RODO, dane personalne, HR

RODO w HR – najczęstsze pytania pracodawców

2020-01-21
RODO, dane personalne, HR
Każdy pracodawca przetwarza dane osobowe swoich pracowników i kandydatów do pracy. Co więcej, może także przetwarzać dane pracowników w odniesieniu do środowiska pracy (np. nagrania z monitoringu). Nieprzestrzeganie RODO może prowadzić do poważnych konsekwencji dla pracodawcy, dlatego warto skorzystać z praktycznych wskazówek.

Każdy pracodawca przetwarza dane osobowe swoich pracowników i kandydatów do pracy. Co więcej, może także przetwarzać dane pracowników w odniesieniu do środowiska pracy (np. nagrania z monitoringu). Nieprzestrzeganie RODO może prowadzić do poważnych konsekwencji dla pracodawcy, dlatego warto skorzystać z praktycznych wskazówek.

Poniżej przedstawiamy odpowiedzi na często pojawiające się pytania dotyczące zastosowania RODO w obszarze HR.

  1. Czy pracodawca ma obowiązek stosowania kwestionariuszy dla osób ubiegających się o zatrudnienie oraz pracowników?

    Art. 221 Kodeksu pracy wskazuje zakres kategorii danych, jakie pracodawca może zbierać od osób ubiegających się o zatrudnienie oraz pracowników. Zgodnie z art. 94 pkt 9a Kodeksu pracy firma ma obowiązek dla każdego pracownika prowadzić akta osobowe, w których umieszcza się, m.in. informacje uzyskane od osoby ubiegającej się o zatrudnienie i pracownika. Nie jest wskazane w jakiej formie te informacje powinny zostać przekazane – za pomocą oświadczenia dla każdej z kategorii danych czy też zbiorczo w kwestionariuszu osobowym. W praktyce najczęściej stosowanym rozwiązaniem są kwestionariusze osobowe.

  2. Czy pracodawca może przetwarzać informacje dotyczące stanu zdrowia pracownika?

    Pracodawca może przetwarzać dane osobowe pracownika niezbędne do skorzystania przez niego ze szczególnych uprawnień (art. 221 § 4 Kodeksu pracy), dotyczy to np. informacji o stopniu niepełnosprawności czy ciąży. Jeżeli te dane są niezbędne do realizacji uprawnienia lub obowiązku określonego w przepisach prawa, pracodawca może je przetwarzać. Podanie danych osobowych o stanie zdrowia czy innych danych wrażliwych, które nie zostały zebrane zgodnie z prawem (tj. nie są one niezbędne do skorzystania z praw czy wypełnienia obowiązku lub pracownik nie wyraził wyraźnej zgody na ich przetwarzanie), powinno skutkować zwrotem dokumentów do pracownika i trwałym usunięciem danych z bazy danych firmy.

  3. Czy pracodawca może wykonywać kserokopie świadectw pracy poprzednich pracodawców i dyplomów potwierdzających wykształcenie?

    Zgodnie z przepisami Kodeksu pracy, pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie danych osobowych obejmujący przebieg dotychczasowego zatrudnienia (art. 221 § 1 Kodeksu pracy). Podanie tych danych może nastąpić w formie oświadczenia osoby, której dane dotyczą. Pracodawca może zażądać także udokumentowania tych informacji w zakresie niezbędnym do ich potwierdzenia (art. 221 § 5 Kodeksu pracy). Jednoznacznie można stwierdzić, że świadectwa pracy zawierają wszystkie konieczne informacje dotyczące okresu zatrudnienia – są one niezbędne do określenia kwestii w zakresie nowego stosunku pracy (np. wymiar urlopu).  Zgodnie z RODO pracodawca może wykonać kserokopię świadectw pracy poprzednich pracodawców.

    Jeśli chodzi o kserokopie świadectw lub dyplomów z uczelni, pracodawca musi ocenić czy dane stanowisko pracy wymaga posiadania konkretnego wykształcenia. Jeżeli tak, celowym jest wykonanie kserokopii dokumentów potwierdzających ukończenie odpowiedniego etapu lub kierunku edukacji. Dobrą praktyką może być też złożenie przez pracownika oświadczenia o posiadanych kwalifikacjach oraz okazanie stosownych dokumentów do ich potwierdzenia, np. oryginałów certyfikatów, dyplomów i zaświadczeń potwierdzających kwalifikacje zawodowe. Osoba z działu HR powinna na oświadczeniu dołączyć zapis o okazaniu.

  4. Jak postąpić w sytuacji zmiany nazwiska pracownika, tak aby zachować zgodność z danymi, w których posiadaniu jest pracodawca?

    Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której dane dotyczą, pracodawca ma także prawo żądać udokumentowania tychże danych osobowych (art. 221 § 5 Kodeksu pracy). W tym wypadku pożądanym działaniem będzie przedstawienie przez pracownika, w zależności od powodu zmiany nazwiska, dokumentu potwierdzającego dokonanie tej czynności (np. skróconego aktu małżeństwa). Nie należy dokonywać kserokopii dokumentu, lecz jedynie przedstawić taki dokument do wglądu, a pracodawca powinien sporządzić notatkę o okazaniu np. na kwestionariuszu osobowym).

  5. Czy pracodawca może przetwarzać dane osobowe osób ubiegających się o zatrudnienie i pracowników, które były zbierane przed zmianą przepisów dotyczącą zakresu danych osobowych z dnia 4 maja 2019 r., na podstawie art. 221 Kodeksu pracy – np. imiona rodziców?

    Prawo nie działa wstecz – nie ma podstaw prawnych do usuwania z akt osobowych pracowników znajdujących się tam danych. Co więcej, wprowadzając nowe przepisy, ustawodawca nie określił przy tym obowiązków leżących po stronie pracodawcy dotyczących postępowania z tymi danymi, które wcześniej można było przetwarzać, a obecnie jest to niedozwolone. Jeśli dane osobowe, w których posiadaniu jest pracodawca, były zbierane zgodnie z obowiązującym wówczas prawem, nie ma potrzeby ich usuwania.

  6. Czy pracodawca może pobierać i przetwarzać linie papilarnych pracowników w celu kontroli czasu pracy za zgodą pracownika? Czy pracodawca może przetwarzać dane biometryczne pracownika?

    W orzecznictwie (np. wyrok Naczelnego Sądu Administracyjnego z 1 grudnia 2009 r., I OSK 249/09, tak też wypowiedział się ówczesny GIODO) dominuje pogląd, że złożenie przez pracownika oświadczenia, którego treścią jest wyrażenie zgody na przetwarzanie danych osobowych w postaci linii papilarnych, nie stanowi przesłanki legalizującej przetwarzanie danych osobowych pracowników. Nie wskazane jest stosowanie urządzeń przetwarzających linie papilarne pracowników w celu kontroli ich pracy, nawet po uzyskaniu uprzedniej zgody pracowników.

    W art. 221b § 2 Kodeksu pracy została ukazana specyfika przetwarzania danych należących do szczególnej kategorii, jakimi są dane biometryczne (art. 4 pkt 14 RODO) w celu jednoznacznego zidentyfikowania osoby fizycznej. W przepisach wskazany jest jednak konkretny cel jakiemu może ono towarzyszyć, tj., gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony. Kontrolując dostęp do takich miejsc przy użyciu biometrii, pracodawca nie musi odbierać od pracowników osobnej zgody na przetwarzanie ich danych osobowych w celu weryfikacji osób wchodzących do miejsca chronionego. Podstawą przetwarzania danych będzie w takiej sytuacji uzasadniony interes pracodawcy. Należy pamiętać także o posiadaniu pisemnych upoważnień przez osoby, które zostały dopuszczone do przetwarzania danych szczególnej kategorii – najlepiej w odrębnym dokumencie, w którego treści stwierdzone zostanie, do jakich konkretnie danych pracownik będzie miał dostęp i w jakim zakresie będą one przetwarzane.

  7. Czy pracodawca może umieszczać wizerunek pracowników na identyfikatorach, w intranecie i podobnych miejscach? Czy może wykorzystywać wizerunek pracownika w celach promocyjnych?

    Pracodawca może wykorzystywać wizerunek pracownika zarówno w sferze działalności wewnętrznej (np. zdjęcie pracownika na identyfikatorach, w intranecie, newsletterze), jak i w sferze zewnętrznej (w ofertach dla klientów, w materiałach marketingowych). Pracodawca może wykorzystywać wizerunek pracownika wówczas, gdy pozwala na to przepis prawa lub na podstawie wyrażonej przez pracownika zgody. Korzystanie z wizerunku osoby w celu jego rozpowszechnienia reguluje art. 81 prawa autorskiego, zgodnie z którym wymagane jest stosowne zezwolenie (z trzema wyjątkami). Pracodawca, aby móc wykorzystywać wizerunek pracownika w strefie działalności wewnętrznej musi więc uzyskać od niego zgodę.

Skontaktuj się z naszym ekspertem

Krzysztof Grabowski
Krzysztof Grabowski
Inspektor Ochrony Danych Osobowych
Crowe

Ochrona danych osobowych

Konsulting