Ochrona danych osobowych w miejscu pracy cz. 2

• Rafał Stępniewski
• /
• 9 października 2018

Zapraszamy do lektury drugiej części artykułu na temat rekomendacji Urzędu Ochrony Danych Osobowych w zakresie przetwarzania danych osobowych w miejscu pracy. Poprzedni tekst dotyczył dwóch obszarów: etapu poszukiwania pracy i rekrutacji. Teraz skupimy się na trzecim obszarze – procesie zatrudniania.

Wytyczne zostały opublikowane w poradniku „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców”. To kolejne opublikowane przez UODO wydawnictwo edukacyjne, pomagające we właściwym rozumieniu i stosowaniu przepisów RODO, tym razem skierowane do pracodawców.

Dane osobowe w procesie

Zgodnie z art. 22 (1) § 2 i 4 Kodeksu pracy pracodawca na prawo żądać od pracownika, którego zdecydował się zatrudnić, podania następujących danych (niezależnie od pozyskanych w toku rekrutacji):

1. innych danych osobowych, a także imion i nazwisk oraz dat urodzenia jego dzieci, jeśli podanie takich danych jest konieczne ze względu na korzystanie przez niego ze szczególnych uprawnień przewidzianych w prawie pracy,
2. jego numeru PESEL,
3. innych danych osobowych niż pozyskane w procesie rekrutacji i wskazane wyżej, jeżeli obowiązek ich podania wynika z odrębnych przepisów.

Kserowanie dokumentu tożsamości

Urząd Ochrony Danych Osobowych odniósł się do problemu kserowania dowodu tożsamości pracownika, co nadal nie jest rzadkością. Wskazał, że nie istnieje prawnie uzasadniona potrzeba wykonywania kopii tego dokumentu. Co więcej, posiadanie jej będzie prowadziło do gromadzenia nadmiarowych danych niezwiązanych z wykonywaną przez pracownika pracą.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Informacje związane z życiem osobistym pracownika

Kolejną kwestią, jaką poruszył Urząd jest przechowywanie informacji związanych z życiem osobistym pracowników w ich aktach osobowych. Otóż jak wskazuje Urząd, nie zawsze będzie tak, że w aktach osobowych pracownika znajdować się będą wyłącznie informacje związane z jego stosunkiem pracy. Zazwyczaj, aby pracownik mógł skorzystać z określonych uprawnień będzie musiał udostępnić pracodawcy informacje dotyczące jego życia osobistego. Przykładem może być urlop związany z realizacją jego zobowiązań cywilnych, publicznych (zawarcie małżeństwa, śmierć krewnego, oddanie krwi, wezwanie do sądu itp.).

Zatrudnienie pracownika a obowiązek informacyjny

Urząd Ochrony Danych Osobowych wyjaśnił również, czy w przypadku zatrudnienia pracownika pracodawca musi ponownie spełnić obowiązek informacyjny, jaki spełniał w procesie rekrutacji. Dane pracownika już zatrudnionego pracodawca będzie przetwarzał w innym celu aniżeli kandydata oraz zmieni się krąg odbiorców tych danych, dlatego pracownik powinien pozyskać informacje w tym zakresie. Cel ten można osiągnąć umieszczając powyższe informacje w ramach klauzuli informacyjnej przekazywanej kandydatom w toku rekrutacji (poprzez uzupełnienie jej o informacje dotyczące celu przetwarzania danych i wskazanie odbiorców danych w razie zatrudnienia kandydata) lub też poprzez uzupełnienie tych informacji już po zatrudnieniu pracownika.

Jakie informacje o pracowniku można umieścić na liście obecności pracowników?

Bardzo często spotykanym sposobem jest złożenie podpisu na liście obecności. Jednakże na listach dostępnych dla wszystkich można było znaleźć informację o tym, że dany pracownik jest chory lub korzysta z urlopu „na żądanie”. Urząd wskazał jednocześnie, że taka praktyka jest niewłaściwa, a informacje m.in. o zwolnieniach lekarskich czy urlopie „na żądanie”, a więc o szczególnych rodzajach nieobecności powinny znaleźć się w ewidencji czasu pracy, do których dostęp oprócz samego pracownika, mogą mieć jeszcze osoby odpowiedzialne za sprawy kadrowe i osoba reprezentująca pracodawcę. Podsumowując, na liście obecności powinna być jedynie informacja, czy dany pracownik jest obecny czy nie.

Czy pracodawca może umieścić zdjęcia pracowników na identyfikatorach?

Urząd Ochrony Danych Osobowych odpowiada: ze względu na to, że wizerunku pracownika nie ma wśród danych wskazanych w Kodeksie pracy, aby pracodawca mógł je pozyskać i umieścić np. na identyfikatorze musi legitymować się zgodą pracownika. Należy jednak zaznaczyć że zgoda musi być udzielona dobrowolnie. Zgoda taka może być również odwołana w każdym czasie. Istnieją jednak sytuacje wyjątkowe, gdy wizerunek pracownika jest ściśle związany z wykonywanym przez niego zawodem czy też charakterem pracy i wskazanie wizerunku pracownika przewidują wprost przepisy prawa, np. dotyczy to pracowników ochrony. Wówczas pracodawca nie jest zobowiązany do pozyskania zgody.

Czy pracodawca może umieścić na stronie internetowej nazwisko, stanowisko, telefon, e-mail pracownika?

Informacje o pracowniku takie jak np. imię i nazwisko, służbowy adres e-mail są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych. Dane te mogą być wykorzystane przez pracodawcę. Pracodawca tym samym nie może być pozbawiony możliwości ujawnienia danych pracowników zajmujących określone stanowiska w ramach instytucji i pozostających w kontakcie z podmiotami zewnętrznymi — kontrahentami, klientami. Z tego też względu za dopuszczalne w ocenie Urzędu należy uznać umieszczenie imion i nazwisk pracowników na drzwiach w zakładach pracy, na pieczątkach imiennych, pismach sporządzonych w związku z pracą oraz prezentowanie w informatorach o instytucjach i przedsiębiorstwach. Publikacja wizerunku pracownika na stronie internetowej będzie wymagała natomiast uzyskania jego dobrowolnej zgody.

Czy, a jeśli tak, to w jakim zakresie pracodawca może wykorzystać służbowy adres e-mail po byłym pracowniku?

Urząd zmierzył się również i z tym problemem. Jak wskazuje, powszechną praktyką jest nadawanie pracownikom adresów e-mail składających się z imienia i nazwiska, pierwszej litery imienia i nazwiska lub w niektórych przypadkach z pseudonimu. Zarówno taki adres mailowy, jak też pozbawiony imienia i nazwiska, ale powiązany z konkretną osobą, uznawany jest za dane osobowe związane z zatrudnieniem. Problem pojawia się w sytuacji ustania stosunku pracy. Jeśli adres e-mail byłego pracownika stanowi dane osobowe, wówczas taki adres powinien zostać usunięty z chwilą zakończenia stosunku pracy, a przed usunięciem konta wszystkie dane związane z wykonywaną pracą powinny zostać przekazane pracodawcy. Po zakończeniu współpracy pracodawca może tak skonfigurować serwer poczty, aby korespondencja była przekierowana na inny adres, a także żeby nadawca otrzymywał zwrotną wiadomość informującą, że nie ma takiego użytkownika.

Przetwarzanie danych pracowników w ramach organizowanych przez pracodawców szkoleń

Tutaj należy rozważyć dwa przypadki, gdy szkolenie prowadzi pracownik pracodawcy oraz gdy szkolenie prowadzi firma zewnętrzna. Jeśli szkolenie prowadzi pracownik pracodawcy do tego wyznaczony — może szkolić pracowników. Natomiast jeśli zewnętrza firma szkoleniowa prześle do pracodawcy ofertę szkoleń i pracownicy zdecydują się na skorzystanie z tych szkoleń, to po wypełnieniu formularzy zgłoszeniowych przez uczestników szkolenia zewnętrzna firma będzie administratorem ich danych osobowych. W tym przypadku firma szkoleniowa może przetwarzać dane osobowe pracownika na podstawie jego zgody. Natomiast jeżeli pracodawca zajmie się rozdysponowaniem ww. formularzy do pracowników i następnie uzupełnione formularze odbierze od nich (w celu przekazania firmie szkoleniowej) wówczas firma szkoleniowa będzie musiała zawrzeć z pracodawcą umowę powierzenia przetwarzania danych osobowych pracowników.

Obowiązki pracodawcy wobec pracowników w przypadku zlecenia ich przeszkolenia przez firmę zewnętrzną

Jeśli szkolenie odbywa się w taki sposób, że pracownik bierze udział w szkoleniu, na które sam się zapisał w firmie zewnętrznej, natomiast pracodawca jedynie finansuje udział pracownika w szkoleniu, to firma zewnętrzna, jako odrębny administrator, przetwarza dane osobowe pracownika i będzie musiała wykonać w stosunku do niego obowiązek informacyjny wynikający z RODO. Jeśli firma szkoleniowa zewnętrzna będzie podmiotem, któremu pracodawca powierzy przetwarzanie danych osobowych, wówczas będzie musiała spełnić obowiązki spoczywające na takim podmiocie oraz zawarte w umowie powierzenia.

Jakie dane pracowników może przetwarzać podmiot zewnętrzny prowadzący szkolenie?

Firma zewnętrzna prowadząca szkolenie może przetwarzać dane pracowników biorących udział w szkoleniu adekwatnie do celu pozyskania np.: imię, nazwisko, stanowisko służbowe, miejsce pracy. Dane takie mogą być niezbędne np. do sporządzenia listy obecności, jej sprawdzenia lub wydania zaświadczenia ze szkolenia.

Czy pracodawca może zgłosić pracownika na szkolenie bez jego zgody i w związku z tym również bez jego zgody przekazać jego dane osobowe?

Urząd wskazuje, że może, ale pod pewnymi warunkami. Jeżeli pracodawca prowadzi szkolenie wewnętrze lub zawiera umowę powierzenia przetwarzania danych osobowych z firmą szkoleniową, to jest on uprawniony do udostępnienia danych osobowych pracownika w tym celu, również firmie zewnętrznej. Powierzenie przetwarzania danych osobowych nie zmienia podstawy przetwarzania danych osobowych, skutkuje jedynie tym, że przetwarza je podmiot trzeci na polecenie pracodawcy.

Przekazanie danych osobowych w związku z oferowanymi przez pracodawcę dodatkowymi świadczeniami pracowniczymi

Ze względu na liczne zapytania ze strony przedsiębiorców, Urząd Ochrony Danych Osobowych odniósł się również do kwestii pakietów medycznych, kart na siłownię czy też benefitów oferowanych pracownikom przez pracodawców. Jest to ostatnimi czasy bardzo powszechna forma zachęcania pracowników do podjęcia pracy w danej firmie.

W związku z tym, że korzystanie z tych udogodnień jest w pełni dobrowolne, pracodawca nie może udostępniać danych osobowych pracowników bez ich wiedzy i zgody na rzecz podmiotów świadczących te usługi. Udostępnienie danych osobowych przez pracodawcę odbywa się na podstawie zgody wyrażonej przez pracownika. Przetwarzanie danych osobowych pracowników lub innych osób zgłoszonych do programu przez podmioty świadczące tego typu usługi odbywa się zatem na podstawie uprzednio wyrażonej przez nich zgody, tj. na podstawie art. 6 ust. 1 lit. a) RODO. Podmioty te stają się administratorami danych osobowych pracowników korzystających z ich usługi. Konsekwencją uznania takiego podmiotu za administratora danych osobowych jest konieczność stwierdzenia, że takie podmioty zobowiązane są do informowania osób których dane dotyczą o okolicznościach wskazanych w art. 13 RODO, np. w deklaracji przystąpienia. Jednocześnie nie ma tu zastosowania instytucja przetwarzania danych osobowych.

Jeśli chodzi o kwestię benefitów, Urząd Ochrony Danych Osobowych wskazał, że zasadniczą kwestią decydującą o uznaniu, czy podmiot przetwarzający dane osobowe jest ich administratorem, jest stwierdzenie, czy decyduje on o środkach i celach przetwarzania. Zaznaczyć należy, że pracodawca przetwarza dane osobowe pracowników w zakresie i celu niezbędnym do wykonania ciążących na nim obowiązków wynikających ze stosunku pracy. Natomiast usługodawcy przetwarzają dane osobowe pracowników w celu i zakresie świadczonych przez nich usług. Pracodawca nie może więc zażądać od podmiotów medycznych czy ubezpieczycieli, z którymi ma podpisaną umowę na świadczenie usług wobec swoich pracowników, przekazania danych osobowych, np. na temat ich zdrowia.

Zakres danych osobowych udostępnionych przez pracodawcę jest ograniczony i ściśle związany z przedmiotem działalności podmiotu świadczącego usługę. Musi on być zatem niezbędny do realizacji danej usługi. Urząd szczególnie podkreśla fakt, że jeżeli przekazane dane obejmują szczególne kategorie danych, o których mowa w art. 9 ust 1 RODO, niezbędne jest uzyskanie odrębnej zgody pracownika (art. 9 ust. 2 pkt a) RODO).

Ewidencjonowanie czasu pracy pracownika a pobieranie danych biometrycznych

Urząd Ochrony Danych Osobowych wprost wskazał, że pracodawca nie może skanować czy pobierać danych biometrycznych pracowników w celu rejestracji godzin przyjścia i wyjścia z zakładu, nawet za zgodą takiego pracownika. Pobieranie danych biometrycznych od pracowników nie służy celowi, jakim jest ewidencja czasu pracy, a jedynie ograniczeniu dostępu do miejsc w stosunku do których pracodawca może wymagać specjalnych uprawnień ze względu na tajemnice przedsiębiorstwa bądź oznaczony zakres osób o fachowych umiejętnościach mogących dostać się na pewien ochroniony obszar. Pracodawca zgodnie z zasadą rozliczalności nie byłby w stanie wykazać, dlaczego stosuje monitoring danych biometrycznych dla celów związanych z obecnością w pracy. Trzeba także pamiętać, że dane biometryczne to dane szczególnej kategorii i mogą być przetwarzane tylko w wymienionych sytuacjach, wśród których nie ma kwestii odnotowania obecności pracownika w pracy.

Urząd Ochrony Danych Osobowych przywołał również w tym zakresie orzeczenie Naczelnego Sądu Administracyjnego z dnia 1 grudnia 2009 r. (sygn. I OSK 249/09).

Brak równowagi w relacji pracodawca — pracownik stawia pod znakiem zapytania dobrowolność wyrażenia zgody na pobierania i przetworzanie danych osobowych (biometrycznych). Z tego względu ustawodawca ograniczył przepisem art. 22 Kodeksu pracy katalog danych, których pracodawca może żądać od pracownika. Uznanie faktu wyrażenia zgody, jako okoliczności legalizującej pobieranie od pracownika innych danych niż wskazane w art. 22 Kodeksu pracy, stanowiłoby obejście tego przepisu.

Ryzyko naruszenia swobód i fundamentalnych praw obywatelskich musi być proporcjonalne do celu, któremu służy. Skoro zasada proporcjonalności jest głównym kryterium przy podejmowaniu decyzji dotyczących przetwarzania danych biometrycznych, to stwierdzić należy, że wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników jest nieproporcjonalne do zamierzonego celu ich przetwarzania.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.