Ochrona danych osobowych (RODO) – obowiązki pracodawcy

Wykładnia przepisów RODO w kwestiach związanych z zatrudnieniem na podstawie stosunku pracy oraz na podstawie cywilnoprawnych lub niepracowniczych form zatrudniania (umowa o dzieło, umowa zlecenia, umowa o świadczenie usług) wciąż budzi wiele wątpliwości. Warto podsumować – opierając się m.in. na interpretacjach zastosowanych przez Urząd Ochrony Danych Osobowych – kluczowe zasady obowiązujące w codziennym funkcjonowaniu w środowisku pracy.

Dane osobowe uzyskane w procesie rekrutacji

Niezależnie od sposobu, w jaki pracodawca poszukuje kandydatów do pracy, proces ten wiąże się z pozyskaniem przez niego danych osobowych zawartych w dokumentach rekrutacyjnych, tj. w CV, listach motywacyjnych, świadectwach pracy, listach referencyjnych itp. Potencjalny pracodawca nie może żądać danych nadmiarowych, które nie są niezbędne do przeprowadzenia rekrutacji. Oznacza to, że danych nie wolno zbierać na zapas, ,,na wszelki wypadek”, tj. bez wykazania zgodnego z prawem celu ich pozyskania i wykazania ich niezbędności dla realizacji celu przez administratora ( pracodawcy).

Dane kandydata pozyskane w procesie rekrutacyjnym można wykorzystać do celów przyszłych rekrutacji tylko wtedy, gdy wyrazi on na to zgodę. W przeciwnym razie, pracodawca ma obowiązek niezwłocznego ich usunięcia.

Umowa z pośrednikiem a RODO

Jeśli pracodawca współpracuje z podmiotami zajmującymi się publikacją ogłoszeń o pracę, powinien zawrzeć z nimi umowę powierzenia przetwarzania danych osobowych – gdy ten podmiot będzie przetwarzał dane kandydatów wyłącznie w imieniu i na rzecz pracodawcy.

O jakie dane osobowe nie wolno pytać podczas rekrutacji

Podczas rozmowy kwalifikacyjnej należy unikać zadawania pytań, które mogłyby danego kandydata:
-zawstydzić,
-naruszyć jego prawo do prywatności, lub
-naruszyć jego dobra osobiste.

Zakazane jest zadawanie pytań kandydatowi dotyczących np. wyznania, przekonań politycznych czy planowanego potomstwa.

Niedopuszczalne jest pozyskiwanie informacji na temat kandydata od jego poprzedniego pracodawcy, jeżeli kandydat nie wyraził na to zgody. Samo złożenie przez niego referencji od poprzedniego nie uprawnia potencjalnego przyszłego pracodawcy do kontaktu z wystawiającym załączone referencje. Podczas procesu rekrutacji wiodącym źródłem informacji, które dotyczą przebiegu pracy zawodowej, powinien być sam kandydat.

Przetwarzanie danych osobowych z niezamawianych a nadesłanych CV

Gdy firma nie prowadzi rekrutacji, a kandydat sam wysyła do niej CV, pracodawca powinien rozważyć, czy rozpoczyna rekrutację, czy też nie jest zainteresowany zatrudnieniem nowych pracowników.
a) Jeżeli zdecyduje się na przeprowadzenie rekrutacji – musi niezwłocznie wypełnić obowiązek informacyjny wobec takiej osoby i rozpocząć działania zmierzające do zawarcia umowy.
b) Jeżeli nie zdecyduje się na przeprowadzenie rekrutacji – powinien niezwłocznie usunąć dane osobowe.

Przetwarzanie danych osobowych podczas okresu zatrudnienia

Zgodnie z art. 22 § 2 i 4 kodeksu pracy, pracodawca ma prawo żądać od pracownika, którego zdecydował się zatrudnić, podania – niezależnie od danych osobowych, które mógł od niego pozyskać w toku rekrutacji – także:
1) innych jego danych osobowych, jak np. imiona, nazwiska i daty urodzenia jego dzieci – jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy,
2) numeru PESEL pracownika,
3) innych jego danych osobowych niż pozyskane w procesie rekrutacji i wskazane wyżej – jeżeli obowiązek ich podania wynika z odrębnych przepisów prawa.

Kontrolowanie poczty elektronicznej

Wiele niedopowiedzeń dotyczy kwestii monitorowania czynności pracownika podczas pracy. Pracodawca może kontrolować pocztę elektroniczną swoich pracowników, ale musi pamiętać, że to upoważnienie dotyczy tylko służbowej poczty elektronicznej. Ma takie prawo, gdy jest to Niezbędne do zapewnienia organizacji pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. To uprawnienie zostało przewidziane w art. 22 k.p.

Powierzenia danych osobowych benefit

Pracodawcy coraz częściej oferują swoim pracownikom korzystanie z tzw. Kart benefisowych, które jest w pełni dobrowolne. Jednak pracodawca nie może udostępniać danych osobowych pracowników podmiotom świadczącym usługi benefitowe bez ich wiedzy i zgody. Przetwarzanie przez takie podmioty danych osobowych pracowników lub innych osób zgłoszonych do programu odbywa się zatem na podstawie wyrażonej przez nich zgody, tj. na podstawie art. 6 ust. 1 lit a RODO.

„Umowy śmieciowe” kontra RODO

Przepisy prawa cywilnego nie określają wprost zakresu danych, które można pozyskiwać podmiot zatrudniający w ramach niepracowniczych form zatrudnienia. Prawo cywilne wyznacza zasadę swobody umów. Ta zaś umożliwia dowolne kształtowanie treści umów, o ile nie sprzeciwia się to charakterowi oraz naturze stosunku zobowiązującego.
Podmiot zatrudniający powinien zatem przeanalizować zakres danych, których zebranie jest konieczne w związku z realizacją umowy i ciążącymi na nim obowiązkami wynikającymi z umowy (np. wypłata wynagrodzenia) lub z przepisów prawa (np. płatność składek na ubezpieczenia społeczne czy zdrowotne). Co istotne, nie ma on tu pełnej swobody, ponieważ jest związany wymogami określonymi przez postanowienia RODO, a w szczególności zasadą ograniczenia celu oraz minimalizacji danych.

Najważniejszy jest cel przetwarzania

Zgodnie z zasadą ograniczenia przechowywania, dane osobowe można przechowywać przez okres nie dłuższy, niż jest to niezbędne do celów, w których te dane są przetwarzane. Przy określeniu czasu przechowywania, podmiot zatrudniający powinien wziąć pod uwagę:
1. Okres trwania umowy,
2. Okres ewentualnego dochodzenia roszczeń związanych z umową (okres przedawnienia roszczeń),
3. Obowiązki wynikające z przepisów prawa.

Samą podstawą przetwarzania danych osobowych w związku z wykonaniem umowy cywilnoprawnej jest niezbędność do:
– wykonania umowy przez osobę, która jest stroną umowy, której dane dotyczą, lub
– podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.

Opracowano na podstawie Rzeczpospolita 29 listopada 2018 r. J.Obniska, Ochrona danych osobowych: dekalog pracodawcy