Dane osobowe pracowników to jeden z najbardziej rozbudowanych obszarów RODO w praktyce — a jednocześnie jeden z najczęściej pomijanych przy wdrożeniu. Firmy skupiają się na danych klientów i zapominają że relacja pracodawca-pracownik generuje rozległy i wrażliwy zakres przetwarzania: od rekrutacji, przez zatrudnienie, aż po lata po rozwiązaniu umowy.

Jakie dane pracowników możesz przetwarzać — i na jakiej podstawie

Zakres danych który pracodawca może żądać od pracownika wynika przede wszystkim z Kodeksu pracy (art. 22¹ KP), nie z RODO. RODO określa zasady przetwarzania — Kodeks pracy określa co pracodawca może zbierać.

Dane które pracodawca może żądać od kandydata: imię i nazwisko, data urodzenia, dane kontaktowe, wykształcenie, przebieg dotychczasowego zatrudnienia.

Dane które pracodawca może żądać od pracownika (dodatkowo): adres zamieszkania, numer PESEL, inne dane jeżeli obowiązek ich podania wynika z przepisów szczególnych.

Dane szczególnych kategorii — przetwarzanie danych o zdrowiu, związkach zawodowych, wyrokach skazujących jest możliwe wyłącznie gdy przepis prawa wprost to dopuszcza (np. badania medycyny pracy, zaświadczenie o niekaralności dla określonych stanowisk) lub gdy pracownik wyraził dobrowolną i jednoznaczną zgodę — przy czym zgoda pracownika wobec pracodawcy rzadko spełnia kryterium dobrowolności ze względu na nierównowagę stron.

Podstawy prawne przetwarzania danych pracowniczych:

• Wykonanie umowy (art. 6 ust. 1 lit. b RODO) — dane niezbędne do realizacji stosunku pracy
• Obowiązek prawny (art. 6 ust. 1 lit. c RODO) — dane wymagane przez Kodeks pracy, przepisy podatkowe, ZUS
• Uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) — np. monitoring w uzasadnionych przypadkach
• Zgoda (art. 6 ust. 1 lit. a RODO) — wyłącznie dla danych wykraczających poza zakres obowiązkowy, przy czym zgoda musi być naprawdę dobrowolna

Akta osobowe — struktura i zawartość

Rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z 2018 roku określa strukturę akt osobowych pracownika. Akta składają się z czterech części:

Część A — dokumenty zgromadzone w związku z ubieganiem się o zatrudnienie (CV, kwestionariusz, świadectwa pracy od poprzednich pracodawców, dokumenty potwierdzające kwalifikacje).

Część B — dokumenty dotyczące nawiązania stosunku pracy i przebiegu zatrudnienia (umowa o pracę, zakres obowiązków, dokumenty potwierdzające zapoznanie z regulaminem i zasadami BHP, karty wynagrodzeń, upoważnienia, dokumenty dotyczące urlopów).

Część C — dokumenty dotyczące rozwiązania lub wygaśnięcia stosunku pracy (wypowiedzenie, porozumienie, świadectwo pracy).

Część D — odpisy zawiadomień o ukaraniu i inne dokumenty związane z ponoszeniem odpowiedzialności porządkowej.

Pracodawca ma obowiązek prowadzenia akt osobowych w postaci papierowej lub elektronicznej — obie formy są równorzędne prawnie.

Jak długo przechowywać dane pracownicze

To jeden z najczęściej mylonych obszarów. Okres przechowywania dokumentacji pracowniczej zależy od daty nawiązania stosunku pracy:

Pracownicy zatrudnieni od 1 stycznia 2019 roku — akta osobowe i dokumentacja płacowa: 10 lat od końca roku kalendarzowego, w którym ustał stosunek pracy.

Pracownicy zatrudnieni w latach 1999–2018 — co do zasady 50 lat, chyba że pracodawca złożył raport informacyjny ZUS RIA — wtedy okres skraca się do 10 lat.

Pracownicy zatrudnieni przed 1 stycznia 1999 roku — 50 lat.

Okres przechowywania liczy się od końca roku kalendarzowego w którym rozwiązano umowę — nie od daty rozwiązania.

Inne dokumenty pracownicze:

• Listy płac, karty wynagrodzeń — tak jak akta osobowe (10 lub 50 lat)
• Dokumentacja ZUS — 5 lat
• Dokumentacja podatkowa (PIT-11) — 5 lat
• Dokumentacja BHP — 10 lat od ustania zatrudnienia
• Nagrania z monitoringu — maksymalnie 3 miesiące, chyba że stanowią dowód w postępowaniu

Co zrobić z danymi po rozwiązaniu umowy

To obszar który organizacje najczęściej zaniedbują. Po upływie okresu przechowywania dane muszą zostać usunięte lub zanonimizowane — nie można ich przechowywać bezterminowo „na wszelki wypadek”.

Praktyczny problem: wiele firm nie ma wdrożonej retencji danych pracowniczych. Akta byłych pracowników leżą w szafach lub na serwerach latami — bo nikt nie pilnuje terminów. To naruszenie zasady ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO).

Co zrobić: dla każdej kategorii dokumentacji pracowniczej zdefiniuj w rejestrze czynności przetwarzania okres retencji i przypisz odpowiedzialność za jego egzekwowanie. Wdróż harmonogram przeglądów i usuwania danych — najlepiej cykliczny, np. raz w roku na początku roku kalendarzowego.

Monitoring pracowników a RODO

Pracodawca może stosować monitoring — ale tylko w ściśle określonych przypadkach i z zachowaniem rygorystycznych wymagań. Szczegółowo opisujemy to w artykule o monitoringu pracowników. Tu kluczowe zasady:

Monitoring jest dopuszczalny gdy jest niezbędny dla konkretnego celu (bezpieczeństwo, organizacja pracy, ochrona mienia) i proporcjonalny — czyli zakres monitoringu nie przekracza tego co konieczne. Pracownicy muszą być poinformowani o monitoringu przed jego uruchomieniem. Nagrania przechowuje się maksymalnie 3 miesiące.

Monitoring poczty elektronicznej pracowników, monitorowanie aktywności na komputerze i GPS w samochodach służbowych — każdy z tych przypadków wymaga osobnej analizy konieczności, proporcjonalności i właściwej podstawy prawnej.

Najczęstsze błędy w przetwarzaniu danych pracowniczych

Zbieranie zbyt szerokiego zakresu danych na etapie rekrutacji. Pracodawca nie może żądać od kandydata zdjęcia, informacji o stanie zdrowia, ciąży, planach rodzinnych, przynależności do związków zawodowych. Dane które nie są niezbędne do oceny kwalifikacji — nie powinny być zbierane.

Brak klauzuli informacyjnej przy zatrudnieniu. Pracownik musi otrzymać informację o przetwarzaniu jego danych (administrator, cele, podstawy prawne, okresy przechowywania, prawa) — najpóźniej w momencie zebrania danych.

Przechowywanie danych byłych pracowników bez kontroli terminów. Brak wdrożonej retencji to jeden z najczęstszych problemów wykazywanych podczas kontroli w sektorze HR.

Udostępnianie danych pracowniczych bez podstawy prawnej. Listy płac, dane kadrowe, informacje o absencji nie mogą być udostępniane innym działom ani podmiotom zewnętrznym bez wyraźnej podstawy.

Brak umów powierzenia z biurem rachunkowym i systemem kadrowym. Biuro rachunkowe które przetwarza listy płac, system kadrowy w chmurze — to procesorzy, którzy muszą mieć podpisaną umowę powierzenia przetwarzania.

Podsumowanie

Dane osobowe pracowników to rozległy obszar przetwarzania który zaczyna się już przy rekrutacji i trwa latami po rozwiązaniu umowy. Kluczowe zasady: zbieraj tylko dane niezbędne i wynikające z przepisów; poinformuj pracownika o przetwarzaniu jego danych; przestrzegaj okresów przechowywania i wdróż retencję; stosuj monitoring wyłącznie gdy jest konieczny i proporcjonalny; zawrzyj umowy powierzenia z biurem rachunkowym i dostawcami systemów kadrowych.

FAQ