Przetwarzanie danych osobowych pracowników zgodnie z RODO – wyodrębnienie procesów
Ochrona danych osobowych pracowników jest zagadnieniem, z którym musi uporać się każdy pracodawca. Prawodawca unijny w art. 88 RODO wskazał na trzy najistotniejsze fazy zatrudniania, w których dochodzi do przetwarzania danych osobowych pracowników i które mogą wymagać opracowania bardziej szczegółowych regulacji:
- Faza rekrutacji,
- Faza realizacji umowy, w ramach której następuje wykonywanie obowiązków, zarządzanie i organizacja pracy, zapewnienie równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy,
- Faza zakończenia stosunku pracy.
Unijny prawodawca w art. 88 ust. 3 RODO wprowadził również ograniczenia czasowe przyjęcia regulacji sektorowych w omawianym przedmiocie. 25 maja 2018 r. był dniem, w którym należało zawiadomić Komisję Europejską o przyjęciu przepisów dotyczących m.in. przetwarzania danych w zatrudnieniu.
Dziś wiemy, że polskiemu ustawodawcy dostosowanie przepisów sektorowych do RODO zajęło znacznie więcej czasu, niż zakładano. Pełni nadziei przyjęliśmy do wiadomości, że 3 kwietnia 2019r. Prezydent RP podpisał ustawę wdrażającą RODO zmieniającą około 170 ustaw, w tym Kodeks Pracy. Przepisy zaczną obowiązywać po 14 dniach od publikacji w Dzienniku Ustaw. Wtedy też szerzej przyjrzymy się znowelizowanym przepisom dotyczącym przetwarzania danych w zatrudnieniu i poświęcimy temu zagadnieniu kolejny artykuł z cyklu RODO w Kadrach.
Mając na uwadze wskazane przez unijnego prawodawcę najistotniejsze fazy zatrudniania, dokonaliśmy już analizy zagadnień dotyczących fazy rekrutacji:
W dzisiejszym artykule podejmiemy się rozpracowania fazy drugiej, jaką jest realizacja umowy zawartej między pracodawcą, a pracownikiem. W szczególności postaramy się wyodrębnić najczęściej występujące u pracodawców procesy związane z przetwarzaniem danych osobowych pracowników i przyporządkować do każdego procesu odpowiednią podstawę prawną.
Procesy związane z przetwarzaniem danych osobowych pracowników – przykładowy scenariusz
Każdy pracodawca przetwarza dane osobowe o pracowniku. Wyznaczony przez Kodeks Pracy zakres danych, których przetwarzanie jest dopuszczalne, daleki jest od faktycznych potrzeb obu stron stosunku pracy. Praktyka pokazuje, że przy przetwarzaniu danych w zatrudnieniu pojawia się potrzeba rozszerzenia zakresu ich przetwarzania. Kluczowe jest, aby pracodawca każdorazowo dysponował odpowiednią podstawą, umożliwiającą zgodne z prawem przetwarzanie danych osobowych pracowników.
O tym, jak skutecznie wyodrębnić procesy oraz czym kierować się nadając im nazwy pisaliśmy w artykule dotyczącym Rejestru Czynności Przetwarzania (RCP). Jeżeli potrzebujesz wskazówek kliknij w ten link https://blog-daneosobowe.pl/rejestr-czynnosci-przetwarzania-mapowanie-procesow/.
W celu przybliżenia sytuacji, w której niezbędne jest wyodrębnienie konkretnego procesu przyjrzymy się przedstawionemu poniżej stanowi faktycznemu.
Stan faktyczny
Spółka XYZ zatrudnia 150 pracowników. Zdecydowanej większości pracowników spółka oferuje umowy o pracę, są jednak osoby, z którymi współpracuje na podstawie umowy zlecenia. Spółka współpracuje również z agencją pracy tymczasowej i deleguje zadania pracownikom tymczasowym.
Spółka należy do grupy kapitałowej, którą tworzy 5 spółek mających siedziby na terenie UE. W ramach grupy kapitałowej, spółki korzystają z jednego, wspólnego systemu Intranet. Użytkownicy systemu Intranet mają dostęp do danych wszystkich pracowników z 5 spółek w następującym zakresie: imię, nazwisko, stanowisko, kraj, wizerunek, służbowy adres e-mail, służbowy nr telefonu.
Wizerunek pracowników jest wykorzystywany nie tylko w Intranecie. Pracownicy wgrywają również swoje zdjęcie do poczty służbowej. Dodatkowo, na terenie zakładu zainstalowany jest monitoring.
Spółka w celu wypełnienia obowiązków ciążących na pracodawcy kieruje pracowników na badania z zakresu medycyny pracy. Organizuje szkolenia z zakresu BHP. Umożliwia również dostęp do szkoleń podnoszących kwalifikacje zawodowe.
Pracownicy ze szczebla managerskiego mają możliwość korzystania z floty samochodowej, którą dysponuje spółka.
Wszyscy pracownicy mają do dyspozycji karty sportowe w ramach benefitów pracowniczych.
Pracownicy mają możliwość skorzystania ze środków przyznawanych w ramach Zakładowego Funduszu Świadczeń Socjalnych. W tym celu należy złożyć stosowne wnioski oraz spełnić wymagania wskazane w wewnętrznym regulaminie ZFŚS.
Zgodnie z polityką spółki, awanse przyznawane są po przeprowadzeniu corocznych ocen pracowniczych.
Praktyczny kurs e-learningowy RODO w kadrach
Ze szkolenia dowiesz się jak sprawnie i zgodnie z RODO: rekrutować, zatrudniać, gromadzić i usuwać dane, wykorzystywać wizerunek oraz monitoring wizyjny i poczty elektronicznej, udostępniać spółkom z grupy kapitałowej, placówkom medycznym i dostawcom benefitów.
Sprawdź jak przetwarzać dane osobowe pracowników i kandydatów do pracy.
Proces, cel oraz podstawa prawna przetwarzania danych osobowych pracowników
PRACOWNICY I WSPÓŁPRACOWNICY | |||
Proces | Cel przetwarzania danych | Podstawa prawna przetwarzania danych | |
Realizacja umów o pracę | Zawarcie oraz realizacja umowy o pracę zawartej między pracownikiem, a pracodawcą (Administratorem danych) | art. 6 ust. 1 lit. c) RODO -obowiązek prawny, m. in.: 1. Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy 2. Rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej | |
art. 6 ust. 1 lit. b) RODO – podjęcie działań na żądanie osoby, której dane dotyczą przed zawarciem umowy oraz niezbędność dla wykonania umowy, | |||
Realizacja praw i obowiązków pracodawcy | Realizacja praw i obowiązków pracowniczych wynikających z zatrudnienia | art. 6 ust. 1 lit. c) RODO – obowiązek prawny, m.in.: 1. Ustawa z dnia 26 czerwca 1974 r. Kodeks Pracy, 2. Rozporządzenie MRPiPS z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej | |
art. 9 ust. 2 lit. b) RODO – obowiązek i szczególne prawo w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej. 1. Ustawa z dnia 26 czerwca 1974 r. Kodeks Pracy, 2. Rozporządzenie MRPiPS z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej | |||
art. 9 ust. 2 lit. h) RODO – przetwarzanie niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego | |||
Realizacja umów cywilnoprawnych | Zawarcie oraz realizacja umowy cywilnoprawnej | art. 6 ust. 1 lit. c) RODO -obowiązek prawny, m. in.: 1.Ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny | |
art. 6 ust. 1 lit. b) RODO – podjęcie działań na żądanie osoby, której dane dotyczą przed zawarciem umowy oraz niezbędność dla wykonania umowy | |||
Pracownicy tymczasowi | Realizacja praw i obowiązków pracodawcy użytkownika | art. 6 ust. 1 lit. c) RODO – obowiązek prawny: 1. Ustawa z dnia 9 lipca 2003 r. o zatrudnianiu pracowników tymczasowych | |
Bezpieczeństwo i higiena pracy | Wypełnianie obowiązków przewidzianych w przepisach prawa, związanych z bezpieczeństwem i higieną pracy | art. 6 ust. 1 lit. c) RODO – obowiązek prawny, m.in.: 1. Ustawa z dnia 26 czerwca 1974 r. Kodeks Pracy, 2. Rozporządzenie MPiPS z dnia 26 września 1997 r. w sprawie ogólnych przepisów bezpieczeństwa i higieny pracy, 3. Rozporządzenie MPiPS z dnia 27 lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy art. 9 ust. 2 lit. b) RODO- wykonywanie obowiązków w dziedzinie prawa pracy, m.in.: 1. Rozporządzenie RM z dnia 1 lipca 2009 r. w sprawie ustalania okoliczności i przyczyn wypadków przy pracy 2. Rozporządzenie MGiP w sprawie wzoru protokołu ustalenia okoliczności i przyczyn wypadku przy pracy art. 6 ust. 1 lit. b) RODO – wykonanie umowy | |
Podnoszenie kwalifikacji zawodowych przez pracowników | Zapewnienie dostępu do szkoleń pracowniczych i umożliwienia podnoszenia kwalifikacji zawodowych | art. 6 ust. 1 lit. c) RODO – obowiązek prawny 1. Ustawa z dnia 26 czerwca 1974 r. Kodeks Pracy | |
art. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes administratora danych jakim jest konieczność podnoszenia kwalifikacji zawodowych pracowników | |||
Benefity pracownicze | Prowadzenie dla pracowników i współpracowników programów typu well being | art. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes administratora danych jakim jest prowadzenie programów typu well being | |
Wykorzystywanie wizerunku | Wykorzystywanie wizerunku w postaci: 1) zamieszczania zdjęć w intranecie, służbowej poczcie email, rejestrowanie obrazu za pomocą rozmieszczonych w zakładzie pracy kamer video | art. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes administratora danych jakim jest konieczność usprawnienia procesu zarządzania i komunikacji wewnętrznej oraz zapewnienia bezpieczeństwa osób i mienia | |
Przekazywanie danych w ramach grupy kapitałowej | Przekazywanie danych pracowników do innych podmiotów należących do tej samej grupy kapitałowej co Administrator | art. 6 ust. 1 lit. f) RODO prawnie uzasadniony interes administratora danych jakim jest globalne zarządzanie procesami personalnymi | |
Zarządzanie flotą samochodów służbowych | Obsługa procesu zarządzania flotą samochodów służbowych | art. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes administratora danych jakim jest konieczność zapewnienia nadzoru i bieżącej kontroli nad udostępnianymi pracownikom samochodami służbowymi | |
art. 6 ust. 1 lit. c) RODO – obowiązek prawny, w zakresie konieczności udostępniania danych użytkowników pojazdów właściwym organom | |||
Oceny pracownicze | Zarządzanie procesem przeprowadzania ocen pracowniczych | art. 6 ust. 1 lit. b) RODO –niezbędność dla wykonania umowy | |
art. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes administratora danych jakim jest konieczność oceny postępów i jakości pracy pracowników. | |||
Zakładowy Fundusz Świadczeń Socjalnych | Prowadzenie Zakładowego Funduszu Świadczeń Socjalnych | art. 6 ust. 1 lit c) RODO -obowiązek prawny, m.in.: 1. Ustawa z dnia 4 marca 1994 r. o Zakładowym Funduszu Świadczeń Socjalnych 2. Regulamin Zakładowego Funduszu Świadczeń Socjalnych | |
art. 9 ust. 2 lit. b) RODO – obowiązek i szczególne prawo w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej | |||
art. 6 ust. 1 lit b) RODO -wykonanie umowy, w przypadku zawarcia umowy pożyczki |
Dlaczego powinniśmy wyodrębnić procesy przetwarzania danych osobowych?
Prawidłowe wyodrębnienie procesów jest niezbędne do zapewnienie skutecznej ochrony przetwarzanych danych oraz realizacji obowiązków wynikających z RODO. Posiadając wiedzę na temat przetwarzanych w organizacji danych osobowych oraz celach ich przetwarzania jesteśmy w stanie:
- Zweryfikować, czy dysponujemy odpowiednią podstawą prawną do przetwarzania tych danych,
- Ustalić, czy stosujemy się do jednej z kluczowych zasad przetwarzania danych – minimalizacji, czyli czy przetwarzamy wyłącznie te dane, które są niezbędne do realizacji celu w danym procesie,
- Określić retencje danych, czyli okres przez jaki będziemy przechowywać dane osobowe przetwarzane w danym procesie,
- Stworzyć i z powodzeniem prowadzić rejestr czynności przetwarzania (RCP). Taki obowiązek spoczywa na większości Administratorów danych,
- Prawidłowo nadać pracownikom upoważnienia do przetwarzania danych osobowych.
Podsumowanie
Pracodawcy przetwarzają ogromne ilość danych osobowych swoich pracowników. Wśród informacji, które posiadają są również te wymagające szczególnej ochrony tzw. szczególne kategorie danych/ dane wrażliwe. Żeby stworzyć skuteczny system ochrony danych osobowych konieczne jest uporządkowanie zgromadzonych przez zakład pracy danych. Pierwszym krokiem w kierunku zapewnienia bezpieczeństwa przetwarzanym danym osobowym jest ich weryfikacja, czyli wyodrębnienie procesów, określenie celu przetwarzania danych i ustalenie odpowiedniej podstawy prawnej ich przetwarzania.
Źródła:
6 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Dzień dobry mam pytanie, do jakiego zbioru miałbym zakwalifikować publikację danych osobowych na tablicach informacyjnych w hali produkcyjnej? I jaką podstawę im przypisać?
2 rodzaje tablic:
1 – Kierownik zmiany (zdjęcie, imię, nazwisko, stanowisko, nr telefonu)
2 – nazwa działu + lista pracowników w tym dziale (imię i nazwisko)
Pozdrawiam.
Dzień dobry 🙂 Sprawa wyodrębnienia procesów u każdego z Administratorów danych wymaga analizy jego organizacji.
Opierając się na przekazanych przez Pana informacjach w naszej ocenie nie ma potrzeby wyodrębniania oddzielnych procesów. Dane umieszczone na tablicach wpisują się do takich procesów jak:
– wykorzystywanie wizerunku (tablica nr 1 )-art. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes administratora danych,
– realizacja umowy o pracę (tablica nr 1 i 2)-podstawa art. 6 ust. 1 lit. b) RODO -wykonanie umowy.
pozdrawiamy
A jak RODO się ma do cyfrowych form przeprowadzania rekrutacji jak np. nowoczesne testy rekrutacyjne https://shl.com.pl/testy-i-kwestionariusze-nadal-integralna-czescia-procesow-hr/ ?
Link dodany tak poglądowo
Dzień dobry 🙂 przy stosowaniu testów radzimy rozwagę. W obecnej chwili ani RODO ani polskie ustawy nie regulują wprost kwestii dopuszczalności stosowania w rekrutacji testów psychometrycznych. Powyższe nie oznacza jednak, że pracodawca ma pełną swobodę, wręcz przeciwnie. Jeśli testy są narzędziem do badania szeroko pojętego zdrowia potencjalnego pracownika, to wchodzimy już w zakres RODO – a tu czekają na nas liczne obostrzenia ze względu na to, że mamy do czynienia z danymi szczególnej kategorii. Pozdrawiamy
Dzień dobry. Mam pytanie dotyczące benefitów pracowniczych. Czy błędem nie będzie oparcie przetwarzania na podstawie zgody w celu objęcia pracownika ubezpieczeniem grupowym?
Wczoraj miałem okazję rozmawiać z pracownikiem UODO, który stwierdził, że jego zdaniem podstawą prawną przetwarzania danych przez okres objęcia ubezpieczeniem grupowym będzie zgoda pracownika, która jest wyrażana poprzez wypełnienie deklaracji przystąpienia do ubezpieczenia grupowego. Do tego wystarczy zamieszczenie stosownej informacji uzupełniającej w ogólnej klauzuli informacyjnej dla pracowników albo w formie ogłoszenia w sposób przyjęty w zakładzie. Podobny wniosek można wyciągnąć z poradnika UODO dotyczącego zatrudnienia. Mam wrażenie, że UODO miesza i łączy np. zgodę na potrącenia z wynagrodzenia ze zgodą na przetwarzanie danych.
W zasadzie tak naprawdę te dane mogą być wykorzystane w zasadzie tylko do realizacji obowiązków podatkowych oraz obowiązków wobec ZUS w zakresie informacji o tym, że pracownik jest objęty ubezpieczeniem oraz na temat wysokości składki. O tych celach pracownik zawsze jest informowany w ogólnej klauzuli. Może zamiennie względem uzasadnionego interesu można w tym wypadku jednak zastosować zgodę?
Dzień dobry 🙂 czym dłużej stosowane jest RODO, tym więcej pojawią się koncepcji na jego stosowanie w praktyce. W naszej opinii przedstawiona koncepcja może mieć pewne luki, ale najważniejsze aby umieć ją obronić. W przypadku zastosowania zgody należy zawsze pamiętać o tym, że musi spełnić wymogi stawiane przez RODO m.in. dobrowolność, konkretność, świadomość. Dodatkowo można ją odwołać w każdej chwili…i tu zaczynają się problemy. Pozdrawiamy!