Ochrona danych osobowych pracowników

Podstawowe informacje na temat obowiązków pracodawców jako administratorów danych osobowych pracowników.

Pracodawcy przetwarzający dane pracowników na podstawie przepisów prawa pracy nie muszą uzyskiwać zgody pracowników, jednak nadal wielu z nich preferuje podpisanie przez zatrudnionych oświadczenia, w którym pracownicy wyrażają zgodę na przetwarzanie swoich danych osobowych oraz pisemnie potwierdzają, że zapoznali się z oświadczeniem kto jest administratorem ich danych oraz jaki jest cel przetwarzania owych danych.

Akty prawne regulujące przetwarzanie danych pracowników

Od 25 maja 2018 r. podstawowym aktem prawnym w zakresie danych osobowych jest szeroko komentowane i przez wszystkich znane RODO (ang. General Data Protection Regulation, GDPR) czyli unijne rozporządzenie dotyczące ochrony danych osobowych osób fizycznych. W owym rozporządzeniu znajdują się definicje m.in. danych osobowych, form ich przetwarzania, ograniczeń przetwarzania, swobodnego przepływu danych osobowych oraz podmiotu przetwarzającego. Dodatkowym aktem prawnym regulującym kwestie związane z związane z pozyskiwaniem i przechowywaniem danych osobowych pracowników jest Rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. oraz ustawa Kodeks Pracy.

Art. 22(1) Kodeksu pracy wskazuje zakres danych osobowych, jakich pracodawca może żądać od pracownika.

Potrzebujesz wsparcia w zakresie kadrowo-płacowym? Skorzystaj z wiedzy i doświadczenia ekspertów Grant Thornton >>

Pobierz za darmo kalendarz kadrowego 2020 r. na obecny miesiąc (kliknij) 

Dane pozyskiwane od pracowników

Wśród danych osobowych, jakich pracodawca może żądać od pracowników są:

• imię (imiona) i nazwisko,
• data urodzenia,
• dane kontaktowe,
• wykształcenie,
• kwalifikacje zawodowe,
• przebieg dotychczasowego zatrudnienia,
• adres zamieszkania,
• numer PESEL (a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość),
• inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy,
• numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.

Przekazanie danych osobowych pracodawcy zazwyczaj następuje w formie oświadczenia w kwestionariuszu osobowym.

Obowiązki pracodawcy jako administratora danych

Pracodawcy, jako administratorzy danych osobowych, są zobowiązani do ochrony i do przetwarzania danych osobowych pracowników w celu wypełnienia obowiązku prawnego m.in. poprzez zgłoszenie pracowników do Zakładu Ubezpieczeń Społecznych.

Wielu pracodawców, aby poinformować pracowników o swoich uprawnieniach jako administratorów danych, decyduje się na wręczenie im oświadczenia, które zawiera poniższe dane (art. 13 RODO):

• dane kontaktowe pracodawcy,
• dane kontaktowe inspektora ochrony danych (jeżeli został powołany),
• cele przetwarzania danych osobowych oraz ich podstawę prawną,
• informacje o odbiorcach danych osobowych lub o kategoriach odbiorców,
• okres, przez jaki dane osobowe są przechowywane,
• informacje dot. praw pracowników – o prawie do żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia, ograniczenia ich przetwarzania czy o prawie do wniesienia sprzeciwu wobec przetwarzania oraz informacji o prawie do cofnięcia zgody w dowolnym momencie,
• informacje o prawie wniesienia skargi do organu nadzorczego oraz informacje czy podanie danych osobowych jest wymogiem ustawowym czy umownym.