LexDigital

Jakie dane pracowników może zbierać pracodawca według RODO?

Zarówno na etapie rekrutacji, jak i po zatrudnieniu pracownika pracodawca uzyskuje od niego szereg informacji. Zgodnie z RODO - zasada minimalizacji danych - pracodawca może przetwarzać dane osobowe pracowników tylko w możliwie ograniczonym zakresie i jedynie wtedy, gdy ma ku temu odpowiednią podstawę. Jakie konkretnie dane może zbierać?

Jakie dane pracowników może zbierać pracodawca według RODO?

Dane osobowe

Na gruncie RODO dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, m.in. na podstawie identyfikatora takiego jak imię i nazwisko, identyfikator internetowy (numer IP) lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, ekonomiczną czy społeczną tożsamość osoby fizycznej. Inaczej mówiąc, jeśli na podstawie otrzymanego zestawu danych (np. imię, nazwisko, adres zamieszkania) jesteśmy w stanie ustalić, o jaką dokładnie osobę chodzi, wówczas ten zestaw danych należy uznać za dane osobowe i objąć ochroną.

Przetwarzanie danych osobowych

Zanim odpowiemy na pytanie, jakie dane osobowe pracowników może przetwarzać pracodawca, warto wyjaśnić, co właściwie oznacza pojęcie „przetwarzanie”. Zgodnie z RODO, przetwarzanie danych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak:

  • zbieranie,
  • utrwalanie,
  • organizowanie,
  • porządkowanie,
  • przechowywanie,
  • adaptowanie lub modyfikowanie,
  • pobieranie,
  • przeglądanie,
  • wykorzystywanie,
  • ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie,
  • dopasowywanie lub łączenie,
  • ograniczanie,
  • usuwanie lub niszczenie.

Tak więc nawet jeżeli przedsiębiorca tylko przechowuje dane osobowe, to zgodnie z RODO i tak je przetwarza i jest zobowiązany do stosowania wymogów określonych w treści nowych przepisów. W związku z tym każdy pracodawca, który zbiera dane osobowe swoich pracowników, a później je wykorzystuje (np. dla celów zgłoszenia do ZUS), przetwarza je
w rozumieniu RODO i ma obowiązek wdrożenia odpowiednich środków technicznych
i organizacyjnych w celu ich ochrony przed naruszeniami.

Dane pracownika

RODO nie zawiera wyczerpującego katalogu danych pracownika, jakie pracodawca ma prawo i obowiązek przetwarzać. Regulacji w tym zakresie musimy poszukiwać na gruncie polskiej ustawy regulującej stosunki między pracodawcą, a pracownikiem, czyli kodeksu pracy. Z uwagi na konieczność dostosowania tej ustawy do RODO, ustawodawca przygotował projekt jej zmiany (który może jeszcze ulec zmianie) i to na jego treści oparte będą dalsze wytyczne zawarte w artykule. W myśl nowej regulacji, w przypadku osoby ubiegającej się o zatrudnienie (kandydata do pracy) pracodawca żąda podania danych osobowych obejmujących:

  1. imię (imiona) i nazwisko;
  2. datę urodzenia;
  3. dane kontaktowe wskazane przez taką osobę;
  4. wykształcenie;
  5. przebieg dotychczasowego zatrudnienia.

Takie dane osobowe osoby ubiegającej się o zatrudnienie pracodawca może zgodnie z prawem przetwarzać. Jak widać, od kandydata do pracy nie można oczekiwać przesłania CV ze zdjęciem, co obecnie często zdarza się w ogłoszeniach rekrutacyjnych pracodawcy. Nie można także żądać, by taka osoba przesłała dokładny adres zamieszkania – to jest bowiem w pełni pozostawione do jej uznania i to ona decyduje, jakie dane kontaktowe podać.

Jeżeli kandydat przejdzie pomyślnie proces rekrutacji i zostanie zatrudniony, pracodawca może także przetwarzać jego dodatkowe dane osobowe obejmujące:

  1. adres zamieszkania;
  2. numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;
  3. inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.

Pracodawca może żądać podania również innych danych osobowych niż określone wyżej, gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa. Pracodawca może żądać udokumentowania danych osobowych osób, o których mowa powyżej, w zakresie niezbędnym do ich potwierdzenia.

Zgoda pracownika na przetwarzanie danych osobowych

Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione wyżej będzie dopuszczalne tylko za zgodą osoby ubiegającej się o zatrudnienie lub pracownika i tylko wtedy, gdy jest to dla nich korzystne. Brak zgody lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji. Przede wszystkim, kandydatowi nie można odmówić mu zatrudnienia; a osoby już zatrudnionej nie wolno z tego powodu zwolnić. Zaznaczyć przy tym trzeba, że mowa tutaj o danych osobowych zarówno udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika na wniosek pracodawcy, jak i danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika.

Dane biometryczne

Szczególną kategorię danych osobowych stanowią dane biometryczne. Pod pojęciem tym należy rozumieć dane osobowe, które wynikają ze specjalnego przetwarzania technicznego oraz dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby. Będą to więc przykładowo linie daktyloskopijne czy wizerunek, ale pod warunkiem, że są przetwarzane specjalnymi metodami, umożliwiającymi identyfikację osoby – zwykła fotografia nie będzie więc daną biometryczną, jeśli nie posiadamy systemu rozpoznawania twarzy.

Zgodnie z ogólną zasadą RODO, przetwarzanie danych biometrycznych jest zabronione. Od tej reguły zostało przewidzianych jednak sporo wyjątków. Zgodnie z projektem nowelizacji kodeksu pracy, przetwarzanie takich danych będzie dopuszczalne tylko wtedy, gdy:

  • jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa;
  • podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub dostępu do pomieszczeń wymagających szczególnej ochrony.

W tych dwóch przypadkach pracodawca będzie mógł przetwarzać dane biometryczne swoich pracowników. Wskazać więc trzeba, że najczęściej pracodawcy nie będzie przysługiwała możliwość przetwarzania takich danych – będzie to miało miejsce tylko w takich przypadkach, gdy pracodawca udowodni, że albo ma taki obowiązek wynikający z przepisów, albo jest to niezbędne ze względu na „szczególnie ważne” (a nie tylko „ważne”) informacje.

Prawo do prywatności pracownika a monitoring

Warto podkreślić, że wraz w RODO pojawiła się konieczność unormowania zasad monitoringu. Do tej pory zdarzały się zakłady pracy, w których pracodawca instalował kamery wyłącznie dla celów kontrolowania pracowników i sprawdzania, czy należycie wykonują swoje obowiązki. Teraz ma się to zmienić. Zgodnie z nowymi przepisami w kodeksie pracy, monitoring będzie możliwy tylko w sytuacjach, jeżeli będzie to niezbędne do:

  • zapewnienia bezpieczeństwa pracowników,
  • ochrony mienia,
  • kontroli produkcji,
  • zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.

Monitoring nie będzie mógł obejmować pomieszczeń sanitarnych, szatni, stołówek, palarni lub pomieszczeń udostępnianych zakładowej organizacji związkowej, chyba, że stosowanie monitoringu w tych pomieszczeniach będzie niezbędne do realizacji co najmniej ze wskazanych wyżej celów i nie naruszy to godności oraz innych dóbr osobistych pracownika, a także zasady wolności i niezależności związków zawodowych. W przypadku wprowadzenia monitoringu pracodawca oznacza pomieszczenia monitorowane w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem.

E-mail służbowy

Pracodawca uzyska również narzędzia pozwalające mu kontrolować pocztę elektroniczną pracownika (np. na komputerze  czy telefonie służbowym). Zgodnie z nową regulacją, jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej). Monitoring poczty elektronicznej nie może jednak naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. Inaczej służąc, monitoring poczty ma służyć zapewnieniu, by pracownik nie był zbytnio obciążony pracą (ani nie miał jej za mało) oraz wykorzystywał ją do celów zawodowych. Nie można natomiast czytać jego wiadomości, nawet jeśli zostały wysłane prywatnie.


Sprawdź również:

Polecane

Kary RODO

Kary RODO

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (dalej jako: Rozporządzenie) określa przypadki, w których właściwy organ nadzorczy może nałożyć administracyjną karę pieniężną za naruszenie przepisów RODO. Dokładnie wskazując na naruszenie ochrony danych osobowych.

ISO 27002 - nowa odsłona "starej" normy

ISO 27002 - nowa odsłona "starej" normy

Większość osób, która jest zainteresowana wdrożeniem i tym samym podnoszeniem bezpieczeństwa informacji w organizacji, z zasady dobrze zna wymagania wskazane przez normę ISO IEC 27001. Jednak nie zawsze przedsiębiorcy w takim samym stopniu znają i mają wiedzę na temat zapisów, dotyczących bezpieczeństwa informacji, zawartych w normie ISO IEC 27002, która stanowi dopełnienie standardu ISO IEC 27001.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk