Ochrona danych w miejscu pracy: co wolno pracodawcom?

Ochrona danych osobowych odgrywa ważną rolę zwłaszcza w kwestiach zawodowych. W artykule odpowiemy na najczęściej zadawane pytania dotyczące przetwarzania i ochrony danych osobowych w miejscu pracy.

Dla większości pracodawców poznanie własnych praw i obowiązków w zakresie przetwarzania i ochrony danych osobowych nie jest wcale takie proste. Dlaczego? W niemieckim prawie pracy nie istnieje bowiem odrębna ustawa o ochronie danych osobowych. Poszczególne regulacje są zdecentralizowane i znajdują się w wielu różnych aktach prawnych.

Jakie dane osobowe są chronione?

Ochrona danych pracowników obejmuje wszystkie dane osobowe, czyli wszelkie informacje o osobie fizycznej, które można bezpośrednio lub pośrednio przypisać tej osobie. Mogą być to m.in.: imię i nazwisko, adres, data urodzenia, narodowość, numer konta w banku czy adres IP.

W jakich okolicznościach pracodawca może gromadzić i przetwarzać dane osobowe?

Pracodawca może gromadzić, przetwarzać i wykorzystywać dane osobowe pracowników, jeśli jest to niezbędne do nawiązania, realizacji lub rozwiązania stosunku pracy. Zgodnie z federalną ustawą o ochronie danych osobowych (BDSG) prawo to dotyczy danych osobowych, danych adresowych, danych o kontach bankowych oraz ogólnych informacji podatkowych do rozliczeń płacowych (klasa podatkowa, identyfikator podatkowy itp.). Obejmuje ona również dane poza zautomatyzowanym przetwarzaniem danych, notatki sporządzone podczas rozmów kwalifikacyjnych, rozmów telefonicznych itp. Pracodawca może gromadzić i przetwarzać dane wyłącznie za zgodą osoby zainteresowanej lub w zakresie, w jakim jest to dozwolone lub nakazane przez przepis prawny. Przetwarzanie i wykorzystywanie danych może się odbywać wyłącznie w celu, dla którego były przeznaczone w momencie ich zbierania, nawet w świetle obowiązującego prawa pracy.

Czy pracownik ma prawo wglądu do przetwarzanych przez pracodawcę danych?

Pracownicy mają podstawowe prawo do informacji dotyczących danych osobowych przechowywanych przez pracodawcę. Dotyczy to również własnych akt osobowych, do których zawsze mają prawo wglądu. Mają także prawo do tego, aby ich bezprawnie przechowywane w miejscu pracy dane osobowe zostały usunięte.

Czy firmy mogą przekazywać dane pracowników podmiotom trzecim?

Firmy często przekazują zebrane dane do biur płac lub firm doradztwa podatkowego, które przygotowują listy płac. Konieczne jest tu jednak zawarcie umowy o przetwarzanie danych oraz zgodność transferu z zapisami DSGVO.

Czy firma powinna posiadać inspektora ochrony danych?

Firmy zatrudniające więcej niż 20 pracowników są zobowiązane do powołania inspektora ochrony danych. Może to być pracownik firmy lub zewnętrzny dostawca usług.

Do jego zadań należy m.in.:

• monitorowanie obowiązków pracodawcy wynikających z prawa ochrony danych osobowych;
• informowanie pracowników o ich obowiązkach wynikających z prawa ochrony danych osobowych;
• pozostawanie w kontakcie z pracodawcą, pracownikami i władz we wszystkich kwestiach związanych z ochroną danych.

Ochrona danych osobowych — czego pracodawca robić nie może?

W kontekście przetwarzania i ochrony danych osobowych pracodawca nie może:

• w trakcie rozmowy kwalifikacyjnej zadawać kandydatowi niedopuszczalnych pytań: o to, czy choruje na choroby przewlekłe, planuje dzieci czy jaka jest jego orientacja seksualna;
• stosować potajemnego nadzoru wideo, chyba że jest on jedynym sposobem na rozwiązanie problemu przestępstwa lub poważnego naruszenia prawa;
• stosować tzw. keyloggerów, które śledzą i rejestrują wszystkie naciśnięcia klawiszy.

Czy pracodawca jest odpowiedzialny za dane osobowe przechowywane przez inne podmioty?

Przetwarzając dane osobowe, firmy z reguły nie opierają się wyłącznie na własnych systemach, lecz korzystają ze wsparcia innych podmiotów, dostarczających programowanie czy zewnętrze serwery zewnętrzne. Nie zwalnia to jednak pracodawcy z odpowiedzialności. Aby wykluczyć ryzyko wypływu danych, powinien on rzetelnie monitorować zewnętrznych usługodawców.

W jakich okolicznościach pracodawca musi usunąć dane osobowe pracownika?

Pracodawca ma obowiązek usunięcia danych osobowych pracownika, jeśli:

• cel przestał istnieć. Przykład: pracodawca musi usunąć pracownika ze strony internetowej firmy, jeśli nie jest już zatrudniony;
• pracownik odwołał zgodę na przetwarzanie danych;
• nie powinien był w ogóle zbierać ani przetwarzać danych (z braku zgody lub upoważnienia ustawowego).

Ile może kosztować pracodawcę naruszenie ochrony danych osobowych?

Naruszenie ochrony danych osobowych przez pracodawcę może być dla firmy bardzo kosztowne. Zgodnie z zapisami Ogólnego Rozporządzenia o Ochronie Danych Osobowych, które obowiązuje wszystkie kraje członkowskie UE od maja 2018 r., za marudzenie ochrony danych osobowych w obszarze prawa pracy firmie mogą grozić milionowe kary, dochodzących nawet do 20 milionów euro.