zadzwoń:

22 455 56 01

Jeżeli potrzebujesz pomocy odwiedź nasze:

Centrum Wiedzy

lub

Zadzwoń 

Jeśli masz pytanie

zadzwoń:

22 455 56 00

lub

Wypełnij formularz kontaktowy

Oddzwonimy do Ciebie 

 

Każdego roku ustawodawca przygotowuje ponad

25 000 stron aktów prawnych

Podpowiemy Ci, jak poradzić sobie w gąszczu tak często zmieniających się przepisów. 

Zapisz się na Newsletter Prawny Sage

08 marca 2018

Dlaczego firma nie zawsze musi zapomnieć o pracowniku?


Jak przedsiębiorcy powinni chronić dane osobowe pracowników po wejściu w życie RODO? Czy będą one objęte taką samą ochroną, jak dane pozyskane od innych osób fizycznych?

Wielu przedsiębiorców zadaje pytania, jak wchodzące w życie Rozporządzenie o Ochronie Danych Osobowych (RODO) wpłynie na zarządzanie i uprawnienia do przetwarzania danych osobowych pracowników. Czy w stosunku do tych danych nowe przepisy będą miały takie samo zastosowanie, jak do danych pozyskanych od innych osób fizycznych? Czy prawo do bycia zapomnianym będzie można skutecznie zrealizować w stosunku do byłych pracowników lub kontrahentów, którzy figurują w rozliczeniach księgowych i podatkowych?


Ochrona danych osobowych

Co do zasady RODO ma zastosowanie w stosunku do wszystkich danych osobowych będących w posiadaniu firm (administratorów). Niezależnie od tego, czy dane należą do pracownika, dostawcy, partnera biznesowego czy klienta, RODO traktuje ochronę danych w sposób uniwersalny. Jednak w stosunku do niektórych danych, jak np. danych pracowniczych, mają również zastosowanie odrębne przepisy krajowe, które regulują różne kwestie dotyczące przetwarzania i archiwizacji.

Prawa obowiązujące w danym kraju odnoszą się do wielu aspektów związanych z przetwarzaniem, ochroną czy archiwizacją danych.

Przykład: okres, w jakim polski pracodawca zobowiązany jest archiwizować dane pracownicze (obecnie jest to 50 lat, a od 2019 r. 10 lat) regulują przepisy lokalne, m.in.: Kodeks pracy (art. 94, pkt 9b), Ustawa o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (art. 125a pkt 4) czy Ustawa o narodowym zasobie archiwalnym i archiwach (art. 51u).Sage

Spełniasz
wymogi
RODO?

SprawdźPrawo byłych pracowników do bycia zapomnianym

RODO w sposób uniwersalny traktuje także prawo każdej osoby fizycznej do żądania bezzwłocznego usunięcia jej danych z zasobów informacyjnych administratora (tzw. prawo do bycia zapomnianym). Czym innym są jednak dane osób, z którymi firma nie związała się żadną umową, współpracą czy transakcją, a czym innym dane np. pracowników. Informacje pracownicze należą do szczególnej kategorii danych, których ochrona, zasady przetwarzania i archiwizacji są szczegółowo regulowane obowiązującymi w danym kraju przepisami. Jeśli prawa te zobowiązują firmę do przechowywania bądź przetwarzania danych w określony sposób, to wynikające z RODO prawo do bycia zapomnianym nie może być traktowane nadrzędnie w stosunku do tych przepisów. Administrator musi zachować te dane, które są mu niezbędne do wypełnienia nałożonych na niego obowiązków wynikających z innych przepisów, m.in. z Kodeksu pracy.

Prawo osoby fizycznej do całkowitego wykasowania z systemów informatycznych administratora dotyczących jej danych będzie skuteczne, o ile zostanie spełniony przynajmniej jeden z warunków określonych w RODO. Rozpatrując żądanie usunięcia danych o pracownikach, istotne jest sprawdzenie, czy dane te są potrzebne do realizacji celu, w jakim je zebrano, oraz czy nie istnieją podstawy prawne do kontynuowania przetwarzanie danych, pomimo złożonego sprzeciwu osoby. Jeśli przetwarzanie określonych danych wynika z mocy prawa (unijnego czy krajowego), pomimo żądania usunięcia danych administrator nie może takich danych wykasować.


W myśl RODO prawo do bycia zapomnianym może być skutecznie zrealizowane, jeśli spełniony jest jeden z poniższych warunków (art. 17 ust. 1):

  •      Dane nie są już niezbędne do realizacji celu, w jakim je zebrano.
  •      Osoba wycofała zgodę na przetwarzanie jej danych osobowych i nie istnieją inne podstawy prawne do kontynuacji przetwarzania.
  •      Osoba sprzeciwia się przetwarzaniu jej danych oraz nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania.
  •      Osoba sprzeciwia się przetwarzaniu jej danych osobowych na potrzeby i w zakresie marketingu bezpośredniego (w tym profilowania).
  • Przetwarzanie danych nie było zgodne z RODO lub innymi przepisami prawa.
  • Dane osobowe zostały zebrane w nawiązaniu do oferowania usług społeczeństwa informatycznego bezpośrednio osobom poniżej 16 lat (w Polsce przyjęty zostanie limit 13 lat).

Jednocześnie RODO przytacza warunki, wobec których administrator danych nie może zrealizować prawa osoby fizycznej do bycia zapomnianym. W przypadku obszaru kadrowego kluczowy jest zapis z art. 17, ust. 3b, który mówi, że uprawnienia osoby fizycznej do bycia zapomnianym nie mają zastosowania „(…) w zakresie, w jakim przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi”. Ponadto w ust. 3d napisane jest, że prawo do bycia zapomnianym nie ma zastosowania dla przetwarzania danych w zakresie, w jakim jest niezbędne ustalenie, dochodzenie lub obrona roszczeń.

Przygotowując dział kadrowy do wymagań RODO, trzeba zatem mieć na uwadze regulacje przepisów krajowych i odpowiednio do nich dostosować firmowe procedury dotyczące danych pracowników.

baner_rodo_sage_academy_intersitialSage ©Sage Group plc 2018 . ®Wszelkie prawa zastrzeżone