Jakie są podstawy prawne i zakres przetwarzania danych osobowych przyszłych pracowników? Jakie zmiany niesie ze sobą w tej kwestii rozporządzenie Parlamentu Europejskiego i Rady UE ws. ochrony danych osobowych ?

Rozporządzenie UE wymusiło niejako wprowadzenie zmian do ustawy o ochronie danych osobowych.  Nowa ustawa z kolei zmienia szereg przepisów, w tym kodeks pracy.

I. Jakich danych osobowych może żądać pracodawca od przyszłego pracownika?

Obecnie pracodawcy na mocy art. 221 k.p. mogą żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:

  • imię (imiona) i nazwisko;
  • imiona rodziców;
  • datę urodzenia;
  • miejsce zamieszkania (adres do korespondencji);
  • wykształcenie;
  • przebieg dotychczasowego zatrudnienia.

[powyższy zakres ma zostać zmieniony propozycją Ministerstwa Cyfryzacji w ramach dostosowania do wymogów rozporządzenia UE na: imię (imiona) nazwisko, data urodzenia, adres do korespondencji, adres poczty elektronicznej albo numer telefonu, wykształcenie, przebieg dotychczasowego zatrudnienia]

Pracodawca ma prawo żądać od pracownika podania, niezależnie od danych osobowych, o których powyżej, także:

  • innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;
  • numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).

W/w dane osobowe pracodawca może przetwarzać. Przetwarzanie innych danych jest uzależnione od istnienia przepisu, z którego takie uprawnienie by wynikało.

Jest nim np. art. 23 ust. 1 ustawy o ochronie danych osobowych, który stanowi, że: przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:


1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;

4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;

5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Dla przypomnienia: zgodnie z aktualnie obowiązującą ustawą o ochronie danych osobowych dana osobowa to każda informacja dotycząca zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

II. Co z danymi, które pracownik przedstawi dobrowolnie, z własnej inicjatywy?

Uważa się, że pracodawca takie dane, nawet jeśli nie mieszczą się w katalogu podanym w k.p., może przetwarzać.

Jednakże w związku z rozporządzeniem UE po zmianie przepisów k.p. podstawą przetwarzania danych osobowych może być także zgoda pracownika – kwestia ta w obecnym stanie prawnym jest dyskusyjna, ponieważ pracodawca jako silniejsza strona stosunku pracy może taką zgodę z łatwością wymusić.

Tym niemniej po zmianach zgoda kandydata do pracy na przetwarzanie danych osobowych będzie dopuszczalna.

III. Czy zgoda pracownika na przetwarzanie danych osobowych powinna przybrać jakąś szczególną formę?

Rozporządzenie UE stanowi, iż powinna być to tzw. świadoma zgoda, określająca:

  • zakres danych,
  • podmiot przetwarzający,
  • cel, któremu ma służyć ta operacja.

Najlepiej, by zgoda została wyrażona właśnie w ten wyraźny sposób w formie pisemnej.

W taki sam sposób zgoda może zostać odwołana – pracodawca nie powinien tego utrudniać pracownikowi/kandydatowi.

IV. Jakich informacji pracodawca nie może żądać od przyszłego pracownika (bez oczywiście jego zgody)?

Np. miejsca zameldowania, przynależności partyjnej, zdjęcia.

Kontrowersyjne jest:

  • poddanie kandydata do pracy testom psychologicznym – bez jego zgody (albo istnienia podstawy prawnej ku temu) oraz bez istnienia usprawiedliwionego celu takie badanie nie powinno zostać przeprowadzone. Ważne jest także to, aby tego typu test został wykonany nie przez samego pracodawcę, a psychologa, który jest zobowiązany do zachowania tajemnicy zawodowej;

  • żądanie zaświadczenia o niekaralności w przypadku – rozporządzenie unijne w dalszym ciągu utrzymuje, że musi istnieć przepis, który wymaga przedłożenia takiego dokumentu. Aktualnie jako przykład można podać ustawę o pracownikach samorządowych.

Podsumowując, przetwarzanie danych osobowych kandydatów/pracowników powinno się opierać na zasadach: legalności, rzetelności, przejrzystości, celowości, adekwatności, prawidłowości i ograniczenia czasowego.

Rozporządzenie unijne dokłada jeszcze dwie zasady: integralności i poufności danych, które sprowadzają się do należytego zabezpieczenia operacji przeprowadzanych na danych osobowych – tzw. privacy by designprivacy by default, o czym była mowa w pierwszym artykule z serii, który znajdziesz tutaj.

W kolejnym wpisie omówię tzw. background check – czyli sprawdzanie informacji podanych przez osobę ubiegającą się o zatrudnienie w kontekście przetwarzania danych osobowych. Czy takie działanie pracodawcy jest dozwolone ?

icon
Jeśli masz pytania, potrzebujesz pomocy, indywidualnej konsultacji albo potrzebujesz szkolenia z zakresu ochrony danych osobowych napisz do mnie na adres: katarzyna@klemba.pl


Jeśli zaś interesuje Cię szerzej tematyka związana z ochroną danych osobowych i indywidualnie chcesz ją zgłębić, to polecę również książkę Wydawnictwa C. H. Beck Sp. z o.o:

Ochrona danych osobowych pracowników w świetle rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679

Napisz komentarz

Twój adres email nie zostanie opublikowany. Zaznaczone pola są obowiązkowe *