Baza wiedzy

Prawidłowa inwentaryzacja zbiorów danych osobowych to jeden z podstawowych elementów dobrze funkcjonującego systemu ochrony danych osobowych w organizacji.

Z moich obserwacji wynika jednak, że jest to jednocześnie jedno z najtrudniejszych zagadnień do realizacji, z którymi muszą zmierzyć się administratorzy danych.

W niniejszym artykule przedstawiam 5 przykładowych zbiorów danych, które pojawiają się w obszarze kadrowo - płacowym większości przedsiębiorstw oraz podmiotów administracji publicznej. Podpowiadam też z jakich przepisów prawa wynika możliwość przetwarzania danych osobowych zawartych w tych zbiorach.

Zbiór kandydatów do pracy

Jak sama nazwa sugeruje, zbiór ten obejmuje dane osobowe kandydatów do pracy zgłaszających swoje aplikacje do konkretnego podmiotu (potencjalnego pracodawcy). Może on obejmować zarówno dane osób kandydujących na konkretne oferty pracy jak i składających swoje dokumenty aplikacyjne na wypadek gdyby w przyszłości pracodawca poszukiwał kandydatów o zbliżonym profilu. Możliwość przetwarzania danych osobowych tej drugiej kategorii kandydatów do pracy uzależniona jest jednak od tego, czy wyrażą oni zgodę na przetwarzanie ich danych osobowych w przyszłych procesach rekrutacji.

Z kolei dane osobowe kandydatów aplikujących na konkretną (ogłoszoną przez pracodawcę) ofertę pracy powinny być przetwarzane przez potencjalnego pracodawcę na podstawie przepisów prawa pracy (o ile oczywiście kandydat docelowo ma być zatrudniony w oparciu o umowę o pracę).

W takim wypadku kluczowymi regulacjami prawnymi są:
art. 22¹ Kodeksu Pracy (KP) oraz § 1 Rozporządzenia Ministra Pracy i Polityki Socjalnej z 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika. Drugi z wymienionych aktów prawnych zawiera również wzór kwestionariusza osoby ubiegającej się o zatrudnienie (czyli CV), z którego wynika jakie dokładnie dane osobowe potencjalny pracodawca ma prawo żądać od kandydata do pracy.

Zbiór kadrowo-płacowy

Zbiór ten zawiera dane osób zatrudnionych na podstawie stosunku pracy, a także dane byłych pracowników (dane archiwalne).

Regulacje prawne dotyczące tego zbioru możemy znaleźć między innymi w:

• ustawie z dnia 26 czerwca 1974 r. Kodeks pracy – w tym m.in. art. 22¹ ust. 2-4 oraz art. 94 pkt 9a KP (ostatnia podstawa prawna wskazuje obowiązek prowadzenia przez pracodawcę dokumentacji pracowniczej),

• Rozporządzeniu Ministra Pracy i Polityki Socjalnej z 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika,

• Rozporządzeniu Ministra Zdrowia i Opieki Społecznej z dnia 30 maja 1996 r. w sprawie prowadzenia badań lekarskich pracowników, zakresu profilaktycznej opieki zdrowotnej nad pracownikami oraz orzeczeń lekarskich wydawanych do celów przewidzianych w Kodeksie pracy,

• ustawie z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych- np. w zakresie przepisów określających zasady zgłaszania przez pracodawcę swoich pracowników do objęcia obowiązkowym ubezpieczeniem społecznym,

• ustawie z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych- np. w zakresie przepisów określających zasady zgłaszania pracowników do urzędu skarbowego przez pracodawcę jako płatnika składek,

• oraz wielu innych aktach prawnych.

Zbiór danych współpracowników

Zbiór ten zawiera zasadniczo dane osób fizycznych, które świadczą na rzecz konkretnego podmiotu usługi lub wykonują prace w oparciu o zawartą umowę cywilnoprawną (np. umowę o dzieło, zlecenia).

Podstawę prawną przetwarzania danych w tym zbiorze stanowi w pierwszej kolejności art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych, ale dodatkowo zastosowanie mają również przepisy ustawy z dnia 29 września 1994 r. o rachunkowości (określające m.in. jak długo ze względów podatkowych należy przechowywać dokumentację związaną z zawarciem konkretnej umowy cywilnoprawnej) czy też ustawa z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych.

Zbiór BHP (Bezpieczeństwo i Higiena Pracy)

Zbiór ten może stanowić element zbioru Kadrowo - płacowego, ale często jest również inwentaryzowany jako odrębny (m.in. ze względu na fakt iż zawiera dane wrażliwe, do których powinna mieć dostęp ograniczona liczba osób).

Opisywany zbiór przede wszystkim zawiera dane osób objętych wstępnymi i okresowymi szkoleniami BHP, a także osób uczestniczących w wypadkach wobec których pracodawca ma obowiązek ustalić okoliczności i przyczyny ich wystąpienia, czy też osób wobec których stwierdzono występowanie choroby zawodowej.

Kluczowymi regulacjami prawnymi odnoszącymi się do kwestii danych osobowych przetwarzanych w tym zbiorze są art. 237⁵ Kodeksu pracy oraz Rozporządzenie Ministra Gospodarki i Pracy w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy z dnia 27 lipca 2004 r. - w zakresie odnoszącym się do zasad wykorzystywania danych osobowych w ramach przeprowadzanych szkoleń BHP.

Z kolei art. 234, a także akty wykonawcze wydane na podstawie art. 237 § 1 oraz 2 KP, w szczególności Rozporządzenie Rady Ministrów w sprawie ustalania okoliczności i przyczyn wypadków przy pracy z dnia 1 lipca 2009 r., a także Rozporządzenie Ministra Gospodarki i Pracy z dnia 16 września 2004 r. w sprawie wzoru protokołu ustalenia okoliczności i przyczyn wypadku przy pracy, reguluje zasady i zakres przetwarzanych danych osobowych w ramach ustalania przyczyn i okoliczności wypadku.

Innymi podstawami prawnymi mającymi wpływ na zakres i sposób przetwarzania danych w opisywanym zbiorze jest również Rozporządzenie Ministra Pracy i Polityki Społecznej w sprawie szczegółowych zasad oraz trybu uznawania zdarzenia za wypadek w drodze do pracy lub z pracy, sposobu jego dokumentowania, wzoru karty wypadku w drodze do pracy lub z pracy oraz terminu jej sporządzenia, czy też Rozporządzenie Rady Ministrów z dnia 30 czerwca 2009 r. w sprawie chorób zawodowych.

Zakładowy Fundusz Świadczeń Socjalnych

Zbiór ten obejmuje dane osobowe osób uprawnionych do korzystania ze świadczeń socjalnych przyznawanych przez konkretnego pracodawcę w ramach prowadzonego Zakładowego Funduszu Świadczeń Socjalnych.

W tym zbiorze bardzo problematyczną kwestią jest ustalenie jaki zakres danych można żądać od osób ubiegających się o przyznanie określonego świadczenia socjalnego. Zasadniczą podstawę prawną do przetwarzania danych stanowi art. 8 ust. 2 ustawy z dnia 4 marca 1994 r. o Zakładowym Funduszu Świadczeń Socjalnych oraz Regulamin Zakładowego Funduszu Świadczeń Socjalnych opracowany i wprowadzony do stosowania u konkretnego pracodawcy.

Z przytaczanego art. 8 ust. 2 ustawy o ZFŚS wynika bowiem, że "zasady i warunki korzystania z usług i świadczeń finansowanych z Funduszu, z uwzględnieniem ust. 1, oraz zasady przeznaczania środków Funduszu na poszczególne cele i rodzaje działalności socjalnej określa pracodawca w regulaminie ustalanym zgodnie z art. 27 ust. 1 albo z art. 30 ust. 5 ustawy o związkach zawodowych. Pracodawca, u którego nie działa zakładowa organizacja związkowa, uzgadnia regulamin z pracownikiem wybranym przez załogę do reprezentowania jej interesów".
Tak więc to z Regulaminu ZFŚS powinno wynikać między innymi jakie świadczenia socjalne i w oparciu o jakie zasady mogą być przyznawane. Z kolei określając zasady przyznawania konkretnych świadczeń pracodawca powinien określić między innymi zakres żądanych informacji od osoby ubiegającej się o świadczenie, które następnie stanowią podstawę dla Komisji Socjalnej do rozpatrzenia wniosku i podjęcia decyzji o ewentualnym przyznaniu i ewentualnej wysokości świadczenia. Zazwyczaj jednak pracodawcy nie regulują w Regulaminach ZFŚS tych kwestii w sposób wystarczająco precyzyjny.

Bardzo problematyczna w przedmiotowym zbiorze jest kwestia pozyskiwania przez Komisje Socjalne danych osobowych wrażliwych, w tym w szczególności o stanie zdrowia. Takie sytuacje mają miejsce na przykłady w przypadkach wnioskowania o przyznanie zapomogi ze względu na trudną sytuację życiową, spowodowaną na przykład chorobą członka rodziny. W takich wypadkach wnioskujący często przedstawiają szczegółowe informacje o stanie zdrowia członka rodziny, niejednokrotnie załączając do wniosku także dokumentację medyczną (np. dokumentującą hospitalizację chorej osoby). Warto w tym miejscu również pamiętać, że dokumentacja medyczna (i dane w niej zawarte) podlega szczególnej ochronie wynikającej z ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta.

Przedstawione powyżej zbiory danych stanowią jedynie przykład

Zbiory danych, które po krótce przedstawiłem w tym artykule stanowią jedynie przykład zbiorów danych, które najczęściej pojawiają się w obszarze zarządzania zasobami ludzkimi (HR). W rzeczywistości jednak może występować ich dużo większa ilość (jak np. zbiory dotyczące ubezpieczeń grupowych, ubezpieczeń medycznych, prywatnej opieki medycznej, zbiory osób korzystających z dodatkowych świadczeń rekreacyjnych zapewnianych przez pracodawcę i wiele innych).

Również przytoczone podstawy prawne mają charakter przykładowy (w rzeczywistości jest ich znacznie więcej).

Każda organizacja charakteryzuje się własnym indywidualizmem i cechami szczególnymi - które przekładają się również na przetwarzanie przez nie dane osobowe w zróżnicowanych zbiorach danych.

Dlatego też zalecam bardzo indywidualne podejście do kwestii ustalenia z jakimi konkretnie zbiorami danych osobowych mamy do czynienia w konkretnej organizacji i dokładną analizę podstaw prawnych umożliwiających ich przetwarzanie.

Jeśli chcesz dowiedzieć się więcej na ten temat - zapraszam do kolejnego artykułu

Jeśli potrzebujesz więcej informacji jak prawidłowo ustalić zbiory danych osobowych przetwarzane w Twojej organizacji - zapoznaj się z moim artykułem dotyczącym ZASAD INWENTARYZACJI ZBIORÓW DANYCH według wytycznych Generalnego Inspektora Ochrony Danych Osobowych lub ... po prostu do mnie napisz.