Spis treści
Dokumentacja pracownicza, będąca kluczowym elementem zarządzania zasobami ludzkimi, wymaga szczególnej uwagi w kontekście przestrzegania RODO. Poniżej przedstawiam przegląd obowiązków i najlepszych praktyk związanych z dokumentacją pracowniczą pod kątem RODO.
Przejrzystość jako fundament RODO
Ogólne rozporządzenie o ochronie danych osobowych (RODO) opiera się na kilku kluczowych zasadach, z których jedną z najważniejszych jest przejrzystość. Oznacza to, że każda osoba, której dane dotyczą – pracownik, kandydat, współpracownik czy kontrahent – powinna wiedzieć, w jaki sposób i w jakim celu jej dane są gromadzone, przetwarzane i udostępniane.
RODO precyzyjnie określa obowiązek informacyjny, nakładając na administratora (np. pracodawcę) obowiązek przekazania jasnych, zrozumiałych i rzetelnych informacji o przetwarzaniu danych.
Przejrzystość dotyczy zarówno sytuacji, gdy dane są pozyskiwane bezpośrednio od osoby (art. 13 RODO), jak i wtedy, gdy pochodzą z innych źródeł (art. 14 RODO).
Obowiązek informacyjny w dokumentacji pracowniczej
Administrator danych musi przekazać m.in.:
- dane kontaktowe administratora oraz inspektora ochrony danych (jeśli został wyznaczony),
- cele i podstawy prawne przetwarzania,
- odbiorców danych lub kategorie odbiorców,
- informacje o ewentualnym przekazywaniu danych poza EOG,
- okres przechowywania lub kryteria jego ustalania,
- prawa osoby, której dane dotyczą (w tym prawo dostępu, sprostowania, usunięcia czy sprzeciwu),
- źródło pochodzenia danych (w przypadku ich pozyskania z innego źródła),
- informacje o zautomatyzowanym podejmowaniu decyzji i profilowaniu (jeśli dotyczy).
Termin przekazania informacji
- Dane pozyskane bezpośrednio – obowiązek należy spełnić najpóźniej w chwili ich zebrania (np. przy podpisaniu umowy).
- Dane z innych źródeł – administrator ma maksymalnie miesiąc na przekazanie informacji lub musi to zrobić przy pierwszym kontakcie, jeśli nastąpi wcześniej.
Forma przekazania informacji
Może być papierowa, elektroniczna lub ustna – pod warunkiem, że zapewnia rzeczywisty dostęp do treści i jest dostosowana do odbiorcy. W przypadku dzieci, praktykantów czy stażystów język powinien być prosty i zrozumiały.
Podstawy prawne przetwarzania danych zwykłych
Przetwarzanie danych zwykłych pracowników, takich jak imiona, nazwiska, adresy czy informacje kontaktowe, jest regulowane przez art. 6 ust. 1 lit. b i c RODO. Lit. b dotyczy sytuacji, w których przetwarzanie danych jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą – w przypadku relacji pracodawca-pracownik, chodzi tu o umowę o pracę. Z kolei lit. c odnosi się do przetwarzania niezbędnego do wypełnienia obowiązku prawnego ciążącego na administratorze danych, na przykład przepisów podatkowych czy prawa pracy.
Przetwarzanie danych wrażliwych
Przetwarzanie danych wrażliwych, w szczególności tych dotyczących zdrowia pracowników w kontekście medycyny pracy, oparte jest na art. 9 ust. 2 lit. b i h RODO. Przepisy te pozwalają na przetwarzanie danych zdrowotnych, gdy jest to niezbędne z powodów medycyny pracy, oceny zdolności pracownika do pracy, zapewnienia opieki zdrowotnej czy zarządzania systemami i usługami opieki zdrowotnej lub socjalnej, zgodnie z prawem Unii lub prawem państwa członkowskiego.
Wyzwanie art. 6 ust. 1 lit. f - interes prawny
Największym wyzwaniem może okazać się jednak art. 6 ust. 1 lit. f, który pozwala na przetwarzanie danych osobowych na podstawie tzw. interesu prawnego pracodawcy. Jest to szeroka kategoria, która może obejmować różnorodne sytuacje – od monitoringu w miejscu pracy, monitoring skrzynki elektronicznej, GPS w samochodach służbowych, aż po analizę efektywności pracy, o ile nie narusza to praw i wolności pracowników. Ważne jest, aby pracodawcy nie tylko dokładnie ocenili, czy ich działania są proporcjonalne do celu, dla którego dane są przetwarzane, ale również w sposób przejrzysty i zrozumiały poinformował o nim pracowników, uwzględniając każdy z istniejących interesów prawnych, na bazie których przetwarza ich dane osobowe. Taka transparentność nie tylko zapewnia zgodność z RODO, ale także buduje zaufanie i otwartość w relacjach pracodawca-pracownik.
Pracodawcy muszą więc podejmować działania z należytą starannością, aby ich procedury przetwarzania danych były zgodne z RODO, a pracownicy byli świadomi swoich praw i podstaw, na których ich dane są przetwarzane.
Monitoring pracowników i ocena skutków ryzyka
Monitoring pracowników, szczególnie w zakresie korzystania z urządzeń elektronicznych (komputery, e-mail, GPS), wymaga od pracodawców przeprowadzenia oceny skutków dla ochrony danych (DPIA), zgodnie z art. 35 RODO. Jest to kluczowe, by zrozumieć potencjalne ryzyka dla prywatności pracowników i zminimalizować je poprzez odpowiednie środki ochronne.
Rodzaje klauzul informacyjnych w kadrach
1. Dla pracowników
Przekazywana jest każdej osobie zatrudnionej w momencie nawiązania stosunku pracy lub przy pierwszym pozyskaniu jej danych. Dotyczy to wszystkich form współpracy – umowy o pracę, umowy zlecenia, umowy o dzieło, a także umów B2B, jeśli osoba ta działa w strukturze organizacyjnej administratora.
Klauzula powinna jasno określać:
- dane administratora (nazwa, adres, dane kontaktowe),
- podstawy prawne i cele przetwarzania (np. realizacja obowiązków wynikających z Kodeksu pracy, ubezpieczeń społecznych czy rachunkowości),
- zakres przetwarzanych danych,
- odbiorców danych (np. ZUS, urząd skarbowy, zewnętrzna księgowość lub firma kadrowa),
- czas przechowywania danych (zgodnie z obowiązującymi przepisami od 2019 r. okres ten wynosi 10 lat),
- prawa przysługujące pracownikowi na mocy RODO,
- informację o ewentualnym przekazywaniu danych poza Europejski Obszar Gospodarczy.
Dla celów dowodowych warto, aby pracownik potwierdził podpisem zapoznanie się z dokumentem.
2. Dla kandydatów do pracy
Obejmuje zarówno sytuacje, gdy dane kandydat przekazuje bezpośrednio (np. w CV wysłanym e-mailem), jak i wtedy, gdy pochodzą one z innych źródeł – portali rekrutacyjnych, poleceń czy kontaktu przez agencję rekrutacyjną.
Dokument powinien określać m.in.:
- tożsamość administratora,
- cel przetwarzania (np. przeprowadzenie procesu rekrutacji),
- podstawę prawną (np. zgoda lub działania zmierzające do zawarcia umowy),
- okres przechowywania danych,
- informację o podmiotach, którym dane mogą być przekazywane,
- prawa przysługujące kandydatowi, w tym prawo do cofnięcia zgody czy wniesienia sprzeciwu.
Jeżeli planowane jest przetwarzanie danych na potrzeby przyszłych rekrutacji, konieczne jest uzyskanie od kandydata odrębnej, wyraźnej zgody.
3. Dla kontrahentów i ich przedstawicieli
Przekazywana przy nawiązywaniu współpracy – np. w momencie podpisania umowy czy wymiany danych kontaktowych. Obejmuje zarówno firmy, jak i osoby fizyczne prowadzące działalność gospodarczą, a także osoby reprezentujące kontrahenta, jego pracowników czy wyznaczone do kontaktu.
Klauzula powinna zawierać:
- informacje o administratorze danych,
- cel i podstawę prawną przetwarzania (np. realizacja umowy),
- okres przechowywania danych,
- kategorie odbiorców danych,
- prawa przysługujące osobie, której dane dotyczą.
Bez względu na to, czy dotyczy ona pracownika, kandydata czy kontrahenta, klauzula informacyjna powinna być aktualizowana w przypadku zmiany celu przetwarzania, rozszerzenia zakresu zbieranych danych lub modyfikacji procedur. Niedopełnienie tego obowiązku może zostać uznane za naruszenie RODO i skutkować sankcjami.
Upoważnienia do przetwarzania danych osobowych
Każda osoba, która w ramach swoich obowiązków ma dostęp do danych osobowych, powinna posiadać pisemne upoważnienie nadane przez administratora. Dokument ten powinien określać:
- dane osoby upoważnionej,
- datę nadania,
- zakres uprawnień (np. dostęp do akt osobowych, danych kadrowych, płacowych),
- obowiązek zachowania poufności,
- czas obowiązywania upoważnienia,
- podstawę prawną,
- podpisy osoby nadającej i przyjmującej upoważnienie.
Zasada minimalizacji – upoważnienie powinno dawać dostęp tylko do danych niezbędnych do realizacji obowiązków.
Ewidencja upoważnień
Administrator jest zobowiązany prowadzić rejestr upoważnień, w którym znajdują się:
- data nadania upoważnienia,
- imię i nazwisko upoważnionego,
- zakres przyznanych uprawnień,
- dział lub stanowisko,
- data cofnięcia upoważnienia.
Umowa powierzenia czy upoważnienie – kiedy co stosować?
Jednym z częstych pytań w praktyce kadrowo-RODO jest to, czy w danej sytuacji wystarczy upoważnienie do przetwarzania danych, czy konieczne jest podpisanie umowy powierzenia przetwarzania danych osobowych.
Upoważnienie stosujemy w przypadku osób działających w ramach struktury organizacyjnej administratora – czyli np. zatrudnionych na podstawie umowy o pracę, umowy zlecenia czy umowy o dzieło. Takie osoby nie działają w swoim imieniu, lecz wykonują obowiązki służbowe na rzecz administratora.
- Przykład: pracownik działu kadr, asystentka biura, specjalista IT zatrudniony na etat.
- W takiej sytuacji wystarczy pisemne upoważnienie, które nadaje dostęp do danych w ściśle określonym zakresie – zgodnie z zasadą minimalizacji.
Umowa powierzenia jest konieczna, gdy przetwarzanie danych osobowych realizuje zewnętrzny podmiot – np. firma lub osoba prowadząca jednoosobową działalność gospodarczą – działająca we własnym imieniu, ale na rzecz administratora. W takim przypadku dostawca usług jest tzw. procesorem i musi mieć formalnie określone obowiązki w zakresie ochrony danych.
- Przykład: biuro rachunkowe obsługujące kadry, zewnętrzna firma IT administrująca systemem HR, freelancer zajmujący się digitalizacją dokumentacji pracowniczej.
- Umowa powierzenia reguluje m.in. cel, zakres, czas trwania przetwarzania, obowiązki zabezpieczenia danych oraz zasady postępowania po zakończeniu współpracy.
Sytuacje pośrednie – jeśli współpracujemy z osobą na zasadzie B2B, ale faktycznie pracuje ona jak wewnętrzny członek zespołu (np. ma stałe stanowisko w biurze, korzysta z naszych narzędzi, wykonuje polecenia przełożonych), można rozważyć nadanie jej upoważnienia zamiast podpisywania umowy powierzenia. Warto jednak pamiętać, że w przypadku wątpliwości bezpieczniej jest zastosować umowę powierzenia, bo daje ona pełniejsze zabezpieczenie prawne.
Kto może nadawać upoważnienia
W spółkach z o.o. administratorem danych jest spółka reprezentowana przez zarząd. Zarząd może jednak formalnie delegować prawo nadawania upoważnień na inne osoby, np. dyrektora HR, kierownika działu kadr. Nie jest konieczne, aby każdy dokument podpisywał prezes – ważne, by uprawnienie do ich nadawania było udokumentowane.
Upoważnienia dla pracowników i polityka ochrony danych
Procedura upoważnienia pracowników
Formalne upoważnienie pracowników do przetwarzania danych osobowych jest kluczowym elementem zapewnienia zgodności z RODO. Proces ten powinien zawierać wyraźne określenie zakresu danych, do których pracownik ma dostęp, celów przetwarzania oraz obowiązków związanych z ochroną tych danych. Upoważnienie powinno być udokumentowane, na przykład poprzez podpisane oświadczenia, i przechowywane jako dowód zgodności z wymogami RODO.
Zapoznanie pracowników z Polityką Ochrony Danych
Każdy pracownik powinien zostać zapoznany z wewnętrzną polityką ochrony danych, która wyjaśnia zasady przetwarzania danych osobowych w organizacji. Procedura zapoznania powinna być zorganizowana w taki sposób, aby pracownicy mogli zrozumieć swoje prawa i obowiązki, a potwierdzenie zapoznania się z polityką powinno być archiwizowane.
Zgody na przetwarzanie danych (np. wizerunku)
Wymóg zgody na przetwarzanie
Zbieranie zgód od pracowników, szczególnie w kontekście przetwarzania ich wizerunku, musi być przeprowadzane w sposób świadomy i dobrowolny. Pracodawca musi wyraźnie informować o celu i zakresie przetwarzania danych, zapewniając pracownikowi możliwość wycofania zgody w dowolnym momencie. Dokumentacja zgód musi być precyzyjna, łatwo dostępna i przechowywana w sposób umożliwiający szybką weryfikację.
Bezpieczeństwo danych i ich bezpieczne przesyłanie
Środki bezpieczeństwa danych
Ochrona danych pracowniczych wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych, takich jak szyfrowanie danych, zabezpieczenia sieciowe, ograniczenia dostępu do danych oraz regularne audyty bezpieczeństwa. Cel tych działań to zapobieganie nieautoryzowanemu dostępowi, utracie czy wyciekom danych.
Bezpieczne przesyłanie informacji
Przesyłanie danych, zwłaszcza przez Internet, powinno być realizowane przy użyciu bezpiecznych kanałów komunikacji, np. poprzez zaszyfrowane połączenia. Pracodawcy powinni również edukować pracowników na temat bezpiecznych metod przesyłania informacji, aby unikać potencjalnych wycieków danych.
Dobre praktyki w dokumentacji pracowniczej
- Twórz osobne klauzule informacyjne dla różnych grup odbiorców (pracownicy, kandydaci, kontrahenci).
- Regularnie aktualizuj ewidencję upoważnień.
- Zabezpieczaj dokumentację kadrową zarówno fizycznie, jak i elektronicznie.
- Szkol osoby upoważnione z zasad ochrony danych.
Bezpieczeństwo danych i ich bezpieczne przesyłanie
Znaczenie szkoleń dla pracowników
Regularne szkolenia z zakresu RODO są niezbędne, aby zapewnić, że wszyscy pracownicy są świadomi swoich obowiązków oraz potencjalnych ryzyk związanych z przetwarzaniem danych osobowych. Szkolenia te pomagają budować kulturę ochrony danych w organizacji.
Podejście oparte na ryzyku
Szkolenia powinny podkreślać podejście oparte na ryzyku, uświadamiając pracownikom, jak ich działania mogą wpłynąć na bezpieczeństwo danych osobowych. Niewyszkoleni pracownicy stanowią zwiększone ryzyko dla organizacji, dlatego edukacja w tym zakresie minimalizuje potencjalne zagrożenia i wzmacnia odpowiedzialność pracodawcy za ochronę danych.
Podsumowanie
Wdrażając RODO do organizacji, szczególnie sporządzając dokumentację pracowniczą kluczowe jest tutaj nie tylko przestrzeganie przepisów, ale również budowanie kultury szacunku dla prywatności pracowników. Współpraca między działami HR, IT i pracownikami ma tu fundamentalne znaczenie, aby zapewnić najlepsze praktyki w ochronie danych osobowych.
Sprawdź naszą ofertę!
Ostatnie wpisy
Masz pytanie?
Napisz do nas
O nas
Uważamy, że odpowiednio wdrożone RODO, może posłużyć jako narzędzie wpływające korzystnie na rozwój, postrzeganie oraz reputację firmy. Naszym celem jest zapewnienie prawidłowego przetwarzania, obiegu, archiwizowania oraz dostępu do danych zgodnie z aktualnymi wymogami.