WYBRANE STANOWISKA UODO

Korzystanie przez pracodawcę z prywatnych danych kontaktowych pracownika (stanowisko opublikowane 17 sierpnia 2020 r.)

Pracodawca, który dysponuje danymi kontaktowymi do pracownika pozyskanymi podczas rekrutacji, takimi jak np. adres prywatnej poczty elektronicznej czy numer prywatnego telefonu komórkowego, nie może ich wykorzystywać do kontaktów zawodowych z pracownikiem bez jego zgody.

"(...) Kodeks pracy nie wskazuje zatem prywatnego adresu poczty elektronicznej i numeru prywatnego telefonu jako danych, których pracodawca ma prawo żądać od pracownika. W polskim systemie prawnym nie istnieje też żaden przepis, który zobowiązywałby osobę fizyczną do posiadania takich środków komunikacji. Dysponowanie adresem poczty elektronicznej i telefonem jest i powinno pozostać dobrowolne.

Żeby pracodawca mógł przetwarzać w celach zawodowych dane kontaktowe do pracownika, które pozyskał podczas rekrutacji, takie jak np. adres prywatnej poczty elektronicznej czy numer prywatnego telefonu komórkowego, musi uzyskać na to jego zgodę (pisemną, określającą zasady kontaktu).

Warto bowiem pamiętać, że zazwyczaj podczas rekrutacji, pozyskując dane, o których mowa w art. 22¹ § 1 Kodeksu pracy, a więc m.in. dane kontaktowe wskazane przez osobę ubiegającą się o zatrudnienie, pracodawca, spełniając obowiązek informacyjny deklaruje, że będzie je przetwarzał jedynie na potrzeby przeprowadzenia naboru. Zatem na ten nowy cel przetwarzania danych pracownika, jakim jest kontaktowanie się z nim w celach służbowych, musi pozyskać zgodę zatrudnionego.

(...) Należy też pamiętać, że pracownik ma prawo w dowolnym momencie udzieloną zgodę wycofać, a pracodawca zaprzestać przetwarzania danych wykorzystywanych na podstawie tej przesłanki.

Ponadto brak zgody, lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę (22^1a § 2 Kodeksu pracy).

Inna sytuacja powstaje wówczas, gdy zgodnie z art. 22¹ § 4 Kodeksu pracy pracodawca żąda podania innych danych osobowych pracownika niż określone w § 1 i 3 (jak m.in. imię, nazwisko, adres zamieszkania czy numer PESEL), gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Przykładem takiej sytuacji może być przekazanie danych kontaktowych, np. prywatnego adresu e-mail i numeru prywatnego telefonu, w związku z obowiązkiem zawarcia umowy o prowadzenie Pracowniczych Planów Kapitałowych z wybraną instytucją finansową. Pracodawca ma bowiem obowiązek prawny przekazania danych osobowych m.in. w postaci adresu poczty elektronicznej i numeru telefonu od pracownika bez wyrażenia jego zgody do wybranej instytucji finansowej, o ile pracownik takie dane mu udostępni. Podstawą legalizującą ich działania jest zaś art. 6 ust. 1 lit. c RODO. Należy podkreślić, że pracodawca musi przetwarzać takie dane jedynie w celu ich przekazania do wybranej instytucji finansowej. (...)".

Kontrola służbowej poczty elektronicznej pracownika (stanowisko opublikowane 13 sierpnia 2020 r.)

Coraz częściej pracodawcy decydują się na wprowadzenie kontroli służbowej poczty elektronicznej pracownika. Zgodnie z Kodeksem pracy, trzeba poinformować pracownika o prowadzeniu monitoringu poczty.

"(...) Należy pamiętać, że pracodawca może wprowadzić monitoring poczty elektronicznej pracownika, w sytuacji gdy jest to niezbędne w jego ocenie do zapewnienia organizacji pracy, umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. Ponadto, kontrola ta nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika (art. 22³ ustawy z dnia 26 czerwca 1974 r. Kodeks pracy).

Pracownik musi zostać poinformowany w jakim celu pracodawca zamierza stosować monitoring, poznać zakres oraz sposób zastosowania monitoringu. Informacje te ustala się w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy.

Zgodnie z art. 22² § 7 Kodeksu pracy pracodawca informuje pracowników o wprowadzeniu monitoringu w sposób u niego przyjęty w zakładzie pracy. Zatem może to mieć formę pisma skierowanego do każdego pracownika, obwieszczenia na tablicy ogłoszeń, komunikatu mailowego skierowanego do załogi, czy informacji przekazanej za pośrednictwem zakładowego intranetu.

Pracodawca informuje pracownika o wprowadzeniu monitoringu poczty elektronicznej, nie później niż dwa tygodnie przed jego uruchomieniem.".

Stosowanie monitoringu wizyjnego w miejscu pracy (stanowisko opublikowane 12 sierpnia 2020 r.)

W momencie nagrywania obrazu przez kamery, obejmującego wizerunek pracowników, dochodzi do przetwarzania danych osobowych. Zatem pracodawca powinien brać pod uwagę przepisy RODO.

"(...) Pracodawca, decydując się na założenie monitoringu wizyjnego w zakładzie pracy, powinien określić konkretny cel, w którym będzie on wykorzystywany. Monitoring ma służyć zapewnieniu bezpieczeństwa pracowników lub ochrony mienia, lub kontroli produkcji, lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, a obszar nadzoru może obejmować teren zakładu pracy lub teren wokół zakładu pracy.

(...) Pracodawca korzystający z monitoringu powinien poinformować osoby, które potencjalnie mogą zostać nim objęte, o tym, że monitoring jest stosowany i jaki obszar jest nim objęty. Powinien spełnić także obowiązek informacyjny wynikający z art. 13 RODO, czyli m.in. podać swoją nazwę, adres, obszar oraz cel monitorowania, okres przetwarzania danych - co ma również istotne znaczenie dla dochodzenia roszczeń, czy też wskazać ewentualnych odbiorców danych.

Pracownicy natomiast muszą mieć świadomość, że w miejscu, w którym się znajdują, wprowadzono monitoring. Pracodawca, zgodnie z Kodeksem pracy, oznacza pomieszczenia i teren monitorowany w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem.

Tablice informujące o zainstalowanym monitoringu powinny być widoczne, umieszczone w sposób trwały w niezbyt dużej odległości od nadzorowanych miejsc. Ich wymiary muszą być proporcjonalne do miejsca, gdzie zostały umieszczone. Stosowane mogą być dodatkowo piktogramy informujące o objęciu dozorem kamer. Z uwagi na to, że należy dopełnić obowiązku informacyjnego określonego w art. 13 RODO, nie jest jednak wystarczające oznaczenie obszaru objętego monitoringiem jedynie piktogramami. Nie oznacza to jednak konieczności umieszczania wszystkich informacji wskazanych w tym przepisie przy tabliczce informacyjnej. W takiej sytuacji możliwe jest zastosowanie warstwowych not informacyjnych. A więc na tablicy wystarczające mogą być informacje o tym przez kogo, w jakim celu i na jakich podstawach prawnych jest prowadzony monitoring oraz dane kontaktowe IOD, jeżeli został powołany. Należy także poinformować jaki obszar obejmuje monitoring, jakie prawa ma osoba obserwowana oraz gdzie możemy zapoznać się z dodatkowymi informacjami na ten temat.

Jednocześnie, należy podkreślić, że pracodawca powinien zamieścić informacje o celach, zakresie oraz sposobie zastosowania monitoringu w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy.

(...) Monitoring to środek techniczny umożliwiający rejestrację obrazu. Co za tym idzie - monitoring wizyjny nie może nagrywać dźwięku. Stosowanie kamer rejestrujących również dźwięk może, w przypadkach nieuregulowanych przepisami prawa, zostać uznane za naruszenie prywatności oraz za nadmiarową formę przetwarzania danych, a co za tym idzie wiązać się z odpowiedzialnością nie tylko administracyjną i cywilną ale również i karną. Ponadto, w trakcie nagrania obrazu i dźwięku za pośrednictwem kamery będzie dochodzić do ujawnienia tajemnic prawnie chronionych.

(...) Pracodawca, od którego pracownik domaga się udostępnienia dotyczących go nagrań z monitoringu wizyjnego powinien wziąć pod uwagę to żądanie. Podstawą takiego działania będzie art. 15 ust. 1 RODO. Administrator ma obowiązek udostępnić osobie informacji związanych z przetwarzaniem jej danych osobowych, jak cel przetwarzania, kategorię danych osobowych, odbiorców lub kategorii odbiorców, którym dane osobowe zostały lub zostaną ujawnione, planowanego okresu przechowywania danych osobowych oraz innych informacji wskazanych w przywołanym przepisie. (...)".

Zakres danych jakie można przekazywać podczas kontroli (stanowisko opublikowane 3 sierpnia 2020 r.)

Instytucjom wykonującym swoje zadania na podstawie uprawnień ustawowych, nie można odmówić udostępnienia żądanych dokumentów.

"(...) Zgodnie z ustawą z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych, jednym z zadań ZUS jest kontrola płatników składek. Kontrola ta służy ocenie wywiązywania się przez płatników z obowiązków w zakresie ubezpieczeń społecznych.

W trakcie przeprowadzania kontroli inspektorzy ZUS mają prawo m.in. badać wszelkie księgi, dokumenty finansowo-księgowe i osobowe oraz inne nośniki informacji związane z zakresem kontroli. Mogą również dokonywać oględzin i spisu składników majątku płatników składek zalegających z opłatą należności z tytułu składek oraz zabezpieczać zebrane dowody. Ponadto mogą żądać udzielania informacji przez płatnika składek i ubezpieczonego, legitymować osoby w celu ustalenia ich tożsamości, jeśli jest to niezbędne dla potrzeb kontroli. Inspektorzy mogą również przesłuchiwać świadków oraz płatnika składek i ubezpieczonego, jeżeli z powodu braku lub po wyczerpaniu innych środków dowodowych pozostały niewyjaśnione okoliczności mające znaczenie dla postępowania kontrolnego.

W związku z ww. uprawnieniami kontrolnymi ZUS płatnicy składek są zobowiązani m.in. udostępnić wszelkie księgi, dokumenty i inne nośniki informacji związane z zakresem kontroli. Dotyczy to także tych dokumentów czy nośników, które przechowują także u osób trzecich w związku z powierzeniem tym osobom niektórych czynności na podstawie odrębnych umów. Płatnicy muszą też udostępniać do oględzin składniki majątku, których badanie wchodzi w zakres kontroli, jeżeli zalegają z opłatą należności z tytułu składek. Mogą mieć również obowiązek sporządzenia i wydania kopii dokumentów związanych z zakresem kontroli i określonych przez inspektora. Kontrolujący może też domagać się, by płatnik udzielał mu wyjaśnień.

(...) Do zadań PIP należy sprawowanie nadzoru i kontroli przestrzegania prawa pracy w szczególności przepisów i zasad bezpieczeństwa i higieny pracy, a także przepisów dotyczących legalności zatrudnienia i innej pracy zarobkowej.

Zadania PIP zostały sprecyzowane w art. 10 ustawy z dnia 13 kwietnia 2007 r. o Państwowej Inspekcji Pracy (dalej: ustawa o PIP). Należą do nich nadzór i kontrola przestrzegania przepisów prawa pracy dotyczących stosunku pracy, wynagrodzenia za pracę i innych świadczeń wynikających ze stosunku pracy, czasu pracy, urlopów, uprawnień pracowników związanych z rodzicielstwem, zatrudniania młodocianych i osób niepełnosprawnych, przestrzegania zasad BHP, kontrola legalności zatrudnienia w tym także zatrudnienia cudzoziemców, kontrola wypłacania wynagrodzenia w wysokości wynikającej z wysokości minimalnej stawki godzinowej, ściganie wykroczeń przeciwko prawom pracownika.

W ramach uprawnień kontrolnych inspektorzy PIP mają m.in.: prawo swobodnego wstępu na teren zakładu pracy, przeprowadzenia oględzin obiektów, pomieszczeń, stanowisk pracy, maszyn i urządzeń. Mogą też żądać okazania dokumentów dotyczących budowy, przebudowy, modernizacji zakładu pracy czy przedłożenia akt osobowych i wszelkich dokumentów związanych z wykonywaniem pracy przez pracowników lub osoby świadczące pracę na innej podstawie niż stosunek pracy.

(...) Zatem kiedy instytucje wykonują swoje zadania na podstawie uprawnień ustawowych, nie można im odmówić udostępnienia żądanych dokumentów. Warto w tym miejscu odnotować, że inspektorzy przeprowadzający czynności kontrolne są zobowiązani nie tylko do zachowania w tajemnicy informacji, które uzyskali podczas wykonywania czynności służbowych, ale także zasad wynikających z RODO. Zaliczamy do nich zasadę proporcjonalności, a także zasadę ograniczenia celu wymagającą, by dane osobowe były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie były przetwarzane dalej w sposób niezgodny z tymi celami, oraz zasadę minimalizacji danych na podstawie której dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.".

Ogłaszanie wyników pracy pracowników (stanowisko opublikowane 31 lipca 2020 r.)

Pracodawca może pod pewnymi warunkami wywieszać w zakładzie pracy najlepsze wyniki dotyczące wydajności pracy, które były oparte na jego indywidualnej ocenie.

"(...) Zgodnie z art. 11¹ Kodeksu pracy (k.p.), pracodawca musi szanować godność i inne dobra osobiste pracownika, natomiast art. 11² tej ustawy wskazuje, że pracownicy powinni być równo przez niego traktowani. Unikać należy więc sytuacji, które by te dobra naruszały bądź prowadziły do dyskryminacji pracowników. Dlatego też pracodawca musi być bardzo ostrożny publikując takie informacje.

Ponadto pracodawca, stosując przepisy wynikające z RODO, powinien poświęcić szczególną uwagę zasadom minimalizacji danych i ograniczenia celu. To oznacza, że dane osobowe, które pozyskał od pracownika w celu zawarcia stosunku pracy, nie powinny być wykorzystywane w innych celach.

Sam Kodeks pracy nie uwzględnia dokonywania przez pracodawcę oceny pracowników, natomiast niektóre szczegółowe akty prawne już tak. Dla przykładu, stosownie do art. 81 ust. 1 ustawy o służbie cywilnej, urzędnik służby cywilnej oraz pracownik służby cywilnej zatrudniony na podstawie umowy o pracę na czas nieokreślony podlegają ocenie okresowej dokonywanej przez bezpośredniego przełożonego. Z kolei kryteria oceny okresowej pracownika zostały ujęte w rozporządzeniu Prezesa Rady Ministrów z dnia 4 kwietnia 2016 r. w sprawie warunków i sposobu przeprowadzania ocen okresowych urzędników służby cywilnej i pracowników służby cywilnej. Powyższe przepisy nie dają jednak podstawy prawnej dla pracodawcy do upubliczniania okresowych ocen jego pracowników. W każdym przypadku pracodawca musi mieć podstawę prawną swoich działań, tak aby nie naruszyć dóbr osobistych i prywatności pracownika.

Pracodawca może wypracować system motywacyjny dla pracowników, aby zwiększyć ich wydajność i tym samym polepszyć jakość pracy. Nie powinno to się jednak odbywać kosztem innych osób. To oznacza, że taki system nie powinien dawać możliwości identyfikacji pracowników z indywidualnymi ocenami. Pracodawca mógłby np. wyróżnić parę osób z najlepszymi wynikami, tak by jednocześnie nie doszło do ujawnienia kto uzyskał te najgorsze.

Dlatego nie należy wywieszać wyników oceny pracowników w dostępnym dla wszystkich miejscu, pokazujących, który z nich najlepiej pracował, a który najgorzej sobie radził. Dokonywanie oceny pracy pracowników oraz jej weryfikacja jest zadaniem pracodawcy, a nie pozostałych pracowników.

Przetwarzanie danych osobowych pracowników na potrzeby sprawnego i efektywnego funkcjonowania zakładu pracy pracodawca może oprzeć na uzasadnionym interesie administratora. (...)".

Prawo żądania przedstawienia dokumentów od cudzoziemca (stanowisko opublikowane 23 lipca 2020 r.)

Chcąc zatrudnić cudzoziemca, pracodawca ma prawo żądać przedstawienia dokumentów uprawniających do przebywania na terytorium Rzeczpospolitej Polskiej.

"(...) Pracodawcę zobowiązuje do tego ustawa z 15 czerwca 2012 r. o skutkach powierzania wykonywania pracy cudzoziemcom przebywającym wbrew przepisom na terytorium Rzeczypospolitej Polskiej. Zgodnie z jej art. 2 podmiot powierzający wykonywanie pracy cudzoziemcowi za obowiązek żądać od cudzoziemca przedstawienia przed rozpoczęciem pracy ważnego dokumentu uprawniającego do pobytu na terytorium Rzeczpospolitej Polskiej. Natomiast art. 3 ustawy określa, że pracodawca, który powierza wykonywanie pracy cudzoziemcowi musi przechowywać przez cały okres wykonywania pracy przez cudzoziemca kopię tego dokumentu.

Przetwarzanie danych osobowych dotyczących pobytu na terenie Polski, wykraczających poza katalog wskazany w art. 22¹ Kodeksu pracy, będzie odbywało się zatem na podstawie art. 6 ust. 1 lit. c RODO, czyli obowiązku prawnego administratora, jakim jest pracodawca, w związku z wspomnianymi wyżej przepisami ustawy o skutkach powierzania wykonywania pracy cudzoziemcom przebywającym wbrew przepisom na terytorium Rzeczpospolitej Polskiej.".

Pracodawca jako administrator danych w dokumentacji pracowniczej (stanowisko opublikowane 15 lipca 2020 r.)

Administrator, przechowując dane w dokumentacji pracowniczej nie musi prosić pracownika o zgodę na przetwarzanie jego danych.

"(...) To na pracodawcy spoczywa obowiązek zakładania i prowadzenia akt osobowych dla każdego pracownika oddzielnie. Regulacje te stanowią także, że akta osobowe składają się z czterech części ze wskazaniem, jaki rodzaj dokumentów i informacji znajduje się w każdej z nich. Tak więc podstawą prawną przechowywania danych pracownika w jego aktach osobowych jest art. 6 ust. 1 lit. c RODO, czyli obowiązek prawny ciążący na administratorze.

Oznacza to, że pracodawca będący administratorem danych zawartych w aktach osobowych jest związany przepisami ww. rozporządzenia, a nie wolą pracownika poprzez odbieranie od niego zgody na realizację procesu przetwarzania w ww. celach.

Obowiązki pracodawcy w zakresie prowadzenia akt osobowych i ich zawartości są więc ściśle określone i nie można mówić o dobrowolności przy przetwarzaniu danych osobowych w tych celach.

Należy pamiętać, że jeśli po stronie pracodawcy istnieje ryzyko, że w aktach osobowych znajdują się informacje zebrane niezgodne z obowiązującymi przepisami, to pracodawca powinien dokonać ich przeglądu i usunąć dane pozyskane nielegalnie.".

Rejestracja czasu pracy za pomocą danych biometrycznych (stanowisko opublikowane 12 maja 2020 r.)

Przetwarzanie przez pracodawcę danych biometrycznych pracowników nie może służyć celowi, jakim jest ewidencja czasu pracy.

"Dane biometryczne to dane szczególnej kategorii, które mają sensytywny charakter i podlegają nadzwyczajnej ochronie prawnej. Dane tego typu mogą być przetwarzane tylko w wyjątkowych sytuacjach (art. 9 ust. 2 RODO). Przykładowo, osoba, której dane dotyczą, wyraziła na to wyraźną zgodę lub przetwarzanie dotyczy danych osoby, która w sposób oczywisty je upubliczniła. Jednak do takich sytuacji nie należy przetwarzanie danych osobowych, w tym zwłaszcza danych biometrycznych, do celów odnotowywania obecności pracownika w pracy.

(...) Oznacza to, że istnieją dwie sytuacje, w których pracodawca może legalnie przetwarzać dane zaliczane do szczególnej kategorii.

Pierwsza to sytuacja, w której pracownik bądź osoba ubiegająca się o zatrudnienie sam udziela zgody na przetwarzanie jego danych biometrycznych (...).

(...) Do drugiej sytuacji należy zaliczyć przetwarzanie danych biometrycznych, które wynika wyłącznie z konieczności zapewnienia kontroli dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, bądź dostępu do pomieszczeń w zakładzie pracy wymagających szczególnej ochrony.

Pracodawca zatem, wykorzystując dane biometryczne pracownika do rejestracji czasu pracy, naruszyłby zasady określone w RODO (art. 5 ust. 1). W szczególności przetwarzałby dane wbrew zasadzie legalności (lit. a), ograniczenia celu (lit. b) oraz minimalizacji danych (lit. c), ponieważ nie byłby w stanie wykazać, dlaczego i na jakiej podstawie prawnej przetwarza dane biometryczne pracowników do celów związanych z weryfikowaniem ich obecności w pracy.

Zaznaczyć należy, że pracodawca może rejestrować czas pracy za pomocą innych narzędzi niż stosowanie nowoczesnych technologii przetwarzających dane biometryczne pracowników. Cel ten może osiągnąć, wykorzystując np. listy obecności czy indywidualne identyfikatory lub karty dostępu.".

Kontrola trzeźwości pracownika (stanowisko opublikowane 16 września 2019 r.)

Ministerstwo Rodziny, Pracy i Polityki Społecznej popiera stanowisko Prezesa Urzędu Ochrony Danych Osobowych (UODO) w sprawie przeprowadzania kontroli trzeźwości pracowników.

"Badanie stanu trzeźwości pracownika może przeprowadzić policja, ale nie pracodawca - takie stanowisko Prezesa UODO sprzed kilku miesięcy teraz potwierdziło Ministerstwo Rodziny, Pracy i Polityki Społecznej w odpowiedzi na wystąpienie, jakie do tego resortu skierował Rzecznik Małych i Średnich Przedsiębiorstw.

Resort pracy, podobnie jak prezes UODO, wskazał też, że stan nietrzeźwości pracownika, zalicza się do danych dotyczących zdrowia, określonych w art. 9 ust. 1 RODO. Zasady, na jakich można przeprowadzić badanie trzeźwości pracownika określa zaś art. 17 ustawy z dnia 26 października 1982 r. o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi.

Zgodnie z tym przepisem stan trzeźwości pracowników można więc sprawdzać, ale tylko wtedy, gdy łącznie są spełnione dwa warunki:

• badanie odbywa się na żądanie kierownika zakładu pracy, osoby przez niego upoważnionej lub pracownika, co do którego zachodzi uzasadnione podejrzenie, że spożywał alkohol w czasie pracy lub stawił się do niej w stanie po użyciu alkoholu
   ,
• badanie stanu trzeźwości pracownika przeprowadza uprawniony organ powołany do ochrony porządku publicznego (np. policja), zaś zabiegu pobrania krwi dokonuje osoba posiadająca odpowiednie kwalifikacje zawodowe, co ma zapewnić wiarygodność wyniku badania (...)".

PKZP - kto jest administratorem danych (stanowisko opublikowane 28 lipca 2020 r.)

Który podmiot należy uznać za administratora danych przetwarzanych w ramach działalności Pracowniczej Kasy Zapomogowo - Pożyczkowej działającej przy pracodawcy? Czy między PKZP a pracodawcą, jeśli PKZP uzna się za administratora danych, powinna być zawarta umowa powierzania przetwarzania danych osobowych? Czy w statucie PKZP można zawrzeć informację, że do przetwarzania danych osobowych stosuje się zasady opisane w Polityce Ochrony Danych obowiązującej u pracodawcy?

"(...) W odniesieniu do pracodawcy to w ramach stosunku pracy powstają określone prawa i obowiązki pomiędzy pracodawcą a pracownikiem, których realizacja wiąże się z koniecznością przetwarzania danych pracownika (na podstawie odpowiednich przepisów Kodeksu pracy bądź też innych przepisów prawa).

Natomiast art. 39 ustawy z dnia z dnia 23 maja 1991 r. o związkach zawodowych przewiduje możliwość tworzenia u pracodawców PKZP. Członkami tych kas mogą być pracownicy, emeryci, renciści. Szczegółowe zasady organizowania i działania tych kas określa rozporządzenie Rady Ministrów z dnia 19 grudnia 1992 r. w sprawie pracowniczych kas zapomogowo-pożyczkowych oraz spółdzielczych kas oszczędnościowo-kredytowych w zakładach pracy (dalej: rozporządzenie w sprawie PKZP). Kasy te zostały powołane do udzielania jej członkom pomocy materialnej w formie pożyczek oraz zapomóg na zasadach określonych w statucie.

Zarówno pracodawca (zakład pracy), jak i PKZP, w zakresie przetwarzanych przez siebie danych osobowych, samodzielnie ustalają własne cele i sposoby ich przetwarzania, dlatego też zasadnie można uznać, że powinni być traktowani jako oddzielni administratorzy.

Natomiast w § 4 rozporządzenia w sprawie PKZP przewidziano pomoc ze strony pracodawcy (zakładu pracy) przy realizacji zadań PKZP (m.in. prowadzenia księgowości, obsługi kasowej i prawnej, dokonywania na rzecz PKZP potrąceń w listach płac, listach wypłat zasiłków chorobowych i zasiłków wychowawczych, wpisowego, wkładów miesięcznych i rat pożyczek, przyjmowania wpłat wnoszonych przez emerytów i rencistów oraz osoby przebywające na urlopach wychowawczych, odprowadzania wpłat na rachunek bankowy PKZP oraz informowania przynajmniej raz w roku członków kas o stanie ich wkładów i zadłużeń), a szczegółowe warunki świadczonej pomocy ma określać umowa zawierana pomiędzy pracodawcą a PKZP. W ramach tak prawnie ukształtowanych relacji, można zasadnie uznać, że podmioty te współdziałają ze sobą, a zatem wspólnie ustalają cele i sposoby przetwarzania danych osobowych wykorzystywanych w tym celu, przetwarzają je więc jako współadministratorzy.

Dlatego nie ma podstaw, aby w opisanym przypadku zawierać umowy powierzenia przetwarzania danych. Podmiot przetwarzający ma bowiem zupełnie inny status - przetwarza dane osobowe w imieniu administratora i w tym zakresie podlega jego kontroli. (...)".

Brak obowiązku zawierania umów o powierzenie danych osobowych z podmiotami publicznymi (stanowisko opublikowane 12 kwietnia 2019 r.)

Pracodawca jako administrator danych pracownika nie ma obowiązku zawierania umów powierzenia przetwarzania danych osobowych z takimi podmiotami, jak GUS, ZUS, urząd skarbowy, czy bank. Czy takie umowy powinny być zawierane?

"W przypadkach odnoszących się do przekazywania przez administratora, jako pracodawcy danych osobowych takim podmiotom, jak GUS, ZUS, czy urząd skarbowy mamy do czynienia z udostępnieniem danych na podstawie przepisów prawa, nie zaś z powierzeniem przetwarzania. Na administratorze, jako pracodawcy ciąży bowiem obowiązek przekazywania szeregu danych osobowych pracowników w związku z realizacją ustawowych zadań. Do obowiązków tych należą m.in.:

1. wobec ZUS - obowiązki wynikające z art. 49 ust. 2 i 4 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych na podstawie wzoru określonego w rozporządzeniu Ministra Rodziny, Pracy i Polityki Społecznej z dnia 20 grudnia 2018 r. w sprawie określenia wzorów zgłoszeń do ubezpieczeń społecznych i ubezpieczenia zdrowotnego, imiennych raportów miesięcznych i imiennych raportów miesięcznych korygujących, zgłoszeń płatnika składek, deklaracji rozliczeniowych i deklaracji rozliczeniowych korygujących, zgłoszeń danych o pracy w szczególnych warunkach lub o szczególnym charakterze, raportów informacyjnych, oświadczeń o zamiarze przekazania raportów informacyjnych oraz innych dokumentów,

2. wobec Urzędu Skarbowego - obowiązki w zakresie odprowadzania podatku dochodowego od osób fizycznych na podstawie ustawy z 26 lipca 1991 r. o podatku dochodowym od osób fizycznych,

3. wobec GUS - obowiązek wynikający z art. 237 § 3 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy na podstawie rozporządzenia Ministra Pracy i Polityki Społecznej z dnia 7 stycznia 2009 r. w sprawie statystycznej karty wypadku przy pracy.

Odnosząc się do kwestii umów zawieranych przez pracodawcę z bankiem, to w tym przypadku również nie możemy mówić o powierzeniu przetwarzania danych. Pracodawca zawiera z bankiem umowę o świadczenie usług bankowych i to na jej podstawie udostępnia dane swoich pracowników w celu dokonania przelewów wynagrodzeń. Bank realizuje zadania wynikające z przepisów ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe i w momencie otrzymania od pracodawcy danych pracowników w celu świadczenia usług bankowych, staje się administratorem tych danych.".