RODO i Kodeks Pracy: Fundamenty zgody na przetwarzanie danych osobowych pracownika
Prawo ochrony danych osobowych w Polsce opiera się na dwóch kluczowych aktach prawnych. Są to Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO) oraz Kodeks pracy. RODO, czyli Rozporządzenie UE 2016/679 z 27 kwietnia 2016 r., obowiązuje od 25 maja 2018 r. Z kolei Kodeks pracy, zaktualizowany w 2019 r., dostosowuje te unijne regulacje do specyfiki stosunków pracy. Obydwa dokumenty stanowią główne filary ochrony **rodo dane osobowe** w relacjach pracowniczych. Każdy pracodawca musi stosować się do tych przepisów. Pracodawca pełni rolę administratora danych. Pracownik jest podmiotem danych. Dlatego zrozumienie tych zasad jest niezwykle ważne dla legalności **zgoda na przetwarzanie danych osobowych pracownika**. Zastanawiasz się, co dokładnie oznaczają te terminy? **Dane osobowe** to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Mogą to być imię, nazwisko, data urodzenia, adres zamieszkania, numer PESEL. Dane te obejmują również dane kontaktowe, wykształcenie, kwalifikacje zawodowe. **Przetwarzanie danych** to z kolei wszelkie operacje wykonywane na tych danych. Obejmuje to zbieranie, przechowywanie, udostępnianie, usuwanie. Na przykład, pracodawca zbiera dane kandydata w CV. Następnie przechowuje je w aktach osobowych. Udostępnia je działowi płac. Po zakończeniu zatrudnienia, usuwa te dane. Proces ten obejmuje każdy etap cyklu życia danych. RODO definiuje dane osobowe bardzo szeroko. **Zgoda pracownika na przetwarzanie danych osobowych** jest jedną z pięciu przesłanek legalności przetwarzania danych. Nie zawsze stanowi ona jednak najlepszą podstawę prawną. Zwłaszcza gdy istnieją inne, bardziej odpowiednie podstawy. Zgoda nie zawsze jest najwłaściwszą podstawą przetwarzania danych, zwłaszcza gdy istnieją inne podstawy prawne. Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna. Pracodawca powinien zawsze dążyć do uzyskania świadomej zgody. Zgodnie z RODO, art. 4 pkt 11: „Dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane osobowe pracowników dotyczą w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.” Pracownik ma pełną swobodę w jej wyrażeniu. RODO nakłada obowiązki na pracodawców. Oto 5 kluczowych zasad RODO dla firm:- Zasada legalności: przetwarzaj dane zgodnie z prawem.
- Zasada minimalizacji danych: zbieraj tylko niezbędne dane.
- Zasada przejrzystości: informuj o celach przetwarzania.
- Zasada integralności i poufności: chroń **ochrona danych osobowych pracownika** przed nieuprawnionym dostępem.
- Zasada rozliczalności: dokumentuj zgodność z RODO.
Czym różni się RODO od Kodeksu Pracy w kontekście danych osobowych?
RODO to unijne rozporządzenie o szerokim zastosowaniu, które ustanawia ogólne zasady ochrony danych. Kodeks pracy jest polską ustawą, która szczegółowo reguluje stosunki pracy i dostosowuje zasady RODO do specyfiki zatrudnienia. Obydwa akty prawne wzajemnie się uzupełniają, tworząc kompleksowy system ochrony danych osobowych pracownika.
Kiedy zgoda na przetwarzanie danych nie jest wymagana?
Zgoda na przetwarzanie danych nie jest wymagana, gdy istnieje inna podstawa prawna, np. gdy przetwarzanie jest niezbędne do wykonania umowy (umowy o pracę), wypełnienia obowiązku prawnego (np. przepisy ZUS, PIT), ochrony żywotnych interesów, realizacji zadania w interesie publicznym lub dla prawnie uzasadnionych interesów administratora. W takich przypadkach przetwarzanie jest legalne bez zgody pracownika na przetwarzanie danych osobowych.
Jakie instytucje nadzorują ochronę danych osobowych w Polsce?
W Polsce głównym organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych (UODO). UODO rozpatruje skargi, wydaje decyzje i promuje wiedzę o RODO. Dodatkowo Parlament Europejski oraz Rada Unii Europejskiej tworzą regulacje unijne. Instytucje te wspólnie dbają o przestrzeganie przepisów.
Katalog danych osobowych pracownika i zasady pozyskiwania zgody w rekrutacji i zatrudnieniu
Proces rekrutacji wymaga zbierania konkretnych danych. Pracodawca może żądać od kandydata podania określonych informacji. Dotyczy to danych wskazanych w art. 22(1) Kodeksu pracy. Zaliczamy do nich imię, nazwisko, datę urodzenia, dane kontaktowe. Pracodawca pyta także o wykształcenie, kwalifikacje zawodowe, przebieg zatrudnienia. Na przykład, aplikując na stanowisko specjalisty IT, pracodawca może wymagać wykształcenia informatycznego. Może także sprawdzić doświadczenie w branży. Pracodawca może żądać tych danych w celu oceny kwalifikacji. Po zawarciu umowy o pracę, zakres zbieranych danych się poszerza. Pracodawca może żądać dodatkowych informacji. Obejmują one adres zamieszkania, numer PESEL. Wymaga też numeru rachunku płatniczego. Można żądać danych dzieci, jeśli są niezbędne do celów socjalnych lub ubezpieczeniowych. Są to dane do ZUS, Urzędu Skarbowego. Dokument mObywatel służy jako potwierdzenie tożsamości. Ważny dokument uprawniający do pobytu wymagany jest od cudzoziemców spoza UE. Pracodawca zbiera dane w ramach swoich obowiązków prawnych. Niektóre dane wymagają szczególnej ostrożności i wyraźnej zgody. Są to **dane wrażliwe** i biometryczne. Dane wrażliwe obejmują stan zdrowia, pochodzenie rasowe, poglądy polityczne. Dotyczą również przekonań religijnych, danych genetycznych. Dane biometryczne to na przykład odcisk palca, wizerunek twarzy. Ich przetwarzanie wymaga wyraźnej **zgody pracownika na przetwarzanie danych osobowych**. Istnieją wyjątki, na przykład kontrola dostępu w uzasadnionych przypadkach. Wtedy przepisy prawa mogą stanowić inaczej. Pracodawca dba o **ochrona danych osobowych pracownika** w tych kategoriach. Zasada **minimalizacja danych** jest kluczowa. Pracodawca powinien zbierać tylko te dane, które są niezbędne do realizacji konkretnego celu. Oznacza to, że nie należy gromadzić informacji "na zapas". Na przykład, nie kseruj dowodu osobistego. Zapisanie niezbędnych danych w zupełności wystarczy. Pracodawca powinien zawsze oceniać proporcjonalność zbieranych danych. Zgodnie z zasadami **rodo dane osobowe** muszą być adekwatne. Muszą być również stosowne i ograniczone do tego, co niezbędne. Oto 7 rodzajów danych, które mogą wymagać zgody:- Dane o stanie zdrowia do celów pozastatutowych.
- Wizerunek pracownika do celów marketingowych.
- **Dane wrażliwe** dotyczące przynależności związkowej.
- Dane biometryczne do celów innych niż bezpieczeństwo.
- Dane dotyczące nałogów.
- Dane o wyrokach skazujących (poza wyjątkami prawnymi).
- Dane do przyszłych procesów rekrutacyjnych.
| Etap | Rodzaj Danych | Podstawa Prawna |
|---|---|---|
| Rekrutacja | Imię i nazwisko, data urodzenia, dane kontaktowe, wykształcenie, kwalifikacje, przebieg zatrudnienia | Art. 22(1) Kodeksu pracy |
| Zatrudnienie | Adres zamieszkania, PESEL, numer rachunku płatniczego, dane dzieci, dane do ZUS/US | Art. 22(1) Kodeksu pracy, inne przepisy |
| Dane wrażliwe | Stan zdrowia, pochodzenie rasowe, poglądy polityczne (za zgodą lub w wyjątkach prawnych) | Art. 9 ust. 2 lit. a) RODO |
| Dane biometryczne | Odcisk palca, wizerunek (za zgodą lub w wyjątkach prawnych, np. kontrola dostępu) | Art. 9 ust. 2 lit. a) RODO |
Czy pracodawca może żądać danych o karalności od kandydata?
Zgodnie z polskim prawem, pracodawca może żądać informacji o karalności jedynie w sytuacjach, gdy obowiązek taki wynika z przepisów prawa (np. dla stanowisk wymagających niekaralności z uwagi na specyfikę pracy). W pozostałych przypadkach, pozyskiwanie takich danych bez wyraźnej podstawy prawnej jest niedozwolone i wykracza poza zakres danych osobowych pracownika, których można żądać.
Czy pracodawca może umieścić zdjęcie pracownika na identyfikatorze bez zgody?
Umieszczenie zdjęcia pracownika na identyfikatorze, o ile nie wynika to z przepisów prawa (np. specyficzne wymogi bezpieczeństwa), wymaga wyraźnej zgody pracownika na przetwarzanie danych osobowych. Wizerunek jest daną osobową, a jego przetwarzanie musi mieć podstawę prawną. W braku takiej podstawy, zgoda staje się niezbędna dla zachowania zgodności z RODO i ochroną danych osobowych pracownika.
Ochrona danych osobowych pracownika: Obowiązki pracodawcy, prawa i wycofanie zgody
Pracodawca ma szereg obowiązków wobec pracowników. Musi spełniać **obowiązki pracodawcy rodo**. Obejmuje to informowanie o zbieranych danych. Podaje cele, podstawy prawne, odbiorców. Informuje o okresie przetwarzania oraz prawach związanych z danymi. Przykładem jest klauzula informacyjna w dokumentacji pracowniczej. Taka klauzula musi być jasna. Zapewnia to transparentność przetwarzania danych. Dba o **ochrona danych osobowych pracownika** na każdym etapie. Pracownik ma prawo w dowolnym momencie wycofać zgodę. **Wycofanie zgody na przetwarzanie danych** nie wpływa na legalność przetwarzania przed jej wycofaniem. Proces wycofania zgody powinien być tak samo łatwy jak jej wyrażenie. Pracodawca musi to zapewnić. Na przykład, pracownik może wycofać zgodę na przetwarzanie danych do przyszłych rekrutacji. Wycofanie zgody nie może prowadzić do niekorzystnego traktowania. Pracodawca powinien zawsze respektować wolę pracownika. Zgodnie z art. 7 ust. 3 RODO: „Zgodnie z art. 7 ust. 3 Rozporządzenia RODO osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę.” **Przechowywanie danych pracownika** jest ściśle regulowane. Dokumentacja pracownicza trwa przez cały okres zatrudnienia. Następnie przechowuje się ją przez 10 lat po jego zakończeniu. Dotyczy to osób zatrudnionych po 1 stycznia 2019 r. Dane mogą być przechowywane dłużej dla celów rozliczeniowych. Obejmuje to rozliczenia z ZUS i Urzędem Skarbowym. Po upływie tego okresu dane powinny zostać zanonimizowane lub usunięte. Zgodnie z zasadami **rodo dane osobowe** muszą być usuwane. Kodeks pracy, art. 94 pkt 9a stanowi: „Pracodawca ma obowiązek przechowywać dokumentację pracowniczą przez okres 10 lat.” **Monitoring pracownika** jest możliwy tylko w uzasadnionych przypadkach. Może służyć bezpieczeństwu pracowników, ochronie mienia. Może też kontrolować produkcję. Pracownicy muszą być o nim poinformowani z wyprzedzeniem. Informacja musi dotrzeć do nich co najmniej 14 dni wcześniej. Monitoring nie może służyć kontroli prywatnych działań pracowników. UODO podkreśla, że „Monitoring w miejscu pracy nie może służyć jako narzędzie kontroli pracowników”. Uzyskane dane powinny być wykorzystywane tylko do określonych celów. Chroni to **prawa pracownika rodo**. Oto 6 praw pracownika w zakresie danych osobowych:- Dostęp do swoich danych osobowych.
- Sprostowanie nieprawidłowych danych.
- Usunięcie danych, gdy nie ma podstawy prawnej.
- Ograniczenie przetwarzania danych.
- Przeniesienie danych do innego administratora.
- Wniesienie skargi do UODO.
| Rodzaj Danych | Okres Przechowywania | Uwagi |
|---|---|---|
| Dokumentacja pracownicza | 10 lat | Po zakończeniu zatrudnienia (dla zatrudnionych po 01.01.2019) |
| Dane rekrutacyjne | Do 3 miesięcy (do 1 roku za zgodą) | Po zakończeniu procesu rekrutacji |
| Nagrania monitoringu | Do 60 dni | Chyba że stanowią dowód w postępowaniu |
| Dane z formularzy zgody | Do czasu wycofania zgody lub końca celu | Zależne od celu przetwarzania |
Co się dzieje z danymi po wycofaniu zgody na przetwarzanie?
Po wycofaniu zgody pracownika na przetwarzanie danych osobowych, dane te nie mogą być dalej przetwarzane na podstawie tej zgody. Jeśli jednak istnieje inna podstawa prawna (np. obowiązek prawny pracodawcy, wykonanie umowy), dane mogą być nadal przetwarzane w zakresie niezbędnym do realizacji tych celów. Pracodawca musi dokonać oceny i ewentualnie usunąć dane, dla których nie ma już podstawy prawnej.
Czy pracodawca może monitorować aktywność pracowników?
Tak, pracodawca może monitorować aktywność pracowników (np. monitoring wizyjny, poczty elektronicznej), ale tylko w uzasadnionych celach (np. bezpieczeństwo, ochrona mienia, kontrola produkcji) i z zachowaniem zasad proporcjonalności. Pracownicy muszą być o tym poinformowani z wyprzedzeniem (co najmniej 14 dni). Monitoring nie może naruszać prywatności, a uzyskane dane powinny być wykorzystywane wyłącznie do określonych celów, zgodnie z ochroną danych osobowych pracownika.
Jak długo pracodawca przechowuje dane po ustaniu zatrudnienia?
Pracodawca ma obowiązek przechowywać dokumentację pracowniczą przez 10 lat od zakończenia stosunku pracy dla pracowników zatrudnionych po 1 stycznia 2019 r. Okres ten może być dłuższy, jeśli dane są niezbędne do rozliczeń z ZUS, US lub w przypadku roszczeń prawnych. Po upływie tego okresu dane powinny zostać zanonimizowane lub usunięte, zgodnie z zasadami rodo dane osobowe.
