Kategoria: «RODO»

W praktyce odpowiedź brzmi – tak, ale nie zawsze i nie automatycznie. Jeżeli kandydat wysłał CV do jednej konkretnej rekrutacji to pracodawca nie powinien z góry zakładać, że może użyć tego samego dokumentu także przy kolejnych naborach. W rekrutacji trzeba odróżnić dwa cele przetwarzania danych – udział w bieżącej rekrutacji oraz udział w przyszłych rekrutacjach. Zasadniczo, przetwarzanie danych kandydata do pracy znajduje podstawę prawną w przepisach kodeksu pracy, a więc nie jest potrzebna do tego zgoda tego kandydata. W przypadku przyszłych rekrutacji – potrzebna jest już wyraźna zgoda kandydata.

Z tego artykułu dowiesz się:

• czy pracodawca może użyć raz wysłanego CV w innej rekrutacji
• kiedy wystarczy obecna podstawa przetwarzania,

W praktyce najuczciwsza odpowiedź brzmi – nie powinno się robić tego po cichu i za plecami kandydata. W rekrutacji punktem wyjścia jest to, że dane o kandydacie pracodawca pozyskuje, co do zasady, od samej osoby ubiegającej się o zatrudnienie, a nie z nieformalnych telefonów do jej obecnego albo poprzedniego pracodawcy. Kodeks pracy wyraźnie opisuje katalog danych, których można żądać od kandydata, oraz wskazuje, że udostępnienie danych następuje w formie oświadczenia osoby, której dane dotyczą. UODO traktuje z kolei kontakt z byłym pracodawcą, potwierdzanie referencji i szerzej background screening jako obszar wymagający szczególnej ostrożności oraz przejrzystości wobec kandydata. Z zestawienia tych zasad wynika praktyczny wniosek – najbezpieczniej opierać się na informacjach przekazanych przez kandydata,

Świadczenia dobrostanowe są dziś stałym elementem oferty pracodawców, ale pod względem RODO nie tworzą jednej prostej kategorii. Inaczej ocenia się kartę sportową, inaczej pakiet medyczny, jeszcze inaczej wsparcie psychologiczne, programy profilaktyczne czy aplikacje wellbeingowe. Z prawnego punktu widzenia kluczowe jest nie to, jak benefit nazywa dział HR, ale jakie dane są zbierane, po co, od kogo i komu są dalej przekazywane. RODO wymaga zgodności z prawem, ograniczenia celu i minimalizacji danych, a kodeks pracy dodatkowo ogranicza zakres informacji, których pracodawca może żądać od pracownika lub kandydata. Gdy w grę wchodzą dane o zdrowiu albo zdrowiu psychicznym, ryzyko rośnie jeszcze bardziej.

RODO to ogólne rozporządzenie o ochronie danych, czyli unijne rozporządzenie 2016/679 przyjęte 27 kwietnia 2016 r. Jego pełny cel to ochrona osób fizycznych w związku z przetwarzaniem danych osobowych oraz zapewnienie swobodnego przepływu takich danych. W Polsce i w całej UE stosuje się je od 25 maja 2018 r.

To nie jest ustawa tylko o komputerach, newsletterach albo zgodach marketingowych. RODO reguluje bardzo szeroko to, jak firmy, urzędy, szkoły, przychodnie, fundacje i inni administratorzy mogą zbierać, używać, przechowywać, udostępniać i usuwać dane osobowe. Obejmuje więc praktycznie cały cykl życia danych.

Z tego artykułu dowiesz się:

• czym dokładnie jest RODO
• jakie dane obejmuje
• kogo dotyczy
• czego wymaga od firm i organizacji
• jakie prawa daje osobom,

Dane o ciąży to nie jest zwykła informacja kadrowa. Z punktu widzenia RODO wchodzimy tu w obszar danych o stanie zdrowia, czyli danych szczególnych kategorii, które mogą być przetwarzane tylko w ściśle określonych sytuacjach. Jednocześnie prawo pracy daje pracownicy w ciąży szczególne uprawnienia, a pracodawcy nakłada konkretne obowiązki. To oznacza, że pracodawca może pozyskać pewne informacje o ciąży, ale tylko wtedy, gdy są rzeczywiście potrzebne do realizacji praw pracownicy albo obowiązków wynikających z prawa pracy. Nie może natomiast zbierać szerokich danych medycznych na zapas, z ciekawości albo dla wygody organizacyjnej.

Z tego artykułu dowiesz się:

• czy pracownica musi informować pracodawcę o ciąży
• jakie dane pracodawca może pozyskać legalnie
• kiedy potrzebne jest zaświadczenie lekarskie
• czy pracodawca może pytać o przebieg ciąży i wyniki badań
• jakie dane o dziecku lub rodzinie wolno przetwarzać
• gdzie kończy się dopuszczalne przetwarzanie,

Umieszczenie zdjęcia pracownika na stronie internetowej firmy wygląda dziś jak zwykły element komunikacji, ale prawnie to temat bardziej złożony, niż często się zakłada. Wizerunek pracownika jest daną osobową, a jego publikacja na zewnętrznej stronie internetowej to nie to samo co użycie zdjęcia w wewnętrznym intranecie albo na identyfikatorze. W praktyce najbezpieczniejsza odpowiedź brzmi – co do zasady – można, ale zwykle będzie do tego potrzebna dobrowolna zgoda pracownika, a dodatkowo trzeba pamiętać o zasadach RODO i o przepisach prawa autorskiego dotyczących rozpowszechniania wizerunku. UODO wyraźnie wskazuje, że publikacja wizerunku pracownika na stronie internetowej wymaga dobrowolnej zgody.

Z tego artykułu dowiesz się:

• czy pracodawca może publikować zdjęcie pracownika na stronie www
• kiedy potrzebna jest zgoda pracownika
• dlaczego sama zgoda z RODO nie załatwia wszystkiego
• czym różni się publikacja w internecie od publikacji w intranecie
• kiedy zdjęcie może być szczególnie ryzykowne
• jakie błędy pracodawców są najczęstsze

Czy wizerunek pracownika to dane osobowe?

Imię i nazwisko pracownika to dane osobowe, jednak nie każde ich użycie w miejscu pracy narusza RODO. Jeżeli oznaczenie pokoju służy organizacji pracy, ułatwia kontakt z właściwą osobą, pomaga interesantom albo porządkuje obieg spraw w firmie czy urzędzie, takie działanie może być dopuszczalne. Kluczowe są jednak cel, niezbędność i zakres danych. Pracodawca powinien być w stanie wykazać, po co takie oznaczenie stosuje i dlaczego nie da się osiągnąć tego celu w mniej ingerujący sposób. RODO wymaga zgodności z prawem, minimalizacji danych i rozliczalności, a UODO podkreśla, że imię, nazwisko i służbowe dane kontaktowe są danymi związanymi z zatrudnieniem i co do zasady nie wkraczają w sferę prywatności pracownika.

Monitoring poczty elektronicznej pracownika jest dopuszczalny, ale nie daje pracodawcy wolnej ręki do czytania wszystkiego, co przechodzi przez służbową skrzynkę. Kodeks pracy pozwala na kontrolę służbowej poczty elektronicznej tylko wtedy, gdy jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania narzędzi pracy. Jednocześnie taki monitoring nie może naruszać tajemnicy korespondencji ani innych dóbr osobistych pracownika. Równolegle pracodawca musi stosować RODO, a więc działać w sposób konieczny, proporcjonalny i przejrzysty.

Z tego artykułu dowiesz się:

• kiedy monitoring służbowej poczty jest legalny
• jakie cele uzasadniają jego wprowadzenie
• jakie formalności musi spełnić pracodawca
• czy wolno czytać treść maili pracownika
• co z prywatnymi wiadomościami na służbowej skrzynce
• jakie są najczęściej występujące błędy

Czy monitoring poczty elektronicznej pracownika jest w ogóle legalny?

Naruszenie RODO nie kończy się tylko na dyskomforcie organizacyjnym albo konieczności poprawienia polityki prywatności. W zależności od skali problemu mogą wchodzić w grę środki nakazowe Prezesa UODO, wysokie administracyjne kary pieniężne, odpowiedzialność cywilna za szkodę, a w Polsce także odpowiedzialność karna za niektóre czyny związane z bezprawnym przetwarzaniem danych albo utrudnianiem kontroli. Równie ważne jest to, że inne obowiązki ma organizacja, u której doszło do naruszenia, a inne osoba, której dane zostały naruszone. Administrator musi ocenić ryzyko, czasem zgłosić incydent do Prezesa UODO i czasem zawiadomić osoby, których dane dotyczą. Z kolei osoba fizyczna może złożyć skargę do Prezesa UODO i niezależnie od tego dochodzić odszkodowania przed sądem cywilnym.