Czy pracodawca przetwarza szczególne kategorie danych osobowych?

Pracodawca ma prawo przetwarzać dane zarówno osób ubiegających się o pracę, jak i pracowników. Zakres tych danych jest ograniczony przepisami prawa, w tym Kodeksem pracy, przepisami dotyczącymi ochrony dóbr osobistych oraz rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO). RODO wprowadza ścisłe zasady dotyczące przetwarzania danych osobowych, dzieląc je na dane zwykłe i tzw. szczególne kategorie danych osobowych, które podlegają dodatkowej ochronie.

Dane osobowe zwykłe a szczególne kategorie danych osobowych

Zgodnie z przepisami RODO, dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Dane osobowe zwykłe to te informacje, które pozwalają zidentyfikować osobę, ale nie dotyczą jej najbardziej prywatnej sfery. Ich przetwarzanie jest dopuszczalne, o ile istnieje ku temu odpowiednia podstawa prawna, np. realizacja umowy lub obowiązek wynikający z przepisów prawa pracy.

Szczególne kategorie danych osobowych, nazywane również danymi wrażliwymi, obejmują informacje, które mogą w istotny sposób wpływać na prywatność i bezpieczeństwo osoby. Do tej grupy zaliczają się:

• pochodzenie rasowe lub etniczne,
• poglądy polityczne,
• przekonania religijne lub światopoglądowe,
• przynależność do związków zawodowych,
• dane genetyczne,
• dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej,
• dane dotyczące zdrowia,
• dane dotyczące seksualności lub orientacji seksualnej.

Przetwarzanie tych kategorii danych jest co do zasady zabronione, chyba że zachodzą szczególne okoliczności przewidziane w przepisach RODO, np. wyraźna zgoda osoby lub obowiązek wynikający z prawa.

Dane przetwarzane przez pracodawcę

Pracodawca ma prawo żądać od kandydata na pracownika podania danych osobowych obejmujących imię (imiona) i nazwisko, datę urodzenia, dane kontaktowe, wykształcenie, kwalifikacje zawodowe oraz przebieg dotychczasowego zatrudnienia, o ile są one niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.

Od osoby już zatrudnionej pracodawca może dodatkowo żądać podania adresu zamieszkania, numeru PESEL (lub rodzaju i numeru dokumentu potwierdzającego tożsamość w razie jego braku), a także innych danych osobowych pracownika, jego dzieci i innych członków najbliższej rodziny, gdy jest to konieczne ze względu na korzystanie przez zatrudnionego z uprawnień przewidzianych w prawie pracy.

Pracodawca żąda również informacji o wykształceniu i przebiegu dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie, jak również numeru rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych (art. 22¹ § 1-3 K.p.).

Jednym z podstawowych obowiązków pracodawcy jest zgłoszenie osoby zatrudnionej do ubezpieczeń społecznych i ubezpieczenia zdrowotnego. Tym samym pracodawca może żądać od pracownika podania szerszego zakresu danych osobowych niż wymienione w art. 22¹ § 1 i 3 K.p., z tym że ich przetwarzanie jest dopuszczalne tylko w celu, do którego zostały pobrane (tu w celu dokonania zgłoszenia).

Szczególne kategorie danych w kontekście zatrudnienia

Dane szczególnej kategorii stanowią informacje o stanie zdrowia pracownika. Co do zasady ich przetwarzanie przez pracodawcę jest zabronione, chyba że ten, kogo dane dotyczą, wyrazi zgodę na ich przetwarzanie lub przetwarzanie takich danych jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez pracodawcę w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej.

Na podstawie przepisów ustawy o rehabilitacji zawodowej i społecznej oraz o zatrudnianiu osób niepełnosprawnych, pracodawcy uzyskali prawo do przetwarzania danych osobowych dotyczących stanu zdrowia pracowników niepełnosprawnych, jeśli pracownik należy do grup wymienionych w przepisach dotyczących orzeczeń o stopniu niepełnosprawności.

Pracodawca może przetwarzać dane o stanie zdrowia tylko w ściśle określonych sytuacjach, np. w związku z badaniami medycyny pracy. Nie ma natomiast prawa żądać informacji o przekonaniach religijnych czy planach rodzinnych. Nawet zgoda pracownika na przetwarzanie takich danych w relacji służbowej może być kwestionowana, ponieważ trudno mówić o pełnej dobrowolności w relacji zależności.

Przetwarzanie danych biometrycznych i wizerunku

Przetwarzanie danych biometrycznych pracownika jest dopuszczalne wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.

Wizerunek pracownika nie jest daną wymienioną w katalogu danych z art. 22¹ § 2 K.p. Aby pracodawca mógł umieścić zdjęcie pracownika np. na identyfikatorze, musi uzyskać jego dobrowolną zgodę. Zgoda ta musi być udzielona dobrowolnie, pracownik musi mieć możliwość odmowy jej udzielenia bez negatywnych konsekwencji. Zgoda może być odwołana w każdym czasie.

Udostępnianie danych osobowych pracowników

Dane osobowe pracowników są poufne i obowiązkiem pracodawcy jest chronienie dostępu do nich nieuprawnionym osobom trzecim. Przykładowo, tworzenie list pracowniczych, na których każdy pracownik wpisuje swoje dane identyfikacyjne, jest dopuszczalne, ponieważ pracownicy znają się nawzajem. Niedopuszczalne jest natomiast pozostawianie na takiej liście informacji o urlopach, w szczególności chorobowych.

Wykorzystywanie danych pracowników na stronach internetowych biura rachunkowego, w tym imion, nazwisk, zdjęć, służbowych numerów telefonów czy adresów e-mail, jest dopuszczalne, jeśli służy wykonywaniu przez pracowników ich obowiązków służbowych. Publikowanie wizerunku pracownika na stronie internetowej bez jego zgody jest niezgodne z RODO.

Kiedy pracodawca może przetwarzać dane osobowe?

Pracodawca jest administratorem danych osobowych swoich pracowników. Przetwarza dane pozyskane od pracowników, niezbędne do nawiązania stosunku pracy i wypełnienia związanych z tym obowiązków, a także inne, których przetwarzanie odbywa się w oparciu o zgodę pracownika.

Podstawą prawną przetwarzania danych osobowych może być:

• Niezbędność do wypełnienia obowiązku prawnego ciążącego na administratorze (np. zgłoszenie do ubezpieczeń społecznych).
• Niezbędność do wykonania umowy.
• Wyraźna zgoda pracownika (w określonych sytuacjach, np. na przetwarzanie danych wykraczających poza ustawowy katalog lub danych szczególnych kategorii z inicjatywy pracownika).
• Niezbędność do ochrony żywotnych interesów osoby, której dane dotyczą.
• Przetwarzanie w celach archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.

Pracodawca nie może żądać od kandydata danych, które wykraczają poza zakres uzasadniony celem ich gromadzenia. Nie ma bowiem podstawy prawnej do ich przetwarzania, chyba że na stanowisku, którego dotyczy rekrutacja, niezbędne są szerzej określone wymagania.

Odpowiedzialność pracodawcy

Odpowiedzialność za naruszenie danych osobowych przez pracodawcę ponosi sam przedsiębiorca jako administrator danych. W przypadku naruszenia przepisów RODO, pracownikowi przysługuje skarga do Urzędu Ochrony Danych Osobowych (UODO), a także prawo do uzyskania od administratora odszkodowania za poniesioną szkodę.

Pracodawca musi pamiętać, że wszystkie dane osobowe, które pozyskał zgodnie z obowiązującym w dniu ich pozyskania prawem, może przechowywać w dokumentacji pracowniczej, kierując się zasadą minimalizacji danych. Dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

tags: #czy #pracodawca #przetwarza #szczegolne #kategorie #danych

Popularne posty:

• Przepisy dotyczące umowy o dzieło
• Opolska Okręgowa Izba Inżynierów Budownictwa i uprawnienia
• Niewykorzystany urlop a rozstanie z pracodawcą
• Urlop na wypowiedzeniu
• Urlop wypoczynkowy nauczyciela przedszkola