Zakres danych osobowych w aktach pracowników

Z chwilą zatrudnienia nowego pracownika pracodawca zobowiązany jest prowadzić dla niego wiele dokumentów z tzw. dokumentacji pracowniczej. Jednym z takich obowiązków pracodawcy jest prowadzenie dla pracownika akt osobowych, których zakres regulowany jest przepisami prawa pracy. Przy prowadzeniu dokumentacji w działach kadr pojawia się pytanie jakie dokumenty powinny się tam znaleźć, a jakich nie powinno być. Takie akta osobowe są często zainteresowaniem różnych organów kontrolnych, takich jak Państwowa Inspekcja Pracy czy Inspektorzy biura Generalnego Inspektora Ochrony Danych Osobowych, ważne jest aby w zgodzie z prawem je prowadzić, aby nie narazić się na różne kary od tych podmiotów. W niniejszym artykule wskaże jakie informacje powinny się znajdować w teczkach osobowych w oparciu o przepisy prawa pracy i ustawy o ochronie danych osobowych.

Podstawowymi aktami prawnymi regulującymi kwestie dokumentów pracowniczych są ustawa z dnia 26 czerwca 1974 Kodeks Pracy (dalej „KP”) i Rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (dalej „Rozporządzenie”). Akty te wskazują jakich dokumentów zawierających dane osobowe może żądać pracodawca od pracownika. Szczególnie są to: art. 22¹ KP i rozdział 2 Rozporządzenia.

Akta osobowe składają się z trzech części A, B i C. W części A znajdują się dokumenty zbierane przed zatrudnieniem. Stosownie do przepisów rozporządzenia w tej części przechowuje się m.in. kwestionariusz osobowy kandydata do pracy, świadectwa pracy, czy dokumenty potwierdzające kwalifikacje zawodowe. W części B przechowuje się dokumenty dotyczące nawiązania stosunku pracy oraz jego przebiegu. Znajdują się tutaj takie dokumenty jak  karta szkolenia wstępnego BHP, umowa o pracę, czy kwestionariusz osobowy pracownika. Natomiast w części C znajdują się dokumenty związane z ustaniem zatrudnienia takie jak oświadczenie o wypowiedzeniu lub rozwiązaniu umowy o pracę, czy wydane świadectwo pracy.

Zasadą ustaloną w Kodeksie pracy (art. 22¹ § 3 KP) jest, iż udostępnienie danych osobowych pracodawcy następuje w formie oświadczenia.  Pracodawca może żądać udokumentowania tych danych. Z kolei w § 3 Rozporządzenia wskazane jest, że Pracodawca przechowuje w aktach osobowych pracownika odpisy lub kopie składanych dokumentów. Pracodawca może żądać od pracownika przedłożenia oryginałów tych dokumentów tylko do wglądu lub sporządzenia ich odpisów albo kopii. Oryginały dokumentów przechowujemy tylko, jeżeli tak stanowią przepisy prawa. Dzieje się tak m.in. w przypadku umowy o pracę, karty szkolenia wstępnego BHP.

W praktyce spotkaliśmy się z najczęściej popełnianymi błędami w tym zakresie w postaci stosowania niewłaściwym kwestionariuszy osobowych dla pracownika i kandydata do pracy (zawierających zbyt szeroki zakres danych – np. nazwisko rodowe, miejsce urodzenia), załączania do akt osobowych kserokopii dowodu osobistego i legitymacji studenckiej,  zbierania i załączania do teczek osobowych oświadczeń lub zaświadczeń o niekaralności, gdy jednocześnie brak było podstawy do ich zbierania i przetwarzania. Kolejnym przykładem jest prowadzenie tzw. podwójnych teczek, gdzie w jednych znajdują się dokumenty zgodne z przepisami prawa, a w drugiej pozostałe – takie jak wspomniana kserokopia dowodu osobistego, czy zaświadczenie o niekaralności.  Trudno wskazać wszystkie przepisy, które wskazują nam na to co wolno pracodawcy przechowywać w dokumentacji pracowniczej, jednakże, aby ustrzec się takich błędów radzilibyśmy co najmniej dokładną analizę uwzględnionych w tym artykule przepisów.

Jak przygotować się do kontroli GIODO?

Jest czwartek godz. 15. W biurze jeszcze prawie wszyscy pracownicy są obecni, ale nikt nie spodziewa się wybuchu nieoczekiwanego „pożaru”. Tymczasem przychodzi faks od GIODO, który uprzejmie nas informuje, że za 7 dni spodziewać się możemy kontroli stanu zgodności działania z ustawą o ochronie danych osobowych… Co robić? Jak najefektywniej wykorzystać czas przed kontrolą?

Na początku należy określić kto z ramienia GIODO będzie prowadził kontrolę. Zazwyczaj do przeprowadzenia kontroli oddelegowane zostają dwie osoby – prawnik i informatyk. Kontrole mogą przeprowadzać od 6:00 do 22:00, warto jednak pamiętać, że inspektor też człowiek i jest bardzo mało prawdopodobne, że będzie nas sprawdzać do 22:00 (bardziej prawdopodobne są standardowe godziny pracy urzędu czyli 8:00-16:00).

Należy podkreślić, że nie powinniśmy utrudniać kontroli, gdyż grozi za to kara grzywny, ograniczenia lub pozbawienia wolności do roku (zamiatanie więc danych osobowych „pod dywan” nie wchodzi w grę).

Do rzeczy – od czego zaczynamy (zakładając, iż o ustawie o ochronie danych osobowych dowiedzieliśmy się z faksu od GIODO)?

Na początku powinniśmy wyznaczyć osobę odpowiedzialną za przeprowadzenie prac związanych z dostosowaniem naszej działalności do wymogów nałożonych ustawą o ochronie danych osobowych oraz aktów wykonawczych wydanych na jej podstawie. Taką osobą jest Administrator Bezpieczeństwa Informacji. Dalszym krokiem jest przygotowanie Polityki Bezpieczeństwa Danych Osobowych oraz Instrukcji Zarządzania Systemami Informatycznymi Przetwarzającymi Dane Osobowe. Następnie wydajemy upoważnienia do przetwarzania danych oraz zaczynamy prowadzić ewidencję osób upoważnionych do przetwarzania danych. Teraz należy zgłosić do rejestracja w GIODO zbiory danych osobowych.

Ufff… formalności mamy za sobą, a więc co dalej? Dobrze by było, jakbyśmy się zorientowali dokładnie jakie dane osobowe mamy, w jaki sposób zbieramy, co z nimi robimy i komu przekazujemy. Innymi słowy – przeprowadzamy wewnętrzny audyt. Dzięki temu, podczas kontroli GIODO będziemy mogli wykazać się dbałością i orientacją w procesach przetwarzania danych osobowych w naszej organizacji. Audyt pozwoli nam naprawić ewentualne braki.

Czym się kierować podczas audytu? Kontrolujemy, czy na formularzach za pomocą, których zbieramy dane są zamieszczone obowiązki informacyjne. Sprawdzamy, czy dokumenty z danymi osobowymi nie są wyrzucane do śmieci, czy nie przechowujemy danych osobowych w nieskończoność i ogólnie rzec ujmując, czy jesteśmy w stanie wytłumaczyć inspektorowi po co nam są te dane, akurat w takim zakresie. Warto zwrócić uwagę na systemy informatyczne, a w szczególności czy hasła do nich mają odpowiednią długość i częstotliwość zmieniania.

Na sam koniec (jak zostanie nam trochę czasu) powinniśmy przeszkolić naszych pracowników z zasad ochrony danych osobowych. Szkolenia są traktowane przez GIODO jako dobra praktyka i na pewno zaplusujemy przed inspektorami.