Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

Przetwarzanie danych osobowych pracowników zgodnie z RODO – wyodrębnienie procesów

Ochrona danych osobowych pracowników jest zagadnieniem, z którym musi uporać się każdy pracodawca. Prawodawca unijny w art. 88 RODO wskazał na trzy najistotniejsze fazy zatrudniania, w których dochodzi do przetwarzania danych osobowych pracowników i które mogą wymagać opracowania bardziej szczegółowych regulacji:

  1. Faza rekrutacji,
  2. Faza realizacji umowy, w ramach której następuje wykonywanie obowiązków, zarządzanie i organizacja pracy, zapewnienie równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy,
  3. Faza zakończenia stosunku pracy.

Unijny prawodawca w art. 88 ust. 3 RODO wprowadził również ograniczenia czasowe przyjęcia regulacji sektorowych w omawianym przedmiocie. 25 maja 2018 r. był dniem, w którym należało zawiadomić Komisję Europejską o przyjęciu przepisów dotyczących m.in. przetwarzania danych w zatrudnieniu.

Dziś wiemy, że polskiemu ustawodawcy dostosowanie przepisów sektorowych do RODO zajęło znacznie więcej czasu, niż zakładano. Pełni nadziei przyjęliśmy do wiadomości, że 3 kwietnia 2019r. Prezydent RP podpisał ustawę wdrażającą RODO zmieniającą około 170 ustaw, w tym Kodeks Pracy. Przepisy zaczną obowiązywać po 14 dniach od publikacji w Dzienniku Ustaw. Wtedy też szerzej przyjrzymy się znowelizowanym przepisom dotyczącym przetwarzania danych w zatrudnieniu i poświęcimy temu zagadnieniu kolejny artykuł z cyklu RODO w Kadrach.

Mając na uwadze wskazane przez unijnego prawodawcę najistotniejsze fazy zatrudniania, dokonaliśmy już analizy zagadnień dotyczących fazy rekrutacji:

W dzisiejszym artykule podejmiemy się rozpracowania fazy drugiej, jaką jest realizacja umowy zawartej między pracodawcą, a pracownikiem. W szczególności postaramy się wyodrębnić najczęściej występujące u pracodawców procesy związane z przetwarzaniem danych osobowych pracowników i przyporządkować do każdego procesu odpowiednią podstawę prawną.

Procesy związane z przetwarzaniem danych osobowych pracowników – przykładowy scenariusz

Każdy pracodawca przetwarza dane osobowe o pracowniku. Wyznaczony przez Kodeks Pracy zakres danych, których przetwarzanie jest dopuszczalne, daleki jest od faktycznych potrzeb obu stron stosunku pracy. Praktyka pokazuje, że przy przetwarzaniu danych w zatrudnieniu pojawia się potrzeba rozszerzenia zakresu ich przetwarzania. Kluczowe jest, aby pracodawca każdorazowo dysponował odpowiednią podstawą, umożliwiającą zgodne z prawem przetwarzanie danych osobowych pracowników.

O tym, jak skutecznie wyodrębnić procesy oraz czym kierować się nadając im nazwy pisaliśmy w artykule dotyczącym Rejestru Czynności Przetwarzania (RCP). Jeżeli potrzebujesz wskazówek kliknij w ten link https://blog-daneosobowe.pl/rejestr-czynnosci-przetwarzania-mapowanie-procesow/.

W celu przybliżenia sytuacji, w której niezbędne jest wyodrębnienie konkretnego procesu przyjrzymy się przedstawionemu poniżej stanowi faktycznemu.

Stan faktyczny

Spółka XYZ zatrudnia 150 pracowników. Zdecydowanej większości pracowników spółka oferuje umowy o pracę, są jednak osoby, z którymi współpracuje na podstawie umowy zlecenia. Spółka współpracuje również z agencją pracy tymczasowej i deleguje zadania pracownikom tymczasowym.

Spółka należy do grupy kapitałowej, którą tworzy 5 spółek mających siedziby na terenie UE. W ramach grupy kapitałowej, spółki korzystają z jednego, wspólnego systemu Intranet. Użytkownicy systemu Intranet mają dostęp do danych wszystkich pracowników z 5 spółek w następującym zakresie: imię, nazwisko, stanowisko, kraj, wizerunek, służbowy adres e-mail, służbowy nr telefonu.

Wizerunek pracowników jest wykorzystywany nie tylko w Intranecie. Pracownicy wgrywają również swoje zdjęcie do poczty służbowej. Dodatkowo, na terenie zakładu zainstalowany jest monitoring.

Spółka w celu wypełnienia obowiązków ciążących na pracodawcy kieruje pracowników na badania z zakresu medycyny pracy. Organizuje szkolenia z zakresu BHP. Umożliwia również dostęp do szkoleń podnoszących kwalifikacje zawodowe.

Pracownicy ze szczebla managerskiego mają możliwość korzystania z floty samochodowej, którą dysponuje spółka.

Wszyscy pracownicy mają do dyspozycji karty sportowe w ramach benefitów pracowniczych.

Pracownicy mają możliwość skorzystania ze środków przyznawanych w ramach Zakładowego Funduszu Świadczeń Socjalnych. W tym celu należy złożyć stosowne wnioski oraz spełnić wymagania wskazane w wewnętrznym regulaminie ZFŚS.

Zgodnie z polityką spółki, awanse przyznawane są po przeprowadzeniu corocznych ocen pracowniczych.

Praktyczny kurs e-learningowy RODO w kadrach

rodo w kadrach

Pokażemy Ci praktyczne sposoby bezpiecznego i zgodnego z RODO przetwarzania danych osobowych pracowników i kandydatów do pracy. Dowiesz się jak w zgodzie z RODO realizować procesy: rekrutacji, zatrudnienia, gromadzenia i usuwania danych, kopiowania dokumentów tożsamości, wykorzystywania wizerunku, udostępniania danych w ramach grup kapitałowych, przekazywania danych podmiotom zewnętrznym m.in.: placówkom medycznym, wykorzystywania monitoringu wizyjnego i poczty elektronicznej w miejscu pracy, realizacji praw i żądań byłego pracownika.

Sprawdź

Proces, cel oraz podstawa prawna przetwarzania danych osobowych pracowników

PRACOWNICY I WSPÓŁPRACOWNICY
ProcesCel przetwarzania danychPodstawa prawna przetwarzania danych
Realizacja umów o pracęZawarcie oraz realizacja umowy o pracę zawartej między pracownikiem, a pracodawcą (Administratorem danych)art. 6 ust. 1 lit. c) RODO -obowiązek prawny, m. in.:

1.    Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy

2.    Rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej

art. 6 ust. 1 lit. b) RODO – podjęcie działań na żądanie osoby, której dane dotyczą przed zawarciem umowy oraz niezbędność dla wykonania umowy,
Realizacja praw i obowiązków pracodawcyRealizacja praw i obowiązków pracowniczych wynikających z zatrudnienia

art. 6 ust. 1 lit. c) RODO – obowiązek prawny, m.in.:

1.    Ustawa z dnia 26 czerwca 1974 r. Kodeks Pracy,

2.    Rozporządzenie MRPiPS z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej

art. 9 ust. 2 lit. b) RODO – obowiązek i szczególne prawo w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej.

1.    Ustawa z dnia 26 czerwca 1974 r. Kodeks Pracy,

2.    Rozporządzenie MRPiPS z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej

art. 9 ust. 2 lit. h) RODO – przetwarzanie niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego
Realizacja umów cywilnoprawnychZawarcie oraz realizacja umowy cywilnoprawnejart. 6 ust. 1 lit. c) RODO -obowiązek prawny, m. in.:

1.Ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny

art. 6 ust. 1 lit. b) RODO – podjęcie działań na żądanie osoby, której dane dotyczą przed zawarciem umowy oraz niezbędność dla wykonania umowy
Pracownicy tymczasowiRealizacja praw i obowiązków pracodawcy użytkownikaart. 6 ust. 1 lit. c) RODO – obowiązek prawny:

1.    Ustawa z dnia 9 lipca 2003 r. o zatrudnianiu pracowników tymczasowych

Bezpieczeństwo i higiena pracyWypełnianie obowiązków przewidzianych w przepisach prawa, związanych z bezpieczeństwem i higieną pracy

art. 6 ust. 1 lit. c) RODO – obowiązek prawny, m.in.:

1.    Ustawa z dnia 26 czerwca 1974 r. Kodeks Pracy,

2.    Rozporządzenie MPiPS z dnia 26 września 1997 r. w sprawie ogólnych przepisów bezpieczeństwa i higieny pracy,

3.    Rozporządzenie MPiPS z dnia 27 lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy

art. 9 ust. 2 lit. b) RODO- wykonywanie obowiązków w dziedzinie prawa pracy, m.in.:

1.    Rozporządzenie RM z dnia 1 lipca 2009 r. w sprawie ustalania okoliczności i przyczyn wypadków przy pracy

2.    Rozporządzenie MGiP w sprawie wzoru protokołu ustalenia okoliczności i przyczyn wypadku przy pracy

art. 6 ust. 1 lit. b) RODO – wykonanie umowy

Podnoszenie kwalifikacji zawodowych przez pracownikówZapewnienie dostępu do szkoleń pracowniczych i umożliwienia podnoszenia kwalifikacji zawodowychart. 6 ust. 1 lit. c) RODO – obowiązek prawny

1.    Ustawa z dnia 26 czerwca 1974 r. Kodeks Pracy

art. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes administratora danych jakim jest konieczność podnoszenia kwalifikacji zawodowych pracowników
Benefity pracowniczeProwadzenie dla pracowników i współpracowników programów typu well beingart. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes administratora danych jakim jest prowadzenie programów typu well being
Wykorzystywanie wizerunkuWykorzystywanie wizerunku w postaci:

1)    zamieszczania zdjęć w intranecie, służbowej poczcie email, rejestrowanie obrazu za pomocą rozmieszczonych w zakładzie pracy kamer video

art. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes administratora danych jakim jest konieczność usprawnienia procesu zarządzania i komunikacji wewnętrznej oraz zapewnienia bezpieczeństwa osób i mienia
Przekazywanie danych w ramach grupy kapitałowejPrzekazywanie danych pracowników do innych podmiotów należących do tej samej grupy kapitałowej co Administratorart. 6 ust. 1 lit. f) RODO prawnie uzasadniony interes administratora danych jakim jest globalne zarządzanie procesami personalnymi
Zarządzanie flotą samochodów służbowychObsługa procesu zarządzania flotą samochodów służbowychart. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes administratora danych jakim jest konieczność zapewnienia nadzoru i bieżącej kontroli nad udostępnianymi pracownikom samochodami służbowymi
art. 6 ust. 1 lit. c) RODO – obowiązek prawny, w zakresie konieczności udostępniania danych użytkowników pojazdów właściwym organom
Oceny pracowniczeZarządzanie procesem przeprowadzania ocen pracowniczychart. 6 ust. 1 lit. b) RODO –niezbędność dla wykonania umowy
art. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes administratora danych jakim jest konieczność oceny postępów i jakości pracy pracowników.
Zakładowy Fundusz Świadczeń SocjalnychProwadzenie Zakładowego Funduszu Świadczeń Socjalnychart. 6 ust. 1 lit c) RODO -obowiązek prawny, m.in.:

1.    Ustawa z dnia 4 marca 1994 r. o Zakładowym Funduszu Świadczeń Socjalnych

2.    Regulamin Zakładowego Funduszu Świadczeń Socjalnych

art. 9 ust. 2 lit. b) RODO – obowiązek i szczególne prawo w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej
art. 6 ust. 1 lit b) RODO -wykonanie umowy, w przypadku zawarcia umowy pożyczki

Dlaczego powinniśmy wyodrębnić procesy przetwarzania danych osobowych?

Prawidłowe wyodrębnienie procesów jest niezbędne do zapewnienie skutecznej ochrony przetwarzanych danych oraz realizacji obowiązków wynikających z RODO. Posiadając wiedzę na temat przetwarzanych w organizacji danych osobowych oraz celach ich przetwarzania jesteśmy w stanie:

  1. Zweryfikować, czy dysponujemy odpowiednią podstawą prawną do przetwarzania tych danych,
  2. Ustalić, czy stosujemy się do jednej z kluczowych zasad przetwarzania danych – minimalizacji, czyli czy przetwarzamy wyłącznie te dane, które są niezbędne do realizacji celu w danym procesie,
  3. Określić retencje danych, czyli okres przez jaki będziemy przechowywać dane osobowe przetwarzane w danym procesie,
  4. Stworzyć i z powodzeniem prowadzić rejestr czynności przetwarzania (RCP). Taki obowiązek spoczywa na większości Administratorów danych,
  5. Prawidłowo nadać pracownikom upoważnienia do przetwarzania danych osobowych.

Podsumowanie

Pracodawcy przetwarzają ogromne ilość danych osobowych swoich pracowników. Wśród informacji, które posiadają są również te wymagające szczególnej ochrony tzw. szczególne kategorie danych/ dane wrażliwe. Żeby stworzyć skuteczny system ochrony danych osobowych konieczne jest uporządkowanie zgromadzonych przez zakład pracy danych. Pierwszym krokiem w kierunku zapewnienia bezpieczeństwa przetwarzanym danym osobowym jest ich weryfikacja, czyli wyodrębnienie procesów, określenie celu przetwarzania danych i ustalenie odpowiedniej podstawy prawnej ich przetwarzania.

Powiązane artykuły

Agencja Rekrutacyjna a RODO
Agencja rekrutacyjna, a RODO – jak powinna wyglądać współpraca
Przetwarzanie danych osobowych w rekrutacji
Rekrutacja zgodna z RODO – jak ją przeprowadzić?
Przetwarzanie danych osobowych w rekrutacji
Co zrobić z CV po zakończonej rekrutacji, czyli „dwugłos” MC i UODO

2 Odpowiedzi

  1. Łukasz

    Dzień dobry mam pytanie, do jakiego zbioru miałbym zakwalifikować publikację danych osobowych na tablicach informacyjnych w hali produkcyjnej? I jaką podstawę im przypisać?

    2 rodzaje tablic:
    1 – Kierownik zmiany (zdjęcie, imię, nazwisko, stanowisko, nr telefonu)
    2 – nazwa działu + lista pracowników w tym dziale (imię i nazwisko)

    Pozdrawiam.

    1. Lex Artist

      Dzień dobry 🙂 Sprawa wyodrębnienia procesów u każdego z Administratorów danych wymaga analizy jego organizacji.
      Opierając się na przekazanych przez Pana informacjach w naszej ocenie nie ma potrzeby wyodrębniania oddzielnych procesów. Dane umieszczone na tablicach wpisują się do takich procesów jak:
      – wykorzystywanie wizerunku (tablica nr 1 )-art. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes administratora danych,
      – realizacja umowy o pracę (tablica nr 1 i 2)-podstawa art. 6 ust. 1 lit. b) RODO -wykonanie umowy.
      pozdrawiamy

Zostaw odpowiedź