Ochrona danych osobowych

w zatrudnianiu– odpowiedzi na ponad

60 najważniejszych pytań

Ochrona danych osobowych w zatrudnianiu – odpowiedzi na ponad 60 najważniejszych pytań

Wielu przedsiębiorców uważa, że skoro nie mają w swoich zbiorach danych osobowych klientów, nie obowiązują ich przepisy o ochro-nie danych osobowych. Część natomiast, dbając o ochronę danych osobowych klientów, zapomina o ochronie danych pracowników. Takie myślenie to jednak błąd. Mimo że zbiorów z danymi pracowników nie trzeba zgłaszać do rejestracji u GIODO, należy dbać o ich bezpieczeń-stwo. Takie same zasady obowiązują odnośnie do danych osobowych kandydatów do pracy, praktykantów, stażystów czy pracowników tymczasowych.Publikacja, którą trzymasz w dłoniach, odpowiadając na ponad 60 najważniejszych pytań, pomoże Ci odpowiednio zadbać o ochronę pracowniczych danych osobowych. Znajdziesz w niej też akty prawne, których musisz przestrzegać, przetwarzając dane osobowe pracowników.

ISBN 978-83-269-6180-9

9 7 8 8 3 2 6 9 6 1 8 0 9

UOR

53

Cena: 69 zł brutto

ISBN 978-83-269-6180-9

e-bookKsiążka dostępna jako e-book na:

Zamów prenumeratę już dziś na FabrykaWiedzy.com, lub przez Centrum Obsługi Klienta: tel. 22 518 29 29, email: cok@wip.pl

OCHRONADANYCH OSOBOWYCH profesjonalnie i kompleksowo

Zamów prenumeratę!Półroczną z 20% zniżką

rabat

20%

GRATIS

myszka

+ myszka gratis

Roczną z 30% zniżką

rabat

30%

GRATIS

tablet

+ tablet gratis

1 2

W MIESIĘCZNIKU ZNAJDZIESZ: �gotowe, w pełni edytowalne wzory dokumentów�związanych

z�przetwarzaniem�danych�osobowych�wraz�z�instrukcjami�wypełnienia krok�po�kroku,

 �przykładowe zapisy umowne, �wyjaśnienie zawiłych kwestii prawnych,�w�szczególności�na�styku

ochrony�danych�osobowych�i�nowych�technologii, �porady, jak zachować się podczas kontroli GIODO, �zmiany w prawie i ich konsekwencje�dla�pracy�ABI,�ADO�i�ASI, �szczegółowe porady na temat danych osobowych�dla�firm�prywatnych

oraz�administracji�publicznej, �gotowe materiały do przeprowadzania szkoleń�z�zakresu

danych�osobowych.

1 NUMER PRAWNICZY RAZ NA KWARTAŁ,

przygotowany przez Kancelarię Prawną Traple, Konarski,

Podrecki i Wspólnicy

DN 210x297 05.2016 prenumerata v3.indd 1 19.05.2016 10:28:25

WEJDŹ NA STRONĘwww.pobierzebook.wip.pl/odo

i pobierz bezpłatne e-poradniki!

  jesteś właścicielem firmy, zarządzasz urzędem albo placówką oświatową,  gromadzisz dane swoich klientów lub pracowników,  jesteś administratorem bezpieczeństwa informacji (ABI),   chcesz być na bieżąco z najnowszymi przepisami dotyczącymi

Ochrony danych osobowych,

Jeśli:

Ochrona i przetwarzanie danych osobowychWYJĄTKOWE EBOOKI ZA DARMO DLA CIEBIE

Ochrona danych osobowych w zatrudnianiu – odpowiedzi na ponad 60 najważniejszych pytań

Autor: Piotr Glen

Redaktor prowadzący: Wioleta Szczygielska

Wydawca: Weronika Wota

Korekta: Zespół

Projekt okładki: IGAWA Ireneusz Gawliński

Skład i łamanie: IGAWA Ireneusz Gawliński

Druk: Miller Druk sp. z o.o.

Copyright by Wydawnictwo Wiedza i Praktyka sp. z o.o.Warszawa 2017

Wydawnictwo Wiedza i Praktyka sp. z o.o.ul. Łotewska 9a, 03-918 Warszawatel.: 22 518 29 29, faks: 22 617 60 10

Redakcja zastrzega sobie prawo dokonywania zmian i skrótów w nadesłanych artykułach i  ich tytułach. Artykułów ani jakichkolwiek innych materiałów niezamówionych Redakcja nie zwraca. Wszelkie prawa do niniejszej publikacji, w tym do jej tytułu oraz do treści zawartych w zamieszczonych w niej artykułach, podlegają ochronie prawnej przewidzianej w szczególności prawem autorskim. Ich przedruk oraz rozpo-wszechnianie bez wiedzy i zgody Redakcji są zabronione. Zakaz ten nie dotyczy cytowania ww. materiałów w granicach dozwolonego użytku, z powołaniem się na źródło.Wszelkie materiały zawarte w niniejszej publikacji mają charakter wyłącznie popularyzacyjno-informacyj-ny i nie mogą być traktowane w sposób prawnie wiążący pomiędzy Czytelnikiem a Wydawcą lub Redakcją.Redakcja dokłada wszelkich starań, aby informacje i dane zamieszczone w tych materiałach były poprawne merytorycznie i aktualne, jednak informacje te nie mają charakteru porady czy opinii prawnej, jako że Wy-dawca ani Redakcja nie świadczą żadnych usług prawnych. Nie mogą być one również traktowane jako ofi cjalne stanowisko organów i urzędów państwowych. Zasto-sowanie tych informacji w konkretnym przypadku może wymagać dodatkowych, pogłębionych konsultacji lub opinii prawnej. Wobec powyższego Wydawca, Redakcja, redaktorzy ani autorzy ww. materiałów nie ponoszą odpowiedzial-ności prawnej w szczególności za skutki zastosowania się lub wykorzystania w jakikolwiek sposób informa-cji zawartych w tych materiałach.

3

Spis treściWstęp .............................................................................................................................................. 7

Część I. Ochrona danych osobowych w rekrutacji ................................................................ 81. Jakie są podstawy prawne przetwarzania danych kandydatów do pracy? .................. 82. Kto odpowiada za ochronę danych osobowych kandydatów do pracy? .................... 83. Czy pracodawca odpowiada za to, że jego pracownik ujawnił informacje

o kandydacie do pracy? ..................................................................................................... 94. Kto może mieć dostęp do danych osobowych kandydatów do pracy? ....................... 95. Czy osoby, które mają dostęp do danych osobowych kandydatów do pracy,

należy upoważniać do przetwarzania ich danych osobowych? .................................. 96. Jakie obowiązki wobec kandydatów do pracy ma administrator danych? ................. 107. Jakich danych osobowych można żądać od kandydatów do pracy? ........................... 118. Czy w dokumentach aplikacyjnych (CV, list motywacyjny) powinna znaleźć się

klauzula zgody na przetwarzanie danych osobowych? ................................................. 129. Co zrobić z dokumentami aplikacyjnymi, w których znajdują się nadmiarowe

dane osobowe, w tym dane wrażliwe, np. o stanie zdrowia? ........................................ 1210. Jak postąpić z odrzuconymi aplikacjami po zakończeniu procesu rekrutacji

i czy można wykorzystać aplikacje odrzuconych kandydatów do pracy w przyszłych rekrutacjach? ............................................................................................... 13

11. Jak zapewnić sobie możliwość skorzystania z odrzuconych dokumentów aplikacyjnych w przyszłych procesach rekrutacji? ........................................................ 13

12. Czy można wymagać od kandydatów do pracy zaświadczenia o niekaralności? ...... 1413. Czy można żądać od kandydata do pracy informacji o jego przynależności

partyjnej? ............................................................................................................................. 1414. Czy można żądać od kandydata do pracy dostarczenia przez niego zdjęcia? ............ 1415. Czy można przetwarzać dane osobowe wrażliwe kandydatów do pracy,

jeżeli sami je przekazali (np. informacja o niekaralności)? .......................................... 1516. Czy można prosić kandydatów do pracy o dostarczenie ksera/skanu dowodu

osobistego? .......................................................................................................................... 1517. Czy zbiory z danymi osobowymi kandydatów do pracy podlegają rejestracji

u Generalnego Inspektora Ochrony Danych Osobowych? .......................................... 1518. W jakich przypadkach i w jakiej formie można przeprowadzać testy

psychologiczne kandydatów ubiegających się o pracę? ................................................ 16

4

Spis treści

19. Jak zabezpieczyć dokumentację rekrutacyjną? .............................................................. 1620. Czy po zakończonym procesie rekrutacji CV kandydatów trzeba zniszczyć? ........... 17

Część II. Dane osobowe pracowników ..................................................................................... 1821. Jakie są podstawy prawne przetwarzania danych osobowych pracowników? ........... 1822. Czy pracodawca ma obowiązki informacyjne wobec swoich pracowników

w związku z przetwarzaniem ich danych osobowych? ................................................ 1923. Jakie dane osobowe pracowników pracodawca może przetwarzać? ........................... 2024. Czy zbiory z danymi osobowymi pracowników należy rejestrować

u Generalnego Inspektora Ochrony Danych Osobowych? .......................................... 2025. Czy każdy pracownik powinien podpisać upoważnienie do przetwarzania danych

osobowych? ......................................................................................................................... 2126. Kto powinien wydać pracownikowi upoważnienie do przetwarzania danych

osobowych? ......................................................................................................................... 2127. Czy każdy pracownik powinien przejść szkolenie z ochrony danych osobowych? .. 2228. Czy pracodawca może zamieścić zdjęcie pracownika na swojej stronie

internetowej bez jego zgody? ............................................................................................ 2329. Czy pytania i testy zadawane podczas procedury rekrutacyjnej są zgodne

z ustawą o ochronie danych osobowych? ....................................................................... 2330. Czy pracodawca ma prawo publikować na swoich stronach internetowych

takie dane osobowe pracowników, jak ich: imiona i nazwiska, stanowiska, dokładne miejsce pracy (numer pokoju, telefon, adres e-mail), bez zgody tych osób? ... 24

31. Czy obowiązek noszenia przez pracowników identyfi katorów narusza przepisy ustawy o ochronie danych osobowych? .......................................................................... 24

32. Czy pracodawca może stosować monitoring w miejscu pracy (monitorowanie poczty e-mail, komunikatorów, nagrywanie rozmów telefonicznych pracowników, wideomonitoring)? ............................................................................................................ 25

33. Czy pracodawca może sprawdzać trzeźwość pracowników? ....................................... 2634. Czy pracodawca może stosować systemy mierzenia czasu pracy zbierające dane

biometryczne? .................................................................................................................... 2735. Czy pracodawca powinien poinformować pracownika o przekazaniu jego

danych do innej instytucji? ............................................................................................... 2836. Czy przekazując dane osobowe pracowników w ramach umowy powierzenia,

pracodawca musi mieć ich zgodę? ................................................................................... 2837. Czy zlecając obsługę kadrową fi rmie zewnętrznej, należy zawrzeć z nią umowę

powierzenia? ....................................................................................................................... 2938. Na jakich zasadach można przekazywać dane pracowników w ramach grupy

kapitałowej? ........................................................................................................................ 2939. Czy pracodawca ma prawo w obecności innych pracowników wręczyć osobie

zatrudnionej wypowiedzenie umowy o pracę lub nałożyć na nią karę porządkową? ..... 3040. Czy przetwarzanie przez pracodawcę danych dotyczących nazwiska rodowego

matki pracownika jest zgodne z prawem? ...................................................................... 3041. Czy dział kadr ma prawo przekazać akta osobowe pracownika innej osobie

zatrudnionej u danego pracodawcy? ............................................................................... 30

5

Spis treści

42. Czy pracownik ma prawo wglądu w swoją dokumentację zawierającą jego dane osobowe prowadzoną przez byłego pracodawcę? ................................................ 31

43. Czy pracodawca może przetwarzać informacje o relacjach rodzinnych i osobistych łączących zatrudnione u niego osoby? ...................................................... 31

44. Czy wyniki obowiązkowych badań lekarskich mogą zostać wydane pracodawcy, który na te badania kieruje?.............................................................................................. 32

45. Czy praktyka udostępniania zbiorczej listy płac zatrudnionych pracownikówinnym pracownikom przy okazji odbioru przez nich u pracodawcy odcinka listy płac zawierającego składniki wynagrodzenia może naruszać ustawę o ochronie danych osobowych? ........................................................................................................... 32

46. Jaką odpowiedzialność może ponieść pracownik za naruszenie przepisów o ochronie danych osobowych? ....................................................................................... 32

47. Za jakie konkretne naruszenia związane z ochroną danych pracownikowi może grozić odpowiedzialność? ................................................................................................. 33

48. Czy po zakończeniu stosunku pracy należy usunąć dane osobowe pracowników? ........ 3349. Po jakim czasie należy usuwać dane osobowe pracowników? ..................................... 3450. Czy pracodawca ma obowiązek usunąć ze strony internetowej fi rmy dane

osobowe byłego pracownika, tj. jego wizerunek, imię i nazwisko oraz adresy jego poczty elektronicznej? ............................................................................................... 34

51. Czy można udostępniać dane osobowe byłych pracowników innym podmiotom? ....... 3452. Czym jest ogólne rozporządzenie o ochronie danych osobowych? ............................ 3553. Jakie zmiany wprowadzi ogólne rozporządzenie o ochronie danych w zakresie

danych osobowych pracowników? .................................................................................. 3554. Czy pracodawca ma prawo zażądać od organizacji związkowej przedstawienia

pełnej listy osób pozostających pod jej ochroną, gdy pracodawca nie ma zamiaru zwolnić ich z pracy? ........................................................................................................... 35

55. Czy organizacja związkowa może przekazać pracodawcy informację zawierającą listę pracowników korzystających z jej obrony związkowej? ....................................... 36

56. Czy związek zawodowy ma prawo pozyskać od pracodawcy imienną listę wynagrodzeń wszystkich pracowników? ........................................................................ 37

Część III. Dane osobowe stażystów, praktykantów, pracowników tymczasowych .......... 3957. Jakie są podstawy prawne przetwarzania danych osobowych stażystów

i praktykantów? .................................................................................................................. 3958. Czy zbiory z danymi osobowymi stażystów, praktykantów, pracowników

tymczasowych powinny być zgłaszane do rejestracji u Generalnego Inspektora Ochrony Danych Osobowych? ......................................................................................... 39

59. Czy osoby niezatrudnione na stałe powinny otrzymać upoważnienie do przetwarzania danych osobowych? ............................................................................ 40

60. Czy stażyści, praktykanci i pracownicy tymczasowi powinni przejść szkolenie z zakresu ochrony danych osobowych? .......................................................................... 41

61. Czy agencja pracy tymczasowej powinna zgłosić do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbiór danych osobowych,jeśli przetwarza jedynie dane osobowe pracowników tymczasowych? ...................... 41

6

Spis treści

62. Który z administratorów danych powinien wydać pracownikowi tymczasowemu upoważnienie do przetwarzania danych osobowych – agencja, w której jest on zatrudniony, czy pracodawca, do którego został on skierowany (pracodawca użytkownik)? ...................................................................................................................... 42

Część IV. Akty prawne ................................................................................................................. 431. Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r.

poz. 922) .............................................................................................................................. 432. Ustawa z 26 czerwca 1974 r. – Kodeks pracy (tekst jedn.: Dz.U. z 2016 r. poz. 1666)

– wybrane artykuły ........................................................................................................... 693. Rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram

Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2012 r. poz. 526) – wybrane paragrafy ....................... 70

7

WstępWielu pracodawców uważa, że skoro w swojej działalności przetwarzają jedynie dane

osobowe pracowników, to nie mają obowiązków wynikających z ustawy o ochronie da-nych osobowych. Część pracodawców natomiast pamięta o ochronie danych osobowych swoich klientów, jednak do ochrony danych pracowników nie przykłada dużej uwagi. Takie myślenie to jednak błąd. Wprawdzie pracodawca, który przetwarza tylko dane osobowe pracowników, nie musi zgłaszać zbiorów danych do rejestracji u Generalnego Inspektora Ochrony Danych Osobowych, ma jednak wiele innych obowiązków wynika-jących z przepisów.

Jednym z nich jest zastosowanie odpowiednich środków technicznych i organizacyj-nych, które zapewnią bezpieczeństwo przetwarzanym danym. Trzeba też pamiętać, że nie można żądać od pracownika podania danych wrażliwych np. o stanie zdrowia czy karal-ności oraz że jego danych osobowych nie można dobrowolnie udostępniać.

Do przetwarzania danych osobowych dochodzi także podczas rekrutacji. Jest to jeden z bardziej newralgicznych procesów w każdej organizacji. By go rozpocząć, wymagane jest zaangażowanie co najmniej kilku osób, które muszą być świadome, że obowiązują je przepisy ustawy o ochronie danych osobowych. Warto pamiętać, by mimo uzasadnie-nia biznesowego szanować prawo do prywatności kandydatów do pracy i pracowników.

Większość administratorów danych osobowych ochronę danych osobowych kojarzy przede wszystkim z ochroną danych klientów lub interesantów, zapominając o danych kandydatów do pracy. Świadomość społeczna zasad ochrony prywatności rośnie, co może nieść ze sobą ryzyko pozwów o zadośćuczynienie lub odszkodowanie, jeśli dane są wy-korzystywane niezgodnie z prawem. Warto się więc zastanowić, czy procesy rekrutacji są prowadzone zgodnie z przepisami o ochronie danych osobowych.

Pracodawcy muszą być także świadomi, że także dane osobowe praktykantów, staży-stów i pracowników tymczasowych powinny być odpowiednio chronione. A jeżeli takie osoby mają dostęp do danych klientów, trzeba nadać im upoważnienia i przeszkolić z za-sad ochrony danych osobowych.

Wioleta Szczygielska

8

Część IOchrona danych osobowych w rekrutacji

1. Jakie są podstawy prawne przetwarzania danych kandydatów do pracy?

W zakresie przetwarzania danych osobowych zawsze pierwszeństwo mają przepi-sy szczegółowe, w tym przypadku przepisy dotyczące prawa pracy. Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922) w sposób ogólny i końcowy opisuje zasady przetwarzania i ochrony danych. Zakres i cel przetwa-rzania danych kandydatów do pracy dość szczegółowo opisany jest w art. 22¹ ustawy z 26 czerwca 1975 r. – Kodeks Pracy (tekst jedn.: Dz.U. z 2016 r. poz. 1666).

Dodatkowe wymagania często stawiają ustawy branżowe, jak na przykład ustawa z 21 listopada 2008 r. o pracownikach samorządowych (Dz.U. z 2008 r. nr 223, poz. 1458), ustawa z 26 stycznia 1982 r. – Karta Nauczyciela (tekst jedn.: Dz.U. z 2016 r. poz. 1379) czy ustawy dotyczące wielu służb. Podanie tam wskazanych danych osobowych jest obo-wiązkowe, bo jest niezbędne, aby zrealizować uprawnienia lub spełnić obowiązek wyni-kający z przepisu prawa.

2. Kto odpowiada za ochronę danych osobowych kandydatów do pracy?

Za odpowiednią ochronę wszelkich danych osobowych, w tym również kandydatów do pracy czy pracowników, odpowiada administrator danych, tj. pracodawca, czyli na przykład zarząd spółki, właściciel fi rmy, dyrektor jednostki.

To administrator danych jest zobowiązany zastosować środki techniczne i organizacyj-ne, które zapewnią ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. W szczególności powinien zabezpieczyć dane przed:

udostępnieniem ich osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ustawy o ochronie da-

nych osobowych).

9

Ochrona danych osobowych w rekrutacji

3. Czy pracodawca odpowiada za to, że jego pracownik ujawnił informacje o kandydacie do pracy?

Za ewentualne naruszenia ochrony danych osobowych, tj. m.in. za przypadkowe lub bez-prawne zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub umożliwienie dostępu do danych osobom nieupoważnionym, odpowiada pracodawca jako administrator danych. Jednakże jeżeli w podmiocie administratora danych są wdrożone i funkcjonują odpowiednie i wymagane procedury ochrony danych, to pracownik dopuszczający się naruszenia może być pociągnięty do odpowiedzialności dyscyplinarnej, fi nansowej, odszkodowawczej, a w skraj-nych przypadkach nawet karnej zgodnie z Kodeksem pracy lub ustawą z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (tekst jedn.: Dz.U. z 2009 r. nr 201, poz. 1540).

4. Kto może mieć dostęp do danych osobowych kandydatów do pracy?

Pracodawca nie może udostępniać danych osobowych pracownika osobom przypad-kowym, których zakres obowiązków nie uzasadnia dostępu do danych innych pracowni-ków czy też kandydatów do pracy. Informacje dotyczące pracowników, w tym dotyczące określonych zdarzeń, takich jak nawiązanie umowy czy wypowiedzenie umowy o pracę lub udzielenie kary porządkowej, mogą być dostępne jedynie dla ograniczonego kręgu osób u danego pracodawcy.

Do osób takich należą najczęściej osoby zarządzające w imieniu pracodawcy zakła-dem pracy, przełożeni danego pracownika czy przyszłego pracownika, osoby prowadzące sprawy osobowe, zatrudnienia i płac, radcy prawni świadczący dla pracodawcy pomoc prawną. Osoby te w ramach wykonywanych obowiązków są najczęściej upoważnione do przetwarzania danych.

Natomiast jeżeli jest to niezbędne do prawidłowego wykonywania obowiązków służbo-wych i przeprowadzenia procesu rekrutacji, to pracodawca może nadać stosowne upoważ-nienie do przetwarzania danych w tym zakresie również innym osobom. To administrator danych samodzielnie decyduje o dostępie poszczególnych osób u niego zatrudnionych do danych osobowych przez niego przetwarzanych. To bowiem administrator danych jest naj-lepiej zorientowany w szczegółach prowadzonej przez siebie działalności i dzięki temu naj-lepiej wie, kogo oraz w jakim zakresie upoważnić do przetwarzania danych osobowych.

5. Czy osoby, które mają dostęp do danych osobowych kandydatów do pracy, należy upoważniać do przetwarzania ich danych osobowych?

Dostęp do danych osobowych mogą mieć wyłącznie osoby, które mają upoważnienie do przetwarzania danych osobowych nadane przez administratora danych. Forma upo-ważnienia może być różna, ale powinien z niego wynikać zakres danych i czynności, ja-kie upoważniona osoba może wykonywać na danych osobowych. Jeżeli pracownik ma