechowywane kopie dokumentów zawierających dane o zdrowiu lub PIT |
Czy oświadczenia pracowników składane na potrzeby zfśs są bezpiecznie przechowywane |
Czy jest dokonywany coroczny przegląd danych gromadzonych na potrzeby zfśs i są usuwane zbędne dane |
Pracodawca, wystawiając zaświadczenie o zatrudnieniu czy zarobkach z inicjatywy pracownika, nie musi w tym celu uzyskiwać dodatkowej zgody pracownika.
Najwięcej wątpliwości powoduje sytuacja potwierdzania danych pracowników przez telefon. Jeżeli pracodawca ma wątpliwości dotyczące osoby, której dane udostępnia, może bez żadnych konsekwencji odmówić potwierdzenia danych. Co istotne, w takiej sytuacji pracodawca nie ponosi odpowiedzialności, np. odszkodowawczej, jeśli z powodu odmowy udzielenia danych w ten sposób pracownik nie zrealizował swoich planów, np. nie uzyskał pożyczki.
Tabela. Przykładowe działania weryfikujące poprawność przetwarzania pracowniczych danych osobowych na potrzeby wydawania zaświadczeń dla pracowników
Co należy sprawdzić (!) |
Czy przekazujemy zakres danych, o które faktycznie prosi wskazana przez pracownika instytucja |
Czy zaświadczenie faktycznie zostało przekazane pracownikowi lub bezpośrednio do wskazanej przez pracownika instytucji |
Czy zaświadczenie wydała osoba uprawniona do przetwarzania danych osobowych |
Zasadniczo przepływ danych osobowych na potrzeby działalności związkowej wynika z przepisów i zgody pracownika.
W praktyce najczęściej będzie to informacja o członkostwie i zgoda na przekazywanie składek członkowskich na konto związku.
Trzecia najczęstsza sytuacja to ochrona związkowa przed rozwiązaniem stosunku pracy. Jednak w tym przypadku możliwe jest pozyskanie danych o przynależności związkowej tylko wtedy, gdy pracodawca faktycznie chce wypowiedzieć umowę o pracę. Nie ma natomiast możliwości pozyskania zbiorczej listy chronionych pracowników "na przyszłość".
Także w tym procesie należy zadbać, aby do przetwarzania danych dopuszczać osoby upoważnione i aby samo przetwarzanie odbywało się w sposób poufny i bezpieczny.
Tabela. Przykładowe działania weryfikujące poprawność przetwarzania pracowniczych danych osobowych na potrzeby współpracy ze związkami zawodowymi
Co należy sprawdzić (!) |
Czy dane o przynależności związkowej nie są pobierane "na przyszłość" |
Czy nieaktualne dane dotyczące przynależności związkowej są usuwane |
Podstawą przetwarzania danych ma tym etapie są przepisy prawa, które nakładają na pracodawcę obowiązek archiwizacji dokumentacji pracowniczej w wyraźnie wskazanych w ustawie okresach.
Nakładają one na pracodawcę także obowiązek informowania pracownika na temat archiwizacji jego danych po zakończeniu stosunku pracy.
Przykładowa informacja o dokumentacji pracowniczej w przypadku rozwiązania lub wygaśnięcia stosunku pracy
XXX Sp. z o.o. | Łódź, 30 kwietnia 2020 r. | |
| Pan Marcin Kowalski | |
Informacja o okresie przechowywania, możliwości odbioru i zniszczeniu dokumentacji pracowniczej | ||
Na podstawie art. 946 Kodeksu pracy informujemy, że: 1) okres przechowywania Pana dokumentacji pracowniczej, wynosi 10 lat, licząc od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu, co nastąpiło 31 marca 2020 r. i upłynie 31 grudnia 2030 r., 2) przysługuje Panu możliwość odbioru dokumentacji pracowniczej, o której mowa w pkt 1 niniejszej informacji, do 31 stycznia 2031 r. 3) dokumentacja pracownicza zostanie zniszczona w razie nieodebrania terminie wskazanym w pkt 2. | ||
| Dyrektor ds. personalnych | |
| Katarzyna Zalewska | |
Pracodawca niszczy dokumentację pracowniczą w sposób uniemożliwiający odtworzenie jej treści, w terminie do 12 miesięcy po upływie okresu przeznaczonego na odbiór tej dokumentacji przez byłego pracownika.
Tabela. Przykładowe działania weryfikujące poprawność przetwarzania pracowniczych danych osobowych na potrzeby zakończenia zatrudnienia
Co należy sprawdzić (!) |
Czy odchodzący pracownik został poinformowany o okresie przechowywania jego dokumentacji |
Czy dokumentacja jest przechowywana w sposób gwarantujący jej bezpieczeństwo |
Czy dokumentacja została wydana osobie uprawnionej do jej odbioru |
Czy dokumentacja została zniszczona w sposób uniemożliwiający odtworzenie jej treści |
Jednym z kluczowych elementów poprawnego przetwarzania danych osobowych jest stworzenie procedury, która jest uruchamiana w razie incydentu naruszenia bezpieczeństwa danych osobowych.
Jeśli taki incydent wystąpi, najważniejsze jest dokonanie oceny prawdopodobieństwa, czy naruszenie to skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych.
W przypadku odebrania zgłoszenia naruszenia ochrony danych osobowych Inspektor Ochrony Danych bez zbędnej zwłoki w miarę możliwości ocenia, czy jest prawdopodobne, aby naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Gdy ocena jest pozytywna, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu.
Warto zatem zweryfikować, czy pracodawca posiada taką procedurę i czy pracownicy ją znają.
Przykładowa procedura zgłaszania incydentu
Procedura działania w przypadku naruszenia ochrony danych osobowych w XXX Sp. z o.o.
Prezes Zarządu XXX Sp. z o.o. ……………………………………………………….. |
Przykładowa procedura przetwarzania danych osobowych w dziale personalnym
Procedura przetwarzania danych osobowych dla działu personalnego XXX Sp. z o.o. 1. Podstawowe definicje RODO - skrót od nazwy rozporządzenia UE regulującego ochronę danych osobowych, a potocznie określenie tematyki ochrony danych osobowych. Dane osobowe - informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą); między innymi: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (art. 4 punkt 1 RODO). Przetwarzanie danych - operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, między innymi: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Wiadomości e-mail wewnątrz firmy: W przypadku wiadomości e-mail w domenie firmowej można bezpiecznie wysyłać dane osobowe, pod warunkiem że wysyłane są one do osoby mającej upoważnienie do ich przetwarzania. W dziale personalnym wszyscy pracownicy posiadają takie upoważnienia. Dokumenty typu umowy o pracę, wnioski o zatrudnienie, wnioski urlopowe, aneksy, czyli dokumenty, gdzie występuje duża ilość danych lub dane szczególne należy HASŁOWAĆ, a hasło wysyłać smsem do adresata na numer telefonu służbowego. Wiadomości e-mail na zewnątrz: Wszystkie pliki zawierające dane osobowe wysyłane na zewnątrz należy hasłować i wysyłać hasło sms na wskazany prze odbiorcę nr telefonu. UWAGA! Odbiorcą danych mogą być tylko osoby uprawnione. W komunikacji zewnętrznej w celu nieujawnienia adresów pozostałych adresatów, w przypadku wysyłania tej samej wiadomości do wielu obcych sobie adresatów, należy stosować pole UDW.
Pliki zapisywane na dysku X (dysk działu personalnego) są widoczne i dostępne wyłącznie dla pracowników działu personalnego, którzy mają upoważnienie do przetwarzania danych osobowych pracowników, w związku z tym nie ma konieczności dodatkowego zabezpieczania plików.
Dokumenty w formie pisemnej zawierające dane osobowe, które powinno się przekazać innej osobie, należy zanieść osobiście do rąk własnych adresata.
Kopie dokumentów można wykonywać wyłącznie w sytuacji, gdy jest to niezbędne. Należy je zniszczyć niezwłocznie po tym, kiedy przestają być potrzebne. Pozostawianie dokumentów w urządzeniach kopiujących, drukujących jest zakazane.
Wszystkie dokumenty w dziale personalnym, które zawierają dane osobowe, mogą być przechowywane maksymalnie przez 3 lata. Wyjątkiem są dokumenty kadrowe (m.in. akta osobowe), dla których przepisy przewidują dłuższy lub krótszy okres przetwarzania. W grudniu każdego roku kalendarzowego należy przeprowadzić przegląd dysków i dokumentów w wersji papierowej. Dokumenty należy niszczyć w niszczarkach.
Dozwolone jest udzielanie informacji telefonicznej pracownikowi na jego temat, pod warunkiem że dzwoni z służbowego numeru i należy dokonać wcześniejszej telefonicznej weryfikacji tożsamości. Należy zadać pytania, żeby sprawdzić, czy to faktycznie pracownik:
Dopiero po pozytywnej weryfikacji można udzielić informacji.
Nie należy udzielać informacji telefonicznie. Należy poprosić o wysłanie zapytania w formie pisemnej.
Nie należy udzielać żadnych informacji przez telefon, ani w odpowiedzi na pisma, bez wyraźnej zgody pracownika (najlepiej w formie pisemnej - e-mail, sms). Wyjątek: śmierć pracownika - wówczas należy prowadzić korespondencję z rodziną uprawnioną do świadczeń - na piśmie (e-mail).
Nie należy udzielać informacji telefonicznie. Należy poprosić o wysłanie zapytania w formie pisemnej, na które można odpowiedzieć, po uzyskaniu zgody pracownika na udzielenie takiej informacji (może być e-mail lub sms ze zgodą).
Nie udzielamy informacji.
Należy się upewnić, że osoba ta posiada identyfikator oraz dokument wszczynający kontrolę.
Należy poinformować każdego kandydata do pracy o tym, co dzieje się z jego danymi i jakie ma prawa, poprzez przekazanie "Informacji o przetwarzaniu Danych Osobowych dla kandydatów do pracy" (wzór na dysku X w folderze WZORY RODO)
Dalsze etapy rekrutacji, w tym umawianie kandydata telefonicznie, jest możliwe po dochowaniu wyżej opisanego obowiązku poinformowania o zasadach przetwarzania danych.
Osoby biorące udział w spotkaniach z kandydatami muszą posiadać wystawione na tę okoliczność upoważnienie do przetwarzania danych kandydatów w celu rekrutacji (wystawia je dyrektor działu personalnego lub zastępca).
Jeżeli osoba zgłosi się osobiście do innego działu niż personalny, należy ją odesłać do działu personalnego, w którym usunięte zostają dane.
Jeżeli osoba wyśle e-mail z prośbą o udzielenie informacji o jego danych lub o usunięcie danych, Pracownik, który odebrał zgłoszenie, ma obowiązek przesłać ten e-mail do działu personalnego.
Jeżeli osoba wyśle pismo z prośbą o udzielenie informacji o jego danych lub o ich usunięcie pocztą/kurierem, Pracownik, który odebrał zgłoszenie, ma obowiązek przekazać pismo w ponownie zaklejonej kopercie lub osobiście do działu personalnego.
Przy zatrudnieniu każda przyjmowana do pracy osoba musi się zapoznać z dokumentami RODO. W związku z tym do zestawu dokumentów, z którymi zapoznaje się zatrudniany pracownik, należy wydrukować i dołączyć:
Następnie osoba nowozatrudniona musi podpisać "Oświadczenie o zapoznaniu się z ogólnofirmowym Zarządzeniem o danych osobowych".
W zestawie dokumentów do zatrudnienia obowiązkowo musi się zawsze znaleźć Upoważnienie do przetwarzania danych niezbędne do wykonania zadań na zajmowanym stanowisku. Na upoważnieniu widnieje podpis osoby uprawnionej do nadawania upoważnień. Jest to dyrektor działu personalnego lub jego zastępca.
Każdy nowo zatrudniony musi przejść szkolenie RODO. Szkolenie w zależności od jednostki organizacyjnej odbywa się online lub stacjonarnie. Szkolenie powinno się odbyć niezwłocznie po rozpoczęciu pracy, jednak nie później niż 5 dni roboczych od daty zatrudnienia.
Przy każdej zmianie stanowiska pracownik działu personalnego obsługujący pracownika ma obowiązek wymienić upoważnienie do przetwarzania danych osobowych na zgodne z nowym stanowiskiem. Także przy oddelegowaniu na inne stanowisko należy zweryfikować, czy nie zmienia się zakres przetwarzanych danych.
Wszystkie dokumenty/deklaracje uczestnictwa w różnych aktywnościach benefitowych zawierają w swojej treści klauzulę o zgodzie na przetwarzanie danych osobowych.
Pokazywanie danych osobowych pracowników wysyłanych na szkolenia zewnętrzne odbywa się na podstawie Umów powierzenia przetwarzania danych z formą szkoleniową.
Przekazywanie danych osobowych pracowników wysyłanych lub wewnątrz kierowanych na AC/DC/testy, mimo że jest to w ramach stosunku pracy, z uwagi na wrażliwość danych powinno odbywać się na podstawie zgody pracownika udzielonej na piśmie na przetwarzanie w ten sposób. Wobec tego każdorazowo przez takimi aktywnościami należy pobrać zgodę na przetwarzanie w tym celu.
Wszyscy pracownicy powinni zostać zapoznani z zasadami monitorowania. Zasady monitorowania należy przesłać każdemu e-mailem oraz są zamieszczone w intranecie pod nazwą Procedura monitorowania (dysk X folder WZORY RODO).
Listy obecności należy przechowywać w miejscach dostępnych wyłącznie dla pracowników danych zespołów w teczkach.
Jeśli znajdują się one w miejscu dostępnym dla osób postronnych nie wolno zamieszczać na nich informacji zwierających dane osobowe.
Upoważnienie do przetwarzania danych traci ważność z chwilą rozwiązania lub wygaśnięcia umowy, a także w przypadku zmiany stanowiska.
W przypadku stwierdzenia naruszania przez pracownika zasad przetwarzania danych Upoważnienie można odwołać, na piśmie.
Dyrektor Personalny XXX Sp. z o.o. …………………………………………………………………. |
PODSUMOWANIE:
1. Pracodawca jako administrator chcąc mieć pewność, że prawidłowo przetwarza dane osobowe pracowników, powinien mieć zdiagnozowane wszystkie procesy przetwarzania danych pracowniczych i każdy z nich powinien na bieżąco analizować pod kątem wyżej wskazanych zasad.
2. Pracodawca powinien przechowywać dane w sposób zapewniający ich bezpieczeństwo.
3. Pracodawca powinien nieustannie monitorować stan danych osobowych, które przetwarza.
4. Pracodawca powinien mieć procedurę na wypadek naruszenia bezpieczeństwa danych osobowych.
Podstawa prawna:
• art. 4-7, art. 9-10, art. 12-13, art. 24-25, art. 30, art. 33-35, art. 37 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) - Dz.Urz. UE L z 2016 r. Nr 119, s. 1; ost.zm. Dz.Urz. UE L z 2018 r. Nr 127, s. 2
• załącznik do Komunikatu Prezesa Urzędu Ochrony Danych Osobowych z 17 sierpnia 2018 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony - M.P. z 2018 r. poz. 827
• art. 221-223, art. 94 pkt 9a-9b, art. 946, art. 229 ustawy z 26 czerwca 1974 r. - Kodeks pracy - j.t. Dz.U. z 2019 r. poz. 1040; ost.zm. Dz.U. z 2019 r. poz. 1495
• § 2-4, § 6, § 9, § 11 i załączniki nr 1-3a do rozporządzenia Ministra Zdrowia i Opieki Społecznej z 30 maja 1996 r. w sprawie przeprowadzania badań lekarskich pracowników, zakresu profilaktycznej opieki zdrowotnej nad pracownikami oraz orzeczeń lekarskich wydawanych do celów przewidzianych w Kodeksie pracy - j.t. Dz.U. z 2016 r. poz. 2067
• art. 70 ustawy z 29 sierpnia 1997 r. - Ordynacja podatkowa - j.t. Dz.U. z 2019 r. poz. 900; ost.zm. Dz.U. z 2020 r. poz. 285
• art. 47 ust. 3c ustawy z 13 października 1998 r. o systemie ubezpieczeń społecznych - j.t. Dz.U. z 2020 r. poz. 266, ost. zm. Dz.U. z 2020 r. poz. 321
• art. 125a ust. 4 lub 4a ustawy z 17 grudnia 1999 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych - j.t. Dz.U. z 2020 r. poz. 53, ost. zm. Dz.U. z 2020 r. poz. 252
• art. 8 ust. 1-1d ustawy z 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych - j.t. Dz.U. z 2019 r. poz. 1352; ost.zm. Dz.U. 2020 r. poz. 278
• art. 7, art. 26, art. 331 z 23 maja 1991 r. ustawy o związkach zawodowych - j.t Dz.U. z 2019 r. poz. 263
Magdalena Sybilska-Bonicka
specjalista z zakresu prawa pracy, prawnik, redaktor MONITORA prawa pracy i ubezpieczeń,
wieloletni praktyk, trener biznesu i były wykładowca akademicki z zakresu prawa pracy