RODO w HR — monitoring pracowników, rekrutacja, akta osobowe i praca zdalna

Dział HR to jedno z miejsc w organizacji, gdzie przetwarzanie danych osobowych jest najbardziej intensywne i różnorodne. Od momentu publikacji ogłoszenia o pracę, przez cały okres zatrudnienia, aż po archiwizację dokumentacji po ustaniu stosunku pracy — HR operuje na danych osobowych pracowników, kandydatów i współpracowników każdego dnia.

Jednocześnie to właśnie obszar HR jest jednym z najczęściej kontrolowanych przez UODO i generuje znaczną część skarg osób, których dane dotyczą. Błędy w przetwarzaniu danych pracowniczych mogą skutkować nie tylko karami administracyjnymi, ale także roszczeniami pracowniczymi i utratą zaufania zespołu.

W tym artykule omawiam najważniejsze zagadnienia dotyczące stosowania RODO w HR — z odniesieniami do Kodeksu pracy, stanowisk UODO i wytycznych EDPB.

Rekrutacja — jakie dane można zbierać od kandydatów?

Zakres danych, które pracodawca może żądać od kandydata do pracy, jest ściśle określony w art. 22¹ § 1 Kodeksu pracy. Na etapie rekrutacji pracodawca może zbierać: imię (imiona) i nazwisko, datę urodzenia, dane kontaktowe wskazane przez kandydata, wykształcenie, kwalifikacje zawodowe oraz przebieg dotychczasowego zatrudnienia.

Dodatkowe dane (np. adres zamieszkania, numer PESEL, dane o stanie zdrowia) pracodawca może żądać dopiero po nawiązaniu stosunku pracy — i tylko w zakresie wynikającym z przepisów prawa.

Najczęstsze błędy w rekrutacji:

Żądanie zdjęcia w CV — RODO nie zabrania kandydatowi dobrowolnego dołączenia zdjęcia, ale pracodawca nie może go wymagać. Jeśli kandydat sam dołączył zdjęcie, stanowi ono dane osobowe i podlega ochronie.

Pytania o stan cywilny, ciążę, plany rodzinne — niedopuszczalne, stanowią nie tylko naruszenie RODO, ale również dyskryminację w rozumieniu Kodeksu pracy.

Zbieranie danych „na zapas” — np. żądanie numeru PESEL, adresu zamieszkania lub zaświadczenia o niekaralności na etapie rekrutacji, bez podstawy prawnej.

Brak klauzuli informacyjnej — kandydat musi otrzymać klauzulę informacyjną (art. 13 GDPR) najpóźniej w momencie zbierania danych, czyli przy składaniu aplikacji. Dotyczy to zarówno rekrutacji online, jak i papierowej.

Podstawa prawna przetwarzania danych w rekrutacji:

Dane wymagane przez Kodeks pracy — art. 6 ust. 1 lit. c GDPR (obowiązek prawny) w związku z art. 22¹ Kodeksu pracy.

Dane dodatkowe podane dobrowolnie przez kandydata (np. zdjęcie, hobby, referencje) — art. 6 ust. 1 lit. a GDPR (zgoda). Zgoda musi być wyraźna i dobrowolna.

Zgoda kandydata na przyszłe rekrutacje

Częstą praktyką jest proszenie kandydatów o wyrażenie zgody na przetwarzanie danych na potrzeby przyszłych rekrutacji. Jest to dopuszczalne, ale wymaga spełnienia kilku warunków:

Zgoda musi być dobrowolna — nie może być warunkiem udziału w bieżącej rekrutacji.

Zgoda musi być konkretna — powinna wskazywać, że dotyczy przyszłych procesów rekrutacyjnych u tego pracodawcy.

Należy określić okres, przez który dane będą przechowywane — np. 12 miesięcy od zakończenia bieżącej rekrutacji.

Kandydat musi mieć możliwość wycofania zgody w każdej chwili.

Po zakończeniu rekrutacji dane kandydatów, którzy nie zostali zatrudnieni i nie wyrazili zgody na przyszłe rekrutacje, powinny zostać niezwłocznie usunięte.

Dane osobowe pracowników — zakres i podstawy prawne

Po nawiązaniu stosunku pracy zakres danych, które pracodawca może przetwarzać, rozszerza się. Art. 22¹ § 3 Kodeksu pracy wskazuje dodatkowe dane, których pracodawca może żądać od pracownika: adres zamieszkania, numer PESEL (lub rodzaj i numer dokumentu tożsamości), numery rachunków bankowych, dane dotyczące dzieci (jeśli konieczne do przyznania świadczeń), a także inne dane, jeśli obowiązek ich podania wynika z odrębnych przepisów.

Podstawy prawne przetwarzania danych pracowników:

Wykonanie umowy o pracę — art. 6 ust. 1 lit. b GDPR.

Obowiązki prawne pracodawcy — art. 6 ust. 1 lit. c GDPR (Kodeks pracy, przepisy podatkowe, ubezpieczenia społeczne, BHP).

Uzasadniony interes pracodawcy — art. 6 ust. 1 lit. f GDPR (np. dochodzenie roszczeń, organizacja pracy).

Zgoda pracownika — art. 6 ust. 1 lit. a GDPR (tylko dla danych przetwarzanych na podstawie dobrowolnej zgody, np. publikacja zdjęcia na stronie firmowej). Uwaga: zgoda pracownika jest kontrowersyjna z uwagi na nierównowagę stron w relacji pracownik-pracodawca. EDPB i UODO podkreślają, że zgoda pracownika rzadko będzie mogła być uznana za w pełni dobrowolną — dlatego w miarę możliwości należy szukać innej podstawy prawnej.

Więcej o podstawach prawnych przeczytasz w naszym przewodniku po RODO.

Monitoring pracowników — zasady wg Kodeksu pracy i RODO

Monitoring w miejscu pracy to jeden z najbardziej wrażliwych tematów na styku prawa pracy i ochrony danych osobowych. Kodeks pracy (art. 22² i 22³) reguluje dwa rodzaje monitoringu:

Monitoring wizyjny (art. 22² KP)

Kiedy dopuszczalny? Wyłącznie w czterech celach: zapewnienie bezpieczeństwa pracowników, ochrona mienia, kontrola produkcji, zachowanie tajemnicy informacji.

Ograniczenia lokalizacyjne: Monitoring nie może obejmować pomieszczeń sanitarnych, szatni, stołówek, palarni i pomieszczeń związków zawodowych — chyba że jest to niezbędne do realizacji jednego z dozwolonych celów i nie narusza godności pracowników (np. stosuje się techniki anonimizacji obrazu).

Okres przechowywania nagrań: Maksymalnie 3 miesiące od dnia nagrania — chyba że stanowią dowód w postępowaniu, wówczas do czasu prawomocnego zakończenia postępowania.

Obowiązki pracodawcy:

Określenie celów, zakresu i sposobu monitoringu w układzie zbiorowym, regulaminie pracy lub obwieszczeniu.

Poinformowanie pracowników o monitoringu na piśmie — przed dopuszczeniem do pracy (nowi pracownicy) lub co najmniej 2 tygodnie przed uruchomieniem monitoringu (dotychczasowi pracownicy).

Oznaczenie pomieszczeń i terenu monitorowanego w sposób widoczny — tabliczkami informacyjnymi.

Przygotowanie klauzuli informacyjnej RODO dotyczącej monitoringu wizyjnego (art. 13 GDPR).

Przeprowadzenie DPIA, jeśli monitoring obejmuje dużą liczbę osób lub miejsca publicznie dostępne.

Monitoring poczty elektronicznej (art. 22³ KP)

Kiedy dopuszczalny? Jeśli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy lub właściwego użytkowania udostępnionych pracownikowi narzędzi pracy.

Ograniczenie kluczowe: Monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. Oznacza to, że pracodawca nie powinien zapoznawać się z treścią prywatnych wiadomości pracownika.

Obowiązki pracodawcy są analogiczne do monitoringu wizyjnego — regulamin/obwieszczenie, pisemne poinformowanie pracowników, klauzula informacyjna.

Inne formy monitoringu

Kodeks pracy przewiduje, że przepisy o monitoringu poczty elektronicznej stosuje się odpowiednio do innych form monitoringu, jeśli ich zastosowanie jest niezbędne do realizacji tych samych celów. Dotyczy to m.in.: monitoringu GPS pojazdów służbowych, monitoringu aktywności na komputerze (logowanie, strony internetowe), kontroli dostępu (karty magnetyczne, czytniki linii papilarnych), monitoringu rozmów telefonicznych.

Każda z tych form wymaga analizy pod kątem RODO — w szczególności oceny proporcjonalności, określenia podstawy prawnej i przygotowania dokumentacji.

Praca zdalna a RODO

Popularyzacja pracy zdalnej po pandemii COVID-19 stworzyła nowe wyzwania w zakresie ochrony danych osobowych. Nowelizacja Kodeksu pracy (obowiązująca od kwietnia 2023 r.) uregulowała zasady pracy zdalnej, w tym kwestie kontroli pracownika zdalnego.

Kluczowe zagadnienia RODO w pracy zdalnej:

Bezpieczeństwo danych poza biurem — pracodawca musi wdrożyć procedury ochrony danych podczas pracy zdalnej (szyfrowanie urządzeń, VPN, zasady korzystania z sieci domowej, blokada ekranu, przechowywanie dokumentów papierowych).

Kontrola pracy zdalnej — pracodawca może kontrolować pracownika zdalnego, ale musi przestrzegać zasady proporcjonalności. Instalacja oprogramowania śledzącego (keyloggery, nagrywanie ekranu, śledzenie ruchów myszy) wymaga szczególnie starannej oceny pod kątem RODO — w wielu przypadkach będzie nieproporcjonalna i naruszająca godność pracownika.

Procedura ochrony danych w pracy zdalnej — pracodawca jest zobowiązany do określenia procedur ochrony danych osobowych na potrzeby pracy zdalnej i przeprowadzenia szkolenia w tym zakresie. Pracownik potwierdza zapoznanie się z procedurami.

Incydenty bezpieczeństwa — pracownik zdalny musi wiedzieć, jak zgłosić naruszenie ochrony danych (np. kradzież laptopa służbowego, nieautoryzowany dostęp do dokumentów).

Akta osobowe a RODO

Prowadzenie akt osobowych pracowników to obowiązek prawny pracodawcy wynikający z art. 94 pkt 9a Kodeksu pracy. Rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. szczegółowo reguluje sposób prowadzenia i przechowywania dokumentacji pracowniczej.

Najważniejsze zasady z perspektywy RODO:

Minimalizacja danych — w aktach osobowych powinny znajdować się tylko dokumenty wymagane przepisami prawa lub niezbędne do realizacji celów zatrudnienia. Nie należy gromadzić nadmiarowych kopii dokumentów.

Okres przechowywania — akta osobowe pracowników zatrudnionych od 1 stycznia 2019 r. przechowuje się przez 10 lat od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł. Dla pracowników zatrudnionych wcześniej — 50 lat (chyba że złożono raporty informacyjne do ZUS).

Bezpieczeństwo — akta osobowe muszą być przechowywane w warunkach niegrożących ich zniszczeniem lub uszkodzeniem, z ochroną przed dostępem osób nieuprawnionych. Dotyczy to zarówno formy papierowej, jak i elektronicznej.

Elektronizacja akt — od 2019 r. pracodawca może prowadzić akta osobowe w formie elektronicznej. Przejście z formy papierowej na elektroniczną wymaga spełnienia wymogów rozporządzenia (m.in. sporządzenie odwzorowania cyfrowego, opatrzenie kwalifikowanym podpisem elektronicznym).

Przetwarzanie danych szczególnych kategorii w HR

W kontekście HR często dochodzi do przetwarzania danych szczególnych kategorii (art. 9 GDPR), takich jak:

Dane o stanie zdrowia — zaświadczenia lekarskie, orzeczenia o niepełnosprawności, informacje o zwolnieniach lekarskich (ZUS ZLA).

Dane o przynależności związkowej — jeśli pracownik jest członkiem związku zawodowego i korzysta z ochrony związkowej.

Dane biometryczne — jeśli pracodawca stosuje kontrolę dostępu opartą na odcisku palca lub rozpoznawaniu twarzy.

Przetwarzanie tych danych wymaga szczególnej podstawy prawnej z art. 9 ust. 2 GDPR — najczęściej będzie to wypełnienie obowiązków z zakresu prawa pracy i zabezpieczenia społecznego (art. 9 ust. 2 lit. b) lub wyraźna zgoda pracownika (art. 9 ust. 2 lit. a).

Art. 22¹b Kodeksu pracy stanowi, że dane biometryczne pracownika mogą być przetwarzane wyłącznie w celu kontroli dostępu do pomieszczeń wymagających szczególnej ochrony lub do informacji wymagających szczególnej ochrony — i tylko za zgodą pracownika wyrażoną w formie pisemnej lub elektronicznej.

Prawa pracowników jako osób, których dane dotyczą

Pracownicy mają pełne prawa wynikające z RODO — prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych i sprzeciwu. Pracodawca musi zapewnić mechanizm realizacji tych praw.

Sytuacje najczęściej spotykane w praktyce:

Prawo dostępu do danych (art. 15 GDPR) — pracownik ma prawo uzyskać kopię swoich danych przetwarzanych przez pracodawcę. Obejmuje to m.in. akta osobowe, dane w systemach kadrowo-płacowych, korespondencję e-mail dotyczącą pracownika, nagrania z monitoringu. Pracodawca ma miesiąc na realizację żądania.

Prawo do usunięcia danych — ograniczone w kontekście HR, ponieważ pracodawca ma obowiązek prawny przechowywania wielu kategorii danych przez określony czas. Pracodawca może odmówić usunięcia, powołując się na art. 17 ust. 3 lit. b GDPR (obowiązek prawny).

Prawo do sprzeciwu — pracownik może sprzeciwić się przetwarzaniu opartemu na uzasadnionym interesie pracodawcy (art. 21 GDPR). Pracodawca musi wówczas wykazać, że istnieją ważne prawnie uzasadnione podstawy nadrzędne wobec interesów pracownika.

Checklist RODO w HR — co powinna zrobić każda firma

1. Przygotuj klauzule informacyjne dla kandydatów, pracowników i współpracowników (oddzielne dla każdej grupy). Jak napisać prawidłową klauzulę informacyjną opisujemy w osobnym artykule.
2. Określ podstawy prawne przetwarzania dla każdego procesu HR (rekrutacja, zatrudnienie, szkolenia, benefity, monitoring, akta).
3. Przygotuj procedurę rekrutacyjną zgodną z RODO — określ zakres zbieranych danych, formę zbierania zgód, zasady usuwania danych po zakończeniu rekrutacji.
4. Ureguluj monitoring w regulaminie pracy lub obwieszczeniu — określ cele, zakres, sposób i okres przechowywania nagrań.
5. Wdróż procedurę pracy zdalnej uwzględniającą ochronę danych — zasady bezpieczeństwa, kontroli i reagowania na incydenty.
6. Przeszkol pracowników HR — z zakresu RODO, obsługi żądań pracowników i procedury naruszeń.
7. Dokonaj przeglądu umów powierzenia — z dostawcami systemów HR, kadrowo-płacowych, benefitowych, szkoleniowych.
8. Ustal okresy retencji danych — dla każdej kategorii danych pracowniczych, zgodnie z Kodeksem pracy i przepisami sektorowymi.
9. Przeprowadź DPIA — jeśli stosujesz monitoring, systemy oceny pracowników, profilowanie w HR lub przetwarzasz dane biometryczne.

Jak przeprowadzić DPIA opisujemy w osobnym artykule.

O stosowaniu AI w rekrutacji z perspektywy AI Act i RODO piszemy w osobnym artykule.

1. Zaplanuj regularne audyty procesów HR — co najmniej raz w roku.

Potrzebujesz wsparcia z RODO w HR?

Dział HR to obszar, w którym błędy RODO mają bezpośrednie konsekwencje — dla pracowników, dla pracodawcy i dla reputacji firmy. W Kancelarii Radcowskiej dr Joanny Maniszewskiej-Ejsmont pomagamy firmom w kompleksowym dostosowaniu procesów HR do wymagań RODO — od audytu dokumentacji kadrowej, przez wdrożenie procedur monitoringu i pracy zdalnej, po szkolenia dla działów HR i kadry zarządzającej.