RODO w kadrach i płacach: dokumenty i załączniki do sprawy
Przetwarzanie danych osobowych w działach kadr i płac stanowi jeden z najbardziej wrażliwych obszarów w każdym przedsiębiorstwie. Pracodawca, jako administrator danych osobowych, codziennie operuje na szerokim katalogu informacji dotyczących nie tylko samych pracowników, ale również kandydatów do pracy, ich rodzin, a także osób zatrudnionych na podstawie umów cywilnoprawnych. Wdrożenie i przestrzeganie zasad Ogólnego Rozporządzenia o Ochronie Danych (RODO) w tym obszarze wymaga nie tylko znajomości teorii, ale przede wszystkim posiadania i prawidłowego stosowania odpowiedniej dokumentacji. Niniejsze opracowanie stanowi praktyczny przewodnik i checklistę, która pomoże uporządkować dokumenty, załączniki oraz procedury, minimalizując ryzyko nałożenia kar przez organ nadzorczy.
Dlaczego ochrona danych w kadrach i płacach wymaga szczególnej uwagi?
Działy kadr i płac przetwarzają dane o charakterze szczególnym (tzw. dane wrażliwe), takie jak informacje o stanie zdrowia (np. zwolnienia lekarskie, orzeczenia o niepełnosprawności, dokumentacja związana z wypadkami przy pracy), dane dotyczące przynależności związkowej czy wyroków skazujących (w przypadkach określonych przepisami prawa). Dodatkowo, standardowe dane, takie jak numery PESEL, adresy zamieszkania, numery rachunków bankowych czy wysokość wynagrodzenia, stanowią dane o wysokim poziomie poufności. Każdy wyciek takich informacji może skutkować poważnymi konsekwencjami dla osób, których dane dotyczą, a dla pracodawcy oznaczać dotkliwe kary finansowe nakładane przez organ nadzorczy, czyli Prezesa Urzędu Ochrony Danych Osobowych (PUODO), a także utratę reputacji i konieczność wypłaty odszkodowań.
Podstawy prawne przetwarzania danych w zatrudnieniu
Zanim przejdziemy do szczegółowej listy dokumentów, należy dokładnie zrozumieć, na jakiej podstawie prawnej działy kadr i płac mogą przetwarzać dane osobowe. Głównym źródłem uprawnień dla pracodawcy jest Kodeks pracy, a w szczególności art. 22(1). Przepis ten precyzyjnie określa, jakich danych pracodawca może żądać od kandydata do pracy oraz od pracownika.
Art. 22(1) Kodeksu pracy a RODO
Zgodnie z Kodeksem pracy, od kandydata do pracy można żądać m.in. imienia, nazwiska, danych kontaktowych, wykształcenia oraz przebiegu dotychczasowego zatrudnienia (jeśli jest to niezbędne do wykonywania pracy na danym stanowisku). Od pracownika można dodatkowo żądać m.in. numeru PESEL, adresu zamieszkania, danych dotyczących dzieci (jeśli pracownik chce skorzystać ze szczególnych uprawnień rodzicielskich) oraz numeru rachunku bankowego. Przetwarzanie tych danych opiera się na art. 6 ust. 1 lit. c RODO (wypełnienie obowiązku prawnego ciążącego na administratorze). Oznacza to, że pracodawca nie musi pytać pracownika o zgodę na przetwarzanie tych danych – obowiązek ich podania wynika bezpośrednio z przepisów prawa.
Zgoda pracownika jako wyjątek, a nie reguła
Wielu pracodawców błędnie uważa, że na przetwarzanie wszelkich danych pracownika muszą uzyskać jego zgodę. W relacji pracodawca-pracownik występuje naturalna nierównowaga sił, co powoduje, że zgoda pracownika rzadko może być uznana za w pełni dobrowolną. Zgoda (art. 6 ust. 1 lit. a RODO) może być podstawą przetwarzania tylko w ściśle określonych przypadkach, np. gdy pracownik dobrowolnie przekazuje dane inne niż wymienione w Kodeksie pracy (np. prywatny numer telefonu czy adres e-mail do celów ułatwienia kontaktu) lub gdy dotyczy to wizerunku pracownika (np. zdjęcie na identyfikatorze lub stronie internetowej firmy). Zgoda nie może być jednak wymuszana ani stanowić warunku zatrudnienia.
Niezbędna dokumentacja RODO w dziale kadr i płac – Checklista
Aby dział kadr i płac działał zgodnie z prawem, pracodawca musi wdrożyć szereg dokumentów. Poniżej przedstawiamy kompletną checklistę niezbędnych formularzy i procedur, które powinny znaleźć się w każdym przedsiębiorstwie.
1. Obowiązek informacyjny (klauzule informacyjne)
Każda osoba, której dane są przetwarzane, musi otrzymać wyczerpującą informację o tym, kto jest administratorem jej danych, w jakim celu i na jakiej podstawie prawnej są one przetwarzane, komu mogą być przekazywane, jak długo będą przechowywane oraz jakie prawa jej przysługują. W kadrach i płacach wyróżniamy trzy podstawowe klauzule informacyjne:
- Klauzula dla kandydatów do pracy (rekrutacyjna) – powinna być udostępniana już na etapie zbierania aplikacji (np. jako załącznik do ogłoszenia o pracę lub automatyczna odpowiedź na przesłane CV).
- Klauzula dla pracowników – wręczana w momencie podpisywania umowy o pracę, najczęściej jako załącznik do umowy lub element pakietu powitalnego.
- Klauzula dla zleceniobiorców i wykonawców dzieł – dostosowana do specyfiki umów cywilnoprawnych, uwzględniająca inne podstawy prawne niż Kodeks pracy.
2. Upoważnienia do przetwarzania danych osobowych
Zgodnie z art. 29 RODO, każda osoba działająca z upoważnienia administratora, która ma dostęp do danych osobowych, musi posiadać stosowne upoważnienie. W dziale kadr i płac oznacza to, że:
- Wszyscy pracownicy tego działu (kadrowe, specjaliści ds. płac, księgowi) muszą posiadać pisemne upoważnienia określające zakres danych, do których mają dostęp (np. dane kadrowe, dane płacowe, dane wrażliwe).
- Upoważnienia powinny być ewidencjonowane w specjalnym rejestrze upoważnień, prowadzonym przez administratora lub Inspektora Ochrony Danych (IOD).
- Pracownicy kadr i płac muszą podpisać oświadczenie o zachowaniu poufności, które zachowuje ważność również po ustaniu stosunku pracy.
3. Umowy powierzenia przetwarzania danych (DPA)
Działy kadr i płac bardzo często korzystają z zewnętrznych dostawców usług. Jeśli firma zleca prowadzenie kadr i płac zewnętrznemu biuru rachunkowemu, korzysta z systemów kadrowo-płacowych w chmurze (SaaS), korzysta z usług zewnętrznego brokera ubezpieczeniowego, medycyny pracy czy firm szkoleniowych, dochodzi do powierzenia przetwarzania danych osobowych. W takich sytuacjach niezbędne jest zawarcie umowy powierzenia przetwarzania danych (zgodnie z art. 28 RODO). Brak takiej umowy jest jednym z najczęstszych błędów wykrywanych podczas kontroli organu nadzorczego.
4. Rejestr Czynności Przetwarzania (RCP)
Pracodawca zatrudniający powyżej 250 osób (lub mniejszy, jeśli przetwarzanie nie ma charakteru sporadycznego lub obejmuje dane wrażliwe – co w przypadku kadr i płac ma miejsce zawsze) ma obowiązek prowadzenia Rejestru Czynności Przetwarzania. W rejestrze tym należy opisać wszystkie procesy przetwarzania zachodzące w kadrach i płacach, takie jak: rekrutacja, obsługa zatrudnienia, naliczanie płac, obsługa ZFŚS, medycyna pracy, szkolenia czy PPK (Pracownicze Plany Kapitałowe).
5. Procedury wewnętrzne i polityki ochrony danych
W firmie powinny funkcjonować jasne procedury określające m.in. zasady czystego biurka i czystego ekranu, procedurę zgłaszania naruszeń ochrony danych (gdy np. pasek płacowy trafi do niewłaściwego pracownika), politykę haseł oraz procedurę retencji (usuwania) danych po upływie okresów ich przechowywania.
Załączniki i wnioski w bieżącej pracy kadr i płac
Prawidłowe wdrożenie RODO to nie tylko statyczne dokumenty, ale również obsługa bieżących spraw i wniosków pracowników. Dział kadr i płac musi być przygotowany na realizację praw osób, których dane dotyczą, oraz na prawidłowe zbieranie załączników do spraw pracowniczych.
Wniosek o realizację praw osoby, której dane dotyczą
Pracownicy mają prawo do dostępu do swoich danych, ich sprostowania, usunięcia („prawo do bycia zapomnianym”), ograniczenia przetwarzania czy przenoszenia danych. Dział kadr i płac musi posiadać gotowy formularz wniosku, który ułatwi pracownikom realizację tych praw, a pracodawcy pozwoli na szybką i zgodną z prawem reakcję. Należy pamiętać, że na odpowiedź na taki wniosek administrator ma zasadniczo termin jednego miesiąca.
Kwestionariusze osobowe a zakres pozyskiwanych danych
Kwestionariusz osobowy dla kandydata oraz kwestionariusz dla pracownika to podstawowe załączniki gromadzone w aktach osobowych. Muszą być one ściśle dostosowane do aktualnego brzmienia Kodeksu pracy. Niedopuszczalne jest stosowanie starych wzorów kwestionariuszy, które wymagały podania np. imion rodziców (co zostało usunięte z przepisów) czy innych nadmiarowych danych. Zbieranie nadmiarowych danych stanowi bezpośrednie naruszenie zasady minimalizacji danych (art. 5 ust. 1 lit. c RODO).
Dokumentacja związana z ZFŚS (Zakładowy Fundusz Świadczeń Socjalnych)
Zakładowy Fundusz Świadczeń Socjalnych to obszar podwyższonego ryzyka. Aby przyznać ulgową usługę lub świadczenie, pracodawca musi zweryfikować sytuację życiową, rodzinną i materialną pracownika. Wiąże się to z koniecznością wglądu w dokumenty finansowe (np. PIT pracownika i jego współmałżonka). Pracodawca może żądać przedstawienia tych dokumentów do wglądu, jednak ich kopiowanie i przechowywanie w aktach jest co do zasady niedozwolone, chyba że przepisy wewnętrzne (regulamin ZFŚS) i przepisy szczególne na to pozwalają w ograniczonym zakresie. Zawsze należy dbać o to, aby zbierać jedynie oświadczenia, a dokumenty źródłowe jedynie przeglądać.
Najczęstsze błędy i ryzyka w obszarze kadr i płac
Analiza decyzji Prezesa UODO pozwala na wskazanie najczęstszych uchybień w działach kadr i płac, które mogą skutkować dotkliwymi karami finansowymi:
- Przechowywanie dokumentów rekrutacyjnych po zakończeniu procesu rekrutacji bez uzyskania dodatkowej zgody kandydata na poczet przyszłych rekrutacji. Po zakończeniu rekrutacji dokumenty te powinny być niezwłocznie usunięte lub zwrócone kandydatowi.
- Kserowanie dowodów osobistych lub innych dokumentów tożsamości pracowników (np. kart pobytu cudzoziemców) w sytuacjach, gdy wystarczy jedynie spisanie danych. Praktyka ta była wielokrotnie potępiana przez organ nadzorczy.
- Wysyłanie pasków płacowych lub informacji o zatrudnieniu na prywatne adresy e-mail pracowników bez odpowiedniego zabezpieczenia (np. bez szyfrowania pliku PDF hasłem). Wysyłka niezabezpieczonych danych płacowych stanowi poważne naruszenie bezpieczeństwa.
- Brak regularnego niszczenia dokumentów, których okres przechowywania minął (np. starych wniosków urlopowych, dokumentacji powypadkowej po upływie terminów).
- Dopuszczanie do pracy osób bez uprzedniego podpisania upoważnienia do przetwarzania danych osobowych oraz oświadczenia o poufności.
Rola organu nadzorczego (UODO) i terminy przechowywania danych
Organ nadzorczy, czyli Urząd Ochrony Danych Osobowych, ma prawo do przeprowadzenia kontroli u każdego pracodawcy. Kontrola może być wynikiem rutynowej kontroli sektorowej lub skargi złożonej przez obecnego lub byłego pracownika. W przypadku stwierdzenia naruszeń, organ może nałożyć upomnienie, nakazać dostosowanie operacji przetwarzania do przepisów RODO, a w skrajnych przypadkach nałożyć administracyjną karę pieniężną.
Jednym z kluczowych aspektów kontrolowanych przez organ jest przestrzeganie terminów przechowywania danych (retencja). Zgodnie z polskim prawem:
- Akta osobowe pracowników zatrudnionych po 1 stycznia 2019 r. co do zasady przechowuje się przez okres 10 lat od końca roku kalendarzowego, w którym stosunek pracy ustał.
- Dla pracowników zatrudnionych przed tą datą okres ten może wynosić 50 lat, chyba że pracodawca złożył odpowiednie raporty informacyjne (OSW i RIA), co pozwala skrócić ten czas do 10 lat.
- Dokumentacja rekrutacyjna powinna być usunięta niezwłocznie po zakończeniu rekrutacji, chyba że kandydat wyraził zgodę na dalsze przetwarzanie (wtedy termin określa pracodawca, np. 1 rok lub 2 lata).
- Dane z zakresu ZFŚS powinny być przechowywane tylko przez okres niezbędny do przyznania świadczenia oraz dochodzenia ewentualnych roszczeń (najczęściej do 3-5 lat, zgodnie z regulaminem funduszu).
Praktyczny przykład wdrożenia procedury RODO
Wyobraźmy sobie sytuację w firmie produkcyjnej zatrudniającej 150 pracowników. Pracodawca postanawia uporządkować dokumentację kadrowo-płacową pod kątem zgodności z RODO. W tym celu podejmuje następujące kroki:
Po pierwsze, przeprowadza audyt posiadanych dokumentów i stwierdza, że w aktach osobowych znajdują się kopie dowodów osobistych oraz stare kwestionariusze z danymi rodziców. Dokumenty te zostają protokolarnie zniszczone w niszczarce o odpowiedniej klasie tajności, a fakt ten zostaje odnotowany w wewnętrznym protokole.
Po drugie, opracowuje nowy wzór kwestionariusza osobowego zgodny z art. 22(1) Kodeksu pracy oraz przygotowuje jednolitą klauzulę informacyjną, którą odtąd podpisuje każdy nowo zatrudniany pracownik wraz z umową o pracę. Klauzula ta jest również dołączana do umów cywilnoprawnych.
Po trzecie, nadaje pisemne upoważnienia dwóm pracownicom działu kadr i płac oraz zobowiązuje je do stosowania zasady czystego biurka (chowanie dokumentów do zamykanych szaf przed wyjściem z biura) oraz blokowania ekranów komputerów przy każdym oddaleniu się od stanowiska pracy.
Po czwarte, podpisuje umowę powierzenia przetwarzania danych z zewnętrzną firmą IT, która dostarcza i serwisuje system kadrowo-płacowy w chmurze. Dzięki tym działaniom firma minimalizuje ryzyko wycieku danych oraz pomyślnie przechodzi ewentualną kontrolę ze strony UODO, wykazując się pełną rozliczalnością (zgodnie z art. 5 ust. 2 RODO).
Podsumowanie i rekomendacje dla pracodawców
Zapewnienie zgodności z RODO w kadrach i płacach to nie jednorazowe zadanie, ale ciągły proces monitorowania, aktualizowania i edukowania personelu. Każdy wniosek pracownika, każda zmiana w przepisach prawa pracy czy wdrożenie nowego systemu informatycznego wymaga analizy pod kątem ochrony danych osobowych. Posiadanie rzetelnie przygotowanej dokumentacji, w tym klauzul informacyjnych, upoważnień, umów powierzenia oraz rejestrów, to fundament bezpiecznego prowadzenia biznesu. Inwestycja w prawidłowe procedury chroni firmę przed dotkliwymi karami finansowymi ze strony organu nadzorczego oraz buduje wizerunek pracodawcy jako podmiotu odpowiedzialnego i dbającego o prywatność swoich pracowników.