RODO w hr a obowiązki podmiotu zobowiązanego w praktyce prawnej
Przetwarzanie danych osobowych w obszarze zasobów ludzkich (HR) to jeden z najbardziej skomplikowanych i obarczonych ryzykiem prawnym procesów w każdym przedsiębiorstwie. Pracodawca, występujący w roli administratora danych osobowych, musi nieustannie balansować między uprawnieniami kontrolnymi wynikającymi z Kodeksu pracy a rygorystycznymi wymogami ogólnego rozporządzenia o ochronie danych (RODO). Właściwe ustrukturyzowanie procesów kadrowych, od momentu publikacji ogłoszenia o pracę, przez okres zatrudnienia, aż po archiwizację akt po ustaniu stosunku pracy, stanowi kluczowy obowiązek każdego podmiotu zobowiązanego. Niniejsze opracowanie stanowi kompleksowy przewodnik po praktycznych aspektach stosowania RODO w działach HR, wskazując na najczęstsze wyzwania, terminy oraz procedury postępowania przed organem nadzorczym.
Status pracodawcy jako administratora danych osobowych
Pracodawca, decydując o celach i sposobach przetwarzania danych osobowych swoich pracowników oraz kandydatów do pracy, staje się administratorem tych danych w rozumieniu przepisów RODO. Status ten nakłada na niego szereg obowiązków o charakterze prawnym, organizacyjnym i technicznym. Podstawowym zadaniem administratora jest zapewnienie, aby wszelkie operacje na danych były dokonywane zgodnie z zasadami określonymi w art. 5 RODO. Mowa tu przede wszystkim o zasadzie zgodności z prawem, rzetelności i przejrzystości, ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia przechowywania oraz integralności i poufności. W praktyce działów HR oznacza to konieczność precyzyjnego określenia, na jakiej podstawie prawnej przetwarzane są konkretne informacje. Kodeks pracy w art. 22(1) bardzo precyzyjnie wskazuje, jakich danych pracodawca może żądać od kandydata, a jakich od pracownika. Wyjście poza ten katalog wymaga zaistnienia dodatkowych przesłanek, takich jak dobrowolna zgoda osoby, której dane dotyczą, lub istnienie odrębnego obowiązku prawnego.
Rekrutacja a RODO – granice pozyskiwania informacji
Proces rekrutacji to pierwszy moment, w którym pracodawca wchodzi w kontakt z danymi osobowymi potencjalnego pracownika. W tym obszarze niezwykle ważne jest rozróżnienie danych, których żądanie jest prawnie usprawiedliwione, od tych, których gromadzenie może zostać uznane za nadmiarowe. Zgodnie z polskim Kodeksem pracy, pracodawca ma prawo żądać od kandydata podania takich informacji jak imię i nazwisko, data urodzenia, dane kontaktowe, a także wykształcenie i przebieg dotychczasowego zatrudnienia (gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku). Co ważne, pozyskiwanie innych danych, np. wizerunku (zdjęcia w CV) czy zainteresowań, może odbywać się wyłącznie na podstawie zgody kandydata. Warto podkreślić, że brak wyrażenia zgody na przetwarzanie danych dodatkowych nie może być podstawą niekorzystnego traktowania kandydata ani skutkować odmową zatrudnienia. W praktyce prawnej często pojawia się pytanie o możliwość weryfikacji referencji u poprzednich pracodawców. Taka czynność jest dopuszczalna, jednak wymaga uprzedniej zgody kandydata. Pracodawca nie może samodzielnie, bez wiedzy zainteresowanego, kontaktować się z jego byłym miejscem pracy w celu uzyskania opinii wykraczających poza standardowe świadectwo pracy.
Przetwarzanie danych w trakcie zatrudnienia i rola zgody pracownika
Po nawiązaniu stosunku pracy zakres przetwarzanych danych ulega znacznemu rozszerzeniu. Pracodawca zyskuje prawo do żądania dodatkowych informacji, takich jak numer PESEL, adres zamieszkania, numery rachunków bankowych czy dane dotyczące członków rodziny (jeżeli pracownik chce skorzystać ze szczególnych uprawnień pracowniczych, np. ubezpieczenia zdrowotnego czy ZFŚS). W relacji pracodawca-pracownik zasada dobrowolności zgody, będąca jednym z filarów RODO, doznaje pewnych ograniczeń z uwagi na naturalną nierówność stron stosunku pracy. Organ nadzorczy stoi na stanowisku, że pracownik rzadko kiedy może w pełni swobodnie wyrazić zgodę, obawiając się negatywnych konsekwencji w przypadku odmowy. Dlatego też przetwarzanie danych wrażliwych (np. danych dotyczących zdrowia czy przynależności związkowej) na podstawie zgody pracownika jest dopuszczalne tylko wtedy, gdy inicjatywa przekazania tych danych wyszła bezpośrednio od samego pracownika. Wyjątek stanowią sytuacje, w których przepisy szczególne wprost nakładają na pracodawcę obowiązek przetwarzania takich danych, np. w celu realizacji uprawnień związanych z medycyną pracy czy BHP.
Monitoring w miejscu pracy a prawo do prywatności
Wprowadzenie monitoringu wizyjnego, kontroli poczty elektronicznej czy systemów GPS w pojazdach służbowych to kolejne wyzwanie z zakresu RODO w HR. Każda z tych form kontroli stanowi głęboką ingerencję w prywatność pracownika i musi być precyzyjnie uregulowana. Kodeks pracy nakłada na pracodawcę obowiązek poinformowania pracowników o wprowadzeniu monitoringu co najmniej na 2 tygodnie przed jego uruchomieniem. Cele monitoringu muszą być jasne i uzasadnione (np. zapewnienie bezpieczeństwa pracowników lub ochrona mienia). Niedopuszczalne jest stosowanie monitoringu wizyjnego w pomieszczeniach sanitarnych, szatniach czy stołówkach, chyba że stosowanie monitoringu w tych pomieszczeniach jest niezbędne i nie naruszy to godności pracowników. Podobnie wygląda kwestia kontroli poczty elektronicznej – pracodawca ma prawo do jej weryfikacji w celu zapewnienia właściwego użytkowania narzędzi pracy, jednak nie może naruszać tajemnicy korespondencji prywatnej pracownika. Odpowiednie procedury i regulaminy muszą być jasno przedstawione każdemu zatrudnionemu przed dopuszczeniem go do pracy.
Prawa osób, których dane dotyczą – obsługa wniosków i terminy
Jednym z najważniejszych aspektów RODO w HR jest realizacja praw przyznanych osobom, których dane dotyczą. Zarówno kandydaci, jak i obecni czy byli pracownicy mają prawo do dostępu do swoich danych, ich sprostowania, usunięcia (prawo do bycia zapomnianym), ograniczenia przetwarzania oraz przenoszenia. W praktyce oznacza to, że pracownik może złożyć do pracodawcy formalny wniosek o realizację któregoś z tych uprawnień. Podmiot zobowiązany ma bezwzględny obowiązek rozpatrzyć taki wniosek bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od dnia otrzymania żądania. W skomplikowanych przypadkach termin ten może zostać przedłużony o kolejne dwa miesiące, jednak pracodawca musi poinformować wnioskodawcę o takim przedłużeniu w ciągu pierwszego miesiąca, podając przyczyny opóźnienia. Najczęstszym wyzwaniem jest realizacja prawa do usunięcia danych. Pracodawca nie może usunąć danych, których przechowywanie jest jego ustawowym obowiązkiem (np. akta osobowe, dokumentacja podatkowa czy zgłoszenia do ZUS). Wniosek o usunięcie danych będzie natomiast w pełni zasadny w odniesieniu do danych przetwarzanych na podstawie zgody, np. w celach marketingowych czy wizerunkowych, po wycofaniu tej zgody przez pracownika.
Okres przechowywania danych (retencja) w kadrach
Zasada ograniczenia przechowywania wymaga, aby dane osobowe były przetwarzane nie dłużej, niż jest to niezbędne do celów, w których są przetwarzane. W obszarze HR terminy te są ściśle powiązane z przepisami prawa pracy i ubezpieczeń społecznych. Dokumentacja rekrutacyjna kandydatów, którzy nie zostali zatrudnieni, powinna zostać niezwłocznie usunięta po zakończeniu procesu rekrutacji, chyba że kandydat wyraził odrębną zgodę na przetwarzanie jego danych na potrzeby przyszłych rekrutacji. W przypadku pracowników zatrudnionych, okres przechowywania akt osobowych wynosi co do zasady 10 lat od końca roku kalendarzowego, w którym stosunek pracy ustał (dla pracowników zatrudnionych po 1 stycznia 2019 roku). Dla starszych stosunków pracy okres ten może wynosić nawet 50 lat, chyba że pracodawca złożył odpowiednie raporty informacyjne do ZUS. Przekroczenie tych terminów i dalsze bezpodstawne przechowywanie dokumentów stanowi bezpośrednie naruszenie przepisów RODO i może skutkować interwencją organu nadzorczego.
Rola Inspektora Ochrony Danych (IOD) w procesach HR
W wielu organizacjach, ze względu na skalę przetwarzania danych lub status podmiotu (np. jednostki sektora publicznego), istnieje obowiązek powołania Inspektora Ochrony Danych (IOD). Nawet w podmiotach, gdzie powołanie IOD jest fakultatywne, wyznaczenie takiej osoby znacząco ułatwia zarządzanie zgodnością z RODO w HR. IOD służy działu kadr wsparciem merytorycznym, pomaga w przeprowadzaniu oceny skutków dla ochrony danych (DPIA) przy wdrażaniu nowych technologii (np. systemów monitorowania czasu pracy) oraz koordynuje proces obsługi naruszeń. Współpraca na linii HR – IOD powinna mieć charakter stały i systematyczny. Każdy nowy formularz rekrutacyjny, zmiana w regulaminie pracy czy planowane wdrożenie nowego oprogramowania kadrowo-płacowego powinny być konsultowane z IOD w celu wyeliminowania ryzyka niezgodności już na etapie projektowania (zasada privacy by design).
Powierzenie przetwarzania danych a udostępnianie podmiotom trzecim
Działy HR rzadko funkcjonują w całkowitej izolacji. Bardzo często korzystają z zewnętrznych dostawców usług, takich jak biura rachunkowe, firmy obsługujące benefity pracownicze (karty sportowe, pakiety medyczne), dostawcy systemów IT w chmurze czy agencje rekrutacyjne. W każdym z tych przypadków dochodzi do transferu danych osobowych pracowników lub kandydatów. Zgodnie z art. 28 RODO, administrator ma obowiązek zawarcia umowy powierzenia przetwarzania danych osobowych z każdym podmiotem, który przetwarza dane w jego imieniu (procesor). Umowa ta musi precyzyjnie określać przedmiot i czas trwania przetwarzania, jego charakter i cel, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą. Brak takiej umowy lub jej wadliwa konstrukcja stanowi poważne naruszenie przepisów i naraża pracodawcę na odpowiedzialność prawną. Ponadto pracodawca musi zweryfikować, czy podmiot, któremu powierza dane, zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO.
Szczególne kategorie danych osobowych – dane biometryczne i zdrowotne
Przetwarzanie danych szczególnej kategorii (tzw. danych wrażliwych) w HR podlega wyjątkowo surowym restrykcjom. Do tej grupy należą m.in. dane o stanie zdrowia, przynależności do związków zawodowych oraz dane biometryczne (np. odciski palców, skan siatkówki oka). W praktyce pracodawcy często popełniają błąd, próbując wykorzystać dane biometryczne do celów ewidencji czasu pracy lub kontroli dostępu do budynków. Zgodnie z dominującą linią orzeczniczą oraz stanowiskiem PUODO, stosowanie czytników linii papilarnych do kontroli obecności pracowników jest co do zasady nieproporcjonalne i nielegalne, nawet jeśli pracownicy wyrazili na to zgodę. Przetwarzanie danych biometrycznych pracownika jest dopuszczalne wyłącznie wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji lub pomieszczeń, których ujawnienie mogłoby narazić pracodawcę na znaczną szkodę. W przypadku danych o stanie zdrowia, ich przetwarzanie ogranicza się najczęściej do realizacji obowiązków związanych z profilaktyczną ochroną zdrowia pracowników (orzeczenia lekarskie o braku przeciwwskazań do pracy) oraz uprawnień wynikających z niezdolności do pracy (zwolnienia lekarskie). Pracodawca nie ma jednak prawa żądać od pracownika szczegółowych informacji o diagnozie medycznej czy przebiegu leczenia – wystarczająca jest informacja o samym fakcie niezdolności do pracy i jej okresie.
Sygnaliści a ochrona danych osobowych w HR
Nowym i niezwykle istotnym wyzwaniem dla działów HR jest wdrożenie przepisów o ochronie sygnalistów. Przyjmowanie zgłoszeń o naruszeniach prawa wiąże się z przetwarzaniem danych osobowych zarówno samego sygnalisty, jak i osób, których zgłoszenie dotyczy, oraz świadków. W tym procesie pracodawca musi zapewnić najwyższy poziom poufności, uniemożliwiający identyfikację tożsamości zgłaszającego przez osoby nieupoważnione. Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia nie mogą być udostępniane, chyba że za wyraźną zgodą sygnalisty lub gdy wymaga tego procedura prawna. Okres retencji danych w tym przypadku jest również ściśle określony i wynosi zazwyczaj 3 lata od zakończenia roku kalendarzowego, w którym zakończono działania następcze. Wdrożenie procedury zgłoszeń wewnętrznych wymaga aktualizacji rejestru czynności przetwarzania oraz przeprowadzenia rzetelnej oceny ryzyka.
Praca zdalna a bezpieczeństwo danych osobowych
Szerokie wprowadzenie pracy zdalnej do polskiego porządku prawnego wymusiło na pracodawcach przedefiniowanie zasad bezpieczeństwa informacji. Przetwarzanie danych kadrowych, finansowych czy handlowych poza fizyczną siedzibą firmy wiąże się z podwyższonym ryzykiem incydentów bezpieczeństwa. Pracodawca ma obowiązek określić procedury ochrony danych osobowych podczas wykonywania pracy zdalnej oraz przeprowadzić instruktaż i szkolenia dla pracowników. Do kluczowych obowiązków należy zapewnienie bezpiecznych kanałów łączności (np. połączeń VPN), szyfrowanie dysków w komputerach służbowych oraz wdrożenie zasad czystego biurka i czystego ekranu w warunkach domowych. Pracownik wykonujący pracę zdalną ma obowiązek przestrzegać tych procedur, a ich naruszenie może być traktowane jako naruszenie podstawowych obowiązków pracowniczych.
Postępowanie przed organem nadzorczym i ryzyko kar
Organem właściwym w sprawach ochrony danych osobowych w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (PUODO). Organ ten posiada szerokie uprawnienia kontrolne i śledcze. W przypadku wpłynięcia skargi od pracownika lub kandydata, PUODO może wszcząć postępowanie wyjaśniające, zażądać od pracodawcy przedstawienia dokumentacji potwierdzającej zgodność przetwarzania z prawem, a także przeprowadzić kontrolę na miejscu. W przypadku stwierdzenia naruszeń, organ może nałożyć na pracodawcę administracyjne kary pieniężne, które w myśl RODO mogą wynosić do 10 000 000 EUR lub do 20 000 000 EUR (bądź odpowiednio 2% lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa). Oprócz kar finansowych, organ może nakazać dostosowanie operacji przetwarzania do przepisów RODO w określonym terminie, co często wiąże się z koniecznością natychmiastowej reorganizacji pracy działu HR. Dodatkowo pracodawca ma obowiązek zgłaszania każdego naruszenia ochrony danych osobowych (np. wycieku danych kadrowych, zgubienia laptopa z danymi płacowymi) do PUODO w ciągu 72 godzin od stwierdzenia naruszenia.
Praktyczny przykład: Obsługa wniosku o usunięcie danych po rekrutacji
Aby lepiej zobrazować dynamikę procesów RODO w HR, warto przeanalizować konkretny przypadek z praktyki prawnej. Wyobraźmy sobie sytuację, w której kandydat brał udział w rekrutacji na stanowisko specjalisty ds. marketingu. Pracodawca w tej sytuacji musi podjąć następujące kroki:
- Krok 1: Weryfikacja tożsamości wnioskodawcy w celu uniknięcia ujawnienia danych osobie nieuprawnionej.
- Krok 2: Analiza podstaw prawnych przetwarzania. Ponieważ rekrutacja się zakończyła, a kandydat nie wyraził zgody na przyszłe rekrutacje, pracodawca nie ma już podstawy prawnej do dalszego przechowywania CV.
- Krok 3: Trwałe usunięcie (anonimizacja lub zniszczenie nośników papierowych) dokumentów aplikacyjnych kandydata ze wszystkich systemów ATS, skrzynek e-mail oraz segregatorów.
- Krok 4: Wysłanie do wnioskodawcy pisemnego lub elektronicznego potwierdzenia realizacji wniosku w terminie nieprzekraczającym jednego miesiąca od dnia otrzymania żądania.
Dzięki takiemu postępowaniu pracodawca minimalizuje ryzyko wniesienia skargi do organu nadzorczego i działa w pełni zgodnie z przepisami.
Najczęstsze błędy pracodawców w obszarze RODO w HR
W praktyce audytorskiej i doradczej najczęściej identyfikuje się następujące uchybienia po stronie podmiotów zatrudniających:
- Brak aktualizacji klauzul informacyjnych dostosowanych do konkretnych procesów rekrutacyjnych i pracowniczych.
- Przechowywanie dokumentów aplikacyjnych bez uzyskania wyraźnej zgody na przyszłe rekrutacje.
- Niewłaściwe zabezpieczenie fizyczne i cyfrowe akt osobowych.
- Brak upoważnień do przetwarzania danych osobowych dla pracowników działu HR oraz osób biorących udział w rekrutacji.
- Ignorowanie lub nieterminowe realizowanie wniosków składanych przez pracowników na podstawie RODO.
Podsumowanie i rekomendacje wdrożeniowe
Zapewnienie zgodności z RODO w obszarze HR nie jest jednorazowym projektem, lecz ciągłym procesem wymagającym zaangażowania zarządu, działu prawnego oraz specjalistów ds. kadr. Kluczem do sukcesu jest wdrożenie odpowiednich polityk wewnętrznych, regularne przeprowadzanie testów bezpieczeństwa oraz ciągłe podnoszenie świadomości pracowników. Każdy wniosek wpływający od pracownika powinien być traktowany priorytetowo, a wyznaczone terminy ściśle przestrzegane. Tylko rzetelne i systemowe podejście do ochrony danych osobowych pozwoli uniknąć dotkliwych konsekwencji prawnych i finansowych przed organem nadzorczym.