RODO w kadrach i płacach

Od 25 maja 2018 r. obowiązuje rozporządzenie RODO. Jego przepisy odpowiednio przekładają się również na kadry i płace.

Każdy, kto styka się z zagadnieniami kadrowo-płacowymi musi posiadać odpowiednią wiedzę z zakresu przetwarzania i ochrony danych osobowych.

Pracodawcy czyli administratorzy danych muszą odpowiednio przygotować lub zaktualizować funkcjonujące w organizacji regulaminy, instrukcje, umowy i procedury. Dzięki temu uda się uniknąć dotkliwych kar grożących za naruszenie przepisów RODO.

W związku z RODO, podmioty zatrudniające muszą przede wszystkim:

  • dostosować wewnętrzną dokumentację do nowych wymogów,
  • wiedzieć jakich danych możemy wymagać od pracownika oraz jakiej treści powinny być oświadczenia ze zgodą na przetwarzanie danych osobowych od zatrudnionych osób i kandydatów do pracy,
  • przygotować odpowiednie klauzule informacyjne RODO dla pracowników, zleceniobiorców i innych zatrudnionych osób.

Zgodnie z art. 5 RODO, dane osobowe muszą być:

  1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
  2. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);
  3. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
  4. prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
  5. przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”);
  6. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

 

Z kolei w myśl art. 6 RODO, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

  1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
  2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
  3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (akapit pierwszy nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań).

Przetwarzanie danych zgodne z prawem

Na wstępie warto rozprawić się z dość powszechnym mitem mówiącym o tym, że od 25 maja 2018 r. od zatrudnianych osób pracodawcy mają obowiązek pobierania zgód na przetwarzanie ich danych osobowych. Otóż nie. Dla zawarcia umowy o pracę czy umowy cywilnoprawnej (np. umowy zlecenie, kontraktu menedżerskiego lub umowy o dzieło) podmiot zatrudniający nie potrzebuje zgody na przetwarzanie danych. Wynika to z art. 6 ust. 1 lit. c rozporządzenia RODO, w myśl którego przetwarzanie danych osobowych jest zgodne z prawem wtedy, gdy jest ono niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze danych osobowych.

Co więcej, już sam fakt zawarcia danej umowy będącej podstawą zatrudnienia stanowi wystarczającą przesłankę do legalnego przetwarzania danych osobowych. Jak stanowi wszakże art. 6 ust. 1 lit. b RODO, przetwarzanie jest zgodne z prawem, gdy jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.

Powyższe potwierdziło UODO wyjaśniając, że administrator, przechowując dane w dokumentacji pracowniczej nie musi prosić pracownika o zgodę na przetwarzanie jego danych. W tym przypadku to nie zgoda pracowników, a obowiązek prawny administratora będzie właściwą podstawą przetwarzania danych zgromadzonych w aktach osobowych pracowników.

Prowadzenie dokumentacji pracowniczej odbywa się na podstawie odrębnych przepisów prawa pracy. W rozporządzeniu Ministra Rodziny Pracy i Polityki Społecznej z 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej został określony m.in. zakres, sposób i warunki prowadzenia oraz przechowywania pracowniczych akt osobowych.

Zgodnie z tym rozporządzeniem to na pracodawcy spoczywa obowiązek zakładania i prowadzenia akt osobowych dla każdego pracownika oddzielnie. Regulacje te stanowią także, że akta osobowe składają się z czterech części ze wskazaniem, jaki rodzaj dokumentów i informacji znajduje się w każdej z nich. Tak więc podstawą prawną przechowywania danych pracownika w jego aktach osobowych jest art. 6 ust. 1 lit. c RODO, czyli obowiązek prawny ciążący na administratorze.

Oznacza to, że pracodawca będący administratorem danych zawartych w aktach osobowych jest związany przepisami ww. rozporządzenia, a nie wolą pracownika poprzez odbieranie od niego zgody na realizację procesu przetwarzania w ww. celach.

Obowiązki pracodawcy w zakresie prowadzenia akt osobowych i ich zawartości są więc ściśle określone i nie można mówić o dobrowolności przy przetwarzaniu danych osobowych w tych celach.

Należy pamiętać, że jeśli po stronie pracodawcy istnieje ryzyko, że w aktach osobowych znajdują się informacje zebrane niezgodne z obowiązującymi przepisami, to pracodawca powinien dokonać ich przeglądu i usunąć dane pozyskane nielegalnie.

Oczywiście w niektórych przypadkach uzyskiwanie zgód w zakresie danych osobowych będzie wymagane. Dotyczy to przykładowo danych biometrycznych. Zgodnie z art. 4 pkt 14 RODO, dane biometryczne to dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczna identyfikacje tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

Klauzule informacyjne RODO

Przepisy RODO rozszerzają zakres informacji, jakie pracodawca musi przekazywać kandydatom do pracy oraz zatrudnionym osobom (np. pracownikom). W związku z tym konieczne jest przekazywanie przez zakłady pracy odpowiednich klauzul informacyjnych nowozatrudnianym osobom jak również zmodyfikowanie klauzul wręczonych jeszcze w poprzednim stanie prawnym.

Zauważmy, że rodzaje informacji przekazywanych osobie, której dane są przetwarzane, zostały wymienione w art. 13 i 14 RODO. I tak, jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

  1. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  2. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  3. cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
  4. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) RODO – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
  5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych;
  7. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  8. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  9. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  10. informacje o prawie wniesienia skargi do organu nadzorczego czyli Prezesa Urzędu Ochrony Danych Osobowych;
  11. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  12. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Reasumując, pracodawca informuje na piśmie pracowników i inne zatrudnione osoby (np. w ramach umowy cywilnoprawnej), w jasnej, przejrzystej, zrozumiałej i łatwo dostępnej formie, prostym językiem, nie później niż w dniu zawarcia umowy, o informacjach dotyczących przetwarzania ich danych osobowych. 

Poniżej wzór klauzuli informacyjnej dla pracownika: 

KLAUZULA INFORMACYJNA RODO

 

1) Zgodnie z art. 13 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej: RODO, informujemy, że administratorem Pani/Pana danych osobowych jest ……………………………………………….. z siedzibą w ……………………….. przy ul. ……………………….………………………………

 

2) Pani/Pana dane osobowe przetwarzane będą w celu realizacji praw i obowiązków wynikających ze stosunku pracy, na podstawie art. 6 ust. 1 pkt c RODO.

 

3) Pozyskane od Pani/Pana dane osobowe będą przekazywane:

  • podmiotom przetwarzającym je na nasze zlecenie oraz
  • organom lub podmiotom publicznym uprawnionym do uzyskania danych na podstawie obowiązujących przepisów prawa, np. Zakładowi Ubezpieczeń Społecznych, organom skarbowym, sądom, organom ścigania lub instytucjom państwowym, gdy wystąpią z żądaniem, w oparciu o stosowną podstawę prawną.

4) Pani/Pana dane osobowe będą przechowywane przez okres trwania stosunku pracy oraz w obowiązkowym okresie przechowywania dokumentacji związanej ze stosunkiem pracy i akt osobowych, ustalanym zgodnie z odrębnymi przepisami.

5) Podanie przez Panią/Pana danych osobowych jest wymogiem ustawowym. Ich nieprzekazanie spowoduje niemożność realizacji zawartej umowy o pracę i związanych z nią obowiązków w zakresie składek ZUS i podatku dochodowego od osób fizycznych.

6) Ma Pani/Pan prawo do:

  • dostępu do swoich danych osobowych,
  • żądania sprostowania swoich danych osobowych, które są nieprawidłowe oraz uzupełnienia niekompletnych danych osobowych,
  • żądania usunięcia swoich danych osobowych, w szczególności w przypadku cofnięcia przez Panią/Pana zgody na przetwarzanie, gdy nie ma innej podstawy prawnej przetwarzania,
  • żądania ograniczenia przetwarzania swoich danych osobowych,
  • wniesienia sprzeciwu wobec przetwarzania swoich danych, ze względu na Pani/Pana szczególną sytuację, w przypadkach, kiedy przetwarzamy Pani/Pana dane na podstawie naszego prawnie usprawiedliwionego interesu czy też na potrzeby marketingu bezpośredniego,
  • przenoszenia swoich danych osobowych,
  • wniesienia skargi do organu nadzorczego zajmującego się ochroną danych osobowych, tj. Prezesa Urzędu Ochrony Danych Osobowych.

7) W zakresie, w jakim Pani/Pana dane są przetwarzane na podstawie zgody – ma Pani/Pan prawo wycofania zgody na przetwarzanie danych w dowolnym momencie. Wycofanie zgody nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie Pani/Pana zgody przed jej wycofaniem. Zgodę może Pani/Pan wycofać poprzez wysłanie oświadczenia o wycofaniu zgody na nasz adres korespondencyjny bądź adres e-mailowy. 

 

Modyfikacja zakładowych regulaminów

Jeśli w wewnątrzzakładowych aktach normatywnych takich jak np. regulamin pracy lub zbiorowy układ pracy są odesłania do nieobowiązującej już ustawy o ochronie danych osobowych z 1997 r. , wówczas konieczne są zmiany aktualizacyjne polegające na wskazaniu nowych podstaw prawnych znajdujących się w RODO czy w ustawie z 10 maja 2018 r. o ochronie danych osobowych.

Pamiętajmy, że zakłady pracy korzystające z monitoringu wizyjnego i kontrolujące służbową pocztę elektroniczną, cele, zakres oraz sposób zastosowania ww. monitoringu / kontroli muszą ustalać w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy.

W celu wykazania, iż pracodawca przestrzega RODO, powinien on dodać do układu zbiorowego lub regulaminu pracy zapis o konieczności przestrzegania przez administratora danych i zatrudnione osoby przepisów RODO, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, regulacji związanych z ochroną danych osobowych, w tym wewnątrzzakładowych polityk bezpieczeństwa oraz innych aktów zakładowych.

Ponadto regulamin wynagradzania powinien zostać „wzbogacony” o postanowienia wyjaśniające:

  • cel przetwarzania danych osobowych, którym jest przede wszystkim udokumentowanie prawa do poszczególnych składników wynagrodzenia, ustalania ich wysokości i wypłaty,
  • kwestie praw przysługujących pracownikowi w zakresie ochrony danych osobowych oraz okresu przechowywania danych.

Po wejściu w życie przepisów RODO należy zmodyfikować także regulamin gospodarowania zfśs. Treść tego aktu normatywnego powinna być spójna z zasadami wskazanymi w RODO. A jak do tego doprowadzić? Otóż w omawianym dokumencie pracodawca musi wskazać m.in.:

  • swoje dane (przede wszystkim pełną nazwę, adres siedziby, NIP), aby jasnym było kto jest podmiotem uprawnionym do zbierania danych osobowych osób uprawnionych do korzystania z zfśs,
  • cel przetwarzania danych ww. osób – wystarczy tu stwierdzenie, że dane osób uprawnionych są przetwarzane wyłącznie w celu realizacji uprawnień do uzyskania wsparcia finansowanego ze środków przeznaczonych na działalność socjalną,
  • podstawę prawną przetwarzania danych, tj. art. 8 ustawy z 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych w związku z art. 6 ust. 1 lit. c RODO,
  • czas przechowywania danych, który powinien być adekwatny do realizacji celu przetwarzania danych osobowych – przykładowy zapis dotyczący tego zagadnienia może brzmieć następująco: „Dane osobowe osób uprawnionych do korzystania ze świadczeń z zfśs są przechowywane przez okres ubiegania się o konkretne świadczenie oraz czas niezbędny do ustalenia prawa do świadczenia i realizacji tego prawa, a także okres 3 lat od dnia wymagalności roszczenia, zgodnie z art. 291 § 1 K.p.”,

jakie prawa w zakresie swoich danych osobowych posiada osoba uprawniona do korzystania z zasobów funduszu socjalnego – chodzi tu przede wszystkim o poinformowanie o prawie do uzyskania dostępu do swoich danych, żądania sprostowania lub usunięcia danych albo ograniczenia ich przetwarzania, przenoszenia danych do innego administratora, wniesienia sprzeciwu wobec przetwarzania danych oraz skargi do organu nadzorczego zajmującego się ochroną danych osobowych, tj. Prezesa Urzędu Ochrony Danych Osobowych.

Powrót do spisu treści

Skomentuj artykuł

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *