3/2019, data dodania: 20.02.2019 W jaki sposób pracodawca powinien prowadzić listę obecności pracowników, żeby nie naruszać przepisów o ochronie danych osobowych
PROBLEM
Jeśli nasi pracownicy są danego dnia nieobecni w pracy, na liście obecności zamieszczamy adnotację w tej sprawie, wpisując powód absencji (np. choroba, urlop, delegacja). Jest nam to pomocne przy właściwym ewidencjonowaniu czasu pracy. Czy takie działanie jest poprawne i zgodne z obowiązującymi przepisami o ochronie danych osobowych?
RADA
Nie. Pracodawca nie powinien zamieszczać na liście obecności, do której dostęp mają pracownicy, danych dotyczących powodów nieobecności poszczególnych osób (np. adnotacji o chorobie czy urlopie). Prowadziłoby to bowiem do udostępnienia takich danych osobowych innym pracownikom, a więc osobom nieuprawnionym. Jeżeli zamieszczanie takich informacji na liście obecności ma być pomocne pracodawcy w prowadzeniu ewidencji czasu pracy, to powinien zastosować inne rozwiązanie, które zapewni ich poufność. Może ono polegać na tym, by odpowiednie symbole nieobecności pracownicy działu kadr umieszczali wtedy, gdy lista nie jest już dostępna dla szerokiego kręgu osób, które nie są uprawnione do zapoznawania się z takimi danymi (a więc np. po zakończeniu miesiąca).
UZASADNIENIE
Obowiązujące przepisy prawa nie precyzują sposobu potwierdzania obecności pracownika w pracy. To, jak kwestia ta zostanie zorganizowana u danego pracodawcy, powinien określać regulamin pracy lub inny wewnętrzny dokument. Niezależnie od tego, czy będzie to lista obecności w formie papierowej, czy system kart zbliżeniowych - ważne jest, by przy tych czynnościach nie naruszać praw i wolności swoich pracowników.
Praktyka polegająca na tym, że na listach obecności w formie papierowej, do których dostęp mają wszyscy pracownicy danej jednostki, umieszcza się informacje wskazujące, że konkretny pracownik jest np. chory, korzysta z urlopu "na żądanie" bądź wyjechał w delegację, jest niewłaściwa. Informacje m.in. o zwolnieniach lekarskich czy urlopie "na żądanie", a więc o szczególnych rodzajach nieobecności, powinny znaleźć się w ewidencji czasu pracy, do której dostęp - oprócz samego pracownika, którego karta dotyczy - mogą mieć wyłącznie osoby odpowiedzialne za sprawy kadrowe i reprezentant pracodawcy (np. bezpośredni przełożony, osoby zarządzające zakładem pracy). Zatem symbol absencji nie powinien być zasadniczo zamieszczony na liście obecności. Wystarczy jedynie informacja świadcząca o tym, czy dany pracownik jest obecny w pracy, czy też nie.
UWAGA!
Dostęp do informacji o przyczynach nieobecności pracownika w pracy powinny mieć tylko osoby do tego uprawnione, tj. osoby odpowiedzialne za sprawy kadrowe.
Zdarza się, że pracodawca umieszcza na liście informacje o przyczynach nieobecności, bo np. jest to pomocne w prowadzeniu ewidencji czasu pracy. W takiej sytuacji musi jednak zadbać, żeby te informacje były dostępne jedynie dla osób uprawnionych. W przeciwnym razie jego działanie może naruszać przepisy o ochronie danych osobowych, zwłaszcza zasady minimalizacji oraz poufności danych osobowych (art. 5 ust. 1 lit. c oraz f ogólnego rozporządzenia o ochronie danych - RODO).
Zasada minimalizacji danych (dotychczasowa zasada adekwatności/proporcjonalności danych) oznacza obowiązek zapewnienia, aby zakres przetwarzanych danych osobowych był ograniczony, pod względem ilości i treści, do zakresu niezbędnego do osiągnięcia celów ich przetwarzania. Natomiast zasada integralności i poufności danych zobowiązuje administratora do zapewnienia bezpieczeństwa danych osobowych, m.in. ich ochrony przed zapoznaniem się przez osoby nieuprawnione. Osiągnięciu tego celu ma zaś służyć wdrożenie odpowiednich środków technicznych lub organizacyjnych.
Podstawa prawna:
art. 5 ust. 1 lit. c i lit. f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) - Dz.Urz. UE L z 2016 r. Nr 119, s. 1; ost.zm. Dz.Urz. UE L z 2018 r. Nr 127, s. 2
dr Edyta Bielak-Jomma,
prezes Urzędu Ochrony Danych Osobowych
