Ochrona danych osobowych pracowników RODO – Jakie obowiązki ma pracodawca?

Ochrona danych osobowych pracowników RODO – Jakie obowiązki ma pracodawca?

Po wejściu w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, a także uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) większość firm wdrożyła odpowiednie procedury, mające na celu ochronę danych osobowych – nie tylko klientów i kontrahentów, ale również swoich pracowników.

Wprowadzenie nowych przepisów dotyczących ochrony danych osobowych wywołało wśród pracodawców niezadowolenie i zdezorientowanie, które wynikało m.in. z braku przepisów przejściowych, dzięki którym pracodawcy mogliby przygotować się na nadchodzące zmiany.

Zrozumienie tego, jak działa ochrona danych osobowych i jakie wynikają z niej obowiązki administratora danych osobowych, czyli pracodawcy nie jest prosta. Dlatego zachęcamy do zapoznania się z naszym artykułem oraz do wzięcia udziału w szkoleniach RODO w kadrach 2023.

Spis treści:

Ochrona danych osobowych – Ustawa z dnia 10 maja 2018 r.

10 maja 2018 roku Sejm RP uchwalił ustawę o ochronie danych osobowych, która weszła w życie 25 maja 2018 roku. Zawarte w ustawie zagadnienia dotyczą m.in. ograniczeń lub wyłączeń przepisów ustawy, lub RODO, postępowań w sprawie naruszenia przepisów o ochronie danych osobowych, kontroli przestrzegania przepisów oraz innych w tym powołania prezesa urzędu ochrony danych osobowych.

Co więcej, rozporządzenie o ochronie danych osobowych nakłada również szereg obowiązków informacyjnych wynikających z RODO. W praktyce oznacza to, że każdy podmiot przetwarzający dane osobowe pracownika bądź konsumenta, zobowiązany jest do zamieszczenia informacji dotyczącej tego, kto i w jakim celu będzie przetwarzał te dane oraz o tym, że istnieje możliwość wycofania zgody na przetwarzanie danych osobowych już na etapie rekrutacji. W takiej informacji powinny znaleźć się m.in.:

  • pełna nazwa i adres siedziby;
  • dane kontaktowe inspektora ochrony danych;
  • cel przetwarzania danych;
  • informacja o podstawie prawnej przetwarzania danych obowiązującej w momencie pobierania danych;
  • odbiorcy danych;
  • zamiar transgranicznego przetwarzania danych;
  • prawo do żądania dostępu do danych przez osoby, których dane dotyczą — w tym otrzymania kopii, zmiany lub usunięcia;

Dane osobowe – Definicja

Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, której tożsamość można określić bezpośrednio poprzez numer PESEL oraz dane biometryczne (DNA, odciski linii papilarnych lub siatkówka oka), a także pośrednio za pomocą specyficznych i indywidualnych czynników, pozwalających na dokładne określenie cech fizycznych, umysłowych, fizjologicznych, kulturowych, ekonomicznych czy społecznych.

Warto zauważyć, że samo imię lub samo nazwisko nie nosi jeszcze znamion danych osobowych. Dopiero połączenie tych dwóch informacji tworzy dane, które mogą posłużyć do zidentyfikowania konkretnej osoby.

Katalog danych osobowych:

Dane zwykłe:

  • imię;
  • nazwisko;
  • adres zamieszkania;
  • PESEL;
  • NIP;
  • numer i seria dowodu osobistego;
  • wykształcenie;
  • zawód;
  • płeć;
  • numer telefonu;

Szczególne kategorie danych osobowych:

  • pochodzenie rasowe lub etniczne;
  • poglądy polityczne;
  • przekonania religijne lub światopoglądowe;
  • przynależność do związków zawodowych;
  • dane genetyczne;
  • dane biometryczne;
  • dane dotyczące zdrowia;
  • dane dotyczące seksualności lub orientacji seksualnej;

Dane wrażliwe:

  • dane dotyczące warunków skazujących i naruszeń prawnych;

RODO a kandydat do pracy

Przepisy RODO obowiązują przedsiębiorców nie tylko względem już zatrudnionych pracowników, lecz także potencjalnych pracowników w toku procesów rekrutacyjnych. W oczywisty sposób pracodawca prowadzący proces rekrutacyjny będzie miał znaczny dostęp do danych osobowych kandydata, chcąc bowiem ocenić przydatność potencjalnego pracownika, musi dysponować informacjami o jego wykształceniu czy przebiegu zatrudnienia.

Uprawnienia pracodawcy są ograniczone przepisami Kodeksu Pracy – pracodawca może żądać wskazania wyłącznie:

  • imienia i nazwiska;
  • daty urodzenia;
  • danych kontaktowych;
  • informacji o posiadanym wykształceniu;
  • informacji o dotychczasowym zatrudnieniu;

Uwaga! Co więcej, jeśli dane osobowe wymagane są w procesie rekrutacji, powinny zostać usunięte lub odesłane kandydatom niezwłocznie po zakończeniu procesu rekrutacji.

Jakich danych osobowych mogę żądać od pracownika?

Gdy pracodawca zatrudnia nowego pracownika, może żądać od niego następujących danych:

  • adres zamieszkania;
  • numer PESEL (a w przypadku jego braku – rodzaj i numer dokumentu, który potwierdza jego tożsamość);
  • inne dane osobowe pracownika i jego dzieci (jeśli jest to konieczne ze względu na korzystanie z dodatkowych uprawnień, które przewiduje prawo pracy);
  • wykształcenie i przebieg zatrudnienia (jeśli na etapie rekrutacji nie było podstaw do żądania tych informacji);
  • numer rachunku bankowego (jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych);

Uwaga! Pracodawca może żądać podania innych danych tylko w przypadku, w którym jest to uzasadnione przepisami prawa (np. w odniesieniu do niektórych stanowisk i grup zawodowych pracodawca może żądać przedstawienia zaświadczenia o niekaralności).

Fakt zatrudniania pracownika nie zwalnia pracodawcy z wypełnienia nałożonych na niego obowiązków informacyjnych. Pracodawca ma obowiązek poinformowania pracowników o przetwarzaniu ich danych osobowych i ma obowiązek aktualizacji obowiązku informacyjnego, jeżeli zaszły zmiany w zakresie lub celu przetwarzania przechowywanych danych osobowych.

Akta osobowe a ochrona danych osobowych

Dane osobowe pracowników mogą być wykorzystywane przez pracodawców wyłącznie przez okres w jakim jest to konieczne, z uwagi na cele przetwarzania danych. Zgodnie z aktualnie obowiązującymi przepisami, okres przechowywania akt osobowych wynosi obecnie 10 lat i jest liczony do momentu ustania okresu zatrudnienia.

Pracodawca nie może żądać od swojego pracownika kopii jego dokumentów tożsamości (dowód osobisty, prawo jazdy, paszport itp.). Co więcej, pracodawca nie powinien przechowywać tego typu kserokopii w aktach osobowych pracownika.

Obowiązkiem pracodawcy jest dopilnowanie, aby wszystkie niepożądane dokumenty w aktach osobowych pracownika zostały usunięte zgodnie z przepisami.

Na czym polega ochrona danych osobowych?

Ochrona danych osobowych to ważna czynności, do której stosować muszą się wszystkie podmioty nimi dysponujące. Dotyczy to zarówno pojedynczych informacji stanowiących dane osobowe, jak i kompleksowych zbiorów danych. Ochrona danych osobowych polega na zabezpieczaniu tych informacji przed ich przypadkową utratą, ujawnieniem lub dostępem nieupoważnionych osób - dążenie do uniknięcia sytuacji, w których dane te byłyby przetwarzane przez osoby, które do tego nie mają uprawnienia.

Przepisy regulujące ochronę danych osobowych nie precyzują konkretnych form zabezpieczeń, ponieważ to, co może być skuteczne w przypadku małego biura księgowego, może okazać się niewystarczające w dużym przedsiębiorstwie. Wybór właściwych środków ochrony zależy od indywidualnych uwarunkowań danej firmy.

Przetwarzanie danych osobowych – Czy pracodawca może umożliwić dostęp do danych pracownika RODO?

Pracodawca nie może udostępniać danych osobowych pracowników bez ich wiedzy i zgody na rzecz podmiotów świadczących te usługi. Udostępnienie danych osobowych przez pracodawcę odbywa się na podstawie zgody wyrażonej przez pracownika. Przetwarzanie danych osobowych pracowników lub innych osób zgłoszonych do programu przez podmioty świadczące tego typu usługi odbywa się zatem na podstawie uprzednio wyrażonej przez nich zgody.

Jakie są kary za naruszenie ochrony danych osobowych pracownika?

Za przetwarzanie danych osobowych, których przetwarzać nie można, wykonywanie tych czynności bez odpowiednich uprawnień oraz udostępnianie zbiorów danych osobom nieupoważnionym przewidziana jest kara w postaci grzywny, ograniczenia lub pozbawienia wolności do 2 lat.

W przypadku, gdy naruszenie dotyczy danych ujawniających np. pochodzenie rasowe, stan zdrowia, przekonania religijne – okres pozbawienia wolności może wtedy wynieść do 3 lat.

Jeśli wskutek przeprowadzonej kontroli generalnego inspektora ochrony danych osobowych, wyjdą na jaw naruszenia przepisów o ochronie danych osobowych, organa GIODO nakazuje podmiotowi w drodze decyzji administracyjnej wykonanie takich czynności, które spowodują przywrócenie stanu zgodnego z prawem. Mowa tu przede wszystkim o usunięciu wszelkich uchybień, zaprzestaniu, usunięciu, uzupełnieniu lub sprostowaniu danych osobowych czy użycie dodatkowych środków, mających lepiej zabezpieczyć zbiory danych.

Kara w postaci grzywny lub ograniczenia czy pozbawienia wolności może być nałożona dopiero wtedy, kiedy podmiot nie spełni postanowień decyzji. Grzywna może sięgnąć nawet 50 tysięcy złotych, a maksymalnie 200 tysięcy.

Jak przygotować dane na wypadek kontroli inspektora ochrony danych?

Obowiązki pracodawcy wynikające z ochrony danych osobowych zgodnie z RODO powinny uwzględniać przygotowanie na wypadek wszczęcia kontroli. Taką kontrolę, i to niezapowiedzianą, może przeprowadzić urzędnik Urzędu Ochrony Danych Osobowych (UODO). Pracodawca musi posiadać osobę, którą została upoważniona do reprezentowania w trakcie kontroli. Ponadto pracodawca zawsze posiadać komplet upoważnień i poleceń przetwarzania danych. Należy pamiętać o tym, że kontrolerzy mogą sprawdzić, czy dokumentacja pracownicza jest przechowywana w miejscu, które chronią ją przed zniszczeniem lub uszkodzeniem.

Ochrona danych osobowych pracownika – Podsumowanie

Dane osobowe pracowników to szereg poufnych informacji, które należy zbierać, przechowywać i usuwać w określony przez prawo sposób. Zarówno pracownik jak i pracodawca powinni znać swoje prawa i obowiązki, a przede wszystkim kluczowe kwestie RODO. Warto też pamiętać, aby wszelkie oprogramowania i aplikacje, w których znajdują się dane osobowe pracowników, były zgodne z RODO. Jeśli chcesz być na bieżąco, ze zmianami dotyczącymi RODO zapraszamy na nasze szkolenia RODO w kadrach 2023 – dowiesz się z nich wszystkich najważniejszy informacji o ochronie danych osobowych swoich pracowników.

Kalina Kaczmarek
Kalina Kaczmarek

Trener

Ekspert prawa pracy z 20 letnim doświadczeniem; prowadzi działalność konsultingowo - szkoleniową w zakresie "twardego HR". W latach 2001-2018 była pracownikiem Państwowej Inspekcji Pracy - Okręgowego Inspektoratu Pracy w Gdańsku, na stanowiskach inspektora pracy a następnie starszego inspektora pracy. Doświadczony trener współpracujący z firmami szkoleniowymi, specjalizuje się w problematyce prawnej ochronie pracy, doradca i stały współpracownik wielu przedsiębiorstw i instytucji.