Zgoda na przetwarzanie danych osobowych pracownika

Raz na jakiś czas otrzymujemy od Was pytania dotyczące przetwarzania danych pracowników. Jak należy traktować dane osobowe pracownika? Jakie zastosowanie mają w tym przypadku przepisy RODO? Jak należy je interpretować? Jak powinna wyglądać zgoda na przetwarzanie danych pracownika? Co z listą obecności? Aktami osobowymi? Wątpliwości i pytań pojawia się sporo. Dlatego też postanowiliśmy zebrać w jednym miejscu najważniejsze i te które powtarzają się najczęściej, a następnie rozwiać Wasze wątpliwości raz na zawsze 😉 Zapraszamy!

 

RODO a przetwarzanie danych osobowych pracowników

 

W ramach stosunku pracy istnieje nieustanna potrzeba wymiany informacji, w tym o pracowniku. Jej konieczność może wynikać z obowiązków pracodawcy wynikających z przepisów prawa, z charakteru wykonywanej przez pracownika pracy bądź też z uwagi na interes pracodawcy lub samego pracownika. Należy pamiętać, że ochrona danych osobowych pracownika nie jest absolutna i nie zawsze zależy od jego zgody. Jednocześnie fakt, czy to przetwarzanie jest zgodne z prawem, należy oceniać w każdym konkretnym przypadku. Konkretne kwestie związane z przetwarzaniem danych w okresie zatrudnienia. Wraz z powstaniem stosunku pracy powstają określone prawa i obowiązki pracodawcy i pracownika, których realizacja w sposób oczywisty wiąże się z koniecznością przetwarzania danych pracownika. Zgodnie z art. 221 § 2 i 4 Kodeksu pracy pracodawca ma prawo żądać od pracownika, którego zdecydował się zatrudnić, podania, niezależnie od danych osobowych, które mógł od niego pozyskać w toku rekrutacji, także:

• innych jego danych osobowych, a także imion i nazwisk oraz dat urodzenia jego dzieci, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez niego ze szczególnych uprawnień przewidzianych w prawie pracy;
• jego numeru PESEL,
• innych danych osobowych niż pozyskane w procesie rekrutacji i wskazane wyżej, jeżeli obowiązek ich podania wynika z odrębnych przepisów.

 

Po zatrudnieniu nowego pracownika w firmie pojawia się szereg obowiązków po stronie pracodawcy. Cześć z nich dotyczy dokumentowania przebiegu pracy i prowadzenia akt osobowych pracownika. O wszystkich tego rodzaju obowiązkach musisz poinformować nową osobę w zespole! Posłuży Ci do tego klauzula informacyjna. Zgodnie z RODO, klauzula informacyjna dla pracownika powinna być przede wszystkim czytelna i zrozumiała, a informacje w niej zawarte powinny być jak najbardziej precyzyjne. Chodzi przede wszystkim o przedstawienie pracownikowi jego wszystkich praw, obowiązków, i zasad. Co do zasady dane osobowe pracownika są poufne, natomiast niektóre z nich nie wymagają ani informowania ani nawet uzyskania zgody na ich przetwarzanie. Informacje o pracowniku takie jak np. jego imię i nazwisko, służbowy adres e-mail są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych. Dane te mogą być wykorzystywane (np. udostępniane) przez pracodawcę nawet bez zgody pracownika, zwłaszcza jeśli jest to związane z określonym stanowiskiem i charakterem działalności firmy. Najlepiej jeśli tego typu kwestie uregulowane zostaną w polityce ochrony danych, o której już pisaliśmy – zajrzyjcie do tego wpisu.

 

Warto jednak pamiętać, że dane zatrudnionego pracownika, pracodawca będzie przetwarzał w innym celu aniżeli kandydata. Zmieni się też krąg odbiorców tych danych. Pracownik powinien pozyskać informacje w tym zakresie, a pracodawca powinien mieć udokumentowane spełnienie tego obowiązku.

 

A czy pracodawca może przechowywać informacje związane z życiem osobistym pracowników w ich aktach osobowych? W praktyce często bywa tak, że w aktach osobowych pracownika nie zawsze znajdować się będą informacje związane jedynie z jego stosunkiem pracy. Zazwyczaj, aby pracownik mógł skorzystać z określonych uprawnień będzie musiał udostępnić pracodawcy informacje dotyczące jego życia osobistego. (na przykład: urlop związany z realizacją jego zobowiązań cywilnych, publicznych, zawarcie małżeństwa, śmierć krewnego, oddanie krwi, wezwanie do sądu itd.). Pracodawca może i powinien je przechowywać (z uwagi na obowiązki prawne) ale ich przetwarzanie musi posiadać realne przesłany umocowane w prawie. Powiemy o nich za chwilę.

 

 

Przetwarzanie danych osobowych pracownika – częste pytania

 

Na części pytań i wątpliwości odpowiedzieliśmy wyżej. Jest jednak jeszcze kilka dodatkowych tematów, w kontekście przetwarzania danych pracownika zgodnie z RODO, które chcemy poruszyć. Co więcej – zasady te będą nieco inne na etapie rekrutacji (zajrzyj do artykułu RODO w rekrutacji). Poniżej kilka dodatkowych kwestii, o których warto pamiętać i kilka pytań, na której postanowiliśmy odpowiedzieć.

 

Czy pracodawca może umieścić na swojej stronie internetowej dane osobowe i wizerunek pracownika?

Informacje o pracowniku takie jak np. jego imię i nazwisko, adres e-mail są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych. Dane te mogą być wykorzystywane i udostępniany przez pracodawcę nawet bez zgody pracownika, którego one dotyczą. Pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników, zajmujących określone stanowiska w ramach instytucji i pozostających w kontakcie z podmiotami zewnętrznymi – kontrahentami, klientami. Wspominaliśmy już o tym. A co z publikacją wizerunku pracownika i danymi kontaktowymi? Czy pracodawca może je umieścić na swojej stronie internetowej wraz z danymi kontaktowymi?

Publikacja wizerunku pracownika na stronie internetowej będzie wymagała uzyskania jego dobrowolnej zgody. Z drugiej strony – wiele zależy też od indywidualnej sytuacji. Każdorazowo warto się się zastanowić czy takie działanie nie będzie się mieściło w granicach jego usprawiedliwionego celu zgodnie z art. 6 ust. 1 lit. f RODO. W niektórych sytuacjach będzie to wręcz konieczne i będzie wynikać z zakresu obowiązków pracownika, charakteru wykonywanej pracy czy potrzeb pracodawcy związanych z konkretnym stanowiskiem pracy. Gdyby jednak w ocenie pracownika wspomniana praktyka godziła w jego dobro, może on skorzystać z unormowań art. 21 ust. 1 RODO regulującego prawo do sprzeciwu z przyczyn związanych ze szczególną sytuacją takiej osoby. Dlatego też najlepiej uwzględnić ten fakt w wewnętrznych regulaminach RODO, ustalić szczegóły na pierwszym etapie zatrudnienia, a jeszcze lepiej uzyskać zgodę na publikację wizerunku, gdzie powinny znaleźć się dokładnie rozpisane zasady, cele i zakres takiego przetwarzania. Tak, aby nikt nie miał wątpliwości – ani pracownik, ani organ kontrolujący 😉

 

Lista pracowników a RODO

Przepisy prawa nie precyzują sposobu potwierdzania obecności pracownika w pracy. Często spotykanym sposobem jest złożenie podpisu na liście obecności. W wielu sytuacjach na owych listach, dostępnych dla wszystkich pracowników można też znaleźć informację o tym, że dany pracownik jest chory bądź korzysta z urlopu „na żądanie”. Taka praktyka jest niewłaściwa, a informacje m.in. o zwolnieniach lekarskich czy urlopie „na żądanie”, powinny znaleźć się w ewidencji czasu pracy, do którego nie mają dostępu wszyscy pracownicy. Oprócz samego pracownika, którego karta dotyczy mogą go mieć jeszcze osoby odpowiedzialne za sprawy kadrowe i osoba reprezentująca pracodawcę (bezpośredni przełożony). Symbol absencji nie powinien być zamieszczony na liście obecności. Wystarczy wskazanie czy dany pracownik jest obecny czy też nie. W przeciwnym razie może to naruszać zasady minimalizacji oraz poufności danych osobowych. Czas pracy jest jednym z kluczowych elementów pracy zarówno dla pracownika jak i pracodawcy. To jak kwestia potwierdzania obecności w pracy przez pracownika będzie zorganizowana określać powinien regulamin lub inny wewnętrzny dokument, niezależnie czy będzie to lista obecności czy system kart zbliżeniowych – to już wewnętrzna sprawa samego pracodawcy – ważne jest by przy tych czynnościach nie naruszać przepisów RODO.

 

Czy pracodawca może umieścić zdjęcia pracowników na identyfikatorach?

Ze względu na to, że wizerunku pracownika nie ma wśród danych wskazanych w Kodeksie pracy, aby pracodawca mógł je pozyskać i umieścić np. na identyfikatorze musi posiadać zgodę pracownika. Należy jednak zaznaczyć, że zgoda musi być udzielona dobrowolnie, nie może być narzucona odgórnie. Pozyskiwanie przez pracodawcę zgody pracownika będzie możliwe, jeżeli pracownik będzie miał możliwość odmowy jej udzielenia i nie spotkają go
z tego powodu żadne negatywne konsekwencje. Co więcej, tak jak wspominaliśmy już wielokrotnie – dobrowolna zgoda może być odwołana w każdym czasie. Oczywiście są też pewne wyjątki. Zwłaszcza w niektórych branżach i określonych stanowiskach wskazywanie wizerunku pracownika przewidują wprost przepisy prawa. Jako przykład podać można choćby pracowników ochrony, co do których – ze względów bezpieczeństwa – powinna być możliwość ich identyfikacji. Wówczas zgoda na przetwarzanie i umieszczanie wizerunku nie będzie potrzebna.

 

W jakim zakresie pracodawca może wykorzystać służbowy adresu e-mail po byłym pracowniku?

Jednym z podstawowych sposobów komunikacji w relacjach pomiędzy firmami i instytucjami jest poczta elektroniczna. Powszechną praktyką jest nadawanie pracownikom adresów e-mailowych, składających się z imienia i nazwiska, pierwszej litery imienia i nazwiska lub w niektórych przypadkach z pseudonimu. Zarówno taki adres mailowy, jak też pozbawiony imienia i nazwiska, ale powiązany z konkretną osobą, uznawany jest za dane osobowe związane z zatrudnieniem. Co jeśli pracownik przestaje z nami współpracować? Jeśli adres e-mail byłego pracownika stanowi dane osobowe, wówczas taki adres powinien zostać usunięty z chwilą zakończenia stosunku pracy. Pracodawca może zobowiązać pracownika do skontaktowania się z osobami, z którymi pracownik pozostawał w służbowych relacjach, celem poinformowania ich o usunięciu adresu e-mail. Natomiast po zakończeniu współpracy pracodawca może tak skonfigurować serwer poczty, aby korespondencja była przekierowana na inny adres, a także żeby nadawca otrzymywał zwrotną wiadomość informującą o nowej osobie, która przejęła obowiązki.

 

Masz więcej pytań i wątpliwości dotyczących przetwarzania danych osobowych pracowników? Potrzebujesz profesjonalnego doradztwa i indywidualnej pomocy w Twoim konkretnym przypadku?

Chętnie weźmiemy na siebie rolę Inspektora Ochrony Danych Osobowych i przejmiemy obowiązki takie jak:

• bieżąca weryfikacja przetwarzania danych osobowych, doradztwo
• nadzór nad opracowaniem i aktualizacją polityki ochrony danych osobowych
• przygotowanie audytów i raportów dotyczących ochrony danych w firmie
• wsparcie w prowadzeniu rejestrów czynności przetwarzania danych osobowych
• szkolenie pracowników firmy i kadry kierowniczej
• modelowanie procesów biznesowych pod kątem zgodności z RODO
• opiniowanie bieżącej dokumentacji w zakresie zgodności z RODO
• obsługa incydentów naruszenia ochrony danych osobowych
• pełnienie punktu kontaktowego dla osób, których dane dotyczą, oraz z UODO

Wzór zgody na przetwarzanie danych osobowych pracownika

 

Przetwarzanie danych osobowych zgodnie z RODO jest możliwe w określonych przepisami sytuacjach. Można powiedzieć, że jest 5 podstawowych przesłanek, które dopuszczają możliwość legalnego przetwarzania danych pracownika i nie tylko. Zgodnie z RODO możemy przetwarzać dane osobowe

• gdy osoba, której dane dotyczą, wyrazi zgodę na przetwarzanie;
• gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
• gdy przetwarzanie jest konieczne do realizacji umowy (zawartą z osobą której dane przetwarzamy i która jest stroną w umowie) lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
• gdy przetwarzanie jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
• gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych (a przetwarzanie nie narusza praw osoby, której dane dotyczą).

 

Tak określone ramy sprawiają, że w przypadku przetwarzania danych osobowych pracownika istnieje kilka możliwości, aby mogło się ono odbyć w pełni legalnie i zgodnie z prawem. Najpopularniejszą i powszechnie stosowaną formą jest zgoda na przetwarzanie. Zgoda na przetwarzanie danych osobowych osoby, to nic innego jak przedstawienie woli (osoby, której te dane dotyczą) w formie oświadczenia lub wyraźnego działania dotyczącej zgody na przetwarzanie przy zachowaniu warunków. Zgoda nie może by domniemana, musi być jednoznaczna i może zostać odwołana w każdym momencie. Wspominaliśmy już o tym na naszym blogu. Co więcej – udostępniliśmy też darmowy wzór zgody na przetwarzanie danych osobowych, który możecie pobrać za darmo TUTAJ.