Przetwarzanie danych osobowych pracowników zgodnie z RODO – wyodrębnienie procesów

Ochrona danych osobowych pracowników jest zagadnieniem, z którym musi uporać się każdy pracodawca. Prawodawca unijny w art. 88 RODO wskazał na trzy najistotniejsze fazy zatrudniania, w których dochodzi do przetwarzania danych osobowych pracowników i które mogą wymagać opracowania bardziej szczegółowych regulacji:

  1. Faza rekrutacji,
  2. Faza realizacji umowy, w ramach której następuje wykonywanie obowiązków, zarządzanie i organizacja pracy, zapewnienie równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy,
  3. Faza zakończenia stosunku pracy.

Unijny prawodawca w art. 88 ust. 3 RODO wprowadził również ograniczenia czasowe przyjęcia regulacji sektorowych w omawianym przedmiocie. 25 maja 2018 r. był dniem, w którym należało zawiadomić Komisję Europejską o przyjęciu przepisów dotyczących m.in. przetwarzania danych w zatrudnieniu.

Dziś wiemy, że polskiemu ustawodawcy dostosowanie przepisów sektorowych do RODO zajęło znacznie więcej czasu, niż zakładano. Pełni nadziei przyjęliśmy do wiadomości, że 3 kwietnia 2019r. Prezydent RP podpisał ustawę wdrażającą RODO zmieniającą około 170 ustaw, w tym Kodeks Pracy. Przepisy zaczną obowiązywać po 14 dniach od publikacji w Dzienniku Ustaw. Wtedy też szerzej przyjrzymy się znowelizowanym przepisom dotyczącym przetwarzania danych w zatrudnieniu i poświęcimy temu zagadnieniu kolejny artykuł z cyklu RODO w Kadrach.

Mając na uwadze wskazane przez unijnego prawodawcę najistotniejsze fazy zatrudniania, dokonaliśmy już analizy zagadnień dotyczących fazy rekrutacji:

W dzisiejszym artykule podejmiemy się rozpracowania fazy drugiej, jaką jest realizacja umowy zawartej między pracodawcą, a pracownikiem. W szczególności postaramy się wyodrębnić najczęściej występujące u pracodawców procesy związane z przetwarzaniem danych osobowych pracowników i przyporządkować do każdego procesu odpowiednią podstawę prawną.

Procesy związane z przetwarzaniem danych osobowych pracowników – przykładowy scenariusz

Każdy pracodawca przetwarza dane osobowe o pracowniku. Wyznaczony przez Kodeks Pracy zakres danych, których przetwarzanie jest dopuszczalne, daleki jest od faktycznych potrzeb obu stron stosunku pracy. Praktyka pokazuje, że przy przetwarzaniu danych w zatrudnieniu pojawia się potrzeba rozszerzenia zakresu ich przetwarzania. Kluczowe jest, aby pracodawca każdorazowo dysponował odpowiednią podstawą, umożliwiającą zgodne z prawem przetwarzanie danych osobowych pracowników.

O tym, jak skutecznie wyodrębnić procesy oraz czym kierować się nadając im nazwy pisaliśmy w artykule dotyczącym Rejestru Czynności Przetwarzania (RCP). Jeżeli potrzebujesz wskazówek kliknij w ten link https://blog-daneosobowe.pl/rejestr-czynnosci-przetwarzania-mapowanie-procesow/.

W celu przybliżenia sytuacji, w której niezbędne jest wyodrębnienie konkretnego procesu przyjrzymy się przedstawionemu poniżej stanowi faktycznemu.

Stan faktyczny

Spółka XYZ zatrudnia 150 pracowników. Zdecydowanej większości pracowników spółka oferuje umowy o pracę, są jednak osoby, z którymi współpracuje na podstawie umowy zlecenia. Spółka współpracuje również z agencją pracy tymczasowej i deleguje zadania pracownikom tymczasowym.

Spółka należy do grupy kapitałowej, którą tworzy 5 spółek mających siedziby na terenie UE. W ramach grupy kapitałowej, spółki korzystają z jednego, wspólnego systemu Intranet. Użytkownicy systemu Intranet mają dostęp do danych wszystkich pracowników z 5 spółek w następującym zakresie: imię, nazwisko, stanowisko, kraj, wizerunek, służbowy adres e-mail, służbowy nr telefonu.

Wizerunek pracowników jest wykorzystywany nie tylko w Intranecie. Pracownicy wgrywają również swoje zdjęcie do poczty służbowej. Dodatkowo, na terenie zakładu zainstalowany jest monitoring.

Spółka w celu wypełnienia obowiązków ciążących na pracodawcy kieruje pracowników na badania z zakresu medycyny pracy. Organizuje szkolenia z zakresu BHP. Umożliwia również dostęp do szkoleń podnoszących kwalifikacje zawodowe.

Pracownicy ze szczebla managerskiego mają możliwość korzystania z floty samochodowej, którą dysponuje spółka.

Wszyscy pracownicy mają do dyspozycji karty sportowe w ramach benefitów pracowniczych.

Pracownicy mają możliwość skorzystania ze środków przyznawanych w ramach Zakładowego Funduszu Świadczeń Socjalnych. W tym celu należy złożyć stosowne wnioski oraz spełnić wymagania wskazane w wewnętrznym regulaminie ZFŚS.

Zgodnie z polityką spółki, awanse przyznawane są po przeprowadzeniu corocznych ocen pracowniczych.

e-learning RODO w kadrach

Praktyczny kurs e-learningowy RODO w kadrach

Ze szkolenia dowiesz się jak sprawnie i zgodnie z RODO: rekrutować, zatrudniać, gromadzić i usuwać dane, wykorzystywać wizerunek oraz monitoring wizyjny i poczty elektronicznej, udostępniać spółkom z grupy kapitałowej, placówkom medycznym i dostawcom benefitów.

Sprawdź jak przetwarzać dane osobowe pracowników i kandydatów do pracy.

Sprawdź

Proces, cel oraz podstawa prawna przetwarzania danych osobowych pracowników

PRACOWNICY I WSPÓŁPRACOWNICY
ProcesCel przetwarzania danychPodstawa prawna przetwarzania danych
Realizacja umów o pracęZawarcie oraz realizacja umowy o pracę zawartej między pracownikiem, a pracodawcą (Administratorem danych)art. 6 ust. 1 lit. c) RODO -obowiązek prawny, m. in.:

1.    Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy

2.    Rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej

art. 6 ust. 1 lit. b) RODO – podjęcie działań na żądanie osoby, której dane dotyczą przed zawarciem umowy oraz niezbędność dla wykonania umowy,
Realizacja praw i obowiązków pracodawcyRealizacja praw i obowiązków pracowniczych wynikających z zatrudnienia

art. 6 ust. 1 lit. c) RODO – obowiązek prawny, m.in.:

1.    Ustawa z dnia 26 czerwca 1974 r. Kodeks Pracy,

2.    Rozporządzenie MRPiPS z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej

art. 9 ust. 2 lit. b) RODO – obowiązek i szczególne prawo w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej.

1.    Ustawa z dnia 26 czerwca 1974 r. Kodeks Pracy,

2.    Rozporządzenie MRPiPS z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej

art. 9 ust. 2 lit. h) RODO – przetwarzanie niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego
Realizacja umów cywilnoprawnychZawarcie oraz realizacja umowy cywilnoprawnejart. 6 ust. 1 lit. c) RODO -obowiązek prawny, m. in.:

1.Ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny

art. 6 ust. 1 lit. b) RODO – podjęcie działań na żądanie osoby, której dane dotyczą przed zawarciem umowy oraz niezbędność dla wykonania umowy
Pracownicy tymczasowiRealizacja praw i obowiązków pracodawcy użytkownikaart. 6 ust. 1 lit. c) RODO – obowiązek prawny:

1.    Ustawa z dnia 9 lipca 2003 r. o zatrudnianiu pracowników tymczasowych

Bezpieczeństwo i higiena pracyWypełnianie obowiązków przewidzianych w przepisach prawa, związanych z bezpieczeństwem i higieną pracy

art. 6 ust. 1 lit. c) RODO – obowiązek prawny, m.in.:

1.    Ustawa z dnia 26 czerwca 1974 r. Kodeks Pracy,

2.    Rozporządzenie MPiPS z dnia 26 września 1997 r. w sprawie ogólnych przepisów bezpieczeństwa i higieny pracy,

3.    Rozporządzenie MPiPS z dnia 27 lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy

art. 9 ust. 2 lit. b) RODO- wykonywanie obowiązków w dziedzinie prawa pracy, m.in.:

1.    Rozporządzenie RM z dnia 1 lipca 2009 r. w sprawie ustalania okoliczności i przyczyn wypadków przy pracy

2.    Rozporządzenie MGiP w sprawie wzoru protokołu ustalenia okoliczności i przyczyn wypadku przy pracy

art. 6 ust. 1 lit. b) RODO – wykonanie umowy

Podnoszenie kwalifikacji zawodowych przez pracownikówZapewnienie dostępu do szkoleń pracowniczych i umożliwienia podnoszenia kwalifikacji zawodowychart. 6 ust. 1 lit. c) RODO – obowiązek prawny

1.    Ustawa z dnia 26 czerwca 1974 r. Kodeks Pracy

art. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes administratora danych jakim jest konieczność podnoszenia kwalifikacji zawodowych pracowników
Benefity pracowniczeProwadzenie dla pracowników i współpracowników programów typu well beingart. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes administratora danych jakim jest prowadzenie programów typu well being
Wykorzystywanie wizerunkuWykorzystywanie wizerunku w postaci:

1)    zamieszczania zdjęć w intranecie, służbowej poczcie email, rejestrowanie obrazu za pomocą rozmieszczonych w zakładzie pracy kamer video

art. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes administratora danych jakim jest konieczność usprawnienia procesu zarządzania i komunikacji wewnętrznej oraz zapewnienia bezpieczeństwa osób i mienia
Przekazywanie danych w ramach grupy kapitałowejPrzekazywanie danych pracowników do innych podmiotów należących do tej samej grupy kapitałowej co Administratorart. 6 ust. 1 lit. f) RODO prawnie uzasadniony interes administratora danych jakim jest globalne zarządzanie procesami personalnymi
Zarządzanie flotą samochodów służbowychObsługa procesu zarządzania flotą samochodów służbowychart. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes administratora danych jakim jest konieczność zapewnienia nadzoru i bieżącej kontroli nad udostępnianymi pracownikom samochodami służbowymi
art. 6 ust. 1 lit. c) RODO – obowiązek prawny, w zakresie konieczności udostępniania danych użytkowników pojazdów właściwym organom
Oceny pracowniczeZarządzanie procesem przeprowadzania ocen pracowniczychart. 6 ust. 1 lit. b) RODO –niezbędność dla wykonania umowy
art. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes administratora danych jakim jest konieczność oceny postępów i jakości pracy pracowników.
Zakładowy Fundusz Świadczeń SocjalnychProwadzenie Zakładowego Funduszu Świadczeń Socjalnychart. 6 ust. 1 lit c) RODO -obowiązek prawny, m.in.:

1.    Ustawa z dnia 4 marca 1994 r. o Zakładowym Funduszu Świadczeń Socjalnych

2.    Regulamin Zakładowego Funduszu Świadczeń Socjalnych

art. 9 ust. 2 lit. b) RODO – obowiązek i szczególne prawo w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej
art. 6 ust. 1 lit b) RODO -wykonanie umowy, w przypadku zawarcia umowy pożyczki

Dlaczego powinniśmy wyodrębnić procesy przetwarzania danych osobowych?

Prawidłowe wyodrębnienie procesów jest niezbędne do zapewnienie skutecznej ochrony przetwarzanych danych oraz realizacji obowiązków wynikających z RODO. Posiadając wiedzę na temat przetwarzanych w organizacji danych osobowych oraz celach ich przetwarzania jesteśmy w stanie:

  1. Zweryfikować, czy dysponujemy odpowiednią podstawą prawną do przetwarzania tych danych,
  2. Ustalić, czy stosujemy się do jednej z kluczowych zasad przetwarzania danych – minimalizacji, czyli czy przetwarzamy wyłącznie te dane, które są niezbędne do realizacji celu w danym procesie,
  3. Określić retencje danych, czyli okres przez jaki będziemy przechowywać dane osobowe przetwarzane w danym procesie,
  4. Stworzyć i z powodzeniem prowadzić rejestr czynności przetwarzania (RCP). Taki obowiązek spoczywa na większości Administratorów danych,
  5. Prawidłowo nadać pracownikom upoważnienia do przetwarzania danych osobowych.

Podsumowanie

Pracodawcy przetwarzają ogromne ilość danych osobowych swoich pracowników. Wśród informacji, które posiadają są również te wymagające szczególnej ochrony tzw. szczególne kategorie danych/ dane wrażliwe. Żeby stworzyć skuteczny system ochrony danych osobowych konieczne jest uporządkowanie zgromadzonych przez zakład pracy danych. Pierwszym krokiem w kierunku zapewnienia bezpieczeństwa przetwarzanym danym osobowym jest ich weryfikacja, czyli wyodrębnienie procesów, określenie celu przetwarzania danych i ustalenie odpowiedniej podstawy prawnej ich przetwarzania.

Powiązane artykuły

Zasady pracy zdalnej a RODO – poradnik
Kontrola trzeźwości – co na to nowelizacja kodeksu pracy?
Praca zdalna a RODO – co na to nowelizacja kodeksu pracy?

6 Odpowiedzi

  1. Łukasz

    Dzień dobry mam pytanie, do jakiego zbioru miałbym zakwalifikować publikację danych osobowych na tablicach informacyjnych w hali produkcyjnej? I jaką podstawę im przypisać?

    2 rodzaje tablic:
    1 – Kierownik zmiany (zdjęcie, imię, nazwisko, stanowisko, nr telefonu)
    2 – nazwa działu + lista pracowników w tym dziale (imię i nazwisko)

    Pozdrawiam.

    1. Lex Artist

      Dzień dobry 🙂 Sprawa wyodrębnienia procesów u każdego z Administratorów danych wymaga analizy jego organizacji.
      Opierając się na przekazanych przez Pana informacjach w naszej ocenie nie ma potrzeby wyodrębniania oddzielnych procesów. Dane umieszczone na tablicach wpisują się do takich procesów jak:
      – wykorzystywanie wizerunku (tablica nr 1 )-art. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes administratora danych,
      – realizacja umowy o pracę (tablica nr 1 i 2)-podstawa art. 6 ust. 1 lit. b) RODO -wykonanie umowy.
      pozdrawiamy

    1. Lex Artist

      Dzień dobry 🙂 przy stosowaniu testów radzimy rozwagę. W obecnej chwili ani RODO ani polskie ustawy nie regulują wprost kwestii dopuszczalności stosowania w rekrutacji testów psychometrycznych. Powyższe nie oznacza jednak, że pracodawca ma pełną swobodę, wręcz przeciwnie. Jeśli testy są narzędziem do badania szeroko pojętego zdrowia potencjalnego pracownika, to wchodzimy już w zakres RODO – a tu czekają na nas liczne obostrzenia ze względu na to, że mamy do czynienia z danymi szczególnej kategorii. Pozdrawiamy

  2. Michał

    Dzień dobry. Mam pytanie dotyczące benefitów pracowniczych. Czy błędem nie będzie oparcie przetwarzania na podstawie zgody w celu objęcia pracownika ubezpieczeniem grupowym?
    Wczoraj miałem okazję rozmawiać z pracownikiem UODO, który stwierdził, że jego zdaniem podstawą prawną przetwarzania danych przez okres objęcia ubezpieczeniem grupowym będzie zgoda pracownika, która jest wyrażana poprzez wypełnienie deklaracji przystąpienia do ubezpieczenia grupowego. Do tego wystarczy zamieszczenie stosownej informacji uzupełniającej w ogólnej klauzuli informacyjnej dla pracowników albo w formie ogłoszenia w sposób przyjęty w zakładzie. Podobny wniosek można wyciągnąć z poradnika UODO dotyczącego zatrudnienia. Mam wrażenie, że UODO miesza i łączy np. zgodę na potrącenia z wynagrodzenia ze zgodą na przetwarzanie danych.
    W zasadzie tak naprawdę te dane mogą być wykorzystane w zasadzie tylko do realizacji obowiązków podatkowych oraz obowiązków wobec ZUS w zakresie informacji o tym, że pracownik jest objęty ubezpieczeniem oraz na temat wysokości składki. O tych celach pracownik zawsze jest informowany w ogólnej klauzuli. Może zamiennie względem uzasadnionego interesu można w tym wypadku jednak zastosować zgodę?

    1. Lex Artist

      Dzień dobry 🙂 czym dłużej stosowane jest RODO, tym więcej pojawią się koncepcji na jego stosowanie w praktyce. W naszej opinii przedstawiona koncepcja może mieć pewne luki, ale najważniejsze aby umieć ją obronić. W przypadku zastosowania zgody należy zawsze pamiętać o tym, że musi spełnić wymogi stawiane przez RODO m.in. dobrowolność, konkretność, świadomość. Dodatkowo można ją odwołać w każdej chwili…i tu zaczynają się problemy. Pozdrawiamy!

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO