Praca zdalna to dziś codzienność wielu firm. Zmienia się sposób świadczenia pracy, ale obowiązki związane z ochroną danych osobowych – nie. Wielu pracodawców i pracowników zadaje sobie pytania: Jakie dane osobowe mogą być przetwarzane w trakcie zatrudnienia? Czy do przetwarzania wszystkich danych potrzebna jest zgoda pracownika? Jakie zasady obowiązują przy pracy zdalnej z bazami klientów? W tym poradniku odpowiemy na te pytania, pokazując jednocześnie praktyczne przykłady i wskazówki zgodne z Kodeksem pracy i RODO.
Pracodawca jako administrator danych osobowych pracowników
Obowiązki wynikające z Kodeksu pracy
W relacji pracodawca–pracownik to pracodawca pełni rolę administratora danych osobowych, czyli podmiotu decydującego o celach i sposobach przetwarzania danych. Katalog danych osobowych, których pracodawca może żądać, wynika z art. 221 Kodeksu pracy.
Niektóre dane – jak imię i nazwisko, data urodzenia czy dane kontaktowe – są zawsze dopuszczalne do przetwarzania, nawet bez zgody pracownika. Podstawą prawną jest wypełnienie obowiązku prawnego przez pracodawcę jako administratora (art. 6 ust. 1 lit. c RODO).
W przypadku innych danych (np. dotyczących rodziny czy numeru konta), pracodawca może ich żądać tylko wtedy, gdy są one niezbędne do wykonania obowiązków prawnych – np. naliczenia zasiłku rodzinnego czy wypłaty pensji.
📌 Przykład 1:
Firma „TechMania” zatrudnia nowego programistę – pana Adama. W formularzu rekrutacyjnym prosi o imię, nazwisko, datę urodzenia, numer telefonu, wykształcenie i doświadczenie zawodowe. Wszystkie te dane są zgodne z art. 221 § 1 Kodeksu pracy i mogą być przetwarzane bez konieczności uzyskania zgody.
Przetwarzanie danych osobowych poza katalogiem z Kodeksu pracy
Choć art. 221 Kodeksu pracy zawiera szczegółowe wyliczenie danych, które można pozyskać bez zgody, nie jest to katalog zamknięty. Zgodnie z art. 221 § 4 k.p., możliwe jest przetwarzanie innych danych – pod warunkiem, że wynika to z przepisów prawa i jest niezbędne do realizacji uprawnienia lub obowiązku pracodawcy.
⚠️ Kluczowe jest tu słowo „niezbędne”. Jeśli cel można osiągnąć inaczej – przetwarzanie będzie bezprawne.
📌 Przykład 2:
Firma „Bezpieczni.pl” świadczy usługi ochrony mienia. Zgodnie z przepisami prawa, pracownicy muszą być niekarani. Pracodawca może więc przetwarzać dane o niekaralności – mimo że nie są one wymienione wprost w art. 221 – bo wynika to z odrębnych przepisów (np. ustawy o broni i amunicji).
Dane wymagające zgody pracownika
Dane, których nie można przetwarzać na podstawie obowiązku prawnego, można przetwarzać na podstawie dobrowolnej zgody pracownika (art. 221a Kodeksu pracy). Ale uwaga – zgoda musi być:
- dobrowolna,
- konkretna,
- świadoma,
- jednoznaczna.
Zgoda nie może być wymuszana ani stanowić podstawy do gorszego traktowania. Co ważne, zgody nie można uzyskać np. przy zatrudnieniu pod groźbą niepodpisania umowy.
🚫 Pracodawca nie może także przetwarzać danych o karalności (art. 10 RODO) na podstawie zgody – to wyklucza art. 221a § 1 k.p. Dane dotyczące zdrowia (art. 9 ust. 1 RODO) mogą być przetwarzane wyłącznie z inicjatywy pracownika (art. 221b § 1 k.p.).
Dane osobowe klientów przetwarzane przez pracownika – kto za nie odpowiada?
Nie tylko dane pracowników podlegają ochronie. W praktyce, pracownik często przetwarza dane osobowe klientów w trakcie realizacji swoich obowiązków służbowych – np. kontaktując się z kontrahentami czy tworząc oferty handlowe.
W zależności od sytuacji, pracodawca może być:
- Administratorem danych – gdy sam ustala cele przetwarzania (np. tworzy bazę klientów dla swojej działalności handlowej),
- Podmiotem przetwarzającym – gdy działa na zlecenie innego administratora, np. świadcząc usługę księgową na rzecz innej firmy.
📌 Przykład 3:
Biuro rachunkowe „FinBook” obsługuje kilku klientów biznesowych. Dane pracowników zatrudnionych w tych firmach są przetwarzane w ramach usług kadrowo-płacowych. W tym przypadku „FinBook” jest podmiotem przetwarzającym (procesorem), a klient – administratorem danych.
Obowiązki pracodawcy i pracownika w świetle RODO
Zarówno pracodawca jako administrator, jak i jako podmiot przetwarzający, musi zapewnić, że jego pracownicy przetwarzają dane osobowe wyłącznie na jego polecenie (art. 29 RODO).
Zwykle oznacza to nadanie pisemnego upoważnienia. Co ważne, w przypadku danych osobowych pracowników, Kodeks pracy nakłada obowiązek udzielenia pisemnego upoważnienia (art. 221b § 3 k.p.).
⚠️ Brak takiego upoważnienia może być uznany za naruszenie przepisów o ochronie danych.
🔒 Podsumowanie – co powinien zrobić pracodawca?
✔ Zidentyfikuj dane, które przetwarzasz – zarówno pracowników, jak i klientów.
✔ Zapewnij zgodność z art. 221 k.p. – nie żądaj danych, których nie potrzebujesz.
✔ Jeśli przetwarzasz dane na podstawie zgody – zadbaj o jej pełną dobrowolność.
✔ Upoważnij pisemnie pracowników do przetwarzania danych – szczególnie pracowniczych.
✔ W przypadku świadczenia usług dla innych firm – podpisz umowę powierzenia przetwarzania.
✔ Dbaj o zgodność z zasadą minimalizacji z art. 5 ust. 1 lit. c RODO.
📚 Podstawa prawna
- art. 221 § 1–5, art. 221a § 1–2, art. 221b § 1, 3 – Kodeks pracy
- art. 5 ust. 1 lit. c, art. 6 ust. 1 lit. c, art. 9 ust. 1, art. 10, art. 28, art. 29 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO)
- art. 28 – Ustawa z dnia 21 maja 1999 r. o broni i amunicji
Tematy porad zawartych w poradniku
- przetwarzanie danych osobowych pracownika
- zgoda RODO w zatrudnieniu
- upoważnienie do przetwarzania danych
- RODO a praca zdalna
- obowiązki pracodawcy RODO
Przydatne adresy urzędowe
- https://uodo.gov.pl – Urząd Ochrony Danych Osobowych