Jakie dane osobowe pracowników może przetwarzać pracodawca?
Czasy „dzikiego zachodu” w procedurze zatrudniania słusznie odeszły w zapomnienie. Będąc pracodawcą nie możesz już bez konsekwencji wypytywać kandydatów na pracowników o ich upodobania polityczne, niepełnosprawności, plany na przyszłość, posiadane kredyty, dzieci, ciąże czy plany związane z małżeństwem. Rozporządzenie w przedmiocie ochrony praw osobowych skutecznie ograniczyło zakres informacji, jakich możesz żądać od potencjalnego pracownika na rozmowie o pracę. Bardziej chronione są również dane osób już zatrudnionych. Jeżeli prowadzisz własne biuro rachunkowe i jeszcze nie sprawdziłeś, jakie dane osobowe pracowników możesz przetwarzać, zapoznaj się z niniejszym tekstem, wszystko dokładnie w nim wytłumaczę.
RODO wpłynęło na wiele dziedzin życia i funkcjonowania Polaków. Przepisy rozporządzenia nie ominęły również prawa pracy. Do Kodeksu pracy zostały wprowadzone zatem art. 22[1] i nast., które stanowią „drogowskaz” oraz obowiązek, którym powinieneś się kierować przy zatrudnianiu nowych osób oraz zachowywać się wobec tych już pracujących na stałe. Dane osobowe pracowników stanowią dobra chronione, o które musisz dbać na równi z danymi klientów czy kontrahentów. To, że dotyczą one osób będących częścią Twojego biura, nie oznacza, że masz do nich prawo czy też możesz traktować je po macoszemu. Twoi pracownicy – w świetle zasad RODO – mają takie same prawa jak każda inna osoba fizyczna.
Dane osobowe pracowników przy umowie o pracę
Na wstępie podkreślę, że omawiana problematyka dotyczy podmiotów podlegających pod Kodeks pracy, tj. pracodawców zatrudniających i osób zatrudnionych na podstawie umów o pracę. Nie będę się również skupiał na ochronie danych osobowych kandydatów na pracowników, o tym pisałem już wcześniej w artykule „RODO przy zatrudnianiu nowego pracownika – o co może pytać pracodawca”. Musisz jednak wiedzieć, że prawa do ochrony danych kandydata są nieco inne niż te, które posiada zatrudniony pracownik. Jeżeli jednak „zatrudniasz” w swoim biurze księgowych na umowach zlecenie czy popularnym B2B również nie powinieneś ignorować poniższych regulacji.
W sytuacji gdy zdecydujesz się na zatrudnienie danej osoby w biurze rachunkowym i podpiszesz z nią umowę o pracę, zaczynają was ściśle obowiązywać przepisy prawa pracy. Musisz zatem zadbać o to, aby przetwarzanie danych osobowych księgowych z którymi współpracujesz było zgodne w szczególności z art. 22[1] § 2 i 4 KP.
Masz prawo przetwarzać dane osobowe pracownika obejmujące:
- imię (imiona) i nazwisko;
- datę urodzenia;
- adres zamieszkania;
- numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;
- dane kontaktowe – nr telefonu oraz adres email;
- wykształcenie;
- kwalifikacje zawodowe;
- przebiegu dotychczasowego zatrudnienia;
- dane osobowe dzieci lub innych osób najbliższych pracownika – jeżeli podanie takich informacji jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;
- numer rachunku płatniczego, o ile pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.
Powyżej wskazane dane mogą znaleźć się w umowie o pracę lub w innych dokumentach złożonych do akt pracowniczych. Nie jest oczywiście, że pracownik jest zobligowany pod groźbą kary administracyjnej do podania wszystkich danych osobowych, które go dotyczą. Ma on prawo do odmowy wskazania określonych informacji. Musi się jednak liczyć z tym, iż masz prawo wówczas podziękować mu za współpracę. Najlepiej zatem, abyś już podczas rozmowy kwalifikacyjnej informował kandydatów o ich prawach i obowiązkach wynikających z RODO.
Dane zwykłe, a dane szczególne
Jak wyjaśniliśmy w artykule „RODO i dane osobowe” dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Osoba fizyczna możliwa do zidentyfikowania to taka, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
RODO oraz odnoszące się do niego prawo pracy wyróżnia trzy kategorie danych osobowych:
- dane zwykłe – są to między innymi imiona, nazwiska, adresy zamieszkania, daty urodzin, miejsca narodzin, numery telefonów, adresy skrzynek mailowych;
- dane szczególne – nazywane również danymi wrażliwymi – mogą dotyczyć np. pochodzenia rasowego, poglądów politycznych, przekonań religijnych lub światopoglądowych, danych biometrycznych, danych dotyczących zdrowia, orientacji seksualnej czy też przynależności do związków zawodowych;
- dane dotyczące wyroków skazujących i czynów zabronionych.
Masz prawo żądać danych osobowych „zwykłych” od każdego zatrudnionego księgowego oraz pozostałych pracowników biurowych na podstawie art. 6 pkt 1 lit. c RODO, tj. w sytuacji gdy przetwarzanie takich danych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Nie jesteś już za to uprawniony do wskazywania przez pracowników ich danych szczególnych. Te mogą przekazać oni z własnej inicjatywy, np. chcąc zgłosić chęć korzystania ze szczególnych uprawnień pracowniczych związanych z ciążą.
Z kolei przetwarzać dane osobowe dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa możesz wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych.
Zasada minimalizacji
To, że przepis art. 221 KP daje Ci możliwość przetwarzania określonych danych osobowych swoich pracowników, nie oznacza, że w każdej sytuacji powinieneś je pozyskiwać. Zgodnie z zasadą minimalizacji pobierania danych wprowadzoną art. 5 ust. 1 lit. c RODO jako pracodawca powinieneś gromadzić wyłącznie te dane, które są konieczne do celu, jakim jest zatrudnienie danej osoby. Dla przykładu, jeśli na konkretnym stanowisku (np. starszego księgowego czy doradcy podatkowego) konieczne są określone wykształcenie i kwalifikacje zawodowe, nie możesz wymagać od pracownika podania innych informacji dotyczących przebiegu jego nauki i zatrudnienia, niż te dotyczące rzeczonego stanowiska. Twoim obowiązkiem jest zatem dokonywanie każdorazowo oceny czy wymagane dane są potrzebne do wykonywania pracy na określonym stanowisku.
Dane osobowe pracowników a ujawnianie danych podmiotom trzecim
Oczywistym jest, że dane osobowe pracowników są poufne i Twoim obowiązkiem jest chronienie dostępu do nich nieuprawnionych osób trzecich. Są jednak takie sytuacje, kiedy publiczne udostępnienie niektórych danych będzie nieodzowne w prawidłowym prowadzeniu biura rachunkowego.
Pierwszym przykładem ujawniania danych osobowych pracowników osobom postronnym jest sporządzanie listy pracowniczej, na której każdy z pracowników musi wpisać swoje imię i nazwisko oraz się podpisać. Wydawać by się mogło, że jest to działanie niezgodne z RODO, gdyż listy te pozostawiane są zazwyczaj w miejscach łatwo dostępnych dla wszystkich osób zatrudnionych w firmie. Orzecznictwo uznało jednak, że takie działanie nie jest sprzeczne z zasadami RODO. Pracownicy bowiem znają się nawzajem i nie jest żadną „tajemnicą” informacja dotycząca ich imion i nazwisk. Niezgodne natomiast z rozporządzeniem będzie pozostawianie na takiej liście informacji o urlopach, w szczególności tych chorobowych i „na żądanie”. Informacje o chorobach i zwolnieniach lekarskich są już danymi wrażliwymi i nie mogą być rozpowszechniane.
Innym przykładem mogącym Cię zastanawiać jest przydzielanie pracownikom identyfikatorów ze zdjęciem. Wizerunek pracownika nie jest informacją znajdującą się w katalogu danych z art. 221 § 2 KP, oznacza to zatem, że abyś mógł umieścić na identyfikatorze zdjęcie podwładnego, musisz uzyskać jego dobrowolną zgodę. Przy czym brak zgody nie może być powodem zwolnienia czy wyciągania innych negatywnych konsekwencji wobec pracownika.
Kolejną bardzo popularną praktyką jest wykorzystywanie danych pracowników i umieszczanie ich na stronach internetowych biura rachunkowego oraz w tzw. stopkach przy korespondencji mailowej. Zazwyczaj są to informacje o ich imionach i nazwiskach, stanowiskach oraz numerach telefonów i adresach e-mail. Uznaje się, iż ujawnianie takich danych służy wykonywaniu przez pracowników ich obowiązków służbowych, stąd też dane te mogą być udostępniane przez pracodawcę bez zgody pracowników. Musisz jednak pamiętać, że w przypadku numerów telefonów i adresów email, możesz je wskazywać o ile nie są to numery i adresy prywatne. Jeśli zatem księgowy pracujący w Twoim biurze otrzymał służbowy telefon oraz własny przyporządkowany adres skrzynki wirtualnej znajdującej się na firmowym serwerze, nie ma problemu. Pamiętaj również, że analogicznie do omówionych wyżej identyfikatorów, sprzecznym z RODO będzie publikowanie na stronie www biura wizerunku (zdjęcia) księgowego bez jego zgody. Mniej popularne, ale w dalszym ciągu spotykane, jest również umieszczanie imion i nazwisk pracowników na drzwiach ich biur w siedzibie przedsiębiorstwa. Tutaj zgoda osób zainteresowanych nie będzie konieczna.