Przedstawiamy kolejny wpis z cyklu RODO dla przedsiębiorców, a razem z nim kolejne praktyczne wskazówki, które ułatwią proces wdrażania i stosowania RODO w Twojej firmie.
W poprzednich wpisach zaproponowaliśmy Ci rozwiązania, które powinieneś wziąć pod uwagę w momencie zakładania sklepu internetowego (m.in. regulaminy e-commerce, co powinien zawierać regulamin). Dziś chcemy pokazać Tobie jak w prosty i przejrzysty sposób informować potencjalnych klientów o sposobie i zakresie w jakim następuje przetwarzanie danych osobowych. Pamiętaj, że takie działanie oprócz samego poinformowania zawsze wymaga zgody użytkownika. Oprócz tego, na przewodni temat trzeciej części naszego cyklu wybraliśmy RODO w zatrudnieniu. Wychodzimy z założenia, że jeśli obserwujesz dynamiczny rozwój swojej firmy najprawdopodobniej zdecydowałeś się na wprowadzenie nowych produktów do sklepu internetowego, stale pozyskujesz nowych klientów, poznajesz ich preferencje, z pewnością podjąłeś już współpracę z firmami partnerskimi, a Twoim kolejnym krokiem będzie właśnie zatrudnienie pracowników, którzy pomogą w prowadzeniu działalności.
To bardzo istotny moment dla Ciebie jako początkującego pracodawcy, dlatego w ogromie spraw związanych z działalnością firmy, nie możesz zapomnieć o RODO. Wszędzie gdzie pojawiają się dane osobowe, jako Administrator musisz zadbać o zgodne z prawem i przejrzyste ich przetwarzanie.

1. Informuj i wymagaj zgody

Twoja strona internetowa, podobnie jak niemal wszystkie tego typu witryny, wykorzystuje pliki cookies. Najłatwiejszym sposobem na dopełnienie obowiązku informacyjnego i otrzymanie zgody użytkownika będzie klauzula z możliwością potwierdzenia zgody. Taką informację najlepiej umieścić w powiadomieniu typu pop up lub w pasku informacyjnym u dołu strony. Poniżej  stworzyliśmy dla Ciebie wzór przykładowego powiadomienia:
 

Treść powiadomienia możesz dowolnie modyfikować – szczególnie w zakresie serwisów tj. Instagram, Facebook czy YouTube, z którymi współpracujesz. Szczegółową treść dokumentów opracuj w ramach polityki prywatności i polityki cookies (o których pisaliśmy w poprzednim wpisie: RODO dla przedsiębiorców w pytaniach i odpowiedziach – część 2). W klauzuli wystarczające jest umieszczenie odpowiednich linków do tych dokumentów. Pamiętaj, by na koniec poinformować użytkownika, że może modyfikować domyślne ustawienia plików cookies. Najczęściej, będzie się to jednak wiązać z ograniczeniem w korzystaniu z serwisów partnerskich i brakiem innych funkcjonalności w poruszaniu się po witrynie.

2. RODO w zatrudnieniu – niezbędnik rekrutera

Jeśli twoja firma prężnie się rozwija to najwyższy czas na poszukiwanie nowych rąk do pracy. Jako przyszły pracodawca zadbaj o spełnienie wymogów RODO już na pierwszym etapie rekrutacji. Przygotuj ogłoszenie na konkretne stanowisko, w którym umieścisz klauzulę informacyjną z linkiem umożliwiającym zapoznanie się z polityką prywatności Twojej firmy. Może ona brzmieć następująco:
 

Kandydat, który chce aplikować na stanowisko w Twojej firmie musi wyrazić zgodę na przetwarzanie danych osobowych dla potrzeb danej rekrutacji. Możesz go poinformować, aby w CV zawarł zgodę na przetwarzanie danych osobowych przez konkretnie Twoją firmę. Miej na uwadze, że jeśli nie zdecydujesz się podjąć współpracy z danym kandydatem powinieneś zniszczyć wysłane przez niego dokumenty, gdyż jako Administrator jesteś upoważniony przez RODO do przetwarzania danych osobowych tylko w niezbędnym zakresie. Jeśli jednak zależy Ci na stworzeniu bazy potencjalnych  kandydatów możesz poprosić kandydata o zawarcie odrębnej klauzuli w CV, gdzie wyrazi zgodę na przetwarzanie jego danych na poczet przyszłych rekrutacji.
W art. 22¹ § 1 Kodeksu Pracy znajdziesz katalog danych osobowych, których pracodawca żąda od osoby ubiegającej się o zatrudnienie, obejmuje on: imię (imiona) i nazwisko, datę urodzenia, dane kontaktowe wskazane przez kandydata, wykształcenie, kwalifikacje zawodowe, przebieg dotychczasowego zatrudnienia. We wcześniejszej wersji przywołanego przepisu pracodawca jedynie „mógł żądać” wymienionych danych osobowych, teraz zaś jest do tego zobligowany. Nasuwa się  zatem pytanie co z pozostałymi elementami CV, bez których wielu pracodawców nie wyobraża sobie efektywnej rekrutacji. Otóż dane kandydata biorącego udział w rekrutacji można oczywiście przetwarzać w zakresie szerszym niż wskazuje na to powyższy katalog. Trzeba jednak pamiętać, że dodatkowe dane osobowe  takie jak zdjęcie, referencje od poprzednich pracodawców czy zainteresowania kandydata można przetwarzać wyłącznie na podstawie dobrowolnej jego zgody.

3. Jak wdrożyć nowego pracownika?

a) podstawa prawna
Na etapie nawiązywania współpracy z nowo zatrudnionym pracownikiem nie możesz zapomnieć o obowiązkach jakie nakłada na Ciebie RODO. To właśnie na tym etapie przetwarzasz największą ilość jego danych osobowych ( w tym danych osobowych wrażliwych) więc jako Administrator musisz zadbać o każdy szczegół. Naszym zdaniem z punktu widzenia pracodawcy kluczowe jest posiadanie ważnych podstaw prawnych do przetwarzania danych Twoich pracowników. UODO podczas kontroli z pewnością w pierwszej kolejności zwróci uwagę, czy przetwarzasz tylko takie dane osobowe, co do których legitymujesz się odpowiednią podstawą prawną.
Podobnie jak w przypadku danych osobowych kandydata do pracy, o których pisaliśmy powyżej w Kodeksie Pracy znajdziemy katalog danych, których pracodawca żąda od pracownika już w procesie zatrudniania go. Katalog ten zgodnie z art. 22¹ §1 i 3 Kodeksu Pracy obejmuje: adres zamieszkania, numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość, inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy,  wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie, numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.
Pracownik udostępnia swoje dane w formie oświadczenia. Pamiętaj, że RODO nie zabrania Ci żądać od pracownika potwierdzenia danej okoliczności np. dyplomu ukończenia konkretnych studiów, kursów itp. Z naszych obserwacji wynika, że wątpliwości wśród pracodawców pojawiają się najczęściej wtedy, gdy zamierzają przetwarzać dane osobowe pracownika, które wykraczają poza katalog z art. 22¹ § 3 Kodeksu Pracy. Warto więc zwrócić uwagę, że jeśli chcesz umieścić wizerunek pracownika w postaci zdjęcia na stronie internetowej lub planujesz wprowadzić identyfikatory w miejscu pracy, możesz przetwarzać takie dane osobowe tylko w oparciu o uprzednią zgodę pracownika.
b) minimalizacja danych
Zgodnie z zasadą minimalizacji danych pracodawca powinien pozyskiwać jedynie dane osobowe adekwatne i stosowne do celów, w których są przetwarzane, czyli do realizacji procesu zatrudnienia. Pierwszy dokument, który przychodzi na myśl w zakresie pozyskiwania danych osobowych pracownika, to kwestionariusz osobowy. Minimalizację procesu przetwarzania ułatwią Ci gotowe wzory kwestionariuszy pracowniczych umieszczane na rządowych stronach internetowych.
c) obowiązek informacyjny
Jeśli informowałaś/eś kandydatów na etapie rekrutacji, tym bardziej musisz kompleksowo poinformować pracownika o przetwarzaniu jego danych osobowych w momencie podejmowania współpracy. Pracodawca powinien przekazać pracownikowi wszystkie informacje wymagane przez art. 13 RODO w momencie pozyskania jego danych osobowych. Przyjętą w tym zakresie praktyką jest zamieszczanie treści obowiązku informacyjnego w umowie o pracę zawieranej z pracownikiem bądź w treści kwestionariusza osobowego. Jeśli modyfikujesz politykę przetwarzania danych osobowych w Twojej firmie, gdyż wymagają tego np. nowoprzyjęte rozwiązania techniczne pamiętaj, że ciąży na Tobie obowiązek aktualizacji celów przetwarzania danych, o których bezwzględnie musisz informować zatrudnionych, często także wymagać ich zgody.
d) upoważnienie
Upoważnienie pracownika to dokument sporządzony w formie pisemnej, dzięki któremu Administrator przyzwala pracownikowi na przetwarzanie danych osobowych w jego imieniu.
Przepisy prawa nie przewidują szczegółowych wytycznych co do treści upoważnienia do przetwarzania danych osobowych. Proponujemy więc, by taki dokument zawierał przede wszystkim informacje o aktualnym Administratorze oraz dane pracownika, któremu przyznawane jest uprawnienie wraz z datą i miejscem wystawienia. Musisz zadbać także o to by w treści upoważnienia wskazać zakres danych osobowych, na których pracownik będzie miał prawo dokonywać operacji.
Warto umieścić sformułowanie mówiące o tym, że przetwarzanie danych osobowych przez wskazanego pracownika będzie odbywać się zgodnie z poleceniami Administratora i przez określony czas – zwykle do momentu zakończenia zatrudnienia w danej firmie oraz postanowienie umożliwiające cofnięcie upoważnienia w dowolnym momencie. Często spotykaną praktyką jest nałożenie na pracownika obowiązku zachowania poufności nie tylko przez okres, w którym przetwarza on dane, ale również po zakończeniu współpracy lub cofnięciu upoważnienia.

RODO w zatrudnieniu to niezwykle obszerny i wielowątkowy temat. Przetwarzanie danych osobowych nie kończy się przecież na tradycyjnych papierowych nośnikach. Dlatego zapraszamy Cię do następnego wpisu, gdzie przeczytasz o monitoringu w miejscu pracy, lokalizowaniu pracownika przez GPS oraz pracy zdalnej – a wszystko to w ujęciu RODO w przystępnej formule case study.
Jeśli towarzyszą ci jakiekolwiek wątpliwości prawne związane ze stosowaniem RODO w Twojej firmie,
zapraszamy do kontaktu z naszą Kancelarią!