Kwestia ochrony danych osobowych została uregulowana w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO).
RODO nakłada szereg obowiązków na podmioty, które w ramach swojej działalności mają do czynienia z danymi osobowymi osób, z którymi współpracują bądź planują przystąpić do współpracy. Do takiej grupy podmiotów zaliczają się niewątpliwie pracodawcy. Od procesu rekrutacji aż do zawiązania umowy o pracę pracodawca „zbiera” dane osobowe, które następnie są przez niego przetwarzane.
O tym, jakie dane osobowe pracownika mogą zostać pozyskane przez pracodawcę przeczytasz w niniejszym artykule.
Zgodnie z art. 4 ust. 1 RODO dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Co więcej, warto wskazać, że wyróżnia się trzy kategorie danych osobowych, tj.:
Zgonie z przepisem art. 4 pkt 2 RODO poprzez przetwarzanie należy rozumieć operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Tym samym przetwarzaniem jest:
Z kolei za czynność udostępniania danych osobowych należy zatem uznać przekazanie danych do innego podmiotu, występującego wówczas w roli administratora danych, który będzie samodzielnie lub wspólnie z innymi ustalać cele i sposoby przetwarzania danych osobowych.
Jeśli chcesz wiedzieć jakie zachodzą różnice między przetwarzaniem a udostępnianiem danych osobowych, to przejdź tutaj.
Co do zasady, prawa i obowiązki stron stosunku pracy związane z pozyskiwaniem i przetwarzaniem danych osobowych reguluje bezpośrednio stosowane RODO. Jednakże krajowy porządek prawny w tym zakresie regulują przepisy ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy.
Zgodnie zatem z przepisem art. 22(1) §1 Kodeksu pracy pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:
Zasada ta koresponduje z art. 6 ust. 1 lit. c RODO, który wprowadził przesłankę istnienia „obowiązku prawnego” jako podstawy pobierania danych osobowych. W procesie rekrutacji, który poprzedza zawarcie umowy o pracę, umocowaniem do przetwarzania danych osobowych jest też art. 6 ust. 1 lit. b RODO, stosowany gdy „przetwarzanie jest niezbędne do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy”. Dane możliwe do pozyskania przez pracodawcę na podstawie przepisów Kodeksu pracy, w związku z podejmowaniem przez niego niezbędnych działań w okresie przed zawarciem umowy o pracę, obejmują: imię (imiona) i nazwisko, datę urodzenia, dane kontaktowe, wykształcenie, kwalifikacje zawodowe, przebieg dotychczasowego zatrudnienia [por. art. 22(1) § 1 Kodeksu pracy]. Przebieg dotychczasowego zatrudnienia odnosi się do wykonywania pracy na podstawie stosunku pracy.
Warto również mieć na uwadze, iż pracodawca nie może żądać od kandydata i przetwarzać danych wykraczających poza zakres, który został wskazany w art. 22(1) § 1 Kodeksu pracy, w szczególności takich, które nie mają związku z celem, jakim jest zatrudnienie pracownika, np. danych o stanie cywilnym, rodzinie, zainteresowaniach, wyznaniu, poglądach religijnych, politycznych czy orientacji seksualnej.
W przypadku zakończenia procesu rekrutacji decyzją o nawiązaniu stosunku pracy pracodawca ma prawo żądać od pracownika, niezależnie od danych, które uzyskał w procesie rekrutacji, także danych wskazanych w art. 22(1) § 3 Kodeksu pracy, tj. adres zamieszkania, numer PESEL, numer rachunku płatniczego, inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy, wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie.
Pracownik oraz kandydat ubiegający się o zatrudnienie nie ma obowiązku informować pracodawcy o swojej niepełnosprawności. Jednakże w przypadku, gdy pracodawca uzyska takie informacje od pracownika bądź kandydata, to winien traktować takie dane osobowe jako dane wrażliwe.
Zgodnie z przepisem art. 9 RODO przetwarzanie informacji na temat stanu zdrowia pracowników jest zabronione. Z kolei w ust. 2 analizowanego przepisu dopuszcza się jednak wyjątki od powyższej zasady. Tym samym przetwarzanie danych o stanie zdrowia jest dopuszczalne w przypadku, gdy:
Powyższe przesłanki muszą wystąpić łącznie, aby pracodawca mógł przetwarzać dane osobowe.
Zgodnie z zasadą minimalizacji pobierania i przetwarzania danych osobowych uregulowaną w przepisie art. 5 ust. 1 lit. c RODO pracodawca powinien gromadzić tylko te dane, które są konieczne do celu, jakim jest zatrudnienie danej osoby. Jeśli na danym stanowisku informacje o wykształceniu, kwalifikacjach zawodowych czy dotychczasowym przebiegu zatrudnienia nie mają znaczenia, to pracodawca nie powinien domagać się ich przekazania od kandydata do pracy. Pracodawca musi zatem oceniać, czy wymienione dane są potrzebne do wykonywania pracy określonego rodzaju lub na określonym stanowisku [por. art. 22(1) § 2 Kodeksu pracy].
Żądanie danych o dotychczasowym zatrudnieniu jest niezbędne, gdy wykonywanie danego zawodu zależy od spełnienia kryteriów wskazanych w powszechnie obowiązujących przepisach, np. nauczyciel, zawody medyczne, pracownicy samorządowi. Za niezbędne mogą być też uznane wymagania ustalone w przepisach wewnątrzzakładowego prawa pracy, o ile nie naruszają obiektywnego wzorca wykonywania pracy danego rodzaju.
Udostępnienie danych osobowych przez kandydata do pracy i pracownika następuje w formie oświadczenia osoby, której dane dotyczą [por. art. 22(1) § 5 Kodeksu pracy].
Dokumentowanie przekazanych pracodawcy danych osobowych może nastąpić tylko w zakresie niezbędnym do ich potwierdzenia. Pracodawca może domagać się udokumentowania danych osobowych przedstawianych przez kandydatów do pracy poprzez przedstawienie świadectw pracy czy innych dokumentów potwierdzających deklarowane kwalifikacje, wykształcenie i przebieg dotychczasowego zatrudnienia, o ile dane te są niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. Dopuszczalne jest sporządzenie odpisów lub kopii przedłożonych dokumentów, które składa się do akt osobowych pracownika prowadzonych w formie papierowej w części A. Odpisy i kopie pracodawca lub osoba przez niego upoważniona poświadcza za zgodność z okazanym dokumentem, co wynika z rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej.
W sytuacji, gdy pracodawca zawarł umowę o pracę z osobą ubiegającą się o zatrudnienie, zgodnie z § 3 rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej w części A akt osobowych pracownika umieszcza się oświadczenia lub dokumenty dotyczące danych osobowych, zgromadzone w związku z ubieganiem się o zatrudnienie i przechowane przez cały okres zatrudnienia pracownika oraz przez 10 lat po jego zakończeniu.
Zgodnie z przepisem art. 94 pkt 9b Kodeksu pracy pracodawca jest obowiązany przechowywać dokumentację pracowniczą w sposób gwarantujący zachowanie jej poufności, integralności, kompletności oraz dostępności, w warunkach niegrożących uszkodzeniem lub zniszczeniem przez okres zatrudnienia, a także przez 10 lat, licząc od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł, chyba że odrębne przepisy przewidują dłuższy okres przechowywania dokumentacji pracowniczej.
Pracodawcy powinni zatem gromadzić w ramach procesu rekrutacyjnego tylko takie dokumenty dotyczące kandydata, które zawierają dane osobowe niezbędne do wyboru najlepszej osoby na dane stanowisko, a nie wszystkie, które zostały przedłożone przez osobę zainteresowaną podjęciem zatrudnienia.
Przepisy Kodeksu pracy jak i przepisy RODO wprost wskazują, jakich danych osobowych pracodawca może żądać od pracownika bądź kandydata ubiegającego się o zatrudnienie. Tym samym, raz jeszcze wskazać należy, że pracodawca może żądać wyłącznie ujawnienia danych osobowych niezbędnych do wykonywania konkretnego stanowiska pracy. Co oznacza, iż pracodawca nie może żądać od kandydata i przetwarzać danych, które nie mają związku z celem, jakim jest zatrudnienie pracownika, np. danych o stanie cywilnym, rodzinie, zainteresowaniach, wyznaniu, poglądach religijnych, politycznych czy orientacji seksualnej.
Zachęcamy do komentowania naszych artykułów. Wyraź swoje zdanie i włącz się w dyskusje z innymi czytelnikami. Na indywidualne pytania (z zakresu podatków i księgowości) użytkowników ifirma.pl odpowiadamy przez e-mail, czat lub telefon – skontaktuj się z nami.
Administratorem Twoich danych osobowych jest IFIRMA S.A. z siedzibą we Wrocławiu. Dodając komentarz na blogu, przekazujesz nam swoje dane: imię i nazwisko, adres e-mail oraz treść komentarza. W systemie odnotowywany jest także adres IP, z wykorzystaniem którego dodałeś komentarz. Dane zostają zapisane w bazie systemu WordPress. Twoje dane są przetwarzane na podstawie Twojej zgody, wynikającej z dodania komentarza. Dane są przetwarzane w celu opublikowania komentarza na blogu, jak również w celu obrony lub dochodzenia roszczeń. Dane w bazie systemu WordPress są w niej przechowywane przez okres funkcjonowania bloga. O szczegółach przetwarzania danych przez IFIRMA S.A dowiesz się ze strony polityki prywatności serwisu ifirma.pl.
Z Biurem Rachunkowym i aplikacją IFIRMA masz wszystko pod kontrolą i w jednym narzędziu!