Dane osobowe przetwarzane w związku z zatrudnieniem, podzielić można na cztery podstawowe procesy. Będą to: rekrutacja, zatrudnienie i świadczenie pracy, korzystanie przez pracowników ze świadczeń i benefitów oraz prowadzenie monitoringu jako różnych form kontroli pracowników.

Dane przetwarzane w procesie rekrutacji

Od osoby starającej się o zatrudnienie, zgodnie z kodeksem pracy, pracodawca może żądać określonego katalogu danych, obejmującego: imię i nazwisko, dane kontaktowe, wykształcenie, kwalifikacje zawodowe oraz przebieg dotychczasowego zatrudnienia. Jednak w treści listów motywacyjnych, CV i innych dokumentów rekrutacyjnych mogą się również znaleźć dodatkowe dane np. informacje o sytuacji życiowej kandydata. W procesie rekrutacji mogą się również pojawić dane szczególnych kategorii tzw. dane wrażliwe. Będą to np. poglądy polityczne, przynależność religijna czy pochodzenie rasowe, a także dane związane ze zdrowiem (gdy o zatrudnienie stara się osoba niepełnosprawna lub przewlekle chora). Należy pamiętać że dokumenty aplikacyjne mogą wpływać do firmy w trakcie prowadzonego procesu rekrutacji, ale nie tylko. Mogą również zostać przesłane do bazy, w nadziei na rozpatrzenie kandydatury w później prowadzonych rekrutacjach. Ochronie podlegają wszelkie dokumenty zawierające dane osobowe kandydatów do pracy, zarówno przekazane w formie papierowej jak i elektronicznej, nawet jeżeli zostaną one po prostu pozostawione w recepcji lub wysłane za pomocą emaila do któregoś pracownika.

Zatrudnienie i świadczenie pracy

Kodeks pracy wskazuje, iż pracodawca przy zatrudnianiu pracownika, oprócz danych podanych w procesie rekrutacyjnym, może oczekiwać także takich danych jak adres zamieszkania, numer PESEL numer rachunku płatniczego lub innych danych pracownika lub członków jego rodziny związanych z korzystaniem przez pracownika ze szczególnych świadczeń. Powyższy katalog danych będzie miał analogiczne zastosowanie także do innych niż umowa o pracę, form zatrudnienia. W każdym przypadku gromadzone będą dane niezbędne dla samej czynności podpisania umowy, a także te które są konieczne przy przekazywaniu informacji dotyczących zatrudnienia danej osoby do różnych instytucji. Ponadto potrzebne będą również dane, wykorzystywane do rozliczania wynagrodzenia. W procesie świadczenia pracy, mamy również do czynienia z przetwarzaniem danych w odniesieniu do urlopów, zwolnień lekarskich czy wszelkich innych nieobecności w pracy, a także danych dotyczących badań i uprawnień pracowników oraz ich uczestnictwa w szkoleniach czy kursach. Dane osobowe pracowników przetwarzane są także w przypadku podróży służbowych pracowników.

Należy zwrócić uwagę także na tzw. dane służbowe, oraz fakt iż również są one danymi osobowymi. Informacje takie jak akie jak imię i nazwisko, nazwa stanowiska, służbowy numer telefonu, służbowy adres mailowy, mogą być przetwarzane przez pracodawcę np. poprzez udostępnianie tych danych klientom i kontrahentom, umieszczanie ich na stronie internetowej lub w sieci wewnętrznej. Należy jednak pamiętać iż pracodawca może wykorzystywać wspomniane dane wyłącznie zgodnie z zakresem prowadzonej działalności oraz zakresem czynności wykonywanych przez danego pracownika.

Świadczenia dla pracowników

Jest to dziedzina najczęściej pomijana przez pracodawców przy katalogowaniu danych osobowych. Do tej kategorii zaliczamy przede wszystkim dane dotyczące świadczeń socjalnych czy ubezpieczeń grupowych. Odpowiednio uregulowane powinny być także kwestie dotyczące prywatnej opieki medycznej, pakietów sportowych, a także dane związane z wycieczkami, upominkami oraz konkursami dla pracowników. Warto zwrócić na nie uwagę i z góry przemyśleć oraz zaplanować pewne działania dla poszczególnych akcji. Pozwoli to uprościć organizację poszczególnych wydarzeń i uniknąć przesadnego formalizmu.

Monitorowanie pracowników

Zakres danych przetwarzanych w związku z prowadzeniem monitoringu pracowników zależy od tego, jakie formy monitoringu są stosowane w danym przedsiębiorstwie. Do różnych form monitoringu będą maiły zastosowanie różne uregulowania, a same dane muszą być organizowane i chronione w różny sposób. Zasadą obowiązującą dla wszystkich form monitorowania jest obowiązek informowania pracowników o nadzorze jaki jest wobec nich stosowany. Szczególną uwagę pracodawcy powinni poświęcić prawidłowej organizacji i ochronie procesów, w związku z którymi zachodzi ryzyko pozyskiwania prywatnych danych. Jednym z przykładów kiedy może dochodzić do takiej sytuacji jest wykorzystanie przez pracownika służbowej skrzynki pocztowej do celów prywatnych.

Prawidłowa identyfikacja przetwarzanych danych osobowych

Identyfikacja i skatalogowanie przetwarzanych danych osobowych są bardzo istotne, i powinny zostać dokonane indywidualnie dla danego podmiotu – w zależności od charakteru prowadzonej działalności. Odpowiedzialność każdego przedsiębiorcy przetwarzającego dane, oraz zakres obowiązków towarzyszących poszczególnym kategoriom danych zależy bowiem od katalogu przetwarzanych danych osobowych. Nie wiedząc jakie dane osobowe przetwarzane są w przedsiębiorstwie, nie sposób sprostać wymogom nakładanym przez przepisy.

Odpowiedzialność Administratora

Ogólne rozporządzenie o ochronie danych osobowych (RODO) oraz Ustawa ochronie danych osobowych regulują wysokość oraz zasady nakładania przez Urząd ochrony danych osobowych kar administracyjnych, związanych z niedochowaniem obowiązków dotyczących prawidłowego przetwarzania i ochrony danych osobowych.
Natomiast nie jest to jedyna forma odpowiedzialności dotycząca przetwarzania danych osobowych. Każda osoba, która poniesie szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów Rozporządzenia ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie. W związku z ochroną danych osobowych zastosowanie mają także przepisy karne określone w treści Ustawy o ochronie danych osobowych. Kwestie związane z odpowiedzialnością za przetwarzanie danych osobowych są również poruszane przez szereg innych uregulowań w tym m.in. w Kodeksie pracy, czy Ustawię o odpowiedzialności podmiotów zbiorowych.

Obowiązki pracodawcy związane z przetwarzaniem danych pracowników

Podstawowym obowiązkiem związanym z przetwarzaniem danych osobowych jest postępowanie zgodnie z zasadami ich ochrony, dotyczącymi przetwarzania danych zgodne z prawem, zbierania ich wyłącznie w konkretnych celach, minimalizacji oraz prawidłowości danych, ograniczenia przechowywania danych osobowych, a także obowiązku zachowania ich integralności i poufności.
Niezbędnym dla wywiązania się w powyższych obowiązków jest przede wszystkim ustalenie celu i zakresu przetwarzanych danych osobowych.
Bardzo ważnym jest również ustalenie wszelkich informacji wymaganych przepisami dotyczącymi prowadzenia rejestru czynności przetwarzania danych osobowych, jak np. kategorie odbiorców, informacja o przekazywaniu danych do państw trzecich czy planowane terminy usunięcia danych.
Kolejną ważną kwestią, na której pracodawca powinien się skupić, jest ustalenie danych niezbędnych do realizacji obowiązku informacyjnego takich jak np. podstawa prawna na której opiera się przetwarzanie danych, a także prawa osób których dane dotyczą.

Część obowiązków związanych z ochroną omawianych danych osobowych należy zrealizować bezpośrednio względem pracownikom lub z ich udziałem. Wśród nich jest przekazanie pracownikom informacji związanej z przetwarzaniem ich danych osobowych. Pracodawca musi również pamiętać o prawidłowej organizacji procesu nadawania upoważnień i uprawnień do przetwarzania danych osobowych, oraz szkolenia i weryfikowania wiedzy pracowników. Pracownicy powinni mieć świadomość nie tylko co do ogólnych zasad dotyczących przetwarzania danych osobowych w organizacji, ale także konkretnych sposobów postępowania z danymi osobowymi na stanowisku pracy.

Najczęstsze błędy związane z przetwarzaniem poszczególnych kategorii danych osobowych

Częstym błędem popełnianym przez osoby przetwarzające dane osobowe jest nieprawidłowa identyfikacja danych tj. niekwalifikowanie określonych informacji jako danych osobowych, w tym w szczególności jako danych sensytywnych, lub nieprawidłowe przypisywanie danym zwykłym, statusu danych wrażliwych.

Bardzo często w przedsiębiorstwach brakuje uregulowań zwianych z wewnętrznym obiegiem danych, lub z gromadzeniem i przetwarzaniem danych przez różne działy w firmie. Obieg danych jak również rozproszenie różnych procesów na poszczególne komórki firmowe są zupełnie naturalne i niejednokrotnie niezbędne dla funkcjonowania przedsiębiorstwa. Należy jednak pamiętać aby każdemu z procesów związanych z przetwarzaniem danych towarzyszyły odpowiednie regulacje zapewniające ich należytą organizację oraz ochronę danych.

Na przykładzie procesu rekrutacji: zdarza się że dokumenty związane z rekrutacją przekazywane są różnym osobom w firmie – w celu dokonania oceny oraz wyboru odpowiedniego kandydata, lub że CV wpływają na adresy mailowe poszczególnych pracowników, lub są im przekazywane przez polecenie. Brak jednolitej polityki doprowadza do sytuacji w której dokumenty przechowywane są w różnych miejscach w firmie, co może prowadzić do naruszenia przepisów dotyczących ochrony danych osobowych (np. brak weryfikacji klauzul zgody, nieprawidłowe terminy przechowywania, dostęp osób nieupoważnionych itp.). Podobne nieprawidłowości pojawiają się także w stosunku do innej dokumentacji dotyczącej przetwarzania danych osobowych w związku z zatrudnieniem i świadczeniem pracy - nienależyty nadzór nad dokumentacją dotyczy w szczególności dokumentów gromadzonych poza aktami osobowymi.

Pracodawcy zapominają także o odpowiednim uregulowaniu zasad, lub zakazu korzystania ze służbowego mienia pracodawcy do celów prywatnych, oraz uregulowaniach dotyczących wykorzystania prywatnych danych pracowników do celów związanych ze świadczeniem przez nich pracy (np. numerów telefonu, czy adresów mailowych).

Przedsiębiorcy często nie przywiązują też należytej uwagi do odpowiedniego uregulowania zasad przepływu danych z podmiotami udostępniającymi świadczenia dla pracowników, takie jak grupowe ubezpieczenia, pakiety medyczne czy sportowe. Błędem jest też pomijanie w uregulowaniach konkursów, imprez i wyjazdów dla pracowników.

W odniesieniu do monitoringu pracowników, jednym z częściej popełnianych błędów jest nie informowanie pracowników o wszystkich stosowanych formach monitoringu, lub nadmierne wykorzystanie informacji pozyskanych z monitoringu.

fot. freepik.com