Pobierz e-pity 2018

Różne aspekty stosowania RODO w sprawach pracowniczych

Gazeta Podatkowa

Od 25 maja 2018 r. pracodawca musi poświęcić więcej uwagi procesowi przetwarzania danych osobowych związanych z zatrudnieniem. Od wskazanego dnia pracodawców obowiązuje bowiem rozporządzenie RODO, określające zasady przetwarzania danych osobowych. Dokumentacja pracownicza z reguły zawiera ich bardzo wiele, stąd mogą pojawić się pytania dotyczące dopuszczalności przetwarzania konkretnych danych.

W aktach tylko to, co potrzebne

Z dniem 25 maja 2018 r. zaczęło obowiązywać rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE... (Dz. Urz. UE L z 2016 r., nr 119/1), zwane RODO. Objęło ono bardzo szeroki krąg podmiotów, w tym pracodawców.

<<Przewodnik po RODO dla przedsiębiorców>>

Zgodnie z RODO przetwarzanie danych osobowych pracownika musi mieć określoną podstawę prawną i cel. Cel ten ma być konkretny, wyraźny i prawnie uzasadniony. Pracodawca, który przetwarza dane związane z zatrudnieniem, musi więc opierać się na przepisie, który mu na to pozwala oraz posiadać sprecyzowany cel przetwarzania tych danych. Podstawą prawną do przetwarzania danych mogą być odpowiednie regulacje RODO lub/i przepisy prawa krajowego. W myśl art. 6 ust. 1 RODO, przetwarzanie danych jest zgodne z przepisami (legalne przetwarzanie danych), jeżeli m.in.:

  • osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów,
  • przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.

Omawiane rozporządzenie określa też w art. 5 ust. 1 ogólne zasady dotyczące przetwarzania danych osobowych (patrz ramka). Podmiotem odpowiedzialnym za ich realizację jest administrator danych osobowych, m.in. pracodawca. Musi on być zdolny do wykazania przed organem nadzorczym, że ich przestrzega (zasada rozliczalności). W Polsce takim organem jest Prezes Urzędu Ochrony Danych Osobowych.

Pomoc socjalna z ochroną danych

Nowe przepisy dotyczące ochrony danych osobowych dotyczą w praktyce każdej sprawy kadrowej, zarówno ściśle pracowniczej, jak i pośrednio związanej z zatrudnieniem. Do takich pośrednich kategorii spraw należą kwestie dotyczące zakładowego funduszu świadczeń socjalnych.

<<Dane osobowe prawnika a RODO>>

Administrowanie ZFŚS wiąże się z wykorzystywaniem danych osobowych osób uprawnionych do świadczeń z ZFŚS, głównie dotyczących ich sytuacji materialno-bytowej. Wejście w życie RODO nie wykluczyło ani nie ograniczyło możliwości przetwarzania tych danych przez pracodawcę. Nadal aktualna pozostaje podstawa prawna ich przetwarzania - jest nią art. 8 ust. 1 ustawy o zakładowym funduszu świadczeń socjalnych (a od 25 maja br. również art. 6 ust. 1 lit. c RODO). W tym przypadku nie ma wymogu uzyskania zgody od osób uprawnionych na przetwarzanie ich danych, ponieważ wymienione przepisy są do tego wystarczającą podstawą. Natomiast może zajść konieczność aktualizacji regulaminu ZFŚS w kontekście wymagań RODO i krajowych przepisów dotyczących ochrony danych osobowych. We wspomnianym regulaminie pracodawca powinien wskazać:

  • swoje dane jako podmiotu uprawnionego do zbierania danych osobowych osób uprawnionych do świadczeń z ZFŚS (o ile wcześniej ich nie podał),
  • cel przetwarzania danych ww. osób (którym jest realizacja przysługujących im uprawnień z ZFŚS),
  • podstawę prawną przetwarzania danych (tj. art. 8 ust. 1 ustawy o ZFŚS w związku z art. 6 ust. 1 lit. c RODO).

Należy nadmienić, że pozostaje w mocy interpretacja Głównego Inspektora Ochrony Danych Osobowych (od 25 maja br. Prezesa Urzędu Ochrony Danych Osobowych), zgodnie z którą żądanie przedstawienia pracodawcy zeznania rocznego dla potrzeb przyznania świadczenia z ZFŚS jest zgodne z prawem. Jak uznał wskazany urząd, taka praktyka jest przejawem realizacji ustawy o ZFŚS, z tym zastrzeżeniem, że przetwarzanie uzyskanych w ten sposób danych będzie adekwatne do celu, w jakich zostały udostępnione, tj. do przyznania świadczenia socjalnego.

Ogólne zasady przetwarzania danych osobowych

Dane osobowe powinny być przetwarzane z uwzględnieniem zasad:

-zgodności z prawem, rzetelności i przejrzystości - dane powinny być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą,
-ograniczenia celu - dane powinny być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i (z pewnymi wyjątkami) nieprzetwarzane dalej w sposób niezgodny z tymi celami,
-minimalizacji danych - dane powinny być adekwatne, stosowne oraz ograniczone do tego, co jest niezbędne do celów, w których są one przetwarzane,
-prawidłowości - przetwarzane dane powinny być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane,
-ograniczenia przechowywania - dane powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą i (z pewnymi wyjątkami) przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane,
-integralności i poufności - dane powinny być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Podstawa prawna

Ustawa z dnia 4.03.1994 r. o zakładowym funduszu świadczeń socjalnych (Dz. U. z 2017 r. poz. 2191 ze zm.)

autor: Agata Barczewska
Gazeta Podatkowa nr 56 (1513) z dnia 2018-07-12

Należności z tytułu dostaw i usług. Wszystko na ten temat w poradniku na GOFIN.pl