Po zmianach wprowadzonych do Kodeksu pracy w związku z wdrożeniem RODO do polskiego porządku prawnego uporządkowano dane osobowe, jakie mogą być przetwarzane na etapie rekrutacji, czyli od osób ubiegających się o pracę oraz następnie od zatrudnionych, będących pracownikami. W praktyce jednak doszło do wyodrębnienia jeszcze podmiotu pośredniego określanego mianem "osoby przyjmowanej do pracy", czyli kandydata wybranego spośród wszystkich osób uczestniczących w rekrutacji. Zatem różnie wygląda sytuacja na kolejnych etapach procesu zatrudnienia i są de facto 3 przypadki:
|
W przypadku kandydatów do pracy (osób ubiegających się o zatrudnienie), zgodnie z art. 221 § 1 K.p., pracodawca może żądać podania jedynie danych osobowych obejmujących:
1) imię (imiona) i nazwisko,
2) datę urodzenia,
3) dane kontaktowe wskazane przez taką osobę,
4) wykształcenie,
5) kwalifikacje zawodowe,
6) przebieg zatrudnienia (także umowy cywilne - por. str. 13 niniejszego dodatku).
Przy czym pracodawca żąda danych z pkt 4-6, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.
Wśród powyższych danych nie ma dwóch głównych danych, którymi pracodawcy posługują się w celu identyfikacji pracownika, a więc numeru PESEL oraz adresu jego zamieszkania. Co do zasady kandydat na pracownika powinien być zatem identyfikowany za pomocą daty urodzenia. Ewentualnie można dodatkowo wykorzystać numer identyfikacyjny nadany mu w systemie kadrowo-płacowym.
Uwaga! W ramach procesu rekrutacji pracodawca ma oczywiście prawo wylegitymować kandydata do pracy w celu zweryfikowania jego tożsamości, co nie daje mu jednak prawa do kopiowania dowodu osobistego, czy spisania z niego jakichkolwiek dodatkowych danych osobowych. Dowód powinien być okazany w dwóch celach - aby zweryfikować imię i nazwisko oraz datę urodzenia kandydata do pracy oraz dodatkowo, aby stwierdzić, że osoba, z którą jest prowadzona rozmowa kwalifikacyjna jest tą, za którą się podaje.
Kolejne dane, których może żądać pracodawca od kandydata do pracy to "dane kontaktowe wskazane przez tę osobę", a więc w tym zakresie pracodawca nie może wprost zażądać adresu e-mail oraz adresu zamieszkania, gdyż decyzję w tej sprawie podejmuje osoba zatrudniana, co wyraźnie wynika z treści przepisu Kodeksu pracy. Nie ma jednak przeciwwskazań, aby zasugerować pracownikowi, jakie może podać dane kontaktowe, o ile będzie wiele możliwości wyboru. Przykładowo w kwestionariuszu dla kandydata do pracy można wskazać kilka danych kontaktowych do wyboru i poprosić o wybranie dwóch z listy np.:
- numeru telefon komórkowego,
- adresu e-mail,
- adresu do korespondencji,
- skrytki pocztowej,
- innego kontaktu.
Ważne: Pracodawca, który uzyskał w ww. sposób dane takie jak prywatny numer telefonu, czy adres e-mail pracownika, może się nimi posługiwać tylko w związku z przeprowadzeniem rekrutacji i dokończeniem procesu zatrudnienia pracownika, a następnie w trakcie zatrudnienia pracownika nie może już z nich korzystać, a gdy jest taka potrzeba, powinien uzyskać zgodę pracownika na wykorzystanie takich danych w innych procesach przetwarzania danych osobowych niż proces rekrutacyjny. |
Stanowisko spójne w powyższym zakresie reprezentują zarówno MRPiPS, jak i UODO.
Zgodnie ze stanowiskiem MRPiPS z 9 sierpnia 2019 r., pracodawca pozyskuje określone prawem dane od osoby ubiegającej się o zatrudnienie tylko w celu przeprowadzenia rekrutacji, co oznacza, że takie informacje, jeśli nie są niezbędne do nawiązania stosunku pracy, mogą być przetwarzane w trakcie zatrudnienia wyłącznie za zgodą pracownika. Resort wskazał, że taka sytuacja dotyczy np. prywatnego numeru telefonu udostępnionego przez osobę ubiegającą się o zatrudnienie.
Analogiczne stanowisko zajął UODO w wyjaśnieniach zamieszczonych na stronie internetowej http://www.vademecumkadrowego.pl/artykul_narzedziowa,1189,0,19933,wybrane-stanowiska-uodo.html (wyjaśnienia z 17.8.2020 r.) przyjmując, że pracodawca, który dysponuje danymi kontaktowymi do pracownika, pozyskanymi podczas rekrutacji, takimi jak np. adres prywatnej poczty elektronicznej czy numer telefonu, nie może ich wykorzystywać do kontaktów zawodowych z pracownikiem bez jego zgody. UODO wskazał, że aby pracodawca mógł przetwarzać w celach zawodowych dane kontaktowe, które pozyskał podczas rekrutacji, musi uzyskać na to pisemną zgodę pracownika, określającą zasady kontaktu. Urząd podkreślił, że pozyskując dane, o których mowa w art. 221 § 1 K.p., pracodawca, spełniając obowiązek informacyjny deklaruje, że będzie je przetwarzał jedynie na potrzeby naboru, a zatem na nowy cel przetwarzania danych pracownika musi on pozyskać zgodę zatrudnionego. UODO wskazał następnie, że inna sytuacja powstaje wówczas, gdy zgodnie z art. 221 § 4 K.p., pracodawca żąda podania innych danych osobowych pracownika niż określone w § 1 i 3 (jak m.in. imię, nazwisko, adres zamieszkania, czy numer PESEL), gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Jako przykład podał przekazanie danych kontaktowych, np. prywatnego adresu e-mail i numeru telefonu, w związku z obowiązkiem zawarcia umowy o prowadzenie PPK z wybraną instytucją finansową. Podstawą legalizującą działania pracodawcy w tym przypadku jest art. 6 ust. 1 lit. c RODO, gdyż pracodawca jedynie realizuje nałożony na niego obowiązek prawny. Należy jednak pamiętać, że w takiej sytuacji pracodawca może przetwarzać takie dane jedynie w celu ich przekazania do instytucji finansowej.
Przykład |
Pracownik na etapie rekrutacji podał do kontaktu zarówno prywatny numer telefonu komórkowego, jak i adres e-mail. Następnie w pierwszym dniu zatrudnienia zadeklarował przystąpienie do PPK i wypełnił odpowiednią deklarację, w której powtórzył te dane kontaktowe.
Powyższe oznacza, że pracodawca może je wykorzystać przy zawieraniu w imieniu pracownika umowy o prowadzenie PPK, ale nie może ich wykorzystywać następnie w innych celach. Gdyby na prywatny adres mailowy miały być wysyłane jakieś informacje dla pracownika, np. harmonogramy czasu pracy, czy listki płacowe, to pracodawca powinien uzyskać w tym celu zgodę od pracownika na przetwarzanie tych danych przez pracodawcę w konkretnych celach.
W odniesieniu do adresu zamieszkania przyjęto w praktyce jednak możliwość jego pozyskania od osoby wybranej w procesie rekrutacji, gdyż jest to już ktoś więcej niż kandydat do pracy - osoba ubiegająca się o zatrudnienie i w ten sposób powstał podmiot pośredni, który określamy mianem osoby przyjmowanej do pracy. W Kodeksie pracy takim zwrotem posługuje się m.in. art. 229 § 1 K.p. w przypadku wstępnych badań lekarskich. UODO przyjęło w tym zakresie ostatecznie, że w przypadku, gdy pracodawca zdecydował się zatrudnić konkretną osobę, to na podstawie art. 221 § 3 K.p. ma prawo żądać podania, niezależnie od danych osobowych, które mógł od kandydata pozyskać w toku rekrutacji, także m.in. jego adresu zamieszkania. Zbieranie tego rodzaju danych osobowych jest w ocenie urzędu nie tylko dopuszczalne w świetle przepisów Kodeksu pracy i RODO, ale także jest niezbędne w celu zawarcia umowy o pracę (stanowisko UODO z 5 lipca 2019 r.). W takiej sytuacji wydaje się jednak niezbędnym, aby w klauzuli informacyjnej dla takiej osoby ująć także art. 6 ust. 1 lit. b RODO, a nie tylko art. 6 ust. 1 lit. c RODO, gdyż nie wszystkie dane będą przetwarzane w związku z wykonywaniem obowiązków wynikających z przepisów prawa.
Mając powyższe na uwadze, możliwe są zatem dwa scenariusze:
- pracodawca przetwarza tylko dane wynikające wprost z Kodeksu pracy, a więc w liście intencyjnym, umowie przedwstępnej, skierowaniu na badania wstępne oraz pierwszej umowie o pracę zawieranej z danym pracownikiem wpisuje jedynie imię i nazwisko pracownika oraz jego datę urodzenia,
- pracodawca decyduje się dodatkowo na przetwarzanie danych osobowych w zakresie adresu zamieszkania i w tym celu modyfikuje klauzulę informacyjną dla osoby przyjmowanej do pracy i wtedy we wszystkich dokumentach związanych z zatrudnieniem posługuje się już także adresem zamieszkania osoby przyjmowanej do pracy.
Ostatnią grupę danych osobowych, jakiej pracodawca może żądać od kandydatów do pracy są dane dotyczące wykształcenia, kwalifikacji zawodowych oraz przebiegu zatrudnienia, z tym że jest to możliwe, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. Zatem w tym zakresie istnieje powiązanie pomiędzy wymaganiami kwalifikacyjnymi stawianymi kandydatom, a rodzajami danych osobowych, czy dokumentów, jakich będzie można od nich żądać.
Przykład |
Dział rekrutacji dostał w danym miesiącu dwa zadania do wykonania: zrekrutowania samodzielnej księgowej z 10-letnim doświadczeniem zawodowym i znajomością języka francuskiego oraz 5 pracowników produkcyjnych, w stosunku do których nie ma określonych wymagań, gdyż jest to prosta praca przy taśmie produkcyjnej.
W pierwszym przypadku można żądać od kandydatów do pracy zaświadczeń dotyczących kursów językowych oraz świadectw pracy i dyplomów z uczelni, aby zweryfikować doświadczenie kandydata, a w drugim świadectwa pracy, czy świadectwa szkolne nie powinny być analizowane ze względu na obowiązującą w RODO zasadę minimalizacji danych.
Pojęcie "zatrudnienia" w kontekście żądania przez pracodawcę od osoby ubiegającej się o zatrudnienie podania danych osobowych należy rozumieć szeroko, a nie tylko jako zatrudnienie na podstawie stosunku pracy. Tezę taką potwierdził Sąd Najwyższy w wyroku z 11 stycznia 2017 r., sygn. akt I PK 25/16 stwierdzając, że przepis posługuje się terminem przebieg zatrudnienia, a nie pracy, a zatem pojęcie to należy rozumieć szeroko, nie jako jedynie zatrudnienie na podstawie umowy o pracę, ale również jako zatrudnienie na podstawie umów cywilnoprawnych (umów zlecenia, o dzieło itp.). Zatem pracodawcy mogą oczekiwać także przedłożenia umów cywilnoprawnych czy innych dokumentów potwierdzających zdobyte doświadczenia w ramach współpracy na umowie cywilnoprawnej. W tym zakresie mogą to być nienazwane prawnie zaświadczenia czy referencje od poprzednich podmiotów zatrudniających.
Ważne: Pod pojęciem kwalifikacji zawodowych należy rozumieć nie tylko przygotowanie zawodowe pracownika - jego formalne wykształcenie, zdobyte doświadczenia zawodowe i potrzebne umiejętności, ale także właściwości psychofizyczne pracownika predyspozycje psychiczne oraz zdolności do wykonywania określonych czynności z punktu widzenia zdrowia fizycznego (por. wyrok SN z 4 października 2000 r., sygn. akt I PKN 61/00, Pr.Pracy 2001/5/33). |
Na tej podstawie dopuszcza się wykonywanie na dalszych etapach rekrutacji testów kompetencyjnych.
Dostęp do takich danych na etapie rekrutacji lub jego brak spowodują następnie różnicę w zakresie miejsca przechowywania pozyskanych dokumentów. W pierwszym przypadku powinny się one znaleźć w części A akt osobowych, gdyż były to dokumenty dotyczące danych osobowych, zgromadzone w związku z ubieganiem się o zatrudnienie, a w drugim przypadku w części B akt osobowych, gdyż tym razem były to jedynie dokumenty dotyczące nawiązania stosunku pracy, które zostały dostarczone najpewniej w pierwszym dniu zatrudnienia lub później i służą przede wszystkim ustaleniu stażu pracy pracownika na potrzeby wymiaru urlopu wypoczynkowego i ewentualnie innych uprawnień pracowniczych. Po zmianach w przepisach wprowadzonych w 2019 r. w odniesieniu do dokumentacji pracowniczej nie ma już bowiem zasady, że wszystkie świadectwa pracy, dyplomy z uczelni, zaświadczenia o kursach, czy posiadanych kwalifikacjach zdobytych przed zatrudnieniem muszą być przechowywane w części A akt osobowych. Wręcz przeciwnie w wielu przypadkach dokumenty takie powinny być przechowywane w części B akt osobowych.
Uwaga! Z art. 221a K.p. wynika, że dane osoby ubiegającej się o zatrudnienie mogą być także przetwarzane na podstawie zgody osoby, której dane dotyczą, co może nastąpić z jej własnej inicjatywy, jak i z inicjatywy pracodawcy. Wymagania, jakie musi spełniać zgoda na przetwarzanie danych osobowych zostaną omówione w dalszej części dodatku dotyczącej zgody pracownika na przetwarzanie danych osobowych, gdyż są one tożsame.
2. Dane gromadzone od pracownikaNależy pamiętać, że zgodnie z art. 26 K.p. stosunek pracy nawiązuje się w dniu określonym w umowie jako dzień rozpoczęcia pracy i dopiero z tym dniem pracownik otrzymuje status pracownika, co oznacza możliwość żądania od niego przez pracodawcę kolejnych danych osobowych.
Przykład |
Pracownik w sierpniu 2023 r. podpisał umowę o pracę na okres od 1 grudnia 2023 r., gdyż u poprzedniego pracodawcy miał 3-miesięczne wypowiedzenie umowy o pracę. W okresie do końca listopada 2023 r. powinien być traktowany nadal jako osoba przyjmowana do pracy, a dopiero w dniu 1 grudnia 2023 r. zmieni status i stanie się pracownikiem. W tym dniu można będzie oczekiwać od niego podania numeru PESEL, wypełnienia PIT-2, czy podania danych niezbędnych do ZUS ZUA.
Działy kadr powinny uważać z wysyłanymi do przyszłych pracowników mailami związanymi z prośbami o wypełnienie kwestionariusza osobowego, czy też innych dokumentów. Jeśli pracownicy kadr chcą przyspieszyć okres onbordingu (tzn. działań, których celem jest wdrożenie, adaptacja i klimatyzacja nowego pracownika) w pierwszym dniu, to mogą wysłać te dokumenty z prośbą o ich wypełnienie i przyniesienie ze sobą w pierwszym dniu pracy, ale warto zaznaczyć od razu, że data złożenia oświadczeń wynikających z poszczególnych dokumentów powinna być określona jako dzień nawiązania stosunku pracy, a nie data wcześniejsza.
Od pracownika można żądać następnie dodatkowych danych osobowych obejmujących:
1) adres zamieszkania,
2) numer PESEL, a w przypadku jego braku - rodzaj i numer dokumentu potwierdzającego tożsamość,
3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy,
4) wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie,
5) numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.
Udostępnienie wszystkich danych osobowych pracodawcy następuje w formie oświadczenia osoby, której dane dotyczą, ale pracodawca może żądać udokumentowania danych osobowych w zakresie niezbędnym do ich potwierdzenia.
W powyższym katalogu są dwie kategorie danych, które pracodawca może posiadać już z wcześniejszego etapu zatrudniania pracownika, a jest to adres zamieszkania oraz dane dotyczące wykształcenia i przebiegu dotychczasowego zatrudnienia, o ile w tym drugim przypadku istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie. Zatem całkowicie nowymi są w tej sytuacji 3 kategorie danych osobowych: PESEL, numer rachunku płatniczego oraz dane osobowe pracownika, jego dzieci lub członków najbliższej rodziny, jeżeli ich podanie jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.
Przykład |
Pracownik ma 3-letnie dziecko i chciałby skorzystać z uprawnień rodzica polegających na zakazie nadgodzin, pracy w nocy, czy też ze zwolnienia z tytułu opieki nad dzieckiem do lat 14, wynikającego z art. 188 K.p.
W takim przypadku pracownik musi złożyć dodatkowe oświadczenia i podać imię i nazwisko dziecka oraz datę urodzenia, aby dział kadr mógł zweryfikować czas, do którego pracownik może korzystać z poszczególnych uprawnień, gdyż po zmianach wprowadzonych w Kodeksie pracy od 26 kwietnia 2023 r. część z nich dotyczy rodzica dziecka do lat 4, część do lat 8, a część do lat 14.
Ważne: Pracodawca jest uprawniony do żądania innych danych osobowych, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu. |
Przykładem takich danych będą informacje o niekaralności pracownika, czego wymagają przepisy w przypadku niektórych stanowisk. Zagadnienie to zostanie jednak przedstawione w dalszej części niniejszego dodatku.
Większość danych osobowych, jakie są żądane od pracownika jest przekazywanych pracodawcy za pośrednictwem kwestionariusza osobowego dla pracownika. Aktualnie nie ma oficjalnego wzoru tego dokumentu, gdyż w obecnym rozporządzeniu w sprawie dokumentacji pracowniczej zrezygnowano w ogóle z załączników w postaci wzorów druków. Na stronie internetowej resortu pracy są jednak zamieszczone tzw. pomocnicze kwestionariusze. Nie mają one mocy prawnie wiążącej i każdy z pracodawców może opracować swój kwestionariusz. Co więcej może to być także formularz elektroniczny do wypełnienia w systemie informatycznym, gdyż przepisy Kodeksu pracy nie przewidują, że dane takie muszą zostać przekazane pracodawcy na piśmie.
Jeżeli pracodawca w takim kwestionariuszu pobiera imię i nazwisko oraz np. numer telefonu komórkowego osoby zawiadamianej o wypadku pracownika, to do kwestionariusza pracownika powinno się załączyć dodatkowo formularz ze zgodą tej osoby na przetwarzanie jej danych osobowych i potwierdzeniem spełniania obowiązku informacyjnego zgodnie z art. 14 RODO. Taki pogląd zaprezentowało bowiem Ministerstwo Rodziny, Pracy i Polityki Społecznej w stanowisku z 13 marca 2020 r.
W przypadku zatrudniania pracownika w celu zastępstwa osoby nieobecnej, należy z kolei pamiętać, żeby w treści umowy nie podawać danych osoby zastępowanej. W tym zakresie zmieniło się bowiem podejście organu ochrony danych osobowych, gdyż GIODO zezwalał na podanie takiej danej w treści umowy, ale inne stanowisko w tej kwestii zajął UODO. Otóż w stanowisku z 10 września 2020 r. Urząd wskazał, że art. 29 K.p. nie wymienia imienia i nazwiska pracownika zastępowanego jako elementu niezbędnego dla ważności umowy. Jego podanie nie będzie więc wynikało ani z obowiązku prawnego, ani z innych przesłanek wskazanych w RODO. W ocenie UODO każde przetwarzanie danych osobowych musi być zgodne z zasadami określonymi w art. 5 ust. 1 RODO, w szczególności z zasadą minimalizacji danych, w związku z czym podawanie imienia i nazwiska osoby zastępowanej nie znajduje uzasadnienia. Jako dodatkowy argument Urząd wskazał wyrok TSUE z 24 czerwca 2010 r. (C-98/09 Francesci Sorge przeciwko Poste Italiane SpA), w którym przyjęto, że umowa na zastępstwo może ograniczać się jedynie do przyczyny zawarcia i nie musi zawierać nazwiska zastępowanego pracownika.
Powyższe kategorie danych osobowych pracodawca przetwarza na podstawie przepisów prawa, a więc może żądać ich podania przez pracownika. Są jednak jeszcze inne dane osobowe, które mogą być pracodawcy przydatne w trakcie trwania stosunku pracy i wtedy podstawą ich przetwarzania może być zgoda pracownika. W tym zakresie należy pamiętać, że zgoda musi spełniać zarówno wymagania ogólne wynikające z przepisów RODO, jak i szczególne określone w art. 221a oraz w art. 221b K.p.
Zgodnie z art. 4 pkt 11 RODO, zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Zgodnie z art. 7 RODO, w przypadku, gdy zgoda jest wyrażana w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Ponadto część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie niniejszego rozporządzenia, nie jest wiążąca. Dodatkowo osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę, a jej wycofanie nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem, o czym należy informować taką osobę zanim wyrazi zgodę. Wreszcie samo wycofanie zgody musi być równie łatwe jak jej wyrażenie. Wskazówki w odniesieniu do interpretacji zgody, jako podstawy przetwarzania danych osobowych wynikają ponadto z motywów 32, 33, 42 i 43 RODO. Z wytycznych Grupy Roboczej Art. 29 dotyczących zgody wynika, że w przypadku pracodawców problematyczne jest przetwarzanie danych pracowników lub kandydatów do pracy w oparciu o zgodę, ponieważ mamy do czynienia z nierównością podmiotów i wątpliwościami co do tego, czy zgoda została udzielona dobrowolnie (Wytyczne dotyczące zgody na mocy RODO, z 10 kwietnia 2018 r., 17/PL WP259 rev.01). Zgodnie z powyższymi wytycznymi, do uzyskania ważnej zgody wymagane jest m.in.: cel operacji przetwarzania danych osobowych, której dotyczy zgoda oraz wskazanie rodzaju danych osobowych, jakie będą przetwarzane na tej podstawie. Co ważne, w razie jakichkolwiek wątpliwości, to administrator danych osobowych, czyli pracodawca powinien być w stanie wykazać istnienie zgody, na przetwarzanie tych konkretnych danych.
Na te ogólne zasady należy nałożyć dodatkowo wymagania Kodeksu pracy w stosunku do zgody, które są następujące:
- zgoda może stanowić podstawę przetwarzania przez pracodawcę danych osobowych z wyjątkiem danych osobowych, o których mowa w art. 10 RODO, czyli w Polsce związanych z niekaralnością,
- brak zgody lub jej wycofanie nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę,
- zgoda może dotyczyć przetwarzania danych osobowych udostępnianych pracodawcy na jego wniosek lub z inicjatywy pracownika,
- w przypadku danych osobowych szczególnych kategorii, o których mowa w art. 9 ust. 1 RODO (np. dane dotyczące zdrowia) zgoda może stanowić podstawę ich przetwarzania wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy pracownika.
Przykład |
Pracodawca chciałby posiadać prywatne numery telefonów pracowników, aby móc się z nimi kontaktować w sprawie zlecenia dodatkowej pracy w nadgodzinach lub w dniu wolnym od pracy. W tym celu pracownicy mogą wyrazić zgody na przetwarzanie danych osobowych w postaci numeru telefonu, a pracodawca będzie mógł wykorzystywać numery telefonów tylko w takim przypadku, czyli nie będzie mógł przesłać sms-em czy mms-em np. paska płacowego. Pracownik powinien zostać także pouczony o wymaganiach co do zgody wynikających zarówno z RODO, jak i przepisów Kodeksu pracy i może wycofać zgodę w każdym czasie bez żadnych konsekwencji dla dalszego zatrudnienia.
W zakresie zgody jako przesłanki legalizującej przetwarzanie danych osobowych wypowiedział się UODO w wyjaśnieniach z 21 sierpnia 2020 r., wskazując również, że zgoda może być podstawą przetwarzania danych tylko wtedy, gdy nie występują inne przesłanki legalizujące określone w art. 6 ust. 1 RODO. To administrator, a więc pracodawca ma obowiązek zadbać o to, by jego działania były zgodne z zasadami przetwarzania danych osobowych, zwłaszcza z art. 5 oraz art. 7 RODO. Powinien ocenić, jakie ryzyka dla praw osób, mogą wiązać się z przetwarzaniem ich danych osobowych w konkretnym celu. Musi również przygotować jasne i rzetelne klauzule informacyjne. UODO zwraca ponadto uwagę, że w myśl art. 7 ust. 3 RODO, zgoda jest odwoływalna i uprawnienie to przysługuje osobie, której dane dotyczą, w każdym czasie. Przepis nakłada na administratora obowiązek poinformowania osoby o tym prawie, zanim wyrazi ona zgodę.
Zdaniem UODO można także przetwarzać wizerunek pracownika, ale co do zasady, tylko za jego zgodą, ze względu na to, że wizerunku pracownika nie ma wśród danych wskazanych w Kodeksie pracy. Aby pracodawca mógł pozyskać zdjęcie i umieścić je np. na identyfikatorze, czy stronie internetowej pracodawcy, musi legitymować się zgodą pracownika. Istnieją sytuacje, gdy wizerunek pracownika jest ściśle związany z wykonywanym przez niego zawodem czy charakterem pracy i wskazywanie wizerunku pracownika przewidują wprost przepisy prawa, wówczas pracodawca nie jest zobowiązany do pozyskiwania zgody w tym celu.
Ważne: Przetwarzanie danych biometrycznych pracownika jest dopuszczalne, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony (art. 221b § 2 K.p.). |
W relacjach pracowniczych UODO rozstrzygnął już te kwestie w odniesieniu do ewidencjonowania czasu pracy pracowników, co zostało wyjaśnione w części dotyczącej czasu pracy.
3. Przetwarzanie danych osobowych o niekaralności pracownikaZgodnie z art. 10 RODO, przetwarzanie danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 RODO jest możliwe wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. W Polsce dane o niekaralności należy z pewnością zaliczyć do kategorii danych osobowych dotyczących wyroków skazujących, a więc w tym zakresie znajdą zastosowanie ww. reguły. Dodatkowo należy pamiętać, że zgodnie z art. 221a § 1 K.p. w Polsce wyłączono wyraźnie przesłankę zgody jako podstawę przetwarzania takich danych, co oznacza w praktyce, że jest to możliwe jedynie w przypadku, gdy istnieje wyraźna podstawa prawna do żądania takich danych.
Przykład |
Pracodawca prowadzi firmę zapewniającą przewóz osób pojazdami samochodowymi przeznaczonymi konstrukcyjnie do przewozu powyżej 7 i nie więcej niż 9 osób łącznie z kierowcą, co wymaga uzyskania licencji, zgodnie z art. 5b ust. 1 ustawy z dnia 6 września 2001 r. o transporcie drogowym (Dz. U. z 2022 r. poz. 2201 z późn. zm.). Do wniosku o jej uzyskanie należy dołączyć zaświadczenia o niekaralności dotyczące przedsiębiorcy, który osobiście wykonuje przewozy, zatrudnionych przez niego kierowców oraz osób niezatrudnionych przez przedsiębiorcę, lecz wykonujących osobiście przewóz na jego rzecz (art. 8 ust. 3 pkt 4 ustawy o transporcie drogowym). W takim przypadku pracodawca ma podstawę prawną do przetwarzania danych osobowych dotyczących niekaralności kierowców, ale nie może na podstawie zgody zebrać takich oświadczeń od pozostałych pracowników zatrudnionych na stanowiskach administracyjnych.
W Polsce najszersze regulacje co do przetwarzania danych osobowych o niekaralności dotyczą sektora finansowego, w przypadku którego istnieje specjalna ustawa regulująca te zagadnienia - ustawa z dnia 12 kwietnia 2018 r. o zasadach pozyskiwania informacji o niekaralności osób ubiegających się o zatrudnienie i osób zatrudnionych w podmiotach sektora finansowego (Dz. U. z 2022 r. poz. 2190). Jej przepisy dotyczą około 100 rodzajów podmiotów działających na rynku finansowym, w tym banków, SKOK-ów, domów maklerskich oraz zakładów ubezpieczeń. Co ważne w art. 1 ust. 3 tej ustawy zdefiniowano także pojęcie zatrudnienia na potrzeby jej przepisów, przez które rozumie się stosunek prawny, na podstawie którego osoba przebywająca na terytorium Polski wykonuje czynności na rzecz podmiotu sektora finansowego, na podstawie stosunku pracy, umowy o dzieło, umowy zlecenia, umowy o świadczenie usług (tzw. B2B), umowy agencyjnej lub innej umowy o podobnym charakterze.
Możliwość żądania informacji o niekaralności dotyczy w przypadku instytucji finansowych stanowisk, które są związane z:
- zarządzaniem mieniem tego podmiotu lub osób trzecich,
- dostępem do informacji prawnie chronionych,
- podejmowaniem decyzji obarczonych wysokim ryzykiem utraty mienia tego podmiotu lub osób trzecich albo wyrządzenia innej znacznej szkody temu podmiotowi lub osobom trzecim.
Jako zasadę w ustawie przyjęto, że przekazanie informacji o niekaralności następuje w formie oświadczenia osoby, której informacje te dotyczą, ale pracodawca może zażądać udokumentowania ich poprzez przedłożenie informacji wydanej przez Krajowy Rejestr Karny, dalej KRK, która nie może być wydana wcześniej niż 3 miesiące przed dniem jej złożenia podmiotowi zatrudniającemu. W tym drugim przypadku podmiot zatrudniający niezwłocznie zwraca równowartość poniesionej opłaty kandydatowi do pracy lub pracownikowi. W praktyce możliwe jest również przedłożenie kopii informacji z KRK, a przedstawienie jej oryginału jedynie do wglądu służbom kadrowym. W trakcie zatrudnienia osoba zatrudniona ma obowiązek udzielania takich informacji co do zasady w terminie 14 dni od żądania podmiotu finansowego. Co ciekawe w tej ustawie jest także wyraźna regulacja prawna, z której wynika, że nieprzedstawienie informacji o niekaralności w przypadku kandydata może stanowić przyczynę niezatrudnienia takiej osoby, a w przypadku pracownika może stanowić przyczynę wypowiedzenia umowy o pracę, a z kolei przy innych formach zatrudnienia niż stosunek pracy, może być powodem rozwiązania umowy wiążącej strony.
4. Przetwarzanie danych osobowych dotyczących niepełnosprawnościSzczególne obostrzenia dotyczą danych dotyczących niepełnosprawności pracownika, czego dowodem jest specjalny przepis dodany do ustawy z dnia 27 sierpnia 1997 r. o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych (Dz. U. z 2023 r. poz. 100 z późn. zm.), dalej ustawy o rehabilitacji przy wdrażaniu w Polsce RODO, a chodzi o art. 2b ww. ustawy. Dane dotyczące niepełnosprawności należy uznać za dane o stanie zdrowia w rozumieniu art. 9 RODO. Zgodnie z ustawową definicją niepełnosprawności, ujętą w art. 2 pkt 10 ustawy o rehabilitacji, niepełnosprawność oznacza trwałą lub okresową niezdolność do wypełniania ról społecznych z powodu stałego lub długotrwałego naruszenia sprawności organizmu, w szczególności powodującą niezdolność do pracy. Dane o niepełnosprawności będą zatem mieściły się w zakresie pojęcia danych dotyczących zdrowia, przez które w RODO rozumiemy informacje o zdrowiu fizycznym lub psychicznym osoby fizycznej, w tym o korzystaniu z usług opieki zdrowotnej, ujawniające dane na temat stanu zdrowia tej osoby (art. 4 pkt 15 RODO).
Zgodnie z wyjaśnieniami UODO z 24 sierpnia 2020 r., dane osobowe, które obejmuje treść orzeczenia o niepełnosprawności zostały wskazane w § 13 rozporządzenia Ministra Gospodarki, Pracy i Polityki Społecznej z dnia 15 lipca 2003 r. w sprawie orzekania o niepełnosprawności i stopniu niepełnosprawności (Dz. U. z 2021 r. poz. 857). Zgodnie z jego brzmieniem, na ww. dokumentach znajdują się dane tzw. zwykłe, takie jak: imię, nazwisko, adres zamieszkania czy numer PESEL oraz szczególna kategoria danych osobowych (art. 9 RODO), m.in. informacja o niepełnosprawności czy przypisany jej symbol.
W art. 2b ust. 1 ustawy o rehabilitacji ustawodawca przewidział, że pracodawca dla celów określonych w ustawie może przetwarzać dane osobowe (w tym także dane o stanie zdrowia) dotyczące niepełnosprawnych osób, które:
- są lub były jego pracownikami,
- wykonują pracę nakładczą,
- uczestniczą w procesie rekrutacji, odbywają szkolenie, staż, przygotowanie zawodowe, praktyki zawodowe lub absolwenckie,
- są członkami rodzin pracowników i niepracujących byłych pracowników.
Uwaga! W przypadku pracownika, który wnioskuje o pracę zdalną dla uprzywilejowanych na podstawie art. 6719 § 6 K.p. w związku z tym, że sprawuje opiekę nad innym członkiem najbliższej rodziny lub inną osobą pozostającą we wspólnym gospodarstwie domowym, posiadającymi orzeczenie o niepełnosprawności, pracodawca może poprosić o przedłożenie do wglądu orzeczenia o niepełnosprawności takiego członka rodziny. Dokument taki nie powinien być jednak kopiowany do akt osobowych pracownika.
W przepisie art. 2b ust. 2 ustawy o rehabilitacji przyjęto z kolei, że przedstawienie przez pracownika dokumentów potwierdzających dane osobowe o stanie zdrowia, a więc również orzeczenia o niepełnosprawności, jest dobrowolne. W tym zakresie UODO w wyjaśnieniach z 24 sierpnia 2020 r. wskazuje, że oznacza to, iż korzystanie z powyższych uprawnień dla osoby niepełnosprawnej jest prawem, a nie obowiązkiem. Jeśli jednak taka osoba przekaże pracodawcy te informacje i przedłoży orzeczenie, to nie uznajemy, że w takim przypadku dochodzi do udzielenia zgody na przetwarzanie danych osobowych. W ocenie UODO dane zawarte w orzeczeniu - zarówno kandydata, jak i pracownika, pracodawca przetwarza na podstawie przepisów prawa (art. 6 ust. 1 lit. c oraz art. 9 ust. 2 lit. b RODO łącznie z odpowiednim przepisem krajowym). UODO potwierdził ponadto wprost, że w takiej sytuacji kopia orzeczenia o niepełnosprawności powinna zostać umieszczona w części B akt osobowych pracownika.
Ponadto w przepisie tym przyjęto, że pracodawcy przechowują dane osobowe dotyczące niepełnosprawności wyłącznie przez okres nie dłuższy niż jest to niezbędne i w zakresie koniecznym do realizacji celów przetwarzania danych osobowych oraz dokonują przeglądu przydatności przetwarzania danych osobowych nie rzadziej niż co 5 lat. Mimo istnienia tego obowiązku pracodawca nie powinien z akt osobowych usuwać dokumentów, jeśli pracownik pozostaje w zatrudnieniu, a mają one nadal znaczenie dla praw, czy obowiązków wynikających ze stosunku pracy. Orzeczenia o niepełnosprawności będą więc przechowywane przez okres przechowywania dokumentacji pracowniczej wynikający z przepisów Kodeksu pracy, czyli przez 10 lub 50 lat po ustaniu stosunku pracy.
5. Przetwarzanie danych osobowych na innych podstawach prawnych niż Kodeks pracyZatrudnienie pracownika pociąga za sobą szereg obowiązków wynikających z innych dziedzin prawa, np. zabezpieczenia społecznego, czy podatkowego, które również wiążą się z koniecznością przetwarzania danych osobowych pracownika. W tym przypadku podstaw do przetwarzania danych osobowych należy poszukiwać w treści przepisów prawa materialnego z innych dziedzin.
Zatrudnienie pracownika wiąże się z obowiązkiem zgłoszenia go do ubezpieczeń społecznych w ustawowym terminie (formularz ZUS ZUA), co oznacza konieczność przetwarzania danych osobowych pracownika, a ich zakres wynika z art. 36 ust. 10 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz. U. z 2023 r. poz. 1230 z późn. zm.). Na tej podstawie można przetwarzać dane takie jak: nazwisko oraz imiona, a także nazwisko rodowe, datę urodzenia, obywatelstwo, płeć, stopień niepełnosprawności, posiadanie ustalonego prawa do emerytury lub renty, wykonywany zawód, adres zameldowania na stałe miejsce pobytu, adres zamieszkania, jeżeli jest inny niż adres zameldowania na stałe miejsce pobytu, a także adres do korespondencji, jeżeli jest inny niż adres zameldowania na stałe miejsce pobytu i adres zamieszkania. Zakres tych danych jest szerszy niż dane niezbędne, wynikające z Kodeku pracy, gdyż mamy w tym katalogu również dane takie jak: nazwisko rodowe, posiadanie ustalonego prawa do emerytury, czy wreszcie aż 3 rodzaje adresów pracownika, tj.: zamieszkania, zameldowania oraz do korespondencji.
W odniesieniu do powyższego UODO w stanowisku z 19 lipca 2019 r. wskazał, że pracodawca w toku rekrutacji może pozyskać dane kontaktowe, do których może należeć zarówno adres korespondencyjny, zamieszkania czy zameldowania, a także adres e-mail i nr telefonu. Następnie od osoby zatrudnionej pracodawca może żądać podania jedynie adresu zamieszkania, ale ponadto pracodawca może żądać podania innych danych osobowych, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z innego przepisu prawa. Jeżeli zatem pracodawca nie dysponuje którąś z danych wymienionych w art. 36 ust. 10 ustawy o systemie ubezpieczeń społecznych, to do realizacji obowiązków z niego wynikających może żądać od pracownika podania mu odpowiednich danych. Dane te są zatem, podobnie jak dane osobowe wynikające z art. 221 K.p., przetwarzane na podstawie przesłanki wynikającej z art. 6 ust. 1 lit. c RODO.
Odnosząc się do powyższego zakresu danych MRPiPS w stanowisku z 8 lipca 2019 r. wyjaśniło, że przepisy ubezpieczeń społecznych nie nakładają obowiązku podawania danych niezbędnych do zgłoszenia do ubezpieczeń w kwestionariuszu dla pracownika. Obok danych dotyczących adresu zameldowania, zamieszkania i korespondencji, w zgłoszeniu do ubezpieczeń należy zamieścić również informację o prawie do emerytury lub renty itd. Dane te przekazywane są przez pracodawcę na druku ZUS ZUA i na tym druku osoba zgłaszana oświadcza, że dane zawarte w formularzu są zgodne ze stanem prawnym i faktycznym. Mając powyższe na uwadze nie jest właściwe podawanie w ww. kwestionariuszu innych danych osobowych niż te, które wynikają z art. 221 § 3 K.p.
Kolejne podstawy przetwarzania danych osobowych pracownika będą wynikały z przepisów dotyczących PPK oraz PPE i w obydwu przypadkach podstawą prawną przetwarzania danych osobowych będzie wypełnienie obowiązków prawnych ciążących na administratorze danych osobowych (pracodawcy) - art. 6 ust. 1 lit. c RODO, a więc w tym zakresie nie należy odbierać zgód od pracowników na przetwarzanie ich danych osobowych. W odniesieniu do PPK potwierdził to UODO w stanowisku z 8 listopada 2019 r. (https://archiwum.uodo.gov.pl/pl/138/1251) stwierdzając, że pracodawca ma obowiązek prawny przekazania danych osobowych m.in. w postaci adresu poczty elektronicznej i numeru telefonu od pracownika bez wyrażenia jego zgody do wybranej instytucji finansowej, o ile pracownik takie dane mu udostępni. Urząd podkreślił, że takie dane stanowią załącznik do umowy o prowadzenie Pracowniczych Planów Kapitałowych i zgodnie z ustawą są uznane za dane identyfikujące uczestnika PPK.
Również na gruncie przepisów ustawy z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych (Dz. U. z 2022 r. poz. 2647 z późn. zm.), zwanej ustawą o pdof pracownik może złożyć szereg oświadczeń, których celem jest właściwe ustalenie przez płatnika (pracodawcę) zaliczki na podatek dochodowy od osób fizycznych i które będą zawierały dane osobowe. Także w tym przypadku należy przyjąć, że podstawą prawną przetwarzania danych osobowych będzie wypełnienie obowiązków prawnych ciążących na administratorze danych osobowych (pracodawcy) - art. 6 ust. 1 lit. c RODO. Od 1 stycznia 2023 r. oświadczenia podatkowe połączono w druku PIT-2(9), który obecnie zawiera oświadczenia i wnioski podatnika dla celów obliczania miesięcznych zaliczek na podatek dochodowy od osób fizycznych. Co ważne, zgodnie z art. 31a ust. 1 ustawy o pdof, oświadczenia i wnioski pracownicy mogą złożyć na piśmie albo w inny sposób przyjęty u danego płatnika, a więc także elektronicznie.
Uwaga! Biorąc pod uwagę różne podstawy przetwarzania danych osobowych, które przełożą się następnie na różne okresy retencji tychże danych, należy stwierdzić, że dane te nie powinny być zbierane w jednym rozbudowanym kwestionariuszu osobowym dla pracownika, a w odrębnych kwestionariuszach dotyczących jednej dziedziny prawa. Powinien zatem powstać:
- kwestionariusz osobowy z danymi z Kodeksu pracy,
- kwestionariusz z danymi do ZUS - ZUS ZUA,
- PIT-2,
- oświadczenie dotyczące danych do PPK lub PPE.