RODO: nowe zasady retencji i zabezpieczania danych osobowych pracowników

Działy HR i osoby odpowiedzialne za ochronę danych osobowych w organizacjach będą musiały wspólnie uzgodnić proces dostosowania działalności do nowych wymogów. Niezbędne mogą okazać się zmiany lub wprowadzenie nowych polityk i procedur związanych z retencją danych osobowych pracowników, zmiany klauzul informacyjnych czy polityk prywatności przekazywanych pracownikom w związku z obowiązkami wynikającymi z RODO, zmiany w rejestrze czynności przetwarzania danych osobowych prowadzonym zgodnie z RODO czy wprowadzenie zmian związanych z zabezpieczaniem dokumentacji pracowniczej. Wybór elektronicznej formy prowadzenia dokumentacji pracowniczej może także wiązać się z podjęciem lub rozszerzeniem współpracy z zewnętrznym dostawcą takich usług – przy tej okazji warto pamiętać zarówno o wymogach wynikających z nowego rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej, jak również tych wynikających z RODO i związanych w szczególności z powierzaniem przetwarzania (np. przechowywania) dokumentów zawierających dane osobowe pracowników innym podmiotom.

Konieczne zabezpieczenie dokumentacji

Zgodnie z nowym brzmieniem Kodeksu pracy pracodawcy mają możliwość wyboru formy, w której przechowywana jest dokumentacja pracownicza w organizacji – może ona być prowadzona w formie papierowej lub elektronicznej. Obowiązek zabezpieczenia danych osobowych pracowników nie jest nowy i wynika chociażby z RODO. Ustawodawca, wychodząc – jak się wydaje - naprzeciw oczekiwaniom pracodawców, zawarł w nowym rozporządzeniu bardziej szczegółowe wymogi związane z przechowywaniem dokumentacji w postaci elektronicznej. Wskazane zabezpieczenia obejmują w szczególności systematyczne dokonywanie analizy zagrożeń, wprowadzenie procedur zabezpieczania dokumentacji i systemów ich przetwarzania, w tym procedur dostępu, tworzenia kopii zapasowych oraz przechowywania, bieżące kontrolowanie funkcjonowania sposobów zabezpieczenia, a także przygotowanie i realizację planów przechowywania dokumentacji w długim czasie. Nowe przepisy określają także szczegółowe wymogi, które powinien spełniać system teleinformatyczny służący do prowadzenia i przechowywania dokumentacji.

Retencja danych pracowniczych po nowemu

Skrócony został okres przechowywania dokumentacji pracowniczej z 50 do 10 lat od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł (chyba, że odrębne przepisy przewidują dłuży okres przechowywania lub stosunek pracy został nawiązany przed dniem wejścia w życie zmian i nie zostały spełnione dodatkowe wymogi pozwalające na skrócenie okresu przechowywania dokumentacji). Należy także zwrócić uwagę na fakt, że nowy okres przechowywania będzie miał zastosowanie nie tylko do dokumentów znajdujących się w aktach osobowych, lecz także do dokumentacji w sprawach związanych ze stosunkiem pracy, w tym w szczególności do ewidencji czasu pracy, dokumentów związanych z wykonywaniem pracy w godzinach nadliczbowych czy też związanych z ubieganiem się o urlop wypoczynkowy.

Jeśli w ramach procesu implementowania RODO organizacje wdrożyły polityki i procedury związane z retencją danych, wymagać one będą dostosowania do nowych terminów przechowywania dokumentów pracowniczych. Zmiany wymagać mogą także klauzule informacyjne czy rejestry czynności przetwarzania danych osobowych prowadzone zgodnie z RODO.

- Karolina Romanowska, Adwokat, Senior Associate, Deloitte Legal

Dokumenty dotyczące przetwarzania danych osobowych w aktach osobowych

W czasie dostosowywania swojej działalności do wymogów RODO wielu pracodawców miało wątpliwości, gdzie przechowywać dokumenty związane z przetwarzaniem danych osobowych pracowników (np. w aktach osobowych czy w odrębnym segregatorze?). Wątpliwości te rozwiewa nowe rozporządzenie, w którym wskazano wprost, że oświadczenia lub dokumenty dotyczące danych osobowych zgromadzone w związku z ubieganiem się o zatrudnienie, oświadczenia lub dokumenty dotyczące danych osobowych gromadzone w związku z nawiązaniem stosunku pracy, a także potwierdzenie poinformowania pracownika o celu, zakresie oraz sposobie zastosowania monitoringu powinny być przechowywane w aktach osobowych (w części A i B).

Nowe wzory kwestionariuszy osobowych

Na początku roku Ministerstwo Rodziny, Pracy i Polityki Społecznej opublikowało pomocnicze wzory nowych kwestionariuszy osobowych dla osób ubiegających się o zatrudnienie i dla pracowników (dostępne pod adresem https://www.gov.pl/web/rodzina/bip-pomocnicze-wzory-dokumentow-zwiazanych-z-ubieganiem-sie-o-zatrudnienie-nawiazaniem-zmiana-oraz-ustaniem-stosunku-pracy). Wzory te mogą w najbliższym czasie ulec kolejnym zmianom, jako że w Sejmie nadal trwają prace nad nowelizacją Kodeksu pracy w tym zakresie.

***

Nowe regulacje dotyczące retencji i sposobów prowadzenia dokumentacji pracowniczej powinny zainteresować nie tylko działy HR, ale także osoby zajmujące się w organizacjach ochroną danych osobowych. Przepisy te pozostają bowiem w związku z RODO i obowiązkami z niego wynikającymi i mogą wymagać wprowadzenia zmian do funkcjonującej u pracodawcy dokumentacji z zakresu ochrony danych osobowych (np. polityk, procedur, umów powierzenia czy klauzul informacyjnych).