Zgodnie z art. 221 § 2 i 4 Kodeksu pracy pracodawca ma prawo żądać od pracownika, którego zdecydował się zatrudnić, podania, niezależnie od danych osobowych, które mógł od niego pozyskać w toku rekrutacji, także:
- innych jego danych osobowych, a także imion i nazwisk oraz dat urodzenia jego dzieci, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez niego ze szczególnych uprawnień przewidzianych w prawie pracy;
- jego numeru PESEL,
- innych danych osobowych niż pozyskane w procesie rekrutacji i wskazane wyżej, jeżeli obowiązek ich podania wynika z odrębnych przepisów.
Należy pamiętać, iż dane pracownika są poufne i nie mogą być ujawniane bez jego zgody bądź innej podstawy prawnej.
Czy pracodawca może przetwarzać dane wrażliwe?
Zgodnie z art. 9 RODO, dane szczególnej kategorii, czyli dane wrażliwe to dane osobowe, pozwalające na jednoznaczne zidentyfikowanie osoby fizycznej będące: danymi biometrycznymi (dane osobowe, które dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne).
Przetwarzanie tych kategorii danych jest dozwolone, ale obwarowane zdecydowanie bardziej rygorystycznymi wymogami, niż te wynikające z art. 6 RODO. Przetwarzanie tych kategorii danych osobowych jest więc dopuszczalne jeżeli osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że przepisy prawa wyraźnie zakazują takiego przetwarzania.
Ustawa o ochronie danych osobowych przewiduje kary za bezprawne korzystanie z danych wrażliwych – odpowiedzialność karna.
Wskazać także należy, że do przetwarzania danych osobowych, o których mowa w art. 9 ust. 1 RODO mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są wówczas jednocześnie obowiązane do zachowania ich w tajemnicy.
Jak stwierdził Naczelny Sąd Administracyjny w wyroku z dnia 1 grudnia 2009 r. (sygn. I OSK 249/09): Brak równowagi w relacji pracodawca pracownik stawia pod znakiem zapytania dobrowolność wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych). Z tego względu ustawodawca ograniczył przepisem art. 22 Kodeksu Pracy katalog danych, których pracodawca może żądać od pracownika. Uznanie faktu wyrażenia zgody, jako okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 22 Kodeksu pracy, stanowiłoby obejście tego przepisu.
Czy pracodawca może skserować dowód osobisty pracownika?
Zgodnie z pismem z dnia 5 lipca 2012 r. Generalnego Inspektora Ochrony Danych Osobowych, kserowanie dowodu osobistego przez pracodawcę narusza ustawę o ochronie danych osobowych, jeżeli prowadzi do pozyskania szerszego zakresu danych osobowych niż ten, do którego pracodawca jest uprawniony w postaci: imienia, nazwiska, imion rodziców, daty urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenia, przebiegu dotychczasowego zatrudnienia. Zatem jeżeli pracodawca, kserując dowód osobisty pozyskiwałby dane osobowe w zakresie szerszym niż ten, do pozyskania którego uprawnia go art. 221 § 1 k.p. lub inne, szczególne przepisy prawa, to należy uznać, że takie działanie stanowiłoby naruszenie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych.
Czy pracodawca może posługiwać się wizerunkiem pracownika?
Ze względu na to, że wizerunku pracownika nie ma wśród danych wskazanych w Kodeksie pracy, aby pracodawca mógł je pozyskać i umieścić chociażby na identyfikatorze czy na stronie internetowej musi legitymować się zgodą pracownika (takie same zastosowanie będzie w przypadku żądania ujawnienia wizerunku podmiotowi trzeciemu). Należy jednak zaznaczyć, że zgoda musi być udzielona dobrowolnie, a zatem pozyskiwanie przez pracodawcę zgody pracownika będzie możliwe, jeżeli pracownik będzie miał możliwość odmowy jej udzielenia i nie spotkają go z tego powodu żadne negatywne konsekwencje. Warto dodać, że zgoda może być odwołana w każdym czasie. Istnieją jednak sytuacje wyjątkowe, gdy wizerunek pracownika jest ściśle związany z wykonywanym przez niego zawodem czy charakterem pracy i wskazywanie wizerunku pracownika przewidują wprost przepisy prawa (np. pracownik ochrony).
Przetwarzanie danych biometrycznych pracownika jest dopuszczalne wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony (art. 221b §2 Kodeksu pracy).
Czy brak zgody pracownika na przetwarzanie jego danych osobowych innych niż wskazane w kodeksie pracy może skutkować wypowiedzeniem umowy o pracę?
Brak zgody pracownika na przetwarzanie danych innych niż podstawowe lub jej wycofanie, nie może być podstawą niekorzystnego traktowania pracownika, a także nie może wobec niego powodować jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny wypowiedzenia umowy o pracę lub jej rozwiązania bez wypowiedzenia przez pracodawcę (art. 221a §2 Kodeksu pracy).
Zgodnie z art. 221b §1 Kodeksu pracy, zgoda pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych, o których mowa w art. 9 ust. 1 RODO, tj. danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby, wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy pracownika. Również w tym przypadku brak zgody lub jej wycofanie nie może być podstawą niekorzystnego traktowania pracownika.
Co gdy dojdzie do ujawnienia danych wrażliwych pracownika? Kiedy należy się odszkodowanie?
Gdy pracownik zdecyduje się na udzielenie dostępu do swoich danych osobowych wrażliwych, wówczas w przypadku ich naruszenie, przysługuje skarga do Urzędu Ochrony Danych Osobowych (UODO). Ponadto zgodnie z przepisem z art. 82 ust. 1 RODO – Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Odpowiedzialność za naruszenie danych osobowych przez pracodawcę ponosi sam przedsiębiorca jako administrator danych, zgodnie z przepisami RODO będzie to każdy administrator uczestniczący w przetwarzaniu danych oraz tzw. podmiot przetwarzający. Jeżeli pracodawca korzysta z usług innego podmiotu w zakresie przetwarzania danych (np. zewnętrznego podmiotu odpowiadającego za bezpieczeństwo danych albo) albo z podmiotu mającego dostęp do tych danych (np. księgowość) i szkoda będzie wynikiem działania również podmiotu zewnętrznego, wówczas odpowiedzialność poniosą pracodawca oraz podmiot zewnętrzny.
Jeśli potrzebujesz porady prawnej w zakresie prawa pracy to zapraszamy do kontaktu kontakt@radcaprawnygdansk.com.pl lub za pomocą formularza kontaktowego.
Uwaga
Powyższe informacje stanowią opis stanu prawnego na dzień publikacji i nie są poradą prawną w indywidualnej sprawie. Stan prawny od opublikowania artykułu może ulec zmianie. Kancelaria nie ponosi odpowiedzialności za wykorzystanie wpisu w celu rozwiązania problemów prawnych. W przypadku wątpliwości zapraszam do bezpośredniego kontaktu z kancelarią.