LexDigital

Jakie dane osobowe pracownika może zbierać pracodawca według RODO? Poradnik LexDigital

Zarówno na etapie rekrutacji, jak i po zatrudnieniu pracownika pracodawca uzyskuje od niego szereg informacji. Zgodnie z zasadą minimalizacji danych RODO, pracodawca może przetwarzać dane osobowe pracownika tylko w możliwie ograniczonym zakresie i jedynie wtedy, gdy ma ku temu odpowiednią podstawę. Jakie konkretnie dane może zbierać według Kodeksu pracy? Co z prawem do prywatności? Jak zbierać dane biometryczne i jak uzyskać zgodę na przetwarzanie danych od pracownika? O tym poniżej.

Jakie dane osobowe pracownika może zbierać pracodawca według RODO? Poradnik LexDigital


Dane osobowe pracownika – dane potrzebne do jednoznacznego zidentyfikowania osoby fizycznej

Przede wszystkim odpowiedzmy sobie na pytanie “Czym są dane osobowe?”. Jest to termin prawny, którego po raz pierwszy użyto w ustawie z dnia 29 sierpnia 1997 o ochronie danych osobowych. Definicja w ustawie brzmi tak: 

Dane osobowe to  wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować dzięki posiadanym danym. 

dane osobowe pracownika, kłódka

Jakie to mogą być dane? Przykład

Imię (imiona) i nazwisko, identyfikator internetowy (numer IP) lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, ekonomiczną czy społeczną tożsamość osoby fizycznej. Inaczej mówiąc, jeśli na podstawie otrzymanego zestawu danych (np. imię, nazwisko, adres zamieszkania) jesteśmy w stanie ustalić, o jaką dokładnie osobę chodzi, wówczas ten zestaw danych należy uznać za dane osobowe i objąć ochroną, niezależnie od tego czy to są dane osobowe pracownika czy dane Twoich klientów. Więcej o danych osobowych zwykłych i danych osobowych wrażliwych przeczytasz tu. 

Przetwarzanie danych pracownika– co może stanowić podstawę przetwarzania, które jest niezbędne do wykonywania pracy

Zgodnie z artykułem 4 RODO, przetwarzanie danych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. W artykule 6 RODO natomiast mamy zaznaczone, że przetwarzanie jest zgodne z prawem, gdy i w takim zakresie, w jakim jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Wyjątkiem są sytuację, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych. 

kodeks pracy, dane osobowe pracownika

Przykładem czynności przetwarzania danych osobowych pracownika mogą być: 

  • zbieranie,
  • utrwalanie,
  • organizowanie,
  • porządkowanie,
  • przechowywanie,
  • adaptowanie lub modyfikowanie,
  • pobieranie,
  • przeglądanie,
  • wykorzystywanie,
  • ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie,
  • dopasowywanie lub łączenie osobowych danych pracownika,
  • ograniczanie,
  • usuwanie lub niszczenie.

Nawet jeżeli przedsiębiorca tylko przechowuje dane osobowe pracownika, to zgodnie z RODO i tak je przetwarza, a więc jest zobowiązany do stosowania wymogów określonych w treści nowych przepisów. Każdy pracodawca, który zbiera dane osobowe swoich pracowników, a później je wykorzystuje (np. dla celów zgłoszenia do ZUS), przetwarza je w rozumieniu RODO i ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu ich ochrony przed naruszeniami. Więcej o celach przetwarzania danych osobowych pracownika i nie tylko przeczytasz w naszym artykule “Cele przetwarzania danych osobowych. Prawnie uzasadniony interes administratora jako podstawa przetwarzania danych”. 

prawnie uzasadniony interes administratora

W procesie rekrutacji, który poprzedza zawarcie umowy o pracę, umocowaniem do przetwarzania danych osobowych jest też art 6 ust 1 lit b RODO, stosowany gdy „przetwarzanie jest niezbędne do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy”. 

Podania, jakich danych osobowych ma prawo żądać pracodawca od pracownika – co mówi Kodeks pracy? 

RODO nie zawiera wyczerpującego katalogu danych osobowych pracownika, jakie pracodawca ma prawo i obowiązek przetwarzać. Natomiast taki katalog przedstawia nam Kodeks pracy – polska ustawa, która reguluje stosunki między pracodawcą, a pracownikiem. O tym jakie dane osobowe pracownika, pracodawca ma prawo żądać od osoby zatrudnionej decyduje art. 22(1) § 1 Kodeksu pracy.  Osoba przyjmująca qqq11qqqê3qq1e1qqdo pracy może wymagać podania  od osoby ubiegającej się o zatrudnienie (kandydata do pracy) takich danych:

  • imię (imiona) i nazwisko;
  • datę urodzenia;
  • dane kontaktowe, wskazane przez taką osobę;
  • wykształcenie;
  • kwalifikacje zawodowe;
  • przebieg dotychczasowego zatrudnienia.

Pamiętaj też, że jako pracodawca nie masz prawa szukać na „własną rękę” innych danych osobowych o kandydacie, jeżeli ten nie wyraził na to zgody. To również wynika z treści art. 22 1a §1 Kodeksu pracy.

zgoda na przetwarzanie danych


Ważne jest, aby pamiętać, że pracodawca ma obowiązek uzyskania od osoby ubiegającej się o zatrudnienie zgody na przetwarzanie tychże danych w procesie rekrutacji, co wynika z treści art. 6 ust. 1 lit. a) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku.

W sytuacji, kiedy informacje o wykształceniu, o tym, jakie kandydat ma kwalifikacje zawodowe czy dane o dotychczasowym przebiegu zatrudnienia nie mają znaczenia na określonym stanowisku, to pracodawca nie powinien wymagać ich przekazania od kandydata do pracy. Określenie tego, czy wymienione dane osobowe pracownika są potrzebne do wykonywania pracy określonego rodzaju lub na określonym stanowisku jest po stronie osoby zatrudniającej, czyli pracodawcy [por. art. 22(1) § 2 Kodeksu pracy]. 

Informacja o dotychczasowym zatrudnieniu może być istotna w przypadkach, gdy wykonywanie zawodu zależy od spełnienia kryteriów, wskazanych w powszechnie obowiązujących przepisach. Wtedy żądanie pracodawcy jest zasadne i ma on prawo wymagać od pracownika udostępnienia danych osobowych, potwierdzających jego kwalifikacje, których wymaga dane stanowisko. Przykładami takich zawodów są: nauczyciel, zawody medyczne, pracownicy samorządowi.

dane osobowe pracownika, kodeks pracy

Dane osobowe kandydata do pracy, wymienione wyżej, pracodawca może na gruncie kodeksu pracy przetwarzać. Jak widać, od kandydata do pracy nie można oczekiwać przesłania CV ze zdjęciem, co obecnie często zdarza się w ogłoszeniach rekrutacyjnych. Nie można także żądać, by taka osoba przesłała dokładny adres zamieszkania – to jest w pełni pozostawione do  uznania kandydata do pracy i to on decyduje, jakie dane kontaktowe podać.

Szczególne kategorie danych — czy pracodawca może mieć z nimi styczność?

Szczególne kategorie danych wcześniej nazywane danymi wrażliwymi to dane osobowe, które dotyczą sfery prywatnej konkretnych osób. Ich przetwarzanie i przechowywanie wiążę się z większymi rygorami niż korzystanie z innych typów danych, ponieważ ujawnienie tych danych może zaszkodzić osobom, których te dane dotyczą. Są to dane osobowe:

  • ujawniające pochodzenie rasowe lub etniczne, 
  • dane o seksualności lub orientacji seksualnej,
  • poglądy polityczne, 
  • przekonania religijne lub światopoglądowe, 
  • przynależność do związków zawodowych,
  • dane dotyczące wyroków skazujących i czynów zabronionych,
  • dane dotyczące zdrowia, 
  • dane genetyczne lub dane biometryczne.
pochodzenie rasowe lub etniczne

Przetwarzanie takich danych może odbywać się tylko za zgodą osoby zainteresowanej, ale wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy kandydata lub pracownika i jest potrzebne do wykonywania pracy określonego rodzaju. Na przykład jest to przypadek przetwarzania danych genetycznych lub danych dotyczących zdrowia w celu jednoznacznego zidentyfikowania osoby fizycznej.

Pamiętaj, że pozyskując dane osobowe pracownika na przykład o orientacji seksualnej bez klarownego celu, narażasz się na ryzyko kary finansowej. Gdyż są to dane wrażliwe i charakter tych danych poddawanych przetwarzaniu wpłynie bowiem na wysokość kar finansowych w ramach przewidzianych treścią ogólnego rozporządzenia.

Co w przypadku zatrudnienia? 

Jeżeli kandydat przejdzie pomyślnie proces rekrutacji i zostanie zatrudniony, pracodawca może także przetwarzać jego dodatkowe dane osobowe. Jak podaje kodeks pracy, są to :

  1. adres zamieszkania;
  2. numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;
  3. numer rachunku płatniczego;
  4. inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.
kodeks pracy

Pracodawca może żądać podania również innych danych osobowych niż określone wyżej, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Pracodawca może żądać udokumentowania danych osobowych osób, o których mowa powyżej, w zakresie niezbędnym do ich potwierdzenia. O tym, jak przetwarzać i definiować różne kategorie danych osobowych przeczytasz tu. 

Zgoda osoby, której dane dotyczą, czyli pracownika na przetwarzanie danych osobowych

Kodeks pracy podaje nam konkretną listę. A co jeśli potrzebujemy od pracownika innych danych osobowych? Po pierwsze, przetwarzanie przez pracodawcę innych danych osobowych niż wymienione wyżej będzie dopuszczalne, tylko  w przypadku, kiedy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów. Po drugie, jest to możliwe  tylko wtedy, gdy jest to dla pracownika korzystne. 

Brak zgody pracownika lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji.

Brak zgody na przetwarzanie danych osobowych, osoby, której dane dotyczą nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.

Przede wszystkim, w przypadku braku zgody na przetwarzanie danych osobowych kandydatowi nie można odmówić zatrudnienia, a osoby już zatrudnionej nie wolno z tego powodu zwolnić. Mowa tutaj o danych osobowych, zarówno udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika na wniosek pracodawcy, jak i danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. 

Pamiętaj! Żeby przetwarzać dane osobowe pracownika lub kandydata do pracy, potrzebna jest nie tylko zgoda osoby ubiegającej się o pracę lub zgoda pracownika, ale również musisz spełnić wobec wyżej wymienionych osób obowiązek informacyjny.  

Zbierając dane osobowe pracownika lub kandydata, należy przekazać mu informacje o:

  • adresie i nazwie swojej siedziby, a gdy administratorem danych jest osoba fizyczna – jej imię i nazwisko wraz z adresem zamieszkania;
  • celu zbierania danych osobowych wraz z podstawą prawną;
  • możliwości wglądu do swoich danych oraz ich edycji;
  • znanych mu lub przewidywanych odbiorcach, którzy będą mieli dostęp do danych;
  • dobrowolności lub obowiązku podania danych (w przypadku obowiązku należy powołać się na podstawę prawną);
  • okresie przechowywania danych osobowych.

Przetwarzanie danych biometrycznych pracownika – jak zrobić to bezpiecznie? 

Szczególną kategorią danych osobowychdane biometryczne. Są to takie dane osobowe, które wynikają ze specjalnego przetwarzania technicznego oraz dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby. Na przykład: linie daktyloskopijne czy wizerunek, ale pod warunkiem, że są przetwarzane specjalnymi metodami, umożliwiającymi identyfikację osoby, której dane dotyczą – zwykła fotografia nie będzie więc daną biometryczną, jeśli nie posiadamy systemu rozpoznawania twarzy.

Zgodnie z ogólną zasadą RODO, przetwarzanie danych biometrycznych jest zabronione. Od tej reguły zostało przewidzianych jednak sporo wyjątków. 

dane osobowe pracownika, dane biometryczne

Jak wskazuje Kodeks pracy, przetwarzanie takich danych jest dopuszczalne tylko wtedy, gdy:

  • jest to niezbędne do wypełniania obowiązku pracodawcy, nałożonego przepisem prawa;
  • podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, ujawnienie których, może narazić pracodawcę na szkodę lub dostępu do pomieszczeń wymagających szczególnej ochrony.

W tych dwóch przypadkach pracodawca może przetwarzać biometryczne dane swoich pracowników. Najczęściej pracodawcy nie będzie przysługiwała możliwość przetwarzania takich danych: będzie to miało miejsce tylko w takich przypadkach, gdy pracodawca udowodni, że albo ma taki obowiązek wynikający z przepisów, albo jest to niezbędne ze względu na „szczególnie ważne” (a nie tylko „ważne”) informacje.

Istotną kwestią również jest czas przechowywania dokumentacji pracowniczej. Jak zaznacza Kodeks pracy, każdy pracodawca jest zobowiązany przechowywać dokumentację pracowniczą przez okres 10 lat, licząc od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł – dla pracowników zatrudnionych po 1 stycznia 2019 r. W tym przypadku okres retencji danych osobowych zgromadzonych w dokumentacji pracowniczej wynika wprost z przepisu prawa i administrator nie powinien go ani skracać, ani wydłużać, chyba że byłby do tego uprawniony na podstawie innych przepisów. Co w przypadku przetwarzania danych po zakończeniu rekrutacji? Odpowiedź znajdziesz w naszym artykule Retencja danych osobowych

retencja danych osobowych


Prawo do prywatności pracownika, a monitoring. Kwestie ochrony wizerunku i prywatności

Instalując w firmie monitoring wizyjny musimy pamiętać o tym, że przetwarzamy dane osobowe pracownika w postaci wizerunku.  Przed wejściem w życie RODO, zdarzały się zakłady pracy, w których pracodawca instalował kamery wyłącznie dla celów kontrolowania pracowników i sprawdzania, czy należycie wykonują swoje obowiązki. Teraz sytuacja jest kontrolowana prawnie nie tylko przez Kodeks pracy, ale przez Ogólne Rozporządzenie o Ochronie Danych. 

Jak wskazuje Kodeks pracy, monitoring jest możliwy tylko w sytuacjach, jeżeli jest to niezbędne do:

  • zapewnienia bezpieczeństwa pracowników,
  • ochrony mienia,
  • kontroli produkcji,
  • zachowania w tajemnicy informacji, których ujawnienie mogłoby spowodować szkody dla pracodawcy.
monitoring wizyjny

Monitoring nie może obejmować pomieszczeń sanitarnych, szatni, stołówek, palarni lub pomieszczeń, udostępnianych zakładowej organizacji związkowej. Wyjątkiem jest sytuacja, w której stosowanie monitoringu w tych pomieszczeniach jest niezbędne do realizacji co najmniej kilku ze wskazanych wyżej celów i nie narusza to godności oraz innych dóbr osobistych pracownika, a także zasady wolności i niezależności związków zawodowych. 

Wprowadzając monitoring, pracodawca oznacza pomieszczenia monitorowane w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem.

A co z ochroną wizerunku pracownika? Jakie są podstawy do przetwarzania tych danych osobowych? 

Pracodawca ma obowiązek szanować godność i inne dobra osobiste pracownika, zgodnie z art. 11(1) Kodeksu pracy. Wizerunek osoby, której dane dotyczą to właśnie jedno z takich dóbr osobistych. Pracodawca nie może swobodnie dysponować wizerunkiem pracownika, a więc nie może przetwarzać dane osobowe pracownika, związane z wizerunkiem bez odpowiedniej podstawy prawnej. Aby rozpowszechnić wizerunek, osoba powierzająca pracę musi uzyskać zgodę pracownika lub oprzeć to przetwarzanie na prawnie uzasadnionym interesie Administratora. 

dane osobowe pracownika, dane biometryczne


Jeśli takiej zgody brak, a pracodawca nie może skorzystać z prawnie uzasadnionego interesu Administratora, pracodawca musi zaakceptować sprzeciw pracownika dotyczący rozpowszechniania wizerunku. Nawet jeśli pracodawca uzna odmowę za irracjonalną i sprzeczną z interesami firmy, nie może postępować inaczej. Więcej o ochronie wizerunku pisaliśmy w artykułach Ochrona wizerunku oraz Zgoda na wykorzystywanie wizerunku

Najważniejsze, co musisz wiedzieć po przeczytaniu tego artykułu to:

Zgodnie z przepisami RODO (Ogólne Rozporządzenie o Ochronie Danych), pracodawca może zbierać tylko te dane osobowe pracownika, które są niezbędne do realizacji celów związanych z zatrudnieniem i spełnieniem obowiązków pracodawcy. 

Gromadzenia jakich danych osobowych pracownika możemy oczekiwać od pracodawcy:

  • dane identyfikacyjne, 
  • dane kontaktowe, 
  • informacje dotyczące zatrudnienia, 
  • historię zatrudnienia, 
  • informacje dotyczące wynagrodzenia i świadczeń socjalnych, 
  • dane dotyczące zdrowia (jeżeli są potrzebne zgodnie z przepisami prawa pracy i ochrony zdrowia), 
  • a także inne informacje niezbędne do prowadzenia spraw administracyjnych, kadrowych i finansowych. 
dane osobowe pracownika

Ważne jest, aby pracodawca przestrzegał zasad RODO i zapewniał odpowiednie zabezpieczenia danych osobowych pracowników. Każdy pracodawca, chroniąc dane pracowników powinien informować osoby zatrudnione o celach zbierania ich danych oraz prawach osób zatrudnionych, związanych z ochroną danych osobowych. Pamiętaj, że nie możesz żądać od pracownika podania innych danych osobowych niż wymienione wyżej bez jego uprzedniej zgody oraz uzasadnionego interesu. 

To, jak przetwarzamy dane osobowe pracownika reguluje nie tylko RODO, ale również Kodeks pracy. Szczególną uwagę polecamy zwrócić na wymieniony wyżej art. 22 1 ustawy z dnia 26 czerwca 1974 r. 

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk