Skip to main content

Ochrona danych osobowych. Pracodawco, czy jesteś przygotowany?

Ochrona danych osobowych w miejscu zatrudnienia to temat, który możemy podsumować krótko: „teoria swoje, a praktyka swoje”. Niejasności i wątpliwości i… nic dziwnego! Analizowanie wielostronicowych rozporządzeń to nie taka prosta sprawa. Dlatego poniżej, Drogi Pracodawco, kilka ważnych dla Ciebie wskazówek. O jakie dane możesz prosić swojego pracownika? A które powinieneś wpisać na swoją czarną listę? Czy możesz umieścić jego zdjęcie w Portalu Pracownika? Praktyczne przykłady pokażą Ci zakres, w jakim możesz korzystać z danych – o ile chcesz uniknąć możliwej kary pieniężnej. 😉

Dane osobowe – definicja

Ochrona danych osobowych to niewątpliwie obszerny temat. A ponoć najlepiej zacząć od początku, więc… Dawno, dawno temu powstały dane osobowe, z roku na rok coraz bardziej strzeżone przez ustawy i rozporządzenia. Czym zatem są te cenne dane osobowe?

Zgodnie z rozporządzeniem PE w sprawie ochrony osób fizycznych, dane osobowe to informacje, które pozwalają na zidentyfikowanie danej osoby bezpośrednio lub pośrednio na podstawie imienia, nazwiska, danych o lokalizacji czy informacji ujawniających, np. cechy fizyczne, psychiczne, ekonomiczne lub społeczne.

Katalog danych osobowych

Dane osobowe możemy podzielić na trzy kategorie:

Katalog danych osobowych. Ochrona danych osobowych

O które dane możesz prosić, a których bezwzględnie nie możesz wymagać? O tym poniżej.

Nowy katalog danych osobowych, których możesz żądać od pracownika

Gdy zatrudnisz już pracownika, możesz żądać od niego takich informacji, jak:

  1. Adres zamieszkania.
  2. Numer PESEL (a w przypadku jego braku – rodzaj i numer dokumentu, który potwierdza jego tożsamość).
  3. Inne dane osobowe pracownika i jego dzieci (jeśli jest to konieczne ze względu na korzystanie z dodatkowych uprawnień, które przewiduje prawo pracy).
  4. Wykształcenie i przebieg zatrudnienia (jeśli na etapie rekrutacji nie było podstaw do żądania tych informacji).
  5. Numer rachunku bankowego (jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych).

Ponadto, od pracownika możesz wymagać podania innych informacji – pod warunkiem, że są one konieczne do spełnienia uprawnień lub obowiązków, które nakładają na Ciebie przepisy prawne.

Sprawdź, jakich danych możesz żądać na etapie rekrutacji – zmiany prawne 4 maja 2019r.

Zgoda na przetwarzanie danych – kandydat a pracownik

Dane pracownika będą przetwarzane w innym celu niż kandydata, odmienny będzie także krąg odbiorców tych danych. W związku z tym pracownik musi być o tym poinformowany. Możesz zrobić to na dwa sposoby. Pierwszy, to poinformowanie kandydata w ramach klauzuli informacyjnej już na etapie rekrutacji o celu i odbiorcach danych w przypadku jego zatrudnienia. Drugi, to uzupełnienie tych informacji po podpisaniu umowy z pracownikiem.

Ochrona danych osobowych w pracy: wizerunek a identyfikatory, dane na stronach WWW, Intranet

Wizerunku Twojego pracownika nie znajdziesz w Kodeksie pracy wśród danych, o które możesz prosić.

Zatem, jeżeli chcesz pozyskać jego zdjęcie i umieścić na identyfikatorze lub w Intranecie to musisz mieć jego zgodę – dobrowolną, rzecz jasna. Pracownik może odmówić jej udzielenia i nie powinny go spotkać za to żadne negatywne konsekwencje. Pamiętaj, że zgoda może być w każdej chwili odwołana.

Nie zaskoczymy Cię informacją, że również i tutaj znajdziemy wyjątki, prawda? Nie musisz mieć zgody pracownika, jeżeli jego wizerunek jest związany z wykonywanym zawodem lub charakterem pracy, np. możliwość identyfikacji pracownika ochrony ze względów bezpieczeństwa.

Ochrona danych osobowych: zakres udostępniania podmiotom zewnętrznym

W czasie zatrudnienia istnieje konieczność udostępniania danych osobowych pracownika innym podmiotom – ze względu na świadczone usługi czy uprawnienia. Należy pamiętać, że każda taka wymiana danych musi mieć swoją podstawą prawną. Przyjrzyjmy się wybranym sytuacjom i sprawdźmy, czy chronisz dane swoich pracowników w prawidłowy sposób.

Przetwarzanie danych pracownika a badania medycyny pracy

Gdy kierujesz pracownika na badania profilaktyczne, nie musisz zawierać umowy powierzenia z jednostką medycyny pracy. Dlaczego? Zawarłeś umowę z jednostką służby medycyny pracy, jednak działacie niezależnie od siebie. Jesteście osobnymi administratorami danych, którzy określili odmienne cele i środki przetwarzania danych osobowych.

Przetwarzanie danych pracownika a szkolenia BHP

Szkolenia z zakresu BHP mogą być przeprowadzane przez wyznaczonego do tego pracownika lub podmioty zewnętrzne. Pracownik ds. bezpieczeństwa i higieny pracy oraz podmiot zewnętrzny, który jest osobą fizyczną, powinni posiadać upoważnienie do przetwarzania danych osobowych uczestników szkolenia. Z kolei firmy zewnętrzne muszą zawrzeć z Tobą – jako pracodawcą – umowę powierzenia danych.

Przetwarzanie danych pracownika a szkolenia podnoszące kwalifikacje zawodowe

Jeżeli szkolenie przeprowadza pracownik wewnętrzny to może je prowadzić na podstawie upoważnienia – podobnie, jak w przypadku szkoleń z zakresu BHP.
Szkolenie może prowadzić także firma zewnętrzna. O tym, kto jest administratorem danych i jakie kroki należy podjąć, decyduje to, w jaki sposób zewnętrzna firma szkoleniowa weszła w posiadanie tych danych. Jeżeli wysłała Ci ofertę szkoleń, a Twoi pracownicy zdecydują się na udział w szkoleniu za pośrednictwem formularzy – wówczas administratorem podanych danych osobowych będzie firma szkoleniowa. Jeżeli Ty zajmiesz się rozdysponowaniem formularzy wśród pracowników, odbiorem uzupełnionych zgłoszeń danymi osobowymi, a następnie przekazaniem ich firmie szkoleniowej – wówczas konieczne będzie zawarcie umowy powierzenia przetwarzania danych osobowych z zewnętrzną jednostką szkoleniową.

Przetwarzanie danych pracownika a jednostki oferujące dodatkowe świadczenia pracownicze

Dodatkowe świadczenia to wszystkie te usługi, które mają zachęcić pracowników do pracy właśnie w Twojej firmie. Najczęściej są to karnety na siłownię, basen, opieka zdrowotna czy dodatkowe ubezpieczenie. Korzystanie z tych opcji jest dobrowolne, dlatego możesz udostępnić dane osobowe tym podmiotom tylko za zgodą swoich pracowników. Podmioty zewnętrzne stają się wówczas administratorami tych danych. Jednak wszelkie roszczenia wynikające z tych umów pracownicy zgłaszają do Ciebie jako pracodawcy, a nie firmy świadczącej usługi.
Konsekwencją uznania firm za administratora danych jest konieczność stwierdzenia, że te podmioty zobowiązane są do poinformowania osób o okolicznościach wskazanych w art. 13 RODO (tj. podania celu, odbiorcach danych, czasie ich przechowywania, możliwości ich usunięcia itp.).
W tej sytuacji nie występuje powierzenie przetwarzania danych osobowych.

W takim razie od czego zależy, czy podmiot jest administratorem danych, czy nie?
Kluczowe w tym przypadku jest to, czy podmiot decyduje o celach i środkach przetwarzania danych.

Ty, jako pracodawca, przetwarzasz dane swoich pracowników ze względu na obowiązki, które wynikają z zawarcia stosunku pracy. Z kolei podmioty oferujące świadczenia, robią to w celu i zakresie, wynikającym z ich usług. Jak już zdążyłeś pewnie zauważyć, jesteście dwoma odrębnymi administratorami danych. A co za tym idzie, nie możesz żądać na przykład od podmiotów medycznych, z którymi masz podpisaną umowę, informacji o stanie zdrowia swoich pracowników.

Przetwarzanie danych biometrycznych

Z pewnością z tabelki wyżej już wiesz, że dane biometryczne to dane szczególnie wrażliwe.

 Co mówi na ten temat rozporządzenie i co powinieneś zapamiętać?

Generalnie zabronione jest przetwarzanie danych, które jednoznacznie pozwalają na zidentyfikowanie osoby poprzez wizerunek twarzy czy odcisk palca, jak i informacje wskazujące na wyznanie czy poglądy. Od każdej reguły istnieją jednak wyjątki.

  1. Możesz przetwarzać tego typu dane, jeśli posiadasz zgodę kandydata/pracownika – a dane powierzył Ci z własnej inicjatywy.
  2. Możesz przetwarzać dane biometryczne, jeżeli stanowią one element kontroli dostępu do ważnych informacji, które przechowujesz w miejscu pod szczególną ochroną i których ujawnienie mogłoby narazić Cię na szkody.
  3. Dane szczególnie wrażliwe mogą przetwarzać osoby, które mają pisemne upoważnienie od pracodawcy. Zobowiązane są wówczas do zachowania tajemnicy.

Uwaga!

Nie możesz skanować indywidualnych cech swoich pracowników, np. linii papilarnych w celu weryfikacji ich obecności w pracy. Pobieranie takich danych w tym celu nie jest uzasadnione.

Dane dotyczące niekaralności

Jeżeli przepisy prawa wskazują na to, że stanowisko Twojego pracownika wymaga niekaralności i posiadania pełni praw publicznych – możesz prosić o przedstawienie dokumentacji, która to potwierdzi. Dotyczy to także sytuacji, w której należy ustalić, czy pracownik posiada uprawnienia do wykonywania zajmowanego stanowiska, czy prowadzenia działalności gospodarczej (np. nauczyciele, straż graniczna, detektywi, osoby ubiegające się o zatrudnienie w podmiotach sektora finansowego itp.).

Ochrona danych osobowych

Powyższe informacje na temat ochrony danych to streszczenie wymagań stawianych pracodawcom. RODO nakłada wiele obowiązków, których spełnienie zwyczajnie się opłaca, bo kary są bardzo wysokie. Ten temat z pewnością jeszcze poruszymy i rozwiniemy o nowe wątki. Dlatego śledź uważnie naszą bazę wiedzy.

Bądź na bieżąco z iPersonel.

Powyższy artykuł jest opracowaniem własnym na podstawie Kodeksu pracy oraz ustawy z dnia 21.02.2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).