LexDigital

Jakie dane pracowników może zbierać pracodawca według RODO?

Zarówno na etapie rekrutacji, jak i po zatrudnieniu pracownika pracodawca uzyskuje od niego szereg informacji. Zgodnie z RODO - zasada minimalizacji danych - pracodawca może przetwarzać dane osobowe pracowników tylko w możliwie ograniczonym zakresie i jedynie wtedy, gdy ma ku temu odpowiednią podstawę. Jakie konkretnie dane może zbierać?

Jakie dane pracowników może zbierać pracodawca według RODO?

Dane osobowe

Na gruncie RODO dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, m.in. na podstawie identyfikatora takiego jak imię i nazwisko, identyfikator internetowy (numer IP) lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, ekonomiczną czy społeczną tożsamość osoby fizycznej. Inaczej mówiąc, jeśli na podstawie otrzymanego zestawu danych (np. imię, nazwisko, adres zamieszkania) jesteśmy w stanie ustalić, o jaką dokładnie osobę chodzi, wówczas ten zestaw danych należy uznać za dane osobowe i objąć ochroną.

Przetwarzanie danych osobowych

Zanim odpowiemy na pytanie, jakie dane osobowe pracowników może przetwarzać pracodawca, warto wyjaśnić, co właściwie oznacza pojęcie „przetwarzanie”. Zgodnie z RODO, przetwarzanie danych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak:

  • zbieranie,
  • utrwalanie,
  • organizowanie,
  • porządkowanie,
  • przechowywanie,
  • adaptowanie lub modyfikowanie,
  • pobieranie,
  • przeglądanie,
  • wykorzystywanie,
  • ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie,
  • dopasowywanie lub łączenie,
  • ograniczanie,
  • usuwanie lub niszczenie.

Tak więc nawet jeżeli przedsiębiorca tylko przechowuje dane osobowe, to zgodnie z RODO i tak je przetwarza i jest zobowiązany do stosowania wymogów określonych w treści nowych przepisów. W związku z tym każdy pracodawca, który zbiera dane osobowe swoich pracowników, a później je wykorzystuje (np. dla celów zgłoszenia do ZUS), przetwarza je
w rozumieniu RODO i ma obowiązek wdrożenia odpowiednich środków technicznych
i organizacyjnych w celu ich ochrony przed naruszeniami.

Dane pracownika

RODO nie zawiera wyczerpującego katalogu danych pracownika, jakie pracodawca ma prawo i obowiązek przetwarzać. Regulacji w tym zakresie musimy poszukiwać na gruncie polskiej ustawy regulującej stosunki między pracodawcą, a pracownikiem, czyli kodeksu pracy. Z uwagi na konieczność dostosowania tej ustawy do RODO, ustawodawca przygotował projekt jej zmiany (który może jeszcze ulec zmianie) i to na jego treści oparte będą dalsze wytyczne zawarte w artykule. W myśl nowej regulacji, w przypadku osoby ubiegającej się o zatrudnienie (kandydata do pracy) pracodawca żąda podania danych osobowych obejmujących:

  1. imię (imiona) i nazwisko;
  2. datę urodzenia;
  3. dane kontaktowe wskazane przez taką osobę;
  4. wykształcenie;
  5. przebieg dotychczasowego zatrudnienia.

Takie dane osobowe osoby ubiegającej się o zatrudnienie pracodawca może zgodnie z prawem przetwarzać. Jak widać, od kandydata do pracy nie można oczekiwać przesłania CV ze zdjęciem, co obecnie często zdarza się w ogłoszeniach rekrutacyjnych pracodawcy. Nie można także żądać, by taka osoba przesłała dokładny adres zamieszkania – to jest bowiem w pełni pozostawione do jej uznania i to ona decyduje, jakie dane kontaktowe podać.

Jeżeli kandydat przejdzie pomyślnie proces rekrutacji i zostanie zatrudniony, pracodawca może także przetwarzać jego dodatkowe dane osobowe obejmujące:

  1. adres zamieszkania;
  2. numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;
  3. inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.

Pracodawca może żądać podania również innych danych osobowych niż określone wyżej, gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa. Pracodawca może żądać udokumentowania danych osobowych osób, o których mowa powyżej, w zakresie niezbędnym do ich potwierdzenia.

Zgoda pracownika na przetwarzanie danych osobowych

Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione wyżej będzie dopuszczalne tylko za zgodą osoby ubiegającej się o zatrudnienie lub pracownika i tylko wtedy, gdy jest to dla nich korzystne. Brak zgody lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji. Przede wszystkim, kandydatowi nie można odmówić mu zatrudnienia; a osoby już zatrudnionej nie wolno z tego powodu zwolnić. Zaznaczyć przy tym trzeba, że mowa tutaj o danych osobowych zarówno udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika na wniosek pracodawcy, jak i danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika.

Dane biometryczne

Szczególną kategorię danych osobowych stanowią dane biometryczne. Pod pojęciem tym należy rozumieć dane osobowe, które wynikają ze specjalnego przetwarzania technicznego oraz dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby. Będą to więc przykładowo linie daktyloskopijne czy wizerunek, ale pod warunkiem, że są przetwarzane specjalnymi metodami, umożliwiającymi identyfikację osoby – zwykła fotografia nie będzie więc daną biometryczną, jeśli nie posiadamy systemu rozpoznawania twarzy.

Zgodnie z ogólną zasadą RODO, przetwarzanie danych biometrycznych jest zabronione. Od tej reguły zostało przewidzianych jednak sporo wyjątków. Zgodnie z projektem nowelizacji kodeksu pracy, przetwarzanie takich danych będzie dopuszczalne tylko wtedy, gdy:

  • jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa;
  • podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub dostępu do pomieszczeń wymagających szczególnej ochrony.

W tych dwóch przypadkach pracodawca będzie mógł przetwarzać dane biometryczne swoich pracowników. Wskazać więc trzeba, że najczęściej pracodawcy nie będzie przysługiwała możliwość przetwarzania takich danych – będzie to miało miejsce tylko w takich przypadkach, gdy pracodawca udowodni, że albo ma taki obowiązek wynikający z przepisów, albo jest to niezbędne ze względu na „szczególnie ważne” (a nie tylko „ważne”) informacje.

Prawo do prywatności pracownika a monitoring

Warto podkreślić, że wraz w RODO pojawiła się konieczność unormowania zasad monitoringu. Do tej pory zdarzały się zakłady pracy, w których pracodawca instalował kamery wyłącznie dla celów kontrolowania pracowników i sprawdzania, czy należycie wykonują swoje obowiązki. Teraz ma się to zmienić. Zgodnie z nowymi przepisami w kodeksie pracy, monitoring będzie możliwy tylko w sytuacjach, jeżeli będzie to niezbędne do:

  • zapewnienia bezpieczeństwa pracowników,
  • ochrony mienia,
  • kontroli produkcji,
  • zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.

Monitoring nie będzie mógł obejmować pomieszczeń sanitarnych, szatni, stołówek, palarni lub pomieszczeń udostępnianych zakładowej organizacji związkowej, chyba, że stosowanie monitoringu w tych pomieszczeniach będzie niezbędne do realizacji co najmniej ze wskazanych wyżej celów i nie naruszy to godności oraz innych dóbr osobistych pracownika, a także zasady wolności i niezależności związków zawodowych. W przypadku wprowadzenia monitoringu pracodawca oznacza pomieszczenia monitorowane w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem.

E-mail służbowy

Pracodawca uzyska również narzędzia pozwalające mu kontrolować pocztę elektroniczną pracownika (np. na komputerze  czy telefonie służbowym). Zgodnie z nową regulacją, jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej). Monitoring poczty elektronicznej nie może jednak naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. Inaczej służąc, monitoring poczty ma służyć zapewnieniu, by pracownik nie był zbytnio obciążony pracą (ani nie miał jej za mało) oraz wykorzystywał ją do celów zawodowych. Nie można natomiast czytać jego wiadomości, nawet jeśli zostały wysłane prywatnie.


Sprawdź również:

Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.