Po wejściu w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.1 większość firm wdrożyła odpowiednie procedury mające na celu ochronę danych osobowych nie tylko klientów i kontrahentów, ale również pracowników.
Jak RODO chroni dane osobowe pracownika?
Ochrona danych osobowych pracownika jest w przypadku części przedsiębiorców głównym zadaniem w zakresie RODO. Prawo do prywatności nie może być naruszane przez pracodawcę, a każde odstępstwo od reguły musi być uzasadnione.
Doktryna wyodrębniła dane osobowe pracownika, RODO traktuje je jednak tak, jak zwykłe dane osobowe. Co to oznacza? Zgodnie z rozporządzeniem każde informacje umożliwiające identyfikację osoby fizycznej są danymi osobowymi. Trudno jednak wyobrazić sobie komunikację prowadzoną przez przedsiębiorstwo bez używania danych osobowych. Klienci i kontrahenci muszą wiedzieć z kim rozmawiają.
Tym samym wyodrębnia się następujące dane:
- Imię i nazwisko
- Stanowisko i jednostkę organizacyjną pracownika
- Służbowy adres poczty elektronicznej przypisany do pracownika
- Służbowy numer telefonu
To wyodrębnienie nie wynika z przepisów RODO ani z kodeksu pracy. Zostało dokonane na kanwie decyzji Prezesa Urzędu Ochrony Danych Osobowych (PUODO), w której krajowy organ ochrony danych osobowych uznał używanie adresu email byłego pracownika w celu informowania klientów o zmianie adresu kontaktowego jest zgodne z przepisami RODO. Należy jednak wyraźnie podkreślić, że możliwość wykorzystania tego adresu email została ograniczona, adres ten może zostać wykorzystany wyłącznie w celu przekazania informacji o zmianie kontaktu.
Ochrona danych osobowych pracownika nie jest absolutna
Istnieje spory katalog danych, które pracodawca musi zebrać i przetwarzać w toku zatrudnienia, także po jego ustaniu. Przetwarzanie danych w związku z wykonywaniem pracy należy postrzegać nie tylko przez pryzmat przetwarzania danych osobowych własnych pracowników, lecz także w kontekście danych otrzymywanych z zewnątrz. Pracodawca jako administrator powinien przeprowadzić obowiązkowe szkolenie z zakresu wymagań RODO, pracownicy powinni zapoznać się wtedy z procedurami.
Obowiązek informacyjny wobec pracownika – zalecane procedury
Jedną z zalecanych procedur jest umieszczanie w stopce poczty mailowej klauzuli informacyjnej o administrowaniu danymi osobowymi. Zgodnie z rozporządzeniem każda osoba, której dane są przetwarzane powinna zostać poinformowana o ich przetwarzaniu w momencie pierwszego kontaktu. Można rozważyć użycie autorespondera, który przekaże klauzulę zwrotną automatycznie.