RODO w kadrach

Upoważnienie do przetwarzania danych osobowych w firmie

Do przetwarzania danych osobowych w firmie niezbędne są stosowne upoważnienia, aby zapewnić zgodność z RODO. Musi je posiadać każda osoba, która w ramach swojej pracy ma dostęp do danych osobowych, bez względu na formę zatrudnienia. Nadaje je firma, jako administrator danych osobowych lub osoba przez nią upoważniona.

Takie dokumenty powinny zawierać: datę nadania upoważnienia, imię i nazwisko/nazwę osoby upoważnianej, zakres czynności dozwolonych w zakresie przetwarzania danych, cel przetwarzania, oraz informację o obowiązku zachowania danych w tajemnicy. Upoważnienia mogą być przechowywane w aktach osobowych pracowników, jednak nie jest to obowiązkowe.

Podstawowe zasady zbierania danych pracowników i kandydatów do pracy zgodnie z RODO

Zgodnie z przepisami RODO, pracodawcy mogą zbierać do kandydatów tylko te dane osobowe, które będą niezbędne do zatrudnienia, pomijając zbędne informacje, takie jak stan cywilny czy orientacja seksualna, wyznanie, potomstwo, a nawet zdjęcie. Do wymaganych w rekrutacji danych, o które możemy poprosić kandydata, należą m.in.:

• imię i nazwisko,
• data urodzenia,
• dane kontaktowe,
• wykształcenie,
• kwalifikacje zawodowe,
• poprzedni przebieg zatrudnienia.

Mówią o tym art. 22 ust. 1 Kodeksu Pracy oraz wskazówki Urzędu Ochrony Danych Osobowych. Ważne jest to, że jako pracodawca możemy gromadzić także dodatkowe informacje, ale tylko wtedy, gdy uzyska na to zgodę od kandydata.

Ponadto, w oficjalnym dokumencie z tymi danymi, którym zwykle jest CV, każdy kandydat powinien złożyć oświadczenie o przetwarzaniu jego danych zgodnie z art. 6 ust. 1 lit. Ustawy RODO. Treść klauzuli jest wówczas następująca:

„Zgadzam się na przetwarzanie moich danych osobowych przez [Nazwa firmy] w celu przeprowadzenia procesu rekrutacji na stanowisko [Nazwa stanowiska]. Dane będą przetwarzane na podstawie art. 6 ust. 1 lit. a RODO (zgoda). Zgodnie z RODO przysługuje mi prawo dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania. Może się ze mną skontaktować pod adresem [adres email lub kontakt]”.

Bez takiego oświadczenia, pracodawca nie będzie mógł przetwarzać danych osobowych kandydata/kandydatki.

Jakie dane pracownika może gromadzić pracodawca zgodnie z Kodeksem Pracy i przepisami RODO?

Gdy pracownik zostanie już zatrudniony, przepisy RODO mówią o tym, że przy gromadzeniu danych na jego temat, także musimy się kierować zasadą minimalizacji, do tych, które są niezbędne. Należą do nich:

• numer PESEL,
• adres,
• numer rachunku, na który ma być wypłacane wynagrodzenie,
• dane osobowe członków rodziny, jeżeli pracownik będzie korzystał ze szczególnych uprawnień, o których mówi Kodeks Pracy,
• zaświadczenie o niekaralności, jeżeli jest wymagane do danej pracy,

dokumenty potwierdzające kwalifikacje, edukację i wcześniejsze zatrudnienie (ale jedynie do wglądu, bez przechowywania w aktach osobowych).

Takie informacje pracownik może złożyć w formie oświadczenia. Zdarza się jednak, że potrzebna jest inna dokumentacja – w tym np. dokumenty potwierdzające kwalifikacje, wcześniejsze zatrudnienie, lub skończoną edukację. Ponadto, w przypadku pracowników cudzoziemców, w dokumentach kadrowych mogą być zachowane kopie paszportów czy wiz oraz dokumentów potwierdzających legalny pobyt i zatrudnienie.

W aktach osobowych pracownika nie można z kolei przechowywać m.in. kopii dowodu osobistego, dokumentacji związanej z wypadkiem w pracy lub chorobą zawodową, czy też kopii innych dokumentów. Jeśli chodzi o ten pierwszy dokument, pracodawca może poprosić o wgląd, w celu weryfikacji poprawności danych. Gdyby jednak w dokumentacji znalazła się przez przypadek kopia dowodu osobistego pracownika, powinniśmy ją niezwłocznie zniszczyć, spisując protokół. W przypadku dokumentacji wypadków i chorób zawodowych, za ich przechowywania odpowiada pracownik BHP. Podobnie jest, jeśli chodzi o legitymację emeryta lub rencisty – ona także jest okazywana wyłącznie do wglądu. Nie ma zgody na jej kserowanie i przechowywanie.

Zgodnie z obowiązującymi przepisami każdy pracownik powinien otrzymać klauzulę informacyjną, która zawiera informacje o celach i podstawach przetwarzania jego danych, a także o jego prawach wynikających z RODO. Oświadczenie pracownika o zapoznaniu się z zasadami powinno być przechowywane w części B akt osobowych.

RODO a wizerunek pracownika

Częstym problemem poruszanym w wielu firmach jest to, czy publikacja wizerunku pracownika, wymaga jego zgody, zgodnie z przepisami RODO. Sięgnijmy na początek do definicji. Wizerunek pracownika to utrwalenie obrazu człowieka w taki sposób, w jaki dana osoba jest postrzegana, co prowadzi do tego, że może zostać rozpoznana. Istotne jest to, że osoba, której wizerunek jako dana osobowa jest udostępniany, musi wyrazić na to pisemną zgodę. W tej kwestii pomoże podpisanie z pracownikiem umowy o wykorzystanie wizerunku. Powinna ona być przedstawiona w formie pisemnej i zawierać takie informacje jak np. czas, na jaki jest wyrażona, kto ją wyraża, a także czy zostały przedstawione warunki opisujące formę wykorzystania wizerunku.

Musimy pamiętać o tym, że rozpowszechnienie wizerunku danej osoby bez jej zgody jest karalne. Kodeks cywilny rozróżnia dwa rodzaje odpowiedzialności w tym zakresie – niemajątkową i majątkową. W pierwszym przypadku osobie, której wizerunek został nieprawnie udostępniony, przysługuje prawo do żądania usunięcia zdjęć albo filmów z jej wizerunkiem np. ze strony internetowej. Jeśli chodzi natomiast o ten drugi – osoba poszkodowana może wnioskować i żądać rekompensaty w postaci finansowej przekazywanej bezpośrednio osobie, której wizerunek został niesłusznie rozpowszechniony lub na cel charytatywny wskazany przez tą osobę.

Ważne jest również to, że każdą zgodę na rozpowszechnianie swojego wizerunku możemy w dowolnym momencie wycofać. Wówczas kolejne rozpowszechnienie wizerunku nie będzie możliwe. Jednak materiały, które zawierały dany wizerunek będą mogły istnieć w przestrzeni gdyż zostały one stworzone i rozpowszechnione gdy dana zgoda jeszcze obowiązywała.

Monitoring pracownika a RODO

U wielu pracodawców w celach bezpieczeństwa, ale również kontroli pracy, stosowany jest monitoring. Może on przyjmować nie tylko formę fizycznych kamer, ale również elektroniczną, jak np. weryfikacji poczty mailowej. Musi on być zgodny z przepisami RODO. Pracodawca powinien zatem w wewnętrznym regulaminie określić, jaki jest cel przechowywania tych danych oraz zapewnić ich poufność. Ponadto, przy zamontowaniu monitoringu wizyjnego czy monitoringu poczty elektronicznej, istotne jest to, by uprzednio pracownicy zostali o tym fakcie poinformowani. Konieczne jest także przekazanie im szczegółowych informacji o zasadach monitorowania oraz regulaminu monitoringu. Ten drugi określa cel, zasady funkcjonowania, lokalizacje kamer, sposób rejestracji i przechowywania danych, oraz zasady udostępniania nagrań. Pracownik obowiązkowo podpisuje wówczas stosowne oświadczenia o zapoznaniu się z informacjami w tym zakresie od pracodawcy.

Jeśli chodzi o szczególne kwestie związane z monitoringiem, powinniśmy przede wszystkim pamiętać o okresie przechowywania nagrań. Nie może być on dłuższy niż 3 miesiące od daty nagrania, chyba że jest prowadzone postępowanie związane z naruszeniami prawa. Wówczas, w drodze wyjątku, możemy przechowywać nagrania aż do momentu, gdy dana sprawa zostanie rozstrzygnięta. Jeśli chodzi natomiast o monitoring poczty elektronicznej, nie może on naruszać tajemnicy korespondencji i innych dóbr osobistych pracownika. Powinien on służyć wyłącznie potwierdzeniu prawidłowego wykonywania zleconych zadań przez pracownika.

Ujawnianie i rozpowszechnianie danych kadrowych a RODO

Do przetwarzania danych kadrowych uprawniony jest ich administrator, którym jest pracodawca. W zależności od formy organizacyjnej może to być osoba fizyczna lub prawna (np. spółka z o.o., spółka akcyjna), organ publiczny lub inny podmiot. Do przetwarzania informacji możemy upoważnić inne osoby (np. pracowników firmy). Taki administrator ustala w jednostce cele i sposoby przetwarzania danych osobowych, biorąc jednocześnie odpowiedzialność za dane. Musi on zatem przestrzegać przepisów związanych z RODO, a więc zagwarantować ich poufność i bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem albo przypadkową utratą.

Aby ochronić dane kadrowe przed nieuzasadnionym i bezpodstawnym rozpowszechnianiem, każdy pracodawca musi stosować anonimizację. Polega ona na tworzeniu kluczy zabezpieczeń, do których dostęp mają tylko upoważnione osoby.

Istotne jest to, że dane kadrowe nie muszą być przetwarzane wyłącznie w firmie. Można je także ujawniać na zewnątrz, stosując przepisy art. 6 RODO. Mówią one o tym, że jeśli osoba, której dane dotyczą, będzie miała tego świadomość i wyrazi na to zgodę lub też, gdy będzie to usprawiedliwione ciążącym na pracodawcy obowiązkiem prawnym (np. zgłoszenie do ZUS), prawnie uzasadnionym interesem (np. korzystanie z outsourcingu) albo okaże się niezbędne do wykonania umowy (np. pobranie numeru konta bankowego w celu wypłacania wynagrodzenia), jest możliwe rozpowszechnienie danych o pracowniku innym podmiotom.

Administrator danych kadrowych może powierzyć dane swoich pracowników innemu podmiotowi, który będzie je przetwarzał w jego imieniu. Dotyczy to często przypadku korzystania do celów kadrowych z usług firmy zewnętrznej (np. naliczanie wynagrodzeń, obliczanie rezerw urlopowych, czy też prowadzenie dokumentacji pracowniczej. Niezbędne w tym celu jest podpisanie stosownej umowy, określającej m.in. przedmiot i czas trwania powierzenia danych, charakter i cel przetwarzania, rodzaj danych osobowych i osoby, których dotyczą, a także prawa i obowiązki administratora.

Przechowywanie i niszczenie danych kadrowych a RODO

Zgodnie z art. 94 pkt 9b kodeksu pracy pracodawca ma obowiązek przechowywać dokumentację pracowniczą przez okres 10 lat, licząc od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł, poza określonymi wyjątkami. Takim przykładem jest sytuacja, w której dokumentacja pracownicza stanowi dowód w postępowaniu. Wówczas musi być ona przechowywana do czasu prawomocnego zakończenia takiego postępowania, jeżeli pracodawca jest jego stroną.

Na podstawie art. 94⁷ § 1 K.p. pracodawca niszczy dokumentację w sposób uniemożliwiający odtworzenie jej treści, w terminie do 12 miesięcy po upływie okresu przeznaczonego na odbiór dokumentacji pracowniczej, o którym mowa w art. 94⁶ pkt 2 kodeksu pracy (przepisy o przekazaniu pracownikowi informacji o dokumentacji pracowniczej w przypadku rozwiązania lub wygaśnięcia stosunku pracy) albo w tym terminie wydaje ją pracownikowi. Istotne jest to, że w przypadku rozwiązania lub wygaśnięcia stosunku pracy, pracodawca wraz ze świadectwem pracy musi przekazać informację, że zniszczy dokumentację miesiąc kalendarzowy po upływie kodeksowego okresu przechowywania dokumentacji pracowniczej do odbioru.

Zgodnie zaś z przepisami RODO, byli pracownicy mogą żądać od byłego pracodawcy tego, aby jej dane osobowe zostały usunięte i przestały być przetwarzane. Oprócz zniszczenia dokumentacji kadrowej zatrudniający ma wówczas obowiązek usunąć wszelkie ślady zatrudnienia pracownika (np. konta mailowe, zdjęcia).

Zarządzanie RODO w kadrach – pomoc doświadczonego podmiotu

Wdrażanie przepisów RODO w polityce kadrowej firmy wymaga nie tylko znajomości przepisów, ale też dużego doświadczenia. To dlatego warto skorzystać z pomocy naszej kancelarii. W ramach obsługi kadrowej świadczymy kompleksową usługę dla przedsiębiorców, obejmującą m.in. doradztwo, czy też przygotowanie dokumentacji RODO, takiej, jak np. upoważnienie do przetwarzania danych osobowych, klauzule do akt osobowych, umowy o przetwarzanie wizerunku, czy też regulamin monitoringu. Jeżeli zatem ta kwestie związane z RODO budzą Twoje wątpliwości lub Twoja firma potrzebuje szczególnej dokumentacji, skontaktuj się z nami za pomocą formularza kontaktowego.

Zaufali nam