Przepisy RODO i ich zastosowanie w odniesieniu do pracowników

Poradnik omawia następujące zagadnienia:

1. Jak zgodnie z RODO przekazać dane osobowe pracowników poza Polskę?
2. Czy pracodawca musi informować pracowników o przetwarzaniu ich danych osobowych?
3. Benefity pracownicze, czyli jak zmotywować pracowników zgodnie z RODO?
4. Czy RODO reguluje okres przez jaki powinna być przechowywana dokumentacja pracownicza?
5. Uwaga, monitoring!
6. Czy i jakie prawa przysługują pracownikom w związku z przetwarzaniem ich danych osobowych przez pracodawcę?
7. Jakie obowiązki ma pracodawca w przypadku naruszenia ochrony danych osobowych?
8. Czy zgodnie z RODO pracodawca może w aktach osobowych pracownika przechowywać informacje dotyczące życia osobistego pracownika?
9. Czy pracodawca może udostępnić dane pracownika podmiotowi zewnętrznemu? 
10. Czy listy obecności pracowników mogą być ogólnie dostępne?

Jak zgodnie z RODO przekazać dane osobowe pracowników poza Polskę?

Globalizacja procesów związanych z zatrudnieniem, outsourcing i postępująca cyfryzacja stwarzają wiele możliwości, a czasami i konieczność, współpracy i przekazywania przez pracodawców danych osobowych zagranicznym podmiotom (w tym podmiotom z grup kapitałowych).

W przypadku planowania współpracy, z którą będzie się wiązać wymiana danych osobowych, pracodawca powinien odpowiedzieć na kilka pytań:

• Jaki jest status podmiotu, któremu mają być przekazywane dane osobowe – czy jest to administrator (a więc podmiot, który wykorzysta te dane dla własnych celów i potrzeb), czy podmiot przetwarzający dane w imieniu pracodawcy (tzw. procesor)?
• Czy spełnione są warunki takiego przekazania, odnoszące się np. do podstawy prawnej udostępnienia danych czy zawarcia umowy powierzenia przetwarzania danych osobowych?
• Gdzie dane osobowe będą przekazywane – w ramach Europejskiego Obszaru Gospodarczego („EOG”) czy poza EOG?
  
  

Komentarz eksperta

Przekazywanie danych osobowych poza EOG wymaga spełnienia dodatkowych warunków mających na celu zapewnienie odpowiedniego poziomu bezpieczeństwa przekazywanych danych osobowych. W takim przypadku trzeba sprawdzić czy w stosunku do danego państwa czy organizacji Komisja Europejska wydała decyzję o zapewnieniu adekwatnego poziomu ochrony. Jeśli nie, należy zastanowić się nad możliwością skorzystania z innego rozwiązania, np. zawarcia umowy bazującej na standardowych klauzulach umownych, wykorzystania wiążących reguł korporacyjnych (tzw. BCR), uzyskanie zgód od pracowników na transfer danych lub zgody Prezesa Urzędu Ochrony Danych Osobowych.

Ewelina Witek, adwokat, Senior Managing Associate, Kancelaria Deloitte Legal

Czy pracodawca musi informować pracowników o przetwarzaniu ich danych osobowych?

Tak. Pracodawca ma obowiązek spełnić obowiązek informacyjny zarówno wobec kandydata do pracy, jak i pracownika.

W stosunku do kandydata do pracy obowiązek informacyjny zmaterializuje się w chwili pozyskania przez pracodawcę jego danych osobowych. Pracodawca może więc spełnić obowiązek informacyjny bezpośrednio w odpowiedzi na przesłane przez kandydata CV, czy też umieszczając stosowną klauzulę przy formularzu kontaktowym. Konkretny sposób wykonania obowiązku informacyjnego zależeć będzie jednak od okoliczności danej sprawy. Pracodawca korzystający w procesie rekrutacji z agencji rekrutacyjnych powinien dokładnie przeanalizować model łączącej go z agencją współpracy, w szczególności w celu stwierdzenia, który z podmiotów pełni rolę administratora, a który procesora, a tym samym – na kim na danym etapie współpracy z agencją spoczywać będzie obowiązek informacyjny wobec kandydata. Dodatkowo, pracodawca powinien pamiętać, iż po nawiązaniu stosunku pracy, dane pracownika już zatrudnionego przetwarzał będzie w innym celu niż dane kandydata, co wymagać będzie przekazania pracownikowi stosownych informacji.

Komentarz eksperta:

Pracodawca powinien pamiętać, iż w stosunku do pracowników konieczna może być cykliczna aktualizacja obowiązku informacyjnego, w szczególności w sytuacji, gdy zachodzą zmiany w treści przekazanych pracownikowi uprzednio informacji. Pracodawca może skorzystać w tym celu z różnych dostępnych narzędzi - takich jak intranet, tablica ogłoszeń, przesłanie klauzuli informacyjnej mailem. Wybór sposobu komunikacji z pracownikiem pracodawca powinien poprzedzić analizą pozwalającą stwierdzić, czy dane narzędzie umożliwi dotarcie do wszystkich pracowników oraz czy zapewni pracodawcy rozliczalność (tj. czy umożliwią wykazanie przed organem nadzoru, że obowiązek rzeczywiście został spełniony).

Agata Jankowska-Galińska, radca prawny, Senior Manager, Kancelaria Deloitte Legal

Benefity pracownicze, czyli jak zmotywować pracowników zgodnie z RODO?

Niemalże standardem stało się zapewnianie przez pracodawców różnego rodzaju dodatkowych korzyści dla pracowników. Mogą one obejmować m.in. prywatną opiekę medyczną, programy sportowe (np. karty na siłownie), czy dodatkowe ubezpieczenia pracownicze.

Zapewnianie benefitów wiąże się zazwyczaj z przekazywaniem przez pracodawców (udostępnianiem) danych osobowych pracowników podmiotom świadczącym usługi w tym zakresie.

W związku z tym niezwykle ważne jest wcześniejsze zweryfikowanie czy i na jakiej podstawie pracodawca może przekazać dane osobowe pracowników ww. podmiotom, np. czy posiada stosowną zgodę w tym zakresie lub dysponuje inną podstawą prawną takiego przekazania. Należy także sprawdzić czy w takim przypadku pracodawca będzie przetwarzał dane osobowe pracowników na zlecenie podmiotów zapewniających benefity pracownicze, np. poprzez zbieranie oświadczeń zgód od pracowników. Jeśli tak, konieczne będzie spełnienie dodatkowych warunków, jak np. zawarcie stosownej umowy powierzenia przetwarzania danych osobowych.
 

Czy RODO reguluje okres przez jaki powinna być przechowywana dokumentacja pracownicza?

Ustalenie właściwego czasu przechowywania dokumentacji pracowniczej zawierającej dane osobowe (czyli określenie okresów retencji) oraz zapewnienie, iż dokumentacja nie będzie przechowywana dłużej niż wskazują właściwe dla niej okresy retencji, stanowi jedno z najpoważniejszych wyzwań, jakie stoją przed administratorami danych osobowych. Zgodnie z zasadą ograniczenia przechowywania wynikającą z RODO dane osobowe musza być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. W związku z tym, iż kwestia długości przechowywania dokumentacji pracowniczej regulowana jest przez szereg ustaw oraz wydanych na ich podstawie rozporządzeń, pracodawca powinien posługiwać się narzędziami, które pozwolą na zarządzanie dokumentacją pracowniczą w taki sposób, aby zapewnić, iż po upływie właściwych okresów retencji dokumenty będą niszczone lub anonimizowane w sposób nie pozwalający na identyfikację osoby fizycznej.

Komentarz eksperta:

W zależności od wielkości organizacji, narzędzia pozwalające na właściwe zarządzanie czasem przechowywania dokumentacji pracowniczej, mogą mieć charakter zautomatyzowany (np. właściwy program) lub niezautomatyzowany (np. przygotowanie tabeli w Excelu, wskazującej typ dokumentu oraz właściwy dla niego okres retencji). Bardzo ważne jest, aby pracodawca zapewnił cykliczny przegląd okresów retencji – przepisy prawa określające długość przechowywania dokumentacji pracowniczej mogą bowiem ulegać zmianom. Jako przykład możemy wskazać zmiany wprowadzone ustawą z dnia 10 stycznia 2018 r. o zmianie niektórych ustaw w związku ze skróceniem okresu przechowywania akt pracowniczych oraz ich elektronizacją, która pozwala na skrócenie czasu przechowywania dokumentacji pracowniczej z 50 do 10 lat. Skorzystanie z krótszego okresu przechowywania dokumentacji pracowniczej możliwe będzie w stosunku do pracowników zatrudnionych po dniu 31 grudnia 1998 r., a przed dniem 1 stycznia 2019 r. - po spełnieniu określonych w ustawie warunków.

Agata Jankowska-Galińska, radca prawny, Senior Manager, Kancelaria Deloitte Legal

Uwaga, monitoring!

Pracodawca powinien pamiętać, że regulacje dotyczące danych osobowych znajdą zastosowanie także w przypadku stosowania monitoringu wobec pracowników. Polskie przepisy precyzyjnie określają, w jakim przypadku dopuszczalne jest wprowadzenie danego rodzaju monitoringu.

I tak, monitoring wizyjny zakładu pracy lub teren wokół zakładu pracy może zostać wprowadzony jedynie w następujących celach: zapewnienia bezpieczeństwa pracowników, ochrony mienia, kontroli produkcji czy zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.

Z kolei monitoring poczty elektronicznej może zostać wprowadzony, jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy (dopuszczalne jest stosowanie także innych rodzajów monitoringu, o ile ich zastosowanie jest również konieczne dla realizacji tego celu, np. monitoring GPS w samochodach służbowych).  

Komentarz eksperta:

Jeśli pracodawca podejmie decyzję o wprowadzeniu monitoringu, powinien pamiętać w szczególności o następujących obowiązkach:

• oznaczenie w sposób widoczny i czytelny pomieszczeń i terenu monitorowanego;
• określenie celów, zakresu oraz sposobu zastosowania monitoringu w aktach wewnętrznych pracodawcy;
• poinformowanie pracowników o wprowadzeniu monitoringu (spełnienie obowiązku informacyjnego);
• przechowywanie nagrań/zapisów z monitoringu przez okres nieprzekraczający 3 miesięcy od dnia nagrania (za wyjątkiem nagrań stanowiących/mogących stanowić dowód w postępowaniu prowadzonym na podstawie prawa).

Karolina Romanowska, adwokat, Senior Associate, Kancelaria Deloitte Legal
 

Czy i jakie prawa przysługują pracownikom w związku z przetwarzaniem ich danych osobowych przez pracodawcę?

Pracownik ma określone prawa przysługujące na gruncie RODO, takie jak np. prawo dostępu do danych i uzyskania ich kopii, prawo żądania sprostowania danych, ograniczenia ich przetwarzania, prawo żądania usunięcia danych, prawo do cofnięcia zgody (jeśli dane są przetwarzane na tej podstawie) czy prawo wniesienia sprzeciwu.

Pracodawca zaś ma obowiązek zapewnić obsługę tych praw i udzielać odpowiedzi w terminie. Warto także pamiętać, że powyższe prawa nie mają charakteru bezwzględnego - w niektórych sytuacjach pracodawca nie będzie mógł spełnić żądania pracownika. Dzieje się tak na przykład, gdy pracownik zwróci się o usunięcie jego/jej danych, natomiast pracodawca jest zobowiązany do ich przetwarzania na podstawie przepisów prawa pracy, ubezpieczeń społecznych czy przepisów podatkowych. Wówczas wykonanie wniosku pracownika nie będzie możliwe.

Z uwagi na ciążące na pracodawcy obowiązki i terminy udzielania odpowiedzi warto przygotować i wdrożyć odpowiednie procedury przyjmowania oraz realizacji wniosków pracowników związanych z korzystaniem z przysługujących im praw.
 

Jakie obowiązki ma pracodawca w przypadku naruszenia ochrony danych osobowych?

Naruszenie ochrony danych osobowych to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu. Naruszeniem może być przykładowo zgubienie teczek pracowniczych, wysłanie listy płac do osób nieuprawnionych do otrzymania takich informacji, czy zgubienie laptopa, na którego dysku zapisane zostały dane osobowe.

Co do zasady pracodawca ma obowiązek zgłosić naruszenie Prezesowi Urzędu Ochrony Danych Osobowych w ciągu 72 godzin od jego stwierdzenia wraz z podaniem informacji dotyczących takiego naruszenia, takimi jak na przykład: opis charakteru naruszenia, kategorie danych i osób, których naruszenie dotyczy, konsekwencje naruszenia czy środki zastosowane w celu zaradzenia. W niektórych przypadkach pracodawca będzie także zobowiązany poinformować osoby, których dane dotyczą, o naruszeniu.

Z uwagi na krótki termin przekazania zgłoszenia organowi oraz możliwe konsekwencje z tym związane pracodawca powinien wdrożyć wewnętrzne procedury zgłaszania i postępowania z naruszeniami oraz zaznajomić z nimi pracowników tak, aby wiedzieli: komu, w jaki sposób i kiedy zgłosić naruszenie lub jego podejrzenie, a także jakie informacje przekazać.
 

Czy zgodnie z RODO pracodawca może w aktach osobowych pracownika przechowywać informacje dotyczące życia osobistego pracownika?

RODO wprowadza szereg zasad dotyczących przetwarzania danych osobowych, a wśród nich zasadę minimalizacji danych. Zasada ta - w połączeniu z właściwymi przepisami polskiego prawa - ma wpływ na zakres informacji oraz rodzaje dokumentacji, jakie mogą być gromadzone w aktach osobowych pracownika. Przykładowo, art. 22¹ § 1 i 2 Kodeksu pracy wskazuje, jakich danych osobowych może pracodawca żądać od kandydata do pracy i pracownika. Udostępnienie pracodawcy tych danych osobowych następuje w formie oświadczenia osoby, której one dotyczą, przy czym pracodawca ma prawo żądać ich udokumentowania.

Warto podkreślić, iż w aktach osobowych pracownika będą mogły znaleźć się też określone informacje dotyczące życia osobistego pracownika, których podanie jest niezbędne, aby pracownik mógł skorzystać z określonych, przysługujących mu uprawnień (np. fakt zawarcia małżeństwa, czy też uczestniczenia w akcji krwiodawstwa).

Czy pracodawca może udostępnić dane pracownika podmiotowi zewnętrznemu?

W czasie trwania stosunku pracy, po stronie pracodawcy, może pojawić się potrzeba przekazania danych osobowych pracowników do podmiotów zewnętrznych. Taka sytuacja może wystąpić m.in. wobec:

a) innych podmiotów z grupy kapitałowej, do której należy pracodawca (np. w celu organizacji jednakowych szkoleń dla wszystkich pracowników całej grupy);

b) kontrahentów pracodawcy (np. w związku z zapewnianymi przez pracodawcę dodatkowymi świadczeniami medycznymi, zawarciem przez pracodawcę umowy o świadczenie usług obsługi księgowej);

c) organów takich jak np. policja, prokuratura, komornicy.

W każdym przypadku przekazanie danych osobowych pracownika musi nastąpić w oparciu o określoną podstawę prawną. Najczęściej spotykanymi w praktyce podstawami przekazania danych do podmiotu trzeciego będą umowa, ciążący na administratorze obowiązek prawny lub prawnie uzasadniony interes administratora.

Podmiot zewnętrzny otrzymujący od pracodawcy dane osobowe pracownika działać będzie, w zależności od okoliczności, jako procesor (podmiot przetwarzający dane osobowe w imieniu administratora), odrębny administrator lub współadministrator.
 

Czy listy obecności pracowników mogą być ogólnie dostępne?

Jednym ze sposobów potwierdzania przez pracownika jego obecności w pracy jest podpisanie listy obecności. Lista ta jest najczęściej dostępna dla wszystkich pracowników. Aby zapewnić zgodność z zasadami poufności oraz minimalizacji danych wynikających z RODO, na liście obecności możemy zamieścić imię i nazwisko pracownika, a także informację czy jest on obecny w danym dniu, czy też nie. Na liście tej nie powinno się jednak zamieszczać informacji o powodach nieobecności (takich jak na przykład urlop czy zwolnienie lekarskie). Właściwym miejscem na zamieszczenie takich danych jest nie ogólnie dostępna lista obecności, a ewidencja czasu pracy, dostęp do której posiadać powinny jedynie wyznaczone przez pracodawcę osoby, przede wszystkim odpowiedzialne za sprawy kadrowe.