PRZETWARZANIE I UDOSTĘPNIANIE DANYCH OSOBOWYCH PRACOWNIKÓW – CO POWINIEN WIEDZIEĆ PRACODAWCA?

dane osobowe
Udostępnianie danych osobowych

W związku z wejściem w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)- RODO, powstaje szereg pytań dotyczących przetwarzania i udostępniania danych osobowych pracowników. Ogólnie należy stwierdzić, że dane osobowe pracowników można przetwarzać tak długo, jak jest to celowe. Natomiast dostęp do danych innych pracowników powinni mieć jednie ci pracownicy, którym jest to potrzebne do wykonywania ich pracy. Może mieć miejsce sytuacja, że podmiot będący pracodawcą ma prawo przetwarzać dane osobowe poszczególnych osób, ale niektórzy pracownicy nie powinny mieć do nich wglądu.

Dla zapewnienia sprawnego funkcjonowania podmiotu będącego pracodawcą pracownicy powinni mieć dostęp do danych osobowych współpracowników w zakresie:

– imię i nazwisko,

– stanowisko,

– nr telefonu służbowego (jeśli jest),

– adres email służbowy (jeśli jest).

Dane osobowe z akt osobowych, zwłaszcza tzw. dane wrażliwe, np. informacja o stanie zdrowia ze zwolnienia lekarskiego, informacja o zarobkach itp. powinny być udostępniane tylko tym pracownikom, którym te dane są potrzebne do wykonania ich pracy, np. księgowej lub kadrowej, w celu odpowiedniego zgłoszenia do Zakładu Ubezpieczeń Społecznych lub do wyliczenia zaliczki na podatek dochodowy. Także np. dział HR może przetwarzać dane osobowe współpracowników w nieco szerszym zakresie niż pozostali pracownicy. Aby pracownik mógł skorzystać z określonych uprawnień będzie musiał udostępnić pracodawcy informacje dotyczące jego życia osobistego i tu przykładem może być urlop związany z realizacją jego zobowiązań cywilnych, publicznych (zawarcie małżeństwa, śmierć krewnego, oddanie krwi, wezwanie do sądu itp.).

Warto zauważyć, że nie istnieje prawnie uzasadniona potrzeba wykonywania kserokopii dowodu tożsamości pracownika. Co więcej, posiadanie jej prowadzi do gromadzenia nadmiarowych danych niezwiązanych z wykonywaną przez pracownika pracą.

Jakie dane kontaktowe można przetwarzać?

Zgodnie z nowym brzmieniem art. 221 § 1 pkt 3 ustawy z dnia 26 czerwca 1974 r. – kodeks pracy (t.j. Dz.U. z 2018 r., poz. 917 ze zm.) pracodawca może żądać od kandydata do pracy oraz od pracownika danych kontaktowych (uprzednio można było żądać wskazania tylko adresu korespondencyjnego, pozostałe dane kontaktowe można było przetwarzać wyłącznie na podstawie zgody), przy czym to do kandydata lub do pracownika należy wybór, jakie dane kontaktowe wskaże – numer telefonu, adres e-mail, adres korespondencyjny lub inne. Podstawą przetwarzania tej danej osobowej będzie art. 6 ust. 1 pkt c) RODO, tj. wypełnienie obowiązku prawnego ciążącego na administratorze. Ta dana osobowa może być przetwarzana tak długo, jak istnieje cel, w jakim została zebrana i nie sposób wskazać jednego miarodajnego momentu zakończenia przetwarzania dla wszystkich przypadków. Zazwyczaj uzasadnione będzie przetwarzanie przez okres zatrudnienia, zaś w przypadku kandydatów do pracy przez okres niezbędny do rozstrzygnięcia  postępowania rekrutacyjnego.

Przykładowe dane, które mogą być przetwarzane przez pracodawcę wraz z uwzględnieniem czasu ich przetwarzania to:

  1. imię i nazwisko – można przetwarzać w trakcie zatrudnienia i tak długo, jak istnieje obowiązek przechowywania akt osobowych (50 lub 10 lat w zależności od tego, kiedy umowa obowiązywała i czy akta zostały zdigitalizowane),

  2. adres – można przetwarzać w trakcie zatrudnienia i tak długo, jak istnieje obowiązek przechowywania akt osobowych (50 lub 10 lat w zależności od tego, kiedy umowa obowiązywała i czy akta zostały zdigitalizowane),

  3. numer telefonu – numer służbowy można przetwarzać przez okres zatrudnienia. Natomiast po ustaniu zatrudnienia może być przetwarzany jeszcze tak długo, jak istnieje ku temu potrzeba, np. w celu ochrony przed roszczeniami – 3 lata od momentu, gdy te roszczenia stały się wymagalne (np. były pracownik pozywa pracodawcę o wynagrodzenie za pracę w nadgodzinach, a pracodawca wykorzystuje informację o bilingach z danego numeru telefonu, by wykazać, że nie pracował w nadgodzinach) lub w okresie przedawnienia roszczeń z tytułu płatności na rzecz operatora – 3 lata od zakończenia zatrudnienia (aby pracodawca mógł skutecznie bronić się przed roszczeniami operatora musi mieć dostęp do danych typu kto, jaki numer i kiedy użytkował oraz ewentualnie datę przeniesienia numeru na byłego pracownika). Po okresie 3 lat dane należy usunąć.

  4. adres e-mail – służbowy można przetwarzać przez okres zatrudnienia, a po ustaniu zatrudnienia do czasu przedawnienia roszczeń (tu może wchodzić w grę nawet 6-letni okres, np. jeśli dany pracownik obsługiwał zamówienia klientów-konsumentów, to w celu ochrony przed ich roszczeniami może być potrzebne przechowywanie
    np. korespondencji mailowej). Jeśli dany pracownik nie miał kontaktu z klientami
    i kontrahentami, to po 3 latach dane należy usunąć,

  5. kserokopie dowodów osobistych – co do zasady takie dane nie powinny być przetwarzane,

  6. CV kandydatów – zgodnie ze stanowiskiem Prezesa Urzędu Ochrony Danych Osobowych CV kandydatów, którzy nie zostali wybrani powinny być niszczone po zakończeniu rekrutacji, chyba, że wyrazili zgodę na przetwarzanie danych w przyszłych rekrutacjach.

Zdaniem Ministerstwa Cyfryzacji może istnieć potrzeba przetwarzania takich CV kandydatów nieprzyjętych w celu ochrony przed roszczeniami, np. w związku z zarzutem dyskryminacji w zatrudnieniu, kiedy to pracodawca musi wykazać, że nie dyskryminował, tylko wybrał najlepszą kandydaturę. Ministerstwo Cyfryzacji zaleca, aby po zakończeniu rekrutacji przetwarzać CV kandydatów, gdy pracodawca liczy się z wysokim ryzykiem zgłoszenia wobec niego zarzutów (co jest bardzo ocenne) i z góry określać termin tego przetwarzania – nie powinien być dłuższy niż 3 lata. Jest to jednak stanowisko niewiążące.

W każdym przypadku należy szacować ryzyko i koszty dla pracodawcy związane z usunięciem CV (czy bardziej realna jest potrzeba ochrony przed roszczeniami czy jednak nałożenie kary przez Prezesa UODO),

  1. CV obecnych pracowników – mogą być przetwarzane tak długo, jak akta osobowe.
  2. umowa o pracę – może być przetwarzana tak długo, jak akta osobowe,
  3. informacje o premii i wynagrodzeniach zespołu – mogą być przetwarzane tak długo, jak akta osobowe.

Podane powyżej informacje są jedynie ogólnymi przykładami dotyczącymi przetwarzania i udostępniania danych osobowych pracowników i dotykają najpowszechniejszych kwestii, natomiast w poszczególnych stanach faktycznych mogą zaistnieć jeszcze inne dane, które także będą podlegały przetwarzaniu i udostępnianiu w podobny do wskazanego powyżej lub
w odmienny sposób.

Udostępnij wpis

Więcej wpisów

ochrona wizerunku

Czym jest ochrona wizerunku?

Ostatnimi czasy, w dobie Internetu rozpowszechnia się nielegalne wykorzystywanie czyichś wizerunków do promocji określonych towarów i usług. Wizerunek to najogólniej rzecz ujmując

Czytaj więcej

Polityka prywatności

Szanowny Użytkowniku,

Korzystając ze tej strony internetowej, bez zmian konfiguracji przeglądarki, wyraża Pani/Pan zgodę na zapisywanie plików cookies w Pani/Pana przeglądarce. Za pomocą plików cookies zbierane są informacje, które mogą stanowić dane osobowe. Są one przetwarzane w celu poprawy jakości usług oraz w celach statystycznych. Prosimy pamiętać, że zawsze może Pani/Pan zmienić ustawienia dotyczące plików cookies.
Klikając w poniższy link może Pani/Pan zapoznać się z informacjami, w jaki sposób przetwarzamy Pani/Pana dane osobowe oraz jakie ma Pani/Pan związane z tym prawa.