W ostatnich latach znacząco wzrosło zainteresowanie zagadnieniami związanymi z ochroną danych osobowych. Zwracamy coraz większą uwagę na to, przez kogo, w jaki sposób i w jakich celach przetwarzane są nasze dane; także wśród przedsiębiorców wzrasta świadomość tego, jak istotne jest zadbanie o zapewnienie odpowiedniego poziomu bezpieczeństwa danych osobowych klientów.

Jak jednak wygląda ochrona danych osobowych w relacjach pracowniczych? Czy pracodawcy wiedzą, jakie dane pracowników mogą przetwarzać zgodnie z prawem? Czy pracownicy mają świadomość, podania jakich danych może żądać od nich pracodawca? Wskazania jakich danych możemy – jako potencjalny pracodawca – wymagać w dokumentach aplikacyjnych podczas procesu rekrutacji na dane stanowisko?

Często pojawiające się wątpliwości wiążą się także z praktyką instalowania na terenie zakładu pracy monitoringu wizyjnego; wielu pracodawców rozważa również wprowadzanie w zakładzie pracy nowoczesnych rozwiązań mających ułatwić prowadzenie ewidencji czasu pracy, takich jak elektroniczny system rejestracji wejść i wyjść pracowników, bazujący na odczycie linii papilarnych bądź tęczówki.

Jakie dane pracowników możemy, jako pracodawca, bezpiecznie przetwarzać, a jakie są najczęstsze naruszenia przepisów o ochronie danych, bardziej lub mniej świadomie popełniane przez pracodawców?

Dane osobowe kandydata do pracy i pracownika.

Ochrona wizerunku.

W aktualnym stanie prawnym potencjalny pracodawca może w toku rekrutacji wymagać od kandydata do pracy wyłącznie takich danych, jak: imię i nazwisko, data urodzenia, dane kontaktowe – ale tylko te wskazane przez kandydata; zatem to od osoby aplikującej na dane stanowisko zależy, czy poda nam do kontaktu numer telefonu, czy na przykład adres e-mail bądź adres korespondencyjny.

Ponadto, jeżeli jest to uzasadnione wymogami określonymi dla danego stanowiska, potencjalny pracodawca może żądać od kandydata do pracy danych dotyczących wykształcenia, kwalifikacji zawodowych oraz przebiegu dotychczasowego zatrudnienia.

Co ciekawe, pomimo utrwalonego zwyczaju przesyłania przez kandydatów do pracy w toku rekrutacji zdjęć (najczęściej wkomponowanych w Curriculum Vitae), faktycznie pracodawca w procesie rekrutacji nie ma prawa żądać od kandydata do pracy udostępnienia danej w postaci wizerunku.

Jeżeli zaś kandydat do pracy z własnej inicjatywy decyduje się na przesłanie dokumentów aplikacyjnych zawierających zdjęcie, wówczas jego wizerunek może być przetwarzany na podstawie wyrażonej przez niego zgody – należy jednak pamiętać, że zgoda taka może zostać w dowolnym momencie wycofana, co powinno w konsekwencji spowodować zaprzestanie przetwarzania tej danej przez pracodawcę.

Już po nawiązaniu stosunku pracy, pracodawca może żądać od pracownika podania dodatkowych danych osobowych, takich jak m.in. adres zamieszkania, numer PESEL czy numer rachunku płatniczego, na który przekazywane ma być wynagrodzenie za pracę. Pełny katalog danych wskazany jest w przepisach Kodeksu pracy.

Pracodawcy często posługują się przestarzałymi formularzami kwestionariuszy osobowych, a w konsekwencji – żądają od pracowników podawania nadmiarowych danych, takich jak płeć, stan cywilny, stosunek do służby wojskowej, zainteresowania, seria i nr dowodu osobistego i wiele, wiele innych danych, do których pozyskania pracodawca nie powinien dążyć.

Niejednokrotnie pracodawcy wymagają od pracowników noszenia identyfikatorów ze zdjęciem; zamieszczają także zdjęcia pracowników na stronach w Internecie, w broszurach promocyjnych bądź gazetkach. Tymczasem obowiązujące przepisy nie dają pracodawcy możliwości przetwarzania danej w postaci wizerunku. Jeżeli publikowanie wizerunku pracownika, na przykład na stronie internetowej bądź profilu w mediach społecznościowych pracodawcy, stanowi element strategii marketingowej czy komunikacji z kontrahentami, publikowanie wizerunku pracowników będzie możliwe najczęściej na podstawie wyrażonej przez nich zgody lub w wykonaniu zawartej w tym celu dodatkowej umowy.

Jak legalnie korzystać z monitoringu wizyjnego na terenie zakładu pracy?

Coraz powszechniejszą – i z pewnością uzasadnioną – praktyką jest instalowanie w zakładach pracy monitoringu wizyjnego. Obowiązujące przepisy dają pracodawcy możliwość wprowadzenia szczególnego nadzoru nad zakładem pracy poprzez użycie środków technicznych umożliwiających rejestrację obrazu, jednakże wyłącznie w ściśle określonych celach, to znaczy w celu zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.

Przepisy zawierają jednocześnie szereg wytycznych określających w jakich pomieszczeniach monitoring wizyjny nie może być zastosowany (nie powinien obejmować pomieszczeń udostępnianych zakładowej organizacji związkowej, pomieszczeń sanitarnych, szatni, stołówek oraz palarni). Wskazane są także terminy i sposoby przechowywania zarejestrowanych danych (co do zasady nagrania mogą być przechowywane przez okres nieprzekraczający 3 miesięcy od dnia nagrania), jak również forma i termin prawidłowego informowania pracowników o wprowadzeniu monitoringu, a także konkretne wytyczne dotyczące prawidłowego, czytelnego oznaczenia monitorowanego obszaru.

Przed uruchomieniem na terenie zakładu pracy monitoringu warto zatem zapoznać się z przepisami, by uniknąć mimowolnych naruszeń prawa.

Przetwarzanie danych biometrycznych.

Elektroniczna rejestracja wejść i wyjść pracowników.

W związku z coraz bardziej dynamicznym rozwojem nowoczesnych technologii, niektórzy pracodawcy wprowadzają w zakładach pracy elektroniczne systemy rejestracji wejść i wyjść pracowników. Szczególnie atrakcyjne mogą się wydawać systemy umożliwiające rejestrację wejścia bądź wyjścia na podstawie odczytu odcisku palca czy skanowania tęczówki.

Tymczasem należy mieć na względzie, że dane tego rodzaju stanowią dane biometryczne w rozumieniu przepisów o ochronie danych osobowych. Poza naprawdę wyjątkowymi sytuacjami nie jest zaś możliwe przetwarzanie danych biometrycznych pracowników przez pracodawcę.

Dane biometryczne, co nie powinno dziwić, należą do danych szczególnej kategorii, objętych wzmożoną ochroną zarówno przez prawodawcę europejskiego, jak i polskiego. Mogą być przetwarzane wyłącznie za wyraźną zgodą osoby, której dane dotyczą, a w odniesieniu do pracowników w relacjach z pracodawcą – wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy pracownika.

W świetle prawa pracodawca nie posiada możliwości uzyskania od pracowników zgody na przetwarzanie ich danych biometrycznych z inicjatywy pracodawcy – nie może ich bowiem prosić o wyrażenie takiej zgody, ani też zachęcać do tego w jakikolwiek sposób.

Ponadto należy mieć na względzie, że zgoda jest najmniej pewną, „najsłabszą” podstawą przetwarzania danych, ponieważ może zostać w każdej chwili wycofana. Jeżeli zatem pracownicy wycofywaliby zgody, mogłoby spowodować to znaczące problemy w bieżącym prowadzeniu ewidencji czasu pracy.

Elektroniczna rejestracja wejść i wyjść może zatem zostać wprowadzona na przykład z wykorzystaniem spersonalizowanych kart elektromagnetycznych, przypisanych pracownikom (oczywiście w sposób zaszyfrowany). Natomiast skanowanie linii papilarnych pracowników bądź tęczówki oka, co do zasady, stanowić będzie rażące naruszenie obowiązujących przepisów o ochronie danych.

Zasady przetwarzania danych osobowych pracowników powinny być znane każdemu pracodawcy. Na szczęście wśród przedsiębiorców wzrasta świadomość tego, jak ważne jest przestrzeganie przepisów o ochronie danych. Z jednej strony stosowanie się do obowiązujących regulacji oczywiście zmniejsza ryzyko nieuprawionego dostępu osób trzecich do danych szczególnej kategorii, z drugiej zaś – minimalizuje ryzyko negatywnego wyniku ewentualnej kontroli przeprowadzonej przez Inspektorów Urzędu Ochrony Danych Osobowych. W związku z powyższym, korzyści płynące z wprowadzenia w przedsiębiorstwie mechanizmów mających na celu zapewnienie odpowiedniego poziomu ochrony danych z pewnością warte są czasu i zaangażowania koniecznego dla ich wdrożenia.

Katarzyna Wypychowska

Associate, Radca Prawny
katarzyna.wypychowska@ckpartners.pl