Pracodawca nie powinien robić i przechowywać kopii dokumentu tożsamości pracownika, zbierać danych osobowych „na zapas” ani monitorować rozmów telefonicznych – to niektóre z zaleceń nowego poradnika RODO dla pracodawców i pracowników wydanego przez Urząd Ochrony Danych Osobowych (UODO).
– Ta publikacja jest reakcją na sygnały, jakie docierają do Urzędu w związku z wątpliwościami i niejasnościami interpretacyjnymi związanymi ze stosowaniem przepisów RODO, ale również przepisów szczególnych, które dotyczą np. monitorowania pracownika w związku ze zmianami Kodeksu pracy – mówiła prezes UODO Edyta Bielak-Jomaa, prezentując w czwartek poradnik. Poradnik zawiera wyjaśnienia dotyczące przetwarzania danych zarówno podczas procesu rekrutacyjnego, jak i okresu zatrudnienia czy ochrony danych pracowników tymczasowych. – Chcemy także zwrócić uwagę na prawa osób, których dane są przetwarzane – podkreśliła prezes Urzędu Ochrony Danych Osobowych.
Bardzo wiele skarg przesłanych do Urzędu – jak mówiła Paulina Dawidczyk z UODO – dotyczy stosowania monitoringu w miejscu pracy, zarówno wizyjnego jak i e-maili czy rozmów telefonicznych. Dlatego UODO przypomina, że niedozwolone jest monitorowanie rozmów telefonicznych lub śledzenie prywatnej korespondencji e-mail pracowników. Pracodawca może za to kontrolować służbową pocztę elektroniczną pracowników, ale musi ich o tym poinformować. Także monitorowanie pracowników za pomocą urządzeń lokalizujących (np. GPS) dozwolone jest tylko po uprzednim poinformowaniu pracowników na piśmie z określeniem zakresu monitorowania.
Skargi zgłaszane do Urzędu dotyczą również wykorzystania wizerunku i danych biometrycznych. Według UODO umieszczanie zdjęcia na identyfikatorach firmowych jest dozwolone, ale tylko za zgodą pracownika. Obowiązuje natomiast całkowity zakaz wykorzystywania danych biometrycznych (np. linii papilarnych, skanów siatkówki oka) do celów ewidencji czasu pracy, co – według skarżących – praktykują niektórzy pracodawcy.
Wbrew częstej praktyce pracodawca nie powinien robić i przechowywać kopii dokumentu tożsamości pracownika.
Wiele wątpliwości dotyczących ochrony danych związanych jest z procesem rekrutacji. Co do zasady, pracodawca może żądać od kandydata do pracy podania tylko tych danych, do zbierania których uprawniają go przepisy prawa i które są niezbędne do podjęcia decyzji o zatrudnieniu, dlatego nie można zbierać danych osobowych „na zapas” lub „na wszelki wypadek”. Niedopuszczalne jest również gromadzenie danych o poszczególnych kandydatach poprzez przeszukiwanie i „sprawdzanie” portali społecznościowych, takich jak Facebook, ale już korzystanie z portali branżowych takich jak LinkedIn w celu kontaktu lub weryfikacji kandydatów jest jak najbardziej dopuszczalne. Nie można natomiast kontaktować się z poprzednim pracodawcą kandydata w celu uzyskania informacji na jego temat ani np. do uczelni wyższej, żeby zweryfikować czy potencjalny pracownik uzyskał w niej dyplom.
Za to żądanie od kandydata do pracy zgody na przetwarzanie danych osobowych – jak podkreślał Piotr Drobek z UODO – w większości przypadków nie jest konieczne, ponieważ samo wysłanie aplikacji jest automatycznie zgodą na przetwarzanie zawartych w niej danych kandydata. Obowiązek ochrony danych osobowych zebranych w ten sposób spoczywa na prowadzących rekrutację administratorach, w tym również na agencjach zatrudnienia lub portalach internetowych, działających w imieniu pracodawcy.
Jak zaznaczali przedstawiciele Urzędu, prowadzenie rekrutacji „ślepych” lub „ukrytych”, czyli kiedy nieznany jest podmiot prowadzący nabór do pracy, jest niezgodne z przepisami o ochronie danych osobowych.
Poradnik „Ochrona danych osobowych w miejscu pracy” porusza również m.in. zagadnienia list obecności pracowników, przekazywania danych organizatorom szkoleń dla pracowników czy przetwarzania danych kontrahentów. Jest on dostępny na stronie internetowej UODO pod linkiem https://uodo.gov.pl/pl/138/545.
Autor: Małgorzata Werner-Woś, PAP.