Przechowywanie dokumentacji pracowników według RODO

Od 4 maja 2019 roku obowiązują nowe przepisy dotyczące przetwarzania danych osobowych przez pracodawców. Jakie zmiany wprowadziła nowa ustawa?

Tworzenie i przechowywanie dokumentacji pracowniczej wchodzi w zakres przetwarzania danych osobowych w rozumieniu RODO. Pracodawca zarządzając dokumentacją pracowniczą jest zobowiązany przestrzegać przepisy o ochronie danych osobowych. 

Zamknięty katalog danych osobowych zbieranych przez pracodawcę

Firmy mają obowiązek zbierania informacji niezbędnych do osiągnięcia celu przetwarzania (w myśl zasady adekwatności). Dane osobowe, jakich pracodawca może wymagać od osób ubiegających się o pracę i pracowników, zawarte są w zamkniętym katalogu w art. 22¹ Kodeksu Pracy oraz w przepisach odrębnych. 

4 maja 2019 r. weszła w życie ustawa¹ zmieniająca, m. in. regulacje zawarte w Kodeksie Pracy, dotyczące zbieranych kategorii danych osobowych przez pracodawcę.

Obecnie pracodawca jest uprawniony do otrzymania od osoby ubiegającej się o zatrudnienie następujących danych osobowych: 
imię (imiona) i nazwisko, 

• imię (imiona) i nazwisko,
• data urodzenia,
• dane kontaktowe wskazane przez taką osobę,
• wykształcenie,
• kwalifikacje zawodowe,
• przebieg dotychczasowego zatrudnienia (art. 22¹ § 1 KP).

Warto podkreślić, że pracodawca powinien zbierać tylko te dane osobowe, które są konieczne do celu, jakim jest zatrudnienie danej osoby (zgodnie z zasadą minimalizacji). Nie każdy stosunek pracy wymaga gromadzenia wszystkich powyższych informacji. W gestii pracodawcy pozostaje ocena czy informacje o wykształceniu, kwalifikacjach zawodowych czy dotychczasowym przebiegu zatrudnienia są konieczne do wykonywania pracy określonego rodzaju lub na określonym stanowisku (art. 22¹ § 2 KP). 

W przypadku zakończenia procesu rekrutacji decyzją o zatrudnieniu, pracodawca ma prawo wymagać od pracownika dodatkowych informacji, niezależnie od danych, które uzyskał w procesie rekrutacji, a mianowicie:

• adresu zamieszkania,
• numeru PESEL, a w przypadku jego braku – rodzaju i numeru dokumentu potwierdzającego tożsamość,
• innych danych osobowych pracownika, a także danych osobowych dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy,
• wykształcenia i przebiegu dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie,
• numeru rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych (art. 22¹ § 3 KP).

Dodatkowo pracodawca ma prawo zażądać podania innych danych niż ww. od osoby ubiegającej się o zatrudnienie i pracownika, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 22¹ § 4 KP).

Wskazane dane osobowe wyczerpująco realizują przesłankę istnienia obowiązku prawnego ciążącego na pracodawcy jako podstawę przetwarzania danych osobowych (art. 6 ust. 1 lit. C RODO). 

Jaka jest podstawa przetwarzania danych osobowych spoza zamkniętego katalogu?

Zbieranie innych danych osobowych następuje na podstawie zgody, jednak dotyczy to tylko tzw. zwykłych danych osobowych (art. 22^1a § 1 KP). Natomiast przetwarzanie danych szczególnie chronionych następuje w przypadku własnej inicjatywy osoby, której dane dotyczą (art. 22^1b  § 1 KP). Wymagana jest zgoda wyraźna (art. 9 ust. 1 RODO). W tym wypadku podstawą przetwarzania takich danych będzie art. 6 ust. 1 lit. A RODO. 

Wyłączone zostało przetwarzanie danych osobowych dot. wyroków skazujących i naruszeń prawa (art. 10 RODO). Takie dane mogą być przetwarzane tylko i wyłącznie na podstawie przepisu prawa. 

Obowiązki administratora danych osobowych

Na pracodawcy, jako administratorze danych osobowych, spoczywa spełnienie obowiązku informacyjnego z art. 13 RODO wobec osoby, której dane są przetwarzane, zarówno podczas zbierania danych osobowych w celu rekrutacyjnym, jak i w celu nawiązania stosunku pracy. Przy czym należy podkreślić, że pracodawca w przypadku zatrudnienia pracownika musi ponownie spełnić wobec niego obowiązek informacyjny. Jednakże, zgodnie ze stanowiskiem Urzędu Ochrony Danych Osobowych, cel ten można spełnić także poprzez umieszczenie stosownych informacji w tym zakresie w ramach klauzuli informacyjnej przekazywanej kandydatom w toku rekrutacji. 

Zgodnie z nowymi przepisami pracodawca powinien dokonać uaktualnienia klauzul informacyjnych i zgód oraz stosownych zmian w kwestionariuszach osobowych osób ubiegających się o zatrudnienie i pracownikach. 

Najważniejsze pytania:

Czy dane osobowe, które były do tej pory zbierane znajdujące się w aktach osobowych pracownika powinny zostać zamazane w celu zaprzestania przetwarzania ?

Czy zmiana podstawy przetwarzania danych osobowych powoduje obowiązek administratora danych do ponownego spełnienia obowiązku informacyjnego o okolicznościach zmian jakie zaszły? 

Chcesz dowiedzieć się więcej? Zapraszamy do kontaktu.

Źródła:

1. Kodeks Pracy (Dz. U.  z 2018 poz. 917);
2. ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (EU) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. U. z 2019 r. poz. 730);
3. rozporządzenie Parlamentu Europejskiego i Rady (EU) 2016/678 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochrony danych).