Jak legalnie przetwarzać dane kadrowe?

Business archive in folders, 3d illustration

Gromadzenie szczegółowych danych o swoich pracownikach od zawsze było w interesie pracodawców. Przy wykorzystaniu różnych zdobyczy najnowszej technologii (np. monitoringu) starają się wejść w posiadanie informacji o umiejętnościach zawodowych pracownika, o jego sposobie zachowania się w grupie, o stylu życia…

Wprowadzenie

Gromadzenie szczegółowych danych o swoich pracownikach od zawsze było w interesie pracodawców. Przy wykorzystaniu różnych zdobyczy najnowszej technologii (np. monitoringu) starają się wejść w posiadanie informacji o umiejętnościach zawodowych pracownika, o jego sposobie zachowania się w grupie, o stylu życia, zainteresowaniach, a nawet o sytuacji majątkowej i rodzinnej pracownika oraz kandydata do pracy. Badania wskazują, iż pracodawcy, sprawdzając swoich przyszłych pracowników, korzystają również z portali społecznościowych2. Motywacje amerykańskich pracodawców do zdobywania informacji on-line to m. in.: sprawdzenie, czy kandydat pasuje do firmy (50% wskazań), ustalenie dodatkowych umiejętności kandydata (39%), i jego kreatywności (38%), zbadanie umiejętności komunikacyjnych (33%), szukanie dobrych lub złych referencji w profilu (19%) przekonanie się, czy kandydat posiada nagrody i wyrazy uznania (15%)3. Inną przyczyną kontroli jest ryzyko reputacyjne w portalach społecznościowych. Jak wynika z badań, 60% szefów uważa, że mają prawo wiedzieć, jak pracownicy piszą o sobie i o firmie4.

Czy powyższe tendencje mają oparcie w przepisach prawa? Gdzie jest – jeśli w ogóle – granica dopuszczalności przetwarzania danych osobowych przez pracodawcę? Otóż jest, a pracodawcy, chcący przetwarzać dane osobowe i w ten sposób wkraczać w prywatność pracownika, są ograniczeni przepisami prawa. Zbieranie informacji o osobach zawsze wymaga przestrzegania zasad przetwarzania danych osobowych określonych w u.o.d.o. Art. 26 u.o.d.o nakłada na administratora danych obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, i statuuje następujące zasady: legalności (pkt 1), celowości (pkt 2), merytorycznej poprawności (pkt 2), adekwatności (pkt 3) , ograniczenia czasowego (pkt 4).

Przetwarzanie danych osobowych pracowników

Pracodawca przetwarza zwykłe dane osobowe przede wszystkim na podstawie art. 23 ust. 1 pkt 2 i 3 u.o.d.o., w niektórych przypadkach opiera się także na przesłance zgody – art. 23 ust. 1 pkt 1 i usprawiedliwionego celu – art. 23 ust. 1 pkt 5 u.o.d.o. Zgodnie z art. 221 § 2 k. p., pracodawca, oprócz danych otrzymanych podczas rekrutacji, może dodatkowo żądać od zatrudnionego: numeru PESEL oraz innych jego danych osobowych, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie tych danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy. Aktualny jest również art. 221 § 4 k.p., zgodnie z którym pracodawca może żądać podania innych danych osobowych, jeżeli obowiązek ich udostępnienia wynika z odrębnych przepisów.

Inne przepisy, jeśli zgodnie z art. 5 u.o.d.o. przewidują dalej idącą ochronę lub są lex specialis, mogą rozszerzyć zakres zakazu przetwarzania danych osobowych. Jako przykład można podać u.o.i.n. Zgodnie z art. 3 tej ustawy, informacje niejawne mogą być udostępniane wyłącznie osobie dającej rękojmię zachowania tajemnicy – i tylko w zakresie niezbędnym do wykonywania przez nią pracy lub pełnienia służby na zajmowanym stanowisku albo innej zleconej pracy.

Pracodawcy mają również dostęp do danych wrażliwych – przede wszystkim dotyczących stanu zdrowia. W prawie unijnym przyjęto, iż dane dotyczące stanu zdrowia mogą być przetwarzane, jeżeli jest to konieczne do wypełniania obowiązków i szczególnych uprawnień administratora danych w dziedzinie prawa pracy. Ponadto takie przetwarzanie musi znajdować podstawę w przepisach prawa krajowego, przewidującego odpowiednie zabezpieczenia. Zgodnie z art. 27 ust. 2 pkt 6 u.o.d.o., przetwarzanie danych wrażliwych jest dopuszczalne, jeżeli są one niezbędne do wykonywania zadań odnoszących się do zatrudniania pracowników i innych osób oraz jeśli akt rangi ustawowej określa granice, w jakich przetwarzanie danych jest dopuszczalne. Przy przetwarzaniu danych sensytywnych należy mieć na uwadze art. 221 k.p., gdzie zakres informacji, których ujawnienia można żądać od pracowników, odnosi się do obowiązków pracodawcy polegających na ustaleniu, czy zatrudnieni (ale także kandydaci) odpowiadają właściwościom, celom i przymiotom koniecznym do wykonywania pracy danego rodzaju. Zbadanie tych właściwości jest powiązane z zakresem zadań wykonywanych przez pracodawcę5. Prawo żądania od pracownika (również kandydata) informacji o stanie zdrowia przewidują następujące przepisy kodeksu pracy: art. 229, 234 i 235. Z art. 229 § 4 k.p. wynika obowiązek skierowania pracownika na badania lekarskie przed dopuszczeniem do pracy. Natomiast w przypadku niezdolności do pracy trwającej dłużej niż 30 dni, spowodowanej chorobą, pracownik podlega badaniom lekarskim w celu ustalenia zdolności do wykonywania pracy na dotychczasowym stanowisku. Ponadto pracodawca wejdzie w posiadanie danych o stanie zdrowia pracownika, zgodnie z art. 230 § 1 k.p., w przypadku stwierdzenia objawów wskazujących na powstanie choroby zawodowej. Z kolei w świetle art. 231 k.p. pracodawca jest zobowiązany, na podstawie orzeczenia lekarskiego, przenieść pracownika do odpowiedniej pracy, gdy ten stał się niezdolny do wykonywania dotychczasowych obowiązków wskutek wypadku przy pracy lub choroby zawodowej. Zakres i częstotliwość badań profilaktycznych są zależne od szkodliwości czynników, na jakie narażeni są pracownicy przy wykonywaniu konkretnej pracy. Warunki te zostały określone w załączniku nr 1 do rozp. MZiOS z 30 maja 1996 r. w sprawie przeprowadzania badań lekarskich pracowników, zakresu profilaktycznej opieki zdrowotnej nad pracownikami oraz orzeczeń lekarskich wydawanych dla celów przewidzianych w Kodeksie pracy6. Co istotne, pracodawca otrzyma jedynie zaświadczenie, natomiast wyniki badań diagnostycznych lub konsultacyjnych zamieszczane są w karcie badania profilaktycznego, stanowiącego dokumentację medyczną, którą prowadzi lekarz7.

Zgodnie z art. 62 ust. 1 ustawy z 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego, w razie choroby lub macierzyństwa8 ubezpieczony jest obowiązany dostarczyć płatnikowi składek zaświadczenie lekarskie o czasowej niezdolności do pracy z powodu choroby lub pobycie w stacjonarnym zakładzie opieki zdrowotnej. Orzeczenia lekarskie, stwierdzające brak przeciwwskazań zdrowotnych do pracy na określonym stanowisku pracy lub istnienie przeciwwskazań zdrowotnych do pracy na określonym stanowisku pracy, są wydawane w formie zaświadczeń, których wzór zawierają załączniki nr 2 i 3 do ww. rozporządzenia z 30 maja 1996 r. Oznacza to, iż zakres informacji zawartych w zaświadczeniu jest w każdym przypadku identyczny i brakuje konieczności oceny adekwatności, ponieważ została ona określona przez przepisy szczególne.

Ponadto należy przypomnieć, iż zgodnie z treścią art. 221 § 2 k.p. pracodawca może żądać również innych danych osobowych, jeżeli jest to konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy. Źródłem takich uprawnień może być regulamin funduszu świadczeń socjalnych, uzależniający udzielenie świadczeń od podania informacji o stanie zdrowia. Regulamin zakładowego funduszu świadczeń socjalnych jest autonomicznym źródłem prawa pracy negocjowanym przez strony stosunku pracy, a zatem, zgodnie z wyżej poczynionymi uwagami, konieczna będzie pisemna zgoda zainteresowanego, ponieważ regulamin nie jest podstawą do przetwarzania danych wrażliwych. W doktrynie przyjmuje się, iż pracodawca może przetwarzać dane wrażliwe w postaci danych osobowych utrwalonych w zaświadczeniu lekarskim tylko do momentu zrealizowania zadań wyznaczonych przepisami prawa powszechnego, jak również autonomicznego prawa pracy, ale nie może powoływać się na zadania wyznaczone w drodze umownej9, a zatem konieczne jest legitymowanie się przesłanką zgody wyrażoną na piśmie10.

Nie sposób pominąć fińskiej ustawy o ochronie prywatności w miejscu pracy, która kompleksowo reguluje przetwarzanie przez pracodawcę danych wrażliwych. Ustanowiono, iż dane muszą zostać zebrane bezpośrednio od osoby zainteresowanej lub po uzyskaniu jej zgody na piśmie. Ich przetwarzanie powinno służyć wypłacie świadczeń bądź innemu usprawiedliwionemu celowi. Przetwarzanie danych o stanie zdrowia może się również odbywać na podstawie przepisów innych ustaw. Wskazano, iż dane te powinny być przechowywane w oddzielnym zbiorze danych, a nie wraz z innymi danymi dotyczącymi danego pracownika.

Inne dane wrażliwe, które potencjalnie będzie przetwarzał podmiot zatrudniający, to informacje dotyczące przynależności związkowej, partyjnej, jak również informacje o nałogach, karalności (w tym dane dotyczące orzeczeń o ukaraniu dyscyplinarnym). Przepisy szczególne, dopuszczające przetwarzanie powyższych danych, dotyczą przeważnie innych stosunków zatrudnienia niż umowa o pracę, które nie są objęte tym opracowaniem. Konieczność przetwarzania danych dotyczących przynależności partyjnej ma miejsce w przypadku stanowisk, z którymi łączy się ustawowy zakaz przynależności do partii politycznych11, np. zgodnie z art. 49 ust. 5 ustawy o służbie cywilnej12, urzędnik służby cywilnej nie ma prawa tworzenia ani uczestnictwa w partiach politycznych, a zgodnie z art. 49 ust. 6 tej ustawy – nie może pełnić funkcji w związku zawodowym. Wracając do informacji o przynależności związkowej pracowników – możliwość ich przetwarzania wynika z art. 30 ust. 21 ustawy o związkach zawodowych13, w świetle którego pracodawca ma obowiązek uzyskania od zakładowej organizacji informacji o pracownikach w niej zrzeszonych oraz niezrzeszonych, ale korzystających z jej reprezentacji w zakresie ochrony praw pracowniczych.

2. S. Stodolak, Coraz więcej pracodawców sprawdza kandydatów do pracy przez serwisy społecznościowe, 24 sierpnia 2009, portal infoPraca.
3. Tamże.
4. Deloitte, Czy pracownik „po godzinach” może zniszczyć reputację firmy?, informacja prasowa, Warszawa 20 sierpnia 2009.
5. T. Kuczyński, Ochrona danych osobowych w stosunkach zatrudnienia, „Przegląd Sądowy” 1998, nr 11 -12, s. 124.
6. Dz. U. Nr 69, poz. 332 z późn. zm.
7. M. Kosiarski, Nie wolno sugerować schorzeń pracownika, „Rzeczpospolita” 9 stycznia 2009.
8. Dz. U. z 2005 r., Nr 31, poz. 267.
9. A. Drozd, Ochrona wrażliwych danych osobowych pracownika, „Monitor Prawa Pracy” 2005, nr 5, s. 121.
10. Tamże.
11. Dotyczy to sędziów, prokuratorów, urzędników służby cywilnej.
12. Dz. U. z 2008, Nr 227, poz. 1505.
13. Tekst jednolity Dz. U. z 2001, Nr 79, poz. 854.

About Redakcja 244 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.