Autor: Związek Banków Polskich

Szanowni Państwo,

poniżej przekazujemy uwagi do poradnika „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców” przygotowane przez Grupę Bankowych Inspektorów Ochrony Danych działającej przy Związku Banków Polskich.

Uwagi do poradnika dot. przetwarzania danych w miejscu pracy

Aktualna treść

Str. 7

Pracodawca może oczekiwać od kandydata do pracy podania mu danych, które ogólnie możemy określić, jako dane:

  • identyfikacyjne (imię, nazwisko, imiona rodziców, data urodzenia);
  • kontaktowe (adres zamieszkania) oraz
  • wykształceniu, umiejętnościach, doświadczeniu zawodowym (ukończonych szkołach oraz studiach, przebytych szkoleniach i kursach, poprzednich pracodawcach, zajmowanych stanowiskach oraz obowiązkach zawodowych).

Propozycja zmiany

Pracodawca może oczekiwać od kandydata do pracy podania mu danych, które ogólnie możemy określić, jako dane:

  • identyfikacyjne (imię/imiona, nazwisko, data urodzenia);
  • dane kontaktowe wskazane przez taką osobę;
  • wykształcenie, kwalifikacje zawodowe, przebieg dotychczasowego zatrudnienia - gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.
  • Pracodawca może pozyskiwać inne dane osobowe, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku na podstawie uzasadnionego interesu ADO. W innych przypadkach na podstawie dobrowolnej zgody kandydata.

Wyjaśnienie

Zmiana wynika z brzmienia art. 221 §1 i §2 Kodeksu pracy.

Aktualna treść

Str. 7

Zakres danych, których pracodawca może żądać od osoby ubiegającej się o zatrudnienie wskazany został w art. 221 Kodeksu pracy oraz rozporządzeniu Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika. 

Propozycja zmiany

Zakres danych, których pracodawca może żądać od osoby ubiegającej się o zatrudnienie wskazany został
w art. 221 Kodeksu pracy oraz rozporządzeniu Ministra Rodziny Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej.  Z uwzględnieniem pkt 1 powyżej.

Wyjaśnienie

Rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika zostało uchylone z dniem 1.01.2019 r. Zastąpiło je rozporządzenie z 10 grudnia 2018 r.

Aktualna treść

Str. 8

Przykład:

Istnieją zawody, do których dostęp ograniczony jest ze względu na wymóg niekaralności:

• nauczyciele (art. 10 ust. 8a ustawy – Karta Nauczyciela),

(…)

• osoby ubiegającej się o zatrudnienie w podmiotach sektora finansowego (art. 3 ustawy z dnia z dnia 12 kwietnia 2018 r. o zasadach pozyskiwania informacji o niekaralności osób ubiegających się o zatrudnienie i osób zatrudnionych w podmiotach sektora finansowego) – w zakresie dotyczącym skazania prawomocnym wyrokiem za przestępstwa wskazane w tej ustawie.

Propozycja zmiany

Przykład:

Istnieją zawody, do których dostęp ograniczony jest ze względu na wymóg niekaralności:

  • nauczyciele (art. 10 ust. 8a ustawy – Karta Nauczyciela),

(…)

  • osoby ubiegającej się o zatrudnienie w podmiotach sektora finansowego (art. 3 ustawy z dnia z dnia 12 kwietnia 2018 r. o zasadach pozyskiwania informacji o niekaralności osób ubiegających się o zatrudnienie i osób zatrudnionych w podmiotach sektora finansowego) – w zakresie dotyczącym skazania prawomocnym wyrokiem za przestępstwa wskazane w tej ustawie.
  • osoby wykonujące czynności agencyjne, o których mowa w art. 19 ust. 2 ustawy z dnia 15 grudnia 2017 r. o dystrybucji ubezpieczeń

Aktualna treść

Strona 12.

Osoba ubiegająca się o pracę umieściła w CV szczególne kategorie danych (tzw. dane wrażliwe).

Czy pracodawca może je przetwarzać?

W toku prowadzonej rekrutacji może zdarzyć się, że kandydat z własnej inicjatywy przekaże administratorowi dane osobowe np. o swoim stanie zdrowia. Jeżeli kandydat do pracy nie wyrazi odrębnej zgody na przetwarzanie tego rodzaju danych osobowych, a pracodawca nie legitymuje się przepisem prawa, który zobowiązuje go do ich przetwarzania, pracodawca powinien usunąć te dane ze swoich zasobów. Ewentualna zgoda na przetwarzanie szczególnych kategorii danych, powinna być wyraźna, np. w formie odrębnego oświadczenia.

Propozycja zmiany

Strona 12.

Osoba ubiegająca się o pracę umieściła w CV szczególne kategorie danych (tzw. dane wrażliwe).

Czy pracodawca może je przetwarzać?

W toku prowadzonej rekrutacji może zdarzyć się, że kandydat z własnej inicjatywy przekaże administratorowi dane osobowe np. o swoim stanie zdrowia. Takie działanie pracodawca również może traktować jako zgodę na przetwarzanie tego rodzaju danych osobowych. Jeżeli dane zostały zamieszczone w dokumencie np. CV wraz z innymi niezbędnymi danymi, pracodawca nie może ingerować w integralność dokumentu i usunąć wybiórczo danych. Natomiast jeżeli pracodawca nie legitymuje się przepisem prawa, który zobowiązuje go do ich przetwarzania, pracodawca nie powinien ich przetwarzać w swoich zasobach informatycznych w innej formie niż przekazany przez kandydata dokument.

Wyjaśnienie

Niezależnie od tego czy kandydat w dokumencie, w szczególności CV, przekazuje dane zwykłe czy szczególne kategorie danych, robi to dobrowolnie i świadomie. Taka forma wyraźnego działania spełnia warunki wyrażenia zgody na przetwarzanie dotyczących jej danych osobowych.

Ponadto zgodnie z normą ISO 27001 (pełna nazwa PN-EN ISO/IEC 27001:2023-08) podstawą bezpieczeństwa informacji jest tzw. Triada: poufność, integralność, dostępność. W kontekście integralności administrator nie powinien ingerować w treść dokumentu przekazanego przez kandydata do pracy. Integralność zabezpiecza dokładność i kompletność informacji oraz metod ich przetwarzania.

Aktualna treść

Strona 12.

Przykład 1:

„Wyrażam zgodę na przetwarzanie danych w celu wykorzystania ich w kolejnych naborach prowadzonych przez X przez okres najbliższych 6 miesięcy.”

Propozycja zmiany

Przykład 1:

„Wyrażam zgodę na przetwarzanie danych w celu wykorzystania ich w kolejnych naborach prowadzonych przez X.”

Wyjaśnienie

Okresy retencji takich dokumentów powinny być ustalone jednolicie w ramach polityki retencji. Co do zasady dane mogą być przetwarzane do momentu cofnięcia zgody. Pomimo to administrator powinien przyjąć w wewnętrznej polityce retencji maksymalny okres przetwarzania danych i poinformować o nim kandydata.

Aktualna treść

Str. 16
Niedopuszczalne jest pozyskiwanie przez potencjalnego pracodawcę informacji o kandydacie na pracownika od jego poprzedniego pracodawcy, jeśli nie posiada on zgody kandydata na powyższe. Należy też pamiętać, że złożenie przez kandydata do pracy tzw. referencji nie uprawnia pracodawcy do kontaktu z podmiotem je wystawiającym w celu pozyskania dodatkowych informacji o kandydacie. Pamiętać należy, że udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Potencjalny pracodawca nie może tym samym zwrócić się do poprzedniego pracodawcy o informację, jakie zadania realizował kandydat u tego podmiotu oraz jaką ma opinię o kandydacie do pracy. Podczas procesu rekrutacyjnego źródłem informacji, które dotyczą przebiegu pracy zawodowej, powinien być sam kandydat.

Propozycja zmiany

Niedopuszczalne jest pozyskiwanie przez potencjalnego pracodawcę informacji o kandydacie na pracownika od jego poprzedniego pracodawcy, jeśli nie posiada on zgody kandydata na powyższe. Należy też pamiętać, że złożenie przez kandydata do pracy tzw. referencji nie uprawnia pracodawcy do kontaktu z podmiotem je wystawiającym w celu pozyskania dodatkowych informacji o kandydacie. Pamiętać należy, że udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą, przy czym pracodawca może żądać udokumentowania tych danych osobowych w zakresie niezbędnym do ich potwierdzenia.

Wyjaśnienie

Zmiana wynikająca wprost z art. 221 § 5 Kodeksu pracy.

Aktualna treść

str. 17
3.4 Jak długo można przetwarzać dane kandydatów do pracy?
 
Okres przechowywania danych kandydata do pracy powinien być dostosowany do zasad przetwarzania danych i z góry określony przez administratora. Co do zasady pracodawca powinien trwale usunąć dane osobowe kandydata (np. poprzez zniszczenie bądź odesłanie), z którym nie zdecydował się zawrzeć umowy o pracę, niezwłocznie po zakończeniu procesu rekrutacji, tj. podpisaniu umowy o pracę z nowozatrudnionym pracownikiem, chyba że ziściły się inne przesłanki uprawniające administratora do ich przetwarzania. Konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania. Wydłużenie okresu przechowywania danych zawartych w aplikacji, powinno być zatem wyjątkiem od reguły niezwłocznego ich usuwania oraz powinno być szczególnie uzasadnione.

Propozycja zmiany

str. 17

3.4 Jak długo można przetwarzać dane kandydatów do pracy?

Okres przechowywania danych kandydata do pracy powinien być dostosowany do zasad przetwarzania danych i z góry określony przez administratora. Co do zasady pracodawca powinien trwale usunąć dane osobowe kandydata (np. poprzez zniszczenie bądź odesłanie), z którym nie zdecydował się zawrzeć umowy o pracę, niezwłocznie po zakończeniu procesu rekrutacji, chyba że ziściły się inne przesłanki uprawniające administratora do ich przetwarzania. Pracodawca powinien określić w dokumentacji wewnętrznej firmy jak wygląda proces rekrutacji i w zależności od specyfiki branży, co jest jego zakończeniem np. podpisanie z wybranym kandydatem umowy o prace na czas nieokreślony.

Wyjaśnienie

W zależności od branży i poziomu specjalizacji stanowiska pracy proces rekrutacji może trwać wiele miesięcy. Może też się zdarzyć, że pierwotnie wybrany kandydat nie przedłuży umowy zawartej na okres próbny i pracodawca ponownie będzie musiał wybrać odpowiedniego kandydata. Biorąc pod uwagę pracochłonność i koszty przeprowadzonego procesu rekrutacyjnego oraz fakt, że kandydaci dobrowolnie przystąpili do procesu rekrutacji, pracodawca powinien mieć możliwość do ponownego kontaktu z kandydatami na to konkretne stanowisko, na które kandydat złożył swoją aplikację.

Aktualna treść

Str. 17

Niedopuszczalne jest przetwarzanie danych tylko w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem osoby, której dotyczą. W przeciwnym razie może pojawić się wątpliwość jak długo należy przetwarzać dane osobowe, jeżeli ta osoba nie zdecyduje się na wytoczenia powództwa przeciwko pracodawcy. W toku rekrutacji nie powstaje żaden stosunek zobowiązaniowy pomiędzy kandydatem do pracy, a pracodawcą. Brak jest dokonania wzajemnych rozliczeń lub możliwości zarzucenia drugiej stronie niewykonania umowy lub nieprawidłowego jej wykonania. Nie ma więc podstaw do uznania, że pracodawca jest uprawniony do przetwarzania danych z uwagi na konieczność ustalenia bądź nie, istnienia roszczenia. Działanie pracodawcy stanowiłoby przetwarzanie danych kandydata „na wszelki wypadek”.

Propozycja zmiany

Pracodawca może przetwarzać (poprzez ich przechowywanie) danych osobowych kandydatów na pracownika po zakończeniu procesu rekrutacji, ze względu na to, że takie przetwarzanie jest niezbędne dla celów realizacji prawnie uzasadnionych interesów pracodawcy - w celu obrony przed roszczeniami osób, które uczestniczyły w procesie rekrutacji, a które mogą być skutecznie dochodzone przez okres przedawnienia roszczeń ze stosunku pracy wynikający z art. 291 w związku z art. 183b oraz art. 183d Kodeksu pracy. Obowiązujące przepisy jednoznacznie wskazują, kiedy takie roszczenia ulegają przedawnieniu.  Przetwarzanie danych osobowych kandydatów na pracownika w okresie przedawnienia roszczeń nie powinno być traktowane jako przetwarzanie „na zapas”.

Wyjaśnienie

Zmiana oparta na motywach wskazanych w wyroku NSA z 20.02.2024 r. w sprawie III OSK 2700/22.

Aktualna treść

Str. 20

Zdarzają się sytuacje, w których osoby poszukujące pracy z własnej inicjatywy, niezależnie od tego, czy potencjalny pracodawca prowadzi proces rekrutacji czy też nie, wysyłają do różnych podmiotów swoje aplikacje. Pracodawca po otrzymaniu takiej kandydatury powinien rozważyć, czy chce rozpocząć rekrutację, czy też nie jest zainteresowany zatrudnianiem nowych pracowników. W przypadku, gdy zdecyduje, że jest zainteresowany zatrudnieniem nowej osoby, powinien niezwłocznie wykonać w stosunku do niej obowiązek informacyjny oraz rozpocząć podejmowanie działań zmierzających do zawarcia umowy (np. przeprowadzenie rozmowy kwalifikacyjnej, gromadzenie koniecznej dokumentacji). Jeżeli jednak pracodawca stwierdzi, że nie jest zainteresowany poszerzeniem swojej kadry, powinien niezwłocznie usunąć dane dotyczące kandydata ze swoich zasobów.

Propozycja zmiany

Zdarzają się sytuacje, w których osoby poszukujące pracy z własnej inicjatywy, niezależnie od tego, czy potencjalny pracodawca prowadzi proces rekrutacji czy też nie, wysyłają do różnych podmiotów swoje aplikacje. Pracodawca po otrzymaniu takiej kandydatury powinien rozważyć, czy chce rozpocząć rekrutację, czy też nie jest zainteresowany zatrudnianiem nowych pracowników. W przypadku, gdy zdecyduje, że jest zainteresowany zatrudnieniem nowej osoby, powinien niezwłocznie wykonać w stosunku do niej obowiązek informacyjny oraz rozpocząć podejmowanie działań zmierzających do zawarcia umowy (np. przeprowadzenie rozmowy kwalifikacyjnej, gromadzenie koniecznej dokumentacji). Jeżeli jednak pracodawca stwierdzi, że nie jest zainteresowany poszerzeniem swojej kadry, powinien niezwłocznie usunąć dane dotyczące kandydata ze swoich zasobów. W takim przypadku pracodawca nie musi realizować względem kandydata obowiązku informacyjnego, o którym mowa w art. 13 RODO.

Wyjaśnienie

Propozycja wskazania, że w przypadku, w którym pracodawca, który nie prowadzi aktualnie żadnych rekrutacji otrzyma CV od kandydata na pracownika i niezwłocznie po jego analizie usunie je, nie musi realizować względem kandydata obowiązku informacyjnego.  

Pytania

Aktualna treść

Str. 27

Przez jaki czas można przetwarzać dane pracownika udostępnione na potrzeby rozpatrzenia jego wniosku przez ZFSŚ?

Dane osobowe powinny być przechowywane przez pracodawcę przez okres nie dłuższy niż jest to niezbędne do przyznania ulgowej usługi i świadczenia oraz dopłaty z Funduszu oraz ustalenia ich wysokości, a także przez okres dochodzenia do nich praw lub roszczeń. Pracodawca powinien także dokonywać systematycznego, np. raz w roku, przeglądu danych osobowych w celu ustalenia, które dane osobowe są niezbędne do ich dalszego przechowywania oraz usuwać te dane, których dalsze przechowywanie jest zbędne. (…)

Propozycja zmiany

Dane osobowe powinny być przechowywane przez pracodawcę przez okres nie dłuższy niż jest to niezbędne do przyznania ulgowej usługi i świadczenia oraz dopłaty z Funduszu oraz ustalenia ich wysokości, a także przez okres dochodzenia do nich praw lub roszczeń. Pracodawca powinien także dokonywać systematycznego (raz w roku), przeglądu danych osobowych w celu ustalenia, które dane osobowe są niezbędne do ich dalszego przechowywania oraz usuwać te dane, których dalsze przechowywanie jest zbędne. (…)

Wyjaśnienie

Zmiana zgodnie z treścią art. 8 ust. 1d ustawy o ZFŚS.

Aktualna treść

Str. 30
Pracodawca chce zaoferować pracownikom szkolenia podnoszące ich kwalifikacje zawodowe. Jak się to ma do przetwarzania ich danych osobowych przez podmioty szkolące?
Podobnie jak w przypadku szkoleń z zakresu bhp, jeśli szkolenie prowadzi pracownik pracodawcy wyznaczony do przeprowadzania takich szkoleń, może szkolić pracowników. Jeżeli zewnętrzna firma szkoleniowa prześle do pracodawcy ofertę szkoleń i pracownicy pracodawcy zdecydują się na skorzystanie z tych szkoleń i następ-nie firma ta przekaże za pośrednictwem pracodawcy formularze (zgłoszenia) do wypełnienia przez pracowników (poprzez wpisanie ich danych osobowych), wówczas firma taka będzie administratorem ich danych osobowych. W tym przypadku firma szkoleniowa może przetwarzać dane osobowe pracownika na podstawie jego zgody. Natomiast, jeżeli pracodawca zajmie się rozdysponowaniem ww. formularzy do pracowników i następnie uzupełnione formularze odbierze od nich (by je przekazać firmie szkoleniowej) wówczas firma szkoleniowa będzie musiała zawrzeć z tym pracodawcą umowę powierzenia przetwarzania danych osobowych pracowników.

Wyjaśnienie

Wyjaśnienie w zakresie sytuacji, w której pracodawca zajmie się rozdysponowaniem ww. formularzy do pracowników i następnie uzupełnione formularze odbierze od nich (by je przekazać firmie szkoleniowej) jest nieprecyzyjne i wymaga rozszerzenia.

Aktualna treść

Platforma e-learnigowa

Jaka jest podstawa prawna przekazywania danych pracowników firmom udostepniającym platformę e-learningową (powierzenie czy samodzielny ADO) i monitorowanie postępów w nauce

Propozycja zmiany

Ujęcie w poradniku stanowiska UODO w kwestii przetwarzania danych przez zewnętrzne firmy e-learningowe, które na podstawie umowy zawartej z pracodawcą świadczą usługi szkoleniowe dla pracowników. Jaka konstrukcja prawna (tzn. powierzenie czy udostepnienie danych pracowników) powinna być zastosowana w umowie pomiędzy pracodawcą a firmą szkoleniową. Firmy szkoleniowe wskazują na własne cele przetwarzania danych pracowników nawet po zakończeniu współpracy z pracodawcą i częstą praktyką jest chęć zawierania podwójnych umów w zakresie tych samych danych tj. imienia i nazwiska pracownika, służbowego adresu e-mail, numeru telefonu. W tym zakresie firmy szkoleniowe chcą wystąpić raz jako ADO, żeby po zakończeniu współpracy nadal korzystać z kontaktu z pracownikiem dla własnych celów np. jeśli kontynuuje naukę w tej firmie szkoleniowej.  Poza tym zakresem danych firmy szkoleniowe gromadzą o pracowniku informacje dotyczące jego postępu w nauce, które raportują do pracodawcy w połączeniu z imieniem i nazwiskiem pracownika i w tym zakresie proponują zawarcie umowy powierzenia przetwarzania danych.

Aktualna treść

Str. 38

Czy można przetwarzać dane pracownika pozyskane za pomocą GPS, a dotyczące jego aktywności w czasie wolnym?

Rozwiązaniem jest precyzyjne określenie, że samochód służbowy używany jest tylko do celów służbowych. W innym wypadku należy dostosować lub zmienić regulamin wykorzystywania samochodu służbowego do celów prywatnych. W takiej sytuacji należy uzyskać zgodę pracownika na przetwarzanie tych danych oraz wypełnić wobec niego obowiązek informacyjny.

Propozycja zmiany

Rozwiązaniem jest precyzyjne określenie, że samochód służbowy używany jest tylko do celów służbowych. W innym wypadku należy dostosować lub zmienić regulamin wykorzystywania samochodu służbowego do celów prywatnych. W takiej sytuacji należy uzyskać zgodę pracownika na przetwarzanie tych danych oraz wypełnić wobec niego obowiązek informacyjny lub zastosować inne rozwiązania technologiczne, które umożliwiają dezaktywację systemu GPS przez pracownika w momentach, w których użytkuje samochód do celów prywatnych.

Wyjaśnienie

Zbieranie zgody na przetwarzanie danych z monitoringu GPS w trakcie użytkowania samochodu służbowego do celów prywatnych wydaje się ryzykowne. Alternatywą może być skorzystanie z rozwiązań technologicznych, które umożliwiają dezaktywację systemu GPS przez pracownika w momentach, w których użytkuje samochód do celów prywatnych.

Aktualna treść

Monitoring sprzętu pracowniczego - obligatoryjne włączenie lokalizacji w telefonie, GPS w samochodzie

Propozycja zmiany

Czy takie działanie pracodawcy, podyktowane koniecznością wykrywania nadużyć pracowniczych mieści się w przesłance prawnie uzasadnionego interesu pracodawcy?

Aktualna treść

2.1. Dane wymagane od kandydata w toku rekrutacji

Propozycja zmiany

Powinny być wykreślone imiona rodziców, a do danych kontaktowych podałbym telefon lub adres e-mail zamiast adresu zamieszkania.

Wyjaśnienie

Zgodnie z art. 22 (1) KP nie ma w katalogu danych imion rodziców. Od 4.05.2019 imion nie podaje się w związku z zatrudnieniem więc w rekrutacji tym bardziej nie jest to konieczne

Aktualna treść

Str. 12

Ważność zgody kandydata złożona w konkretnej rekrutacji

Wyjaśnienie

Warto zastanowić się i doprecyzować, czy zgoda udzielona na przyszłe rekrutacje nie powinna być ograniczona czasowo tj. jak długo z takiej zgody można skorzystać? Szczególnie jeśli kandydat składał aplikacje na różne stanowiska i np.; 2 sytuacjach wyraził zgodę a w trzecim nie

Czy zgody na przyszłe rekrutacje nadpisują się? Co, jeśli kandydat podał różne adresy e-mail?

Propozycja zmiany

Dodanie modelu rekrutacji takich jak:

a) jak rekrutacja z polecenia pracownika

b) rekrutacja w grupie podmiotów

Wyjaśnienie

Czy można przekazywać dane osoby rekrutowanej do szerokiej rekrutacji w Grupie Kapitałowej Spełnianie obowiązków informacyjnych

Propozycja zmiany

Brakuje przykładowego katalogu przetwarzania danych na etapie rekrutacji

Wyjaśnienie

Są przywołane podstawy z art. 6 ust. 1 lit. a, c RODO brakuje wskazania w katalogu podstawy z art. 6 ust. 1 lit. f RODO tj. uzasadniony interes administratora – gdy podanie danych, nie jest obowiązkiem wynikającym z przepisów prawa, niemniej jednak jest konieczne do przeprowadzenia rekrutacji. Przykładem mogą być dane dotyczące oczekiwań finansowych kandydata.

Propozycja zmiany

Czy można firmie zewnętrznej powierzyć przeprowadzenie testów psychologicznych jeszcze przed zatrudnieniem? Czy można je wykonywać? Jeśli tak to na jakiej podstawie prawnej?

Aktualna treść

Umieszczanie zdjęcia pracowników na identyfikatorach - podstawa prawna (zgoda) str. 24 poradnika

Wyjaśnienie

Czy faktycznie podstawą jest zgoda albo podstawa prawna. Czy może też być prawnie uzasadniony interes realizowany przez administratora?

Aktualna treść

Umieszczanie zdjęć wizerunkiem byłego pracownika na stronie internetowej pracodawcy po ustaniu zatrudnienia

Wyjaśnienie

Jak powinna być skonstruowana zgoda z prawa autorskiego – prośba o rekomendację treści takiej zgody.

Aktualna treść

Podstawa prawna przetwarzania danych szczególnej kategorii np. o niepełnosprawności i na jakim etapie można tego typu dane pozyskiwać
Kwestia dostosowania miejsca pracy
 
Czy wystarczy checkbox ze zgodą - przykładowa treść: „W przypadku zamieszczenia w CV danych szczególnych kategorii (np. dotyczących stanu zdrowia/ niepełnosprawności) wyrażam zgodę na ich przetwarzanie przez X  S.A. (art. 9 ust. 2 lit a RODO)”       
oraz odpowiednie poinformowanie z art. 13 RODO
przykład
W przypadku, gdy aplikujesz na stanowisko związane z zawarciem umowy o pracę Twoje dane osobowe wskazane w Kodeksie pracy lub w innych ustawach szczegółowych (np. Ustawa z dnia 12 kwietnia 2018 r. o zasadach pozyskiwania informacji o niekaralności osób ubiegających się o zatrudnienie i osób zatrudnionych w podmiotach sektora finansowego) przetwarzamy w oparciu o przepisy prawa (art. 6 ust. 1 lit c RODO) i ich podanie jest konieczne do wzięcia udziału w rekrutacji. Pozostałe dane osobowe, które wskazałeś, a ich podanie nie wynika z przepisów prawa (np. wizerunek) przetwarzamy na podstawie Twojej dobrowolnej zgody (art. 6 ust. 1 lit a RODO), którą wyraziłaś/eś wysyłając nam swoje zgłoszenie rekrutacyjne i ich podanie nie ma wpływu na możliwość udziału w rekrutacji. W przypadku zamieszczenia w CV danych szczególnych kategorii (np. dotyczących stanu zdrowia/ niepełnosprawności) prosimy o zaznaczenie checkboxa poniżej i wyrażenie zgody na ich przetwarzanie. Jeżeli aplikujesz na stanowisko związane z zawarciem umowy cywilnoprawnej w tym związane z zawarciem umowy o prowadzenie praktyki zawodowej, Twoje dane osobowe zawsze przetwarzamy na podstawie Twojej dobrowolnej zgody (art. 6 ust. 1 lit a RODO) udzielonej poprzez aktywne działanie i wysłanie zgłoszenia rekrutacyjnego.

Wyjaśnienie

Przepisy BHP   - obowiązek pracodawcy, jeśli pracodawca napisze wprost, że stanowisko jest niedostosowane dla niepełnosprawnych czy to nie będzie dyskryminacja tych osób przy zatrudnieniu

Aktualna treść

Str. 27 - przez jaki czas można przetwarzać dane pracownika udostępnione na potrzeby rozpatrzenia jego wniosku przez ZFŚS?

Propozycja zmiany

Roszczenia dotyczące świadczeń z funduszu socjalnego są sprawami z zakresu prawa pracy, które przedawniają się z upływem 3 lat od dnia, w którym roszczenie stało się wymagalne (art. 291 § 1 Kodeksu pracy). Kwestie dotyczące świadczenia z funduszu socjalnego mogą być objęte przedmiotem postępowania podatkowego, w którym okres przedawnienia wynosi 5 lat (zob. art. 70 § 1 Ordynacji podatkowej).

Wyjaśnienie

Warto umieścić tę informację, bo jest dosyć ogólna jak na poradnik

Aktualna treść

Str. 11 Zgoda na przetwarzanie innych danych vs. screening pracowników pod kątem występowania na listach sankcyjnych - wymogi Grupy Kapitałowej

Wyjaśnienie

Czy prawnie uzasadniony interes pracodawcy może stanowić przesłankę legalności przetwarzania o kandydacie do pracy oraz o pracowniku informacji o tym, czy występuje na listach sankcyjnych? Wątpliwości powstają w związku z rozbieżnościami w implementacji dyrektywy o przeciwdziałaniu praniu pieniędzy do polskiego porządku prawnego. Ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu wskazuje na obowiązek identyfikacji i weryfikacji klienta, a nie pracownika. W państwach zachodnich przepisy prawa krajowego np. francuskiego obowiązek sprawdzania na listach sankcyjnych odnoszą również do pracowników. Podmioty z kapitałem zagranicznym są zobowiązane przez swoje spółki matki do weryfikowania takich informacji o pracowniku i przekazywania ich do Grupy Kapitałowej.

Przepis prawa 221 Kodeksu pracy jasno wskazuje jakie informacje o kandydacie do pracy oraz o pracowniku może gromadzić pracodawca.

W polskim porządku prawnym pozyskiwanie informacji o występowaniu pracownika na liście sankcyjnej nie jest obowiązkiem wynikającym z przepisu prawa. Przetwarzanie takich informacji na podstawie zgody kandydata lub pracownika w kontekście obowiązków raportowych do Grupy Kapitałowej jest ryzykowne, ponieważ zgoda może w każdym czasie zostać odwołana. Dodatkowo przesłanka zgody w relacji pracownik – pracodawca budzi wątpliwości (co było wielokrotnie podkreślane przez UODO) co do dobrowolności tak pozyskanej zgody.

Aktualna treść

Uzupełnienie poradnika o przepisy dotyczące pracy zdalnej

Wyjaśnienie

Zmiana wynikająca ze wprost z przepisów Kodeksu Pracy

Propozycja zmiany

Dane służbowe reprezentantów administratora w tym pracowników stanowią dane kontaktowe osoby prawnej i w związku z motywem 14 RODO nie podlegają ochronie na podstawie tej regulacji

Wyjaśnienie

Rekomendacja opiera się na:
1. postanowieniu PUODO sygn. Akt Ds.523.2125.2021.PR.AD zgodnie z którym adresy poczty elektronicznej budowane wg schematu imię.nazwisko@nazwa firmy.domena nie stanowią danych osobowych.
2. uzasadnieniu do Wyroku WSA II SA WA 559/22 z 2022-09-19 zgodnie z którym:
„Zdaniem Sądu, rację ma Prezes UODO stwierdzając w zaskarżonym postanowieniu, że kwestionowane przetwarzanie adresów e-mail, jako danych kontaktowych osoby prawnej, wyklucza traktowanie ich w postępowaniu administracyjnym w oparciu o przepisy RODO, jako wyłącznie danych osobowych osoby fizycznej. Ww. adresy e-mail są bowiem adresami związanymi z istnieniem osoby prawnej, ponieważ utworzone zostały w ramach działalności osoby prawnej do kontaktu z podmiotami zewnętrznymi oraz w celu prowadzenia działań na rzecz pozyskania nowych klientów.
To, że do skarżącego – prezesa spółek – skierowano maile z ofertą przeznaczoną dla Zarządu spółki, nie zmienia faktu, że wykorzystano do tego dane firmy.
W takiej sytuacji imienny adres e-mail nie może zostać uznany za daną identyfikującą osobę fizyczną, ponieważ jest wykorzystywany w działalności osoby prawnej, i tym samym należało przyjąć, że kwestionowane przetwarzanie adresów e-mail, stanowiących dane kontaktowe osoby prawnej, wyklucza traktowanie ich w postępowaniu administracyjnym w oparciu o RODO, jako wyłącznie danych osobowych osoby fizycznej."

https://judykatura.pl/dokument/wzwwcxfbfedqmqxp/

Aktualna treść

Uzupełnienie poradnika o wskazówki odnoszące się do body leasingu /kontraktorzy 

Propozycja zmiany

Jaka jest podstawa prawna przetwarzania danych takich osób? Czy może to być upoważnienie czy umowa powierzenia? Czy w kontekście body leasingu można prosić o udostępnienie dokumentów poświadczających kompetencje/kwalifikacje takiego pracownika? Kto powinien udostępnić sprzęt do pracy? Jak powinno podchodzić do tych osób w kontekście obowiązków pracowniczych?

 

 

 

 

Podmiot udostępniający: Departament Komunikacji Społecznej
Wytworzył informację:
user Karol Witowski
date 2024-07-03
Wprowadził informację:
user Edyta Madziar
date 2024-07-03 09:07:58
Ostatnio modyfikował:
user Edyta Madziar
date 2024-07-04 13:20:14