Dane byłego pracownika – co z nimi zrobić, aby być w zgodzie z RODO?
17.08.2022
Samo rozwiązanie umowy o pracę nie powoduje, że administrator danych (pracodawca) przestaje przetwarzać dane osobowe byłego pracownika, albowiem prowadzenie dokumentacji pracowniczej (akta osobowe) zarówno zatrudnionego pracownika, jak i byłego pracownika regulują przepisy prawa pracy. A to, w jaki sposób i jak długo należy przetwarzać dane osobowe pracowników oraz przechowywać dokumenty wchodzące w skład zasobu kadrowego, określają przepisy sektorowe. Trzeba pamiętać, że z ich uwzględnieniem należy stosować zasady, o których mowa w ogólnym rozporządzeniu o ochronie danych. Dane osobowe wchodzące w skład dokumentacji pracowniczej nie muszą być usuwane z akt osobowych pracownika, jeżeli zostały zebrane zgodnie z przepisami obowiązującymi w chwili ich pozyskania.
Mając powyższe na względzie, pamiętajmy, że od 1 stycznia 2019 r. obowiązują nowe przepisy dotyczące dokumentacji pracowniczej, tj. rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej. Mają one zastosowanie do dokumentacji pracowników, których stosunek pracy został nawiązany od 1 stycznia 2019 r. Do dokumentacji w sprawach związanych ze stosunkiem pracy oraz akt osobowych pracowników, pozostających w dniu wejścia w życie ww. rozporządzenia w stosunku pracy, zgromadzonych przed tym dniem, odnośnie do zakresu przetwarzanych danych stosuje się przepisy obowiązujące przed dniem wejścia w życie niniejszego rozporządzenia, tj. przepisy obowiązujące w dniu pozyskania danych. Od 1 stycznia 2019 r. obowiązują również przepisy ustawy z 10 stycznia 2018 r. o zmianie niektórych ustaw w związku ze skróceniem okresu przechowywania akt pracowniczych oraz ich elektronizacją, które przewidują skrócenie w zależności od tego, kiedy pracownik został zatrudniony) dotychczas obowiązujących terminów przechowywania dokumentacji pracowniczej.
I tak, dane zawarte w aktach osobowych pracownika są przechowywane przez:
- 10 lat dla pracowników zatrudnionych od 1 stycznia 2019 r.
- 50 lat dla pracowników zatrudnionych od 1 stycznia 1999 r. do 31 grudnia 2018 r., jeśli nie spełniono warunku złożenia raportów informacyjnych do ZUS (wtedy 10 lat od końca roku kalendarzowego, w którym złożono raport).
- 50 lat dla pracowników zatrudnionych przed 1 stycznia 1999 r. licząc od dnia zakończenia pracy przez danego pracownika.
Powyższe terminy, dotyczą także danych pracowników zawartych w listach płac, kartach wynagrodzeń albo innych dowodach, na podstawie których następuje ustalenie podstawy wymiaru emerytury lub renty. Częstym problemem jest imienny adres mail służbowy byłego pracownika, czy dane osobowe w postaci imienia i nazwiska, wizerunku na stronie internetowej pracodawcy. Administratorzy nie wiedzą czy usuwać czy zostawić, na jakiej podstawie prawnej to zrobić, aby być zgodnym z RODO.
Imienny adres e-mail zawiera dane z zakresu danych zwykłych, których przetwarzanie regulowane jest w art. 6 ust. 1 RODO. Oznacza to, że przetwarzanie takich danych osobowych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Jeżeli administrator danych (pracodawca) posiada aktywny adres poczty elektronicznej byłego pracownika, który był przypisany do niego w trakcie stosunku pracy, to pozostaje nadal administratorem tych danych. W takiej sytuacji podstawą przetwarzania danych byłego pracownika zawartych w adresie mailowym może być realizacja prawnie uzasadnionego interesu administratora.
Trzeba pamiętać, że w RODO ujęte są zasady przetwarzania danych, do których zalicza się m.in. ograniczenie celu przetwarzania lub minimalizacja przetwarzanych danych. Zasady te wymagają, by proces przetwarzania był ukierunkowany na konkretny, wyraźny i prawnie uzasadniony cel, a także by zakres danych osobowych przetwarzanych na rzecz określonego celu był ograniczony do jak najmniejszego.
Jeśli byłego pracownika łączyła z pracodawcą umowa, zgodnie z którą był odpowiedzialny m.in. za kontakt z kontrahentami, to po zakończeniu współpracy pracodawca może chcieć nadal wykorzystywać ten adres mailowy, aby nie tracić możliwości nawiązania kontaktu z kontrahentami lub klientami. Można to zrobić np. poprzez automatyczną odpowiedź kierowaną do klientów lub kontrahentów. Jeśli komunikat obejmuje informację o tym, że dany pracownik nie jest już zatrudniony oraz wskazanie, pod jakim adresem mailowym można kontaktować się z aktualnymi przedstawicielami danego podmiotu, to zgodnie ze stanowiskiem Prezesa UODO tego rodzaju działanie można potraktować jako prawnie uzasadniony interes administratora danych (stanowisko z dnia 17.01.2020 r. pod tytułem „Czy pracodawca może używać imiennego adres e-mail byłego pracownika?”).
Należy pamiętać, że prawnie uzasadniony interes może stanowić podstawę do przetwarzania danych osobowych tylko w sytuacji, w której mają one nadrzędny charakter w stosunku do interesów lub podstawowych praw i wolności osób, której dane dotyczą. Dane byłego pracownika mogą być używane przez pracodawcę jedynie w sytuacjach, gdy klient podejmuje próbę kontaktu i jedynie w celu wskazania aktualnych danych kontaktowych. Adres mailowy zawierający imię i nazwisko byłego pracownika nie może być aktywnie wykorzystywany przez administratora, np. do pozyskiwania nowych klientów.
Administrator danych powinien także w omawianym przypadku:
- Określić okres przechowywania informacji zawartych w skrzynce mailowej byłego pracownika (ograniczenie czasowe przetwarzania danych).
- Analizować, czy cała zawartość poczty elektronicznej byłego pracownika powinna zostać zarchiwizowana (minimalizacja danych).
- Ograniczyć dostęp do takiej poczty (poufność danych) np. rozważenie, czy kopia takiej poczty elektronicznej byłego pracownika powinna znajdować się na komputerze bezpośredniego przełożonego lub pracownika, który go zastępuje.
Należy także pamiętać, aby usunąć na stronie internetowej administratora danych (pracodawcy) wizerunek, imię i nazwisko, byłego pracownika – jeśli tego rodzaju dane osobowe były tam umieszczone, albowiem w chwili ustania stosunku pracy, pracodawca nie legitymuje się już podstawą prawną do przetwarzania tych danych na swojej stronie internetowej.
Z tej samej kategorii
Kategorie
