Dane osobowe pracowników – jak przetwarzać je zgodnie z prawem? - Unicard

Kontrola dostępu


Dane osobowe pracowników – jak przetwarzać je zgodnie z prawem?

Kontrola dostępu
Średni czas czytania:

Co to są dane osobowe pracowników? Jak należy je zbierać, przechowywać czy usuwać? I jakie dane osobowe pracownika można przetwarzać? Przygotowaliśmy kompleksowy poradnik – zgodny z Kodeksem pracy, RODO oraz ustawą o ochronie danych osobowych.

 

Czym są i jakie dane osobowe pracownika można przetwarzać?

Definicję danych osobowych pracownika opisuje art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r. – są to informacje o osobie fizycznej, które umożliwiają jej identyfikację.

Jakie dane osobowe pracownika można przetwarzać? W praktyce są to najczęściej:

  • imię i nazwisko pracownika;
  • data urodzenia pracownika;
  • jego adres zamieszkania;
  • numer PESEL;
  • wskazane przez pracownika dane kontaktowe;
  • wykształcenie;
  • kwalifikacje zawodowe;
  • przebieg dotychczasowego zatrudnienia.

 

Jeśli jest to niezbędne do wykonywania obowiązków i wynika z przepisów prawa, pracodawca może zażądać od pracownika dodatkowych informacji, np. przedłożenia zaświadczenia o posiadanym obywatelstwie, niekaralności czy danych osobowych małżonka bądź dzieci.

Dodatkowo wyróżnia się dane osobowe szczególnie chronione, zwykle związane z życiem prywatnym pracownika i przetwarzane wyłącznie w uzasadnionych przepadkach. Należą do nich m.in. informacje o zdrowiu, pochodzeniu etnicznym, dotyczące seksualności, poglądów politycznych, religii, wyroków skazujących lub naruszeń prawa, a nawet dane biometryczne, takie jak odciski palca czy skan tęczówki. Pracodawcy muszą mieć także świadomość, że cechy biometryczne w szczególnych przypadkach mogą być wykorzystywane w celu kontroli dostępu, jednak zakazane jest ich przetwarzanie w systemach rejestracji czasu pracy – nawet za zgodą pracownika.

Więcej na ten temat: Biometryczna kontrola czasu pracy. Czy to możliwe i zgodne z prawem?

 

Jak powinno wyglądać przetwarzanie danych osobowych pracowników?

Przetwarzanie danych osobowych to wszelkie działania na nich wykonywane, np. zbieranie, przechowywanie, utrwalanie, zmienianie, usuwanie, udostępnianie czy opracowywanie informacji identyfikacyjnych.

 

Zbieranie danych osobowych pracownika

Zbierając dane osobowe pracowników lub kandydatów, należy przekazać im informacje o:

  • adresie i nazwie swojej siedziby, a gdy administratorem danych jest osoba fizyczna – jej imię i nazwisko wraz z adresem zamieszkania;
  • celu zbierania danych osobowych wraz z podstawą prawną;
  • możliwości wglądu do swoich danych oraz ich edycji;
  • znanych mu lub przewidywanych odbiorcach, którzy będą mieli dostęp do danych;
  • dobrowolności lub obowiązku podania danych (w przypadku obowiązku należy powołać się na podstawę prawną);
  • okresie przechowywania danych osobowych.

 

Zgoda na przetwarzanie danych osobowych pracownika

Wyrażona przez pracownika zgoda na przetwarzanie jego danych osobowych musi być dobrowolna, konkretna oraz świadoma. RODO nie narzuca tego, w jaki sposób powinna zostać udokumentowana – zwykle widnieje na papierze lub sygnowana jest podpisem elektronicznym.

Warto mieć świadomość, że zgodnie z Kodeksem pracy brak zgody pracownika na przetwarzanie jego danych osobowych (lub wycofanie takiej zgody) nie może skutkować negatywnymi konsekwencjami, a zwłaszcza być przyczyną odmowy zatrudnienia czy rozwiązaniem umowy o pracę przez pracodawcę.

 

Bezpieczne przechowywanie danych osobowych pracowników

Wszystkie dokumenty, które zawierają dane osobowe pracowników, wymagają odpowiedniego zabezpieczenia, aby dostęp do nich miały wyłącznie osoby upoważnione.

W przypadku pism drukowanych ważna jest ich segregacja oraz ochrona przed przypadkowym zniszczeniem czy kradzieżą, np. w teczkach przechowywanych w zamykanych szafkach bądź sejfach. Dokumenty w aktach osobowych muszą być także przechowywane w porządku chronologicznym i ponumerowane. Należy także stworzyć wykaz oświadczeń lub dokumentów.

Jeśli informacje o pracownikach znajdują się na elektronicznych nośnikach danych, należy pamiętać o ich zaszyfrowaniu, np. hasłem dostępu, oraz regularnym tworzeniu zapasowych kopii danych.

 

Statystyki o atakach hakerskich.

Czas przechowywania dokumentacji pracowniczej

Równie ważny jest czas przechowywania dokumentacji, która zawiera dane osobowe pracowników.

RODO, czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych, zaleca, aby informacje te były składować najkrócej jak to możliwe. W praktyce akta osobowe i dokumentacja pracownicza powinny być przechowywana przez 10 lat, licząc od końca roku kalendarzowego, w którym ustał stosunek pracy.

Dwa wyjątki dotyczą:

  • osób wykonujących prace górnicze;
  • osób zatrudnionych przed 1 stycznia 1999 roku.

Ich dokumentację pracodawca powinien przechowywać przez 50 lat.

Z kolei w przypadku kandydatów na pracowników pracodawca powinien usunąć ich dane natychmiast po zakończeniu procesu rekrutacyjnego. Wyjątkiem jest, gdy kandydat wyrazi wyraźną i określoną w czasie zgodę na pozostawienie jego danych w bazie danych pracodawcy, np. na wypadek kolejnej rekrutacji.

 

Udostępnianie danych osobowych pracownika

Pracodawca jako administrator danych osobowych jest zobowiązany do ich przetwarzania – w tym udostępniania – zgodnie z zapisami RODO. Przede wszystkim ujawnianie akt osobowych musi być niezbędne do realizacji swoich ustawowych czynności przez organy publiczne, np. Państwową Inspekcję Pracy, policję, sądy, czy prokuraturę.

Dane osobowe pracowników nie mogą zostać udostępnione telefonicznie czy SMS-owo – instytucja ubiegająca się o dostęp do informacji o osobie zatrudnionej powinna złożyć pisemny wniosek z informacją o celu wykorzystania danych.

 

Usuwanie danych osobowych pracownika

Dane muszą zostać usunięte np. w sytuacji gdy:

  • zgoda na przetwarzanie danych osobowych pracownika została przez niego cofnięta;
  • nie są już potrzebne administratorowi do realizacji celu, w jakim zostały przez niego zebrane;
  • dane osobowe pracownika nie były przetwarzane zgodnie z prawem;
  • ich usunięcie jest konieczne ze względu na przepisy prawa.

Warto także pamiętać, że zgodnie z uchwałą RODO pracodawca powinien pozyskiwać od pracownika tylko minimum potrzebnych danych osobowych. Co więcej, wskazany już 10-letni okres przechowywania informacji dotyczy tylko części z nich, związanych np. z ewidencją czasu pracy. Przepisy prawa nie wyjaśniają jednak, w jaki sposób dokumentacja powinna zostać usunięta z danych osobowych

W przypadku dokumentacji papierowej akta czy poszczególne strony mogą zostać fizycznie zniszczone, np. za pomocą niszczarki. Ważne jest jednak, aby zachować odpowiednią numerację kart w aktach oraz uaktualnić wykaz dokumentów (zgodnie z przepisami muszą być one przechowywane w porządku chronologicznym i numerowane). Jeśli dokument nie jest w całości niszczony, dane można trwale zamazać/wyczernić w taki sposób, aby nie były widoczne.

Jeśli dane osobowe pracowników przechowywane są w systemach informatycznych, należy zadbać także o to, aby usunąć je w kopii zapasowych.

 

Naruszenie ochrony danych osobowych – skargi i konsekwencje

Ochrona danych osobowych pracownika to zadanie pracodawcy – to on jest ich administratorem. Zdarzają się jednak przypadki naruszeń, np. przekazania danych pracownika bez jego wiedzy i zgody podmiotom trzecim (co skutkuje np. szkodami majątkowymi, sfałszowaniem tożsamości czy utratą kontroli nad własnymi danymi) czy żądanie przez pracodawcę podania informacji, których pracownik nie musi udostępniać.

Jeśli rozmowa z szefostwem nie przyniesie oczekiwanych efektów, pracownik może zdecydować się na zgłoszenie naruszenia ochrony danych osobowych do odpowiednich organów.

 

Skarga do UODO

UODO, czyli Urząd Ochrony Danych Osobowych, może nie tylko przeprowadzać kontrole, ale i nakładać kary na jednostki czy instytucje, które nie przestrzegają zasad RODO.

Skargę do UODO można złożyć elektronicznie (poprzez Elektroniczną Skrzynkę Podawczą Prezesa UODO, podpisując podpisem elektronicznym) lub na wysłać papierowy dokument na adres siedziby urzędu.

Pismo powinno zawierać:

  • imię, nazwisko oraz adres zamieszkania pracownika, który składa skargę;
  • dane firmy lub podmiotu, który dopuścił się zaniechań (imię i nazwisko lub nazwa, adres siedziby firmy);
  • dokładny opis powodu skargi;
  • żądanie podjęcia czynności przez Prezesa Urzędu;
  • podpis pracownika, który wnosi skargę.

 

Kara za naruszenie ochrony danych osobowych

Naruszenie RODO może skutkować dotkliwymi karami finansowymi. Ich wysokość wynosi do 10 lub 20 mln euro lub 2-4% całkowitego rocznego obrotu firmy z poprzedniego roku obrotowego. O kwocie decyduje Prezes UODO, biorąc pod uwagę m.in. charakter czynu oraz czas jego trwania.

Konsekwencją nieprzestrzegania zasad RODO może być także ograniczenie lub pozbawienie wolności do lat trzech – zasada ta dotyczy jednak osób fizycznych.

 

Ochrona danych osobowych pracownika – ważny obowiązek pracodawcy

Dane osobowe pracowników to szereg poufnych informacji, które należy zbierać, przechowywać i usuwać w określony przez prawo sposób. Zarówno pracownik jak i pracodawca powinni znać swoje prawa i obowiązki, a przede wszystkim kluczowe kwestie RODO.

 

Więcej na ten temat dowiesz się z naszego webinaru:

 

Warto też pamiętać, aby wszelkie oprogramowania i aplikacje, w których znajdują się dane osobowe pracowników, były zgodne z RODO. Przykładami takich rozwiązań jest kontrola dostępu oraz systemy rejestracji czasu pracy od UNICARD. 

Wyświetlenia: 2696

Podobał Ci się wpis?