Podstawowe informacje na temat obowiązków pracodawców jako administratorów danych osobowych pracowników.
Pracodawcy przetwarzający dane pracowników na podstawie przepisów prawa pracy nie muszą uzyskiwać zgody pracowników, jednak nadal wielu z nich preferuje podpisanie przez zatrudnionych oświadczenia, w którym pracownicy wyrażają zgodę na przetwarzanie swoich danych osobowych oraz pisemnie potwierdzają, że zapoznali się z oświadczeniem kto jest administratorem ich danych oraz jaki jest cel przetwarzania owych danych.
Akty prawne regulujące przetwarzanie danych pracowników
Od 25 maja 2018 r. podstawowym aktem prawnym w zakresie danych osobowych jest szeroko komentowane i przez wszystkich znane RODO (ang. General Data Protection Regulation, GDPR) czyli unijne rozporządzenie dotyczące ochrony danych osobowych osób fizycznych. W owym rozporządzeniu znajdują się definicje m.in. danych osobowych, form ich przetwarzania, ograniczeń przetwarzania, swobodnego przepływu danych osobowych oraz podmiotu przetwarzającego. Dodatkowym aktem prawnym regulującym kwestie związane z związane z pozyskiwaniem i przechowywaniem danych osobowych pracowników jest Rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. oraz ustawa Kodeks Pracy.
Art. 22(1) Kodeksu pracy wskazuje zakres danych osobowych, jakich pracodawca może żądać od pracownika.
Potrzebujesz wsparcia w zakresie kadrowo-płacowym? Skorzystaj z wiedzy i doświadczenia ekspertów Grant Thornton >>
Pobierz za darmo kalendarz kadrowego 2020 r. na obecny miesiąc (kliknij)
Dane pozyskiwane od pracowników
Wśród danych osobowych, jakich pracodawca może żądać od pracowników są:
- imię (imiona) i nazwisko,
- data urodzenia,
- dane kontaktowe,
- wykształcenie,
- kwalifikacje zawodowe,
- przebieg dotychczasowego zatrudnienia,
- adres zamieszkania,
- numer PESEL (a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość),
- inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy,
- numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.
Przekazanie danych osobowych pracodawcy zazwyczaj następuje w formie oświadczenia w kwestionariuszu osobowym.
Obowiązki pracodawcy jako administratora danych
Pracodawcy, jako administratorzy danych osobowych, są zobowiązani do ochrony i do przetwarzania danych osobowych pracowników w celu wypełnienia obowiązku prawnego m.in. poprzez zgłoszenie pracowników do Zakładu Ubezpieczeń Społecznych.
Wielu pracodawców, aby poinformować pracowników o swoich uprawnieniach jako administratorów danych, decyduje się na wręczenie im oświadczenia, które zawiera poniższe dane (art. 13 RODO):
- dane kontaktowe pracodawcy,
- dane kontaktowe inspektora ochrony danych (jeżeli został powołany),
- cele przetwarzania danych osobowych oraz ich podstawę prawną,
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców,
- okres, przez jaki dane osobowe są przechowywane,
- informacje dot. praw pracowników – o prawie do żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia, ograniczenia ich przetwarzania czy o prawie do wniesienia sprzeciwu wobec przetwarzania oraz informacji o prawie do cofnięcia zgody w dowolnym momencie,
- informacje o prawie wniesienia skargi do organu nadzorczego oraz informacje czy podanie danych osobowych jest wymogiem ustawowym czy umownym.
