Dane osobowe pracowników

– to prawo określa, jakich informacji może żądać pracodawca

Różni pracodawcy, ale ten sam zakres danych osobowych

Ostatnia fala oszustw przy wyłudzaniu danych osobowych metodą „na rekrutację” dowodzi, że świadomość pracowników na temat zakresu danych osobowych, jakich przyszły pracodawca ma prawo od nich wymagać, jest dość mała. Wielu kandydatów bezrefleksyjnie podaje zbyt dużo informacje, aby dostać pracę. Oszukani odpowiedzieli na zwykłe ogłoszenie o pracę, a następnie mieli wypełnić kwestionariusz z kompletem danych. O ile na tym etapie mogła jeszcze 
nie zapalić się czerwona lampka, to bezwzględnie powinna przy dziwnym żądaniu potencjalnego pracodawcy 
o dokonanie przelewu symbolicznej złotówki z konta kandydata na wskazany rachunek niby-pracodawcy. Ani pracodawca, ani agencja zatrudnienia czy inny podmiot prowadzący rekrutację nie mają prawa pobierać żadnych opłat od kandydatów. Niekiedy więc niefrasobliwie podany zestaw informacji, a nawet kserokopia dowodu osobistego, posłużą oszustom do zaciągnięcia licznych pożyczek na konto takiej osoby.

Co musi ujawnić kandydat, a co pracownik?

Części pracowników logiczne wydaje się, że różne firmy mogą potrzebować różnych danych w zależności od rodzaju pracy 
i stanowiska itp. Jednak to nie pracodawcy decydują o tym, ale przepisy prawa. Oprócz Kodeksu Pracy oraz Rozporządzenia Ministra Pracy i Polityki Socjalnej w sprawie zakresu prowadzenia przez pracodawców dokumentacji 
w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika jest także Ustawa o Ochronie Danych Osobowych. Zakres danych, jakich pracodawca może wymagać od kandydatów do pracy, a potem pracowników, określa 
Art. 221 Kodeksu Pracy. Podania dodatkowych informacji firma może się domagać tylko wtedy, gdy obowiązek ich ujawnienia wynika
z odrębnych przepisów (np. zaświadczenie 
o niekaralności, specjalistyczne uprawnienia). Na tej podstawowej liście nie ma np. zdjęcia, referencji, wyników testów czy innych informacji często wymaganych od kandydatów. Dane osobowe pracodawca gromadzi stopniowo, kiedy są niezbędne przy formalnościach związanych z zatrudnieniem i dalszych etapach zatrudnienia (PESEL).

                               Dane, których może żądać pracodawca
od kandydata do pracy od pracownika
imię (imiona) i nazwisko
Imiona rodziców,
data urodzenia,
miejsce zamieszkania
(adres do korespondencji),
wykształcenie,
przebieg dotychczasowego zatrudnienia
dane – takie jak od kandydata,

Inne dane osobowe dotyczące pracownika oraz imiona i nazwiska oraz daty urodzenia jego dzieci (jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy),

numer PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności – RCI PESEL.

Czy można odmówić podania pewnych danych pracodawcy?

To, czy pracownik może się obawiać negatywnych konsekwencji, np. zwolnienia, jeśli nie poda wymaganych danych zależy od tego, o jakie dane chodzi. Jeśli pracodawca domaga się tych wykraczających poza przepisy, odmowa ich ujawnienia nie może powodować żadnych konsekwencji dla pracownika. Gdy natomiast bezpodstawnie odmawia on podania danych mimo ustawowego wymogu (np. niezbędnych 
do zgłoszenia do ZUS czy rozliczenia PIT), musi się liczyć z rozstaniem, bo nie wykonuje ciążącego na nim obowiązku.

Kto w imieniu pracodawcy może zbierać informacje o nas?

Kolejny obszar ryzyka to zakres osób upoważnionych do zbierania danych osobowych w imieniu pracodawcy. Na etapie rekrutacji oraz zawierania umowy o pracę przekazujemy różne informacje specjalistom ds. rekrutacji, pracownikom działu kadr, przełożonym. Czy każda z tych osób ma prawo dostępu do danych osobowych, które są przecież poufne?

To ważna kwestia, która w wielu firmach nie jest prawidłowo uregulowana. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby mające upoważnienie nadane przez administratora danych, czyli pracodawcę. Ten, kto ma taki dostęp, powinien posiadać imienne pisemne upoważnienie pracodawcy określające dozwolony zakres przetwarzania (np. CV kandydatów, akta osobowe, lista płac itp.). To odrębny dokument, nie można go wywodzić tylko z umowy o pracę czy z zakresu obowiązków (dotyczy to szczególnie pracowników działu kadr). Pracodawca jako administrator prowadzi także ewidencję osób upoważnionych do przetwarzania danych z ich nazwiskami i zakresem dostępu.

Często od uczestników prowadzonych szkoleń dowiaduję się, że wielu pracodawców nie zdaje sobie sprawy, że każdy kierownik działu, który uczestniczy w rekrutacji, 
ma dostęp do akt osobowych i listy płac podległych pracowników, powinien mieć pisemnie określony zakres dostępu do danych osobowych bezpośrednich podwładnych.

W takim przypadku pracownik może zarzucić pracodawcy naruszenie przepisów o ochronie danych, jeśli informacje o nim znają osoby nieuprawnione. Chodzi o wszelkie czynności kadrowe, np. wręczenie pracownikowi kary porządkowej czy wypowiedzenia. Często w spotkaniu poświęconym tym sprawom oprócz członka zarządu czy dyrektora personalnego uczestniczy bezpośredni przełożony pracownika lub inna osoba z firmy. Interpretacja generalnego inspektora ochrony danych osobowych jest jednoznaczna – świadkami wręczenia tych dokumentów powinni być tylko pracownicy mający upoważnienie pracodawcy do przetwarzania danych osobowych.

Nowe potrzeby – ten sam katalog danych

Wraz ze zmianami w środowisku pracy w ostatnich latach zmieniają się też obszary ryzyka naruszenia przepisów o ochronie danych osobowych przez pracodawców. Ustalony przed wielu laty zakres danych, jakich pracodawca może wymagać od kandydatów, jest bardzo wąski i nie przystaje do obecnych potrzeb. W tym czasie firmy wdrożyły kompleksowe informatyczne systemy zarządzania kadrami oraz wykorzystują nowoczesne technologie. Przy rekrutacji oprócz referencji zbierają wiele informacji także drogą nieformalną, np. prześwietlając kandydatów w Internecie, poddają ich testom psychologicznym i kompetencyjnym. Czasem jest to stąpanie po cienkiej linie.

U pracowników z kolei wątpliwości budzi dysponowanie przez pracodawcę ich danymi 
i wizerunkiem w kontaktach zewnętrznych i celach marketingowych. Na stronach internetowych firm, w broszurach czy folderach podaje się różne informacje dotyczące menedżerów i pracowników, np. imię i nazwisko, stanowisko, służbowy telefon 
i adres mailowy, profil zawodowy, zdjęcie itp. Część pracowników nie jest pewna, na ile może pozwolić firmie na dysponowanie tymi informacjami i wizerunkiem. Pracodawca 
nie musi mieć zgody pracownika na umieszczenie na stronie internetowej czy 
w broszurze imienia i nazwiska, stanowiska, służbowego telefonu i maila (choć powinien go o tym uprzedzić), ale dyskusyjna będzie już sprawa jego zdjęcia. Tu należy zapytać pracownika o zgodę. Zatrudniony nie może także protestować przeciwko podawaniu nazwiska oraz stanowiska na identyfikatorze, 
w informatorach czy stopce mailowej. To są dane, które ułatwiają firmie kontakty z klientami i światem zewnętrznym, co potwierdza też orzecznictwo Sądu Najwyższego.

Dużym obszarem ryzyka jest też, na szczęście coraz rzadsza, praktyka niektórych banków potwierdzania u pracodawcy przez telefon danych osobowych pracownika zawartych 
we wniosku kredytowym, w szczególności wysokości jego wynagrodzenia. Przedstawiciel pracodawcy nie ma możliwości zweryfikowania, kto jest po drugiej stronie telefonu i dlatego ma prawo odmówić potwierdzenia tych informacji. Takie postępowanie potwierdza też stanowisko GIODO.

Autor: Dorota Strzelec – psycholog pracy, konsultant ds. zarządzania kadrami, trener