Pracodawca administratorem danych w dokumentacji pracowniczej
Administrator, przechowując dane w dokumentacji pracowniczej nie musi prosić pracownika o zgodę na przetwarzanie jego danych. W tym przypadku to nie zgoda pracowników, a obowiązek prawny administratora będzie właściwą podstawą przetwarzania danych zgromadzonych w aktach osobowych pracowników.
Obowiązek prawny
Pracodawca jest administratorem danych osobowych kandydatów do pracy i pracowników.
Prowadzenie dokumentacji pracowniczej odbywa się na podstawie odrębnych przepisów prawa pracy. W rozporządzeniu Ministra Rodziny Pracy i Polityki Społecznej z 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej został określony m.in. zakres, sposób i warunki prowadzenia oraz przechowywania pracowniczych akt osobowych.
Zgodnie z tym rozporządzeniem to na pracodawcy spoczywa obowiązek zakładania i prowadzenia akt osobowych dla każdego pracownika oddzielnie. Regulacje te stanowią także, że akta osobowe składają się z czterech części ze wskazaniem, jaki rodzaj dokumentów i informacji znajduje się w każdej z nich. Tak więc podstawą prawną przechowywania danych pracownika w jego aktach osobowych jest art. 6 ust. 1 lit. c RODO, czyli obowiązek prawny ciążący na administratorze.
Oznacza to, że pracodawca będący administratorem danych zawartych w aktach osobowych jest związany przepisami ww. rozporządzenia, a nie wolą pracownika poprzez odbieranie od niego zgody na realizację procesu przetwarzania w ww. celach.
Obowiązki pracodawcy w zakresie prowadzenia akt osobowych i ich zawartości są więc ściśle określone i nie można mówić o dobrowolności przy przetwarzaniu danych osobowych w tych celach.
Jakich danych nie wolno przetrzymywać?
Należy pamiętać, że jeśli po stronie pracodawcy istnieje ryzyko, że w aktach osobowych znajdują się informacje zebrane niezgodne z obowiązującymi przepisami, to pracodawca powinien dokonać ich przeglądu i usunąć dane pozyskane nielegalnie.
Przetwarzanie danych przez pracodawcę
Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio bądź pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Przetwarzanie danych to wszelkie operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a szczególnie te, które wykonuje się w systemach informatycznych. Do przetwarzania danych osobowych u pracodawcy zachodzi zatem zarówno w procesie rekrutacyjnym, jak również w trakcie samego zatrudnienia. Dokumentacja pracownicza gromadzona przez pracodawcę stanowi zbiór danych osobowych, którego administratorem jest pracodawca. Pracodawca jako administrator danych osobowych ma prawo do ich przetwarzania.
Ważne dla pracodawcy jest, żeby na przetwarzanie danych osobowych kandydatów i pracowników otrzymał zgodę osoby, której dotyczą informacje - w formie pisemnego oświadczenia woli zezwalającego na przetwarzanie danych.
Czy pracodawca może korzystać z prywatnych danych kontaktowych do pracownika?
Pracodawca, który dysponuje danymi kontaktowymi do pracownika pozyskanymi podczas rekrutacji, jak np. adres prywatnej poczty elektronicznej i numer prywatnego telefonu komórkowego, nie może ich wykorzystywać do kontaktów zawodowych z pracownikiem bez jego zgody.
Według art. 221 § 1 Kodeksu pracy, pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: imię (imiona) i nazwisko; datę urodzenia; dane kontaktowe wskazane przez taką osobę; wykształcenie; kwalifikacje zawodowe; przebieg dotychczasowego zatrudnienia. Natomiast zgodnie z art. 221 § 3, pracodawca żąda od pracownika podania dodatkowo danych osobowych obejmujących: adres zamieszkania; numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość; inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy; wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie; numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.
Kodeks pracy nie wskazuje więc prywatnego adresu poczty elektronicznej czy numeru prywatnego telefonu jako danych, których pracodawca ma prawo żądać od pracownika. W polskim systemie prawnym nie istnieje też żaden przepis, który zobowiązywałby osobę fizyczną do posiadania takich środków komunikacji. Dysponowanie adresem poczty elektronicznej czy telefonem jest i powinno pozostać dobrowolne.
Aby pracodawca mógł przetwarzać w celach zawodowych dane kontaktowe do pracownika, jakie pozyskał podczas rekrutacji, takie jak np. adres prywatnej poczty elektronicznej lub numer prywatnego telefonu komórkowego, musi uzyskać na to jego zgodę (pisemną, określająca zasady kontaktu).
Najczęściej w czasie rekrutacji, pozyskując dane, o których mowa w art. 221 § 1 Kodeksu pracy, a zatem m.in. dane kontaktowe wskazane przez osobę ubiegającą się o zatrudnienie, pracodawca, spełniając obowiązek informacyjny, deklaruje, iż będzie je przetwarzał wyłącznie na potrzeby przeprowadzenia naboru. Stąd na ten nowy cel przetwarzania danych pracownika, jakim jest kontaktowanie się z nim w celach służbowych, musi pozyskać zgodę zatrudnionego.
Według artykułu 7 RODO, zgoda powinna być dobrowolna, zaś osoba, której dane dotyczą, musi otrzymać zapytanie o zgodę w zrozumiałej oraz łatwo dostępnej formie, napisane jasnym i prostym językiem. A więc gdy pracodawca chciałby wykorzystywać prywatne dane kontaktowe pracownika, to musi określić wszystkie cele, dla których za zgodą zatrudnionego dane te będą przetwarzane. Określenie tych celów ma istotne znaczenie nie tylko z punktu widzenia przepisów prawa pracy, ale też z punktu widzenia zasady przejrzystości, o której stanowi art. 5 RODO. Możliwość nawiązywania przez pracodawcę kontaktów z pracownikiem po godzinach pracy powinna być przy tym ograniczona tylko do sytuacji, w której zachodziłyby szczególne warunki uzasadniające takie działanie.
Pracownik ma prawo w dowolnym momencie udzieloną zgodę wycofać, zaś pracodawca zaprzestać przetwarzania danych wykorzystywanych na podstawie tej przesłanki.
Poza tym brak zgody, lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, jak też nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę (221a § 2 Kodeksu pracy).
Inna sytuacja powstaje wtedy, kiedy zgodnie z art. 221 § 4 Kodeksu pracy pracodawca żąda podania innych danych osobowych pracownika niż określone w § 1 i 3 (jak np. imię, nazwisko, adres zamieszkania czy numer PESEL), gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Przykładem takiej sytuacji może być przekazanie danych kontaktowych, np. prywatnego adresu e-mail oraz numeru prywatnego telefonu, w związku z obowiązkiem zawarcia umowy o prowadzenie Pracowniczych Planów Kapitałowych z wybraną instytucją finansową. Pracodawca ma bowiem obowiązek prawny przekazania danych osobowych np. w postaci adresu poczty elektronicznej i numeru telefonu od pracownika bez wyrażenia jego zgody do wybranej instytucji finansowej, pod warunkiem że pracownik takie dane mu udostępni. Podstawą legalizująca ech działania jest zaś art. 6 ust. 1 lit. c RODO. Należy podkreślić, że pracodawca musi przetwarzać takie dane tylko w celu ich przekazania do wybranej instytucji finansowe.Czy pracownik ma prawo wglądu w swoją dokumentację prowadzoną przez byłego pracodawcę?
Każdy administrator danych (w tym przypadku były pracodawca) ma obowiązek udzielenia informacji osobie, której dane dotyczą w trybie ustawy o ochronie danych osobowych.
Podstawą prawną przetwarzania przez pracodawcę danych osobowych pracowników są przepisy ustawy z dnia 26 czerwca 1974 r. Kodeks pracy i wydane na jej podstawie akty wykonawcze, w szczególności rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika. Natomiast kwestię uprawnienia pracownika do dostępu do dotyczących go danych osobowych uregulowana została w art. 32 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Według wyżej wskazanego przepisu każdej osobie (w tym pracownikowi) przysługuje prawo do uzyskania informacji o sposobie udostępniania danych, w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane są udostępniane. Zgodnie z przepisem art. 33 ust. 1 ustawy, na wniosek osoby, której dane dotyczą, administrator danych (każdy były pracodawca) jest zobowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić odnośnie jej danych osobowych, informacji o których mowa w art. 32 ust. 1 pkt 1 – 5a.
Od 25 maja 2018 roku we wszystkich krajach Unii Europejskiej obowiązuje rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO). RODO dotyczy obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i większość procesów przetwarzania danych. Do polskiego porządku prawnego RODO wprowadziły dwie ustawy:- z 10 maja 2018 r. o ochronie danych osobowych;
- z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Na podst. uodo.gov.pl
A.J.
Zespół e-prawnik.pl
Skomentuj artykuł - Twoje zdanie jest ważne
Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?