Przetwarzanie danych osobowych pracownika - opinia Grupy Roboczej art. 29
Rozwój nowych technologii oraz coraz bardziej powszechny dostęp do wszelkiego rodzaju informacji sprawiają, że pojawiają się nowe wyzwania związane z przetwarzaniem danych osobowych. Czynności te mogą być wykonywane w sposób znacznie bardziej systematyczny, zautomatyzowany i — bardzo często – ingerujący znacząco w prywatność osób, których dane dotyczą.
- Rafał Stępniewski
- /
- 19 marca 2018
Rozwój nowych technologii oraz coraz bardziej powszechny dostęp do wszelkiego rodzaju informacji sprawiają, że pojawiają się nowe wyzwania związane z przetwarzaniem danych osobowych. Czynności te mogą być wykonywane w sposób znacznie bardziej systematyczny, zautomatyzowany i — bardzo często – ingerujący znacząco w prywatność osób, których dane dotyczą.
Grupa Robocza art. 29
Grupa Robocza art. 29 to niezależny zespół przedstawicieli organów nadzorujących ochronę danych osobowych w państwach członkowskich Unii Europejskiej. Nazwa grupy związana jest z art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r., na mocy którego powołano organ. Głównym zadaniem grupy jest upewnianie się, że dyrektywa unijna jest jednakowo stosowana we wszystkich krajach wspólnoty, a także opiniowanie nowych oraz istniejących przepisów dotyczących ochrony i przetwarzania danych osobowych.
Zespół wydał również opinię na temat przetwarzania danych osobowych pracowników, czego powodem był wspomniany na wstępie rozwój technologiczny. Jednocześnie pozwala on na podniesienie bezpieczeństwa w przedsiębiorstwie, czy produktywności pracowników, a z drugiej strony — wymaga odmiennego podejścia do kwestii ochrony danych osobowych zatrudnionych oraz ich prywatności.
Opinia Grupy Roboczej art. 29 ma na celu zachowanie równowagi pomiędzy interesem pracodawcy, a oczekiwaniami pracowników w kontekście ich prywatności.
Podstawa prawna
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. zakłada, że za legalność przetwarzania danych osobowych pracowników, jak i każdego procesu przetwarzania danych, powinna odpowiadać właściwa podstawa prawna. Czy zgoda może mieć zastosowanie w relacjach pracodawca-pracownik?
Według opinii Grupy Roboczej art. 29 wyrażenie zgody przez pracownika na przetwarzanie jego danych osobowych nie może zostać uznane za podstawę prawną takiego działania. Zgodnie z przepisami zgoda powinna bowiem zostać udzielona (o czym wspomniano wcześniej) dobrowolnie oraz musi być czynnym wyrażeniem woli.
Pracodawca może wymagać od pracownika wyrażenia zgody na przetwarzanie jego danych, a odmowa może wiązać się z konsekwencjami, takimi jak np. zwolnienie. Nie można w tym przypadku mówić o dobrowolności.
Podobnie w sytuacji korzystania przez pracownika z oprogramowania czy sprzętu, których domyślne ustawienia pozwalają gromadzić i przetwarzać dane osobowe — sam fakt korzystania z nich nie sprawia, że pracownik wyraża zgodę na takie działania (brak tutaj czynnego wyrażenia woli).
Dane osobowe pracownika mogą być z kolei przetwarzane zgodnie z prawem, według opinii Grupy Roboczej art. 29, kiedy podstawą staje się konieczność poprawnej realizacji umowy o pracę — np. w kwestiach podatkowych czy wypłaty wynagrodzenia. Taka przesłanka daje pracodawcy możliwość legalnego przetwarzania danych osobowych zatrudnionych.
Inną podstawą prawną, która umożliwia pracodawcy przetwarzanie danych osobowych pracowników jest jego uzasadniony interes. Ważne jest jednak to, aby cel przetwarzania danych był zasadny, a zastosowane sposoby lub techniki przetwarzania nie były uciążliwe dla pracowników. Wymagane jest również ograniczenie ryzyka i zachowanie balansu pomiędzy uzasadnionym interesem pracodawcy a prywatnością pracowników. W przypadku monitoringu w miejscu pracy nie powinien on być instalowany w np. w toaletach, a prywatne dane na urządzeniach nie powinny podlegać kontroli.
W każdym przypadku pracownicy muszą być poinformowani o fakcie monitorowania oraz przetwarzania ich danych osobowych.
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
Rekrutacja pracownika a przetwarzanie danych osobowych
Podczas przeprowadzania procesu rekrutacji w firmie przetwarzane są dane osobowe kandydatów — coraz częściej oprócz informacji zawartych w dokumentach aplikacyjnych, pracodawcy korzystają również z danych dostępnych np. w portalach społecznościowych.
W tym przypadku pracodawca lub dział w firmie zajmujący się rekrutacją nie powinien wykorzystywać takich informacji do własnych celów. Do działania takiego jest potrzebna podstawa prawna, jak np. uzasadniony interes pracodawcy. W tym kontekście podczas rekrutacji należy upewnić się, że dane o kandydacie pozyskiwane są wyłącznie z jego profilu biznesowego (a więc założonego np. na portalach HR) oraz są to tylko takie informacje, które pozwolą zweryfikować umiejętności wymagane na konkretnym stanowisku.
Dodatkowo według Grupy Roboczej art. 29 — dane pozyskane od kandydatów w procesie rekrutacji powinny zostać usunięte po jego zakończeniu, jeśli osoby te nie zostaną zatrudnione.
Pełny tekst opinii Grupy Roboczej art. 29 odnośnie przetwarzania danych osobowych
Aby dowiedzieć się więcej o aspektach przetwarzania danych osobowych przez pracodawcę, warto zapoznać się z pełnym tekstem opinii Grupy Roboczej art. 29. Dokument znaleźć można na stronach Komisji Europejskiej (tekst w wersji angielskiej).
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?