Työntekijän henkilötiedot ja GDPR – mitkä ovat työnantajan velvollisuudet?

Palvelus

Toukokuusta 2018 alkaen jokaisen työnantajan oli mukautettava henkilötietosuojamenettelynsä GDPR:n vaatimuksiin. Sen lisäksi, että asetuksella asetettiin työnantajille velvollisuus kiinnittää enemmän huomiota työntekijöiden tietojen suojaamiseen, asetuksella rajoitettiin myös sitä, mitä tietoja työnantaja voi vaatia työntekijäehdokkaalta ja jo työsuhteessa olevilta henkilöiltä. Mitä työntekijän henkilötietoja on siis oikeus käsitellä yrittäjällä? Mitä tietoja voidaan siirtää kolmansille osapuolille? Missä tilanteissa työntekijöiden tietojen käsittely edellyttää heidän yksiselitteistä ja nimenomaista suostumustaan? Vastaamme näihin kysymyksiin tässä artikkelissa.

GDPR:n täytäntöönpanon viimeiseen vaiheeseen liittyen eli 27. huhtikuuta 2016 annettuun Euroopan parlamentin ja neuvoston asetukseen (EU) 2016/679 yksilöiden suojelusta henkilötietojen käsittelyssä ja tällaisten tietojen liikkumisesta ja kumoamalla direktiivin 95 / 46 / EY (yleinen tietosuoja-asetus), 4.5.2019 otettiin käyttöön muutos työlakiin (jäljempänä työlaki). Uusien säännösten mukaan jokainen työnantaja on velvollinen käsittelemään työntekijöidensä henkilötietoja pykälän mukaisesti. Työlain 221 §:ssä ja erityistapauksissa §:n nojalla. Työlain 221a 221b §. Pääsääntöisesti muutos velvoitti työnantajia käsittelemään vain sellaisia ​​työntekijän henkilötietoja, jotka ovat välttämättömiä työn suorittamisen kannalta. Työlaki ei kuitenkaan sääntele kaikkia tilanteita, joita käytännössä voi syntyä useita kymmeniä tai satoja ihmisiä työllistävän yrityksen toiminnan aikana. Siksi yritämme selittää, mitä työnantajat saavat tehdä ja mikä on ehdottomasti kiellettyä työntekijöiden henkilötietojen käsittelyssä.

Työsopimuksen solmiminen ja GDPR

Työsopimuksen solmiminen on seuraava vaihe, jossa työnantajalla on oikeus pyytää työntekijältä henkilötietoja - ensimmäinen on ns. Rekrytointiprosessi. Kun yrittäjä päättää palkata tietyn ehdokkaan, syntyy sekä työnantajalle että työntekijälle erityisiä oikeuksia ja velvollisuuksia, joiden toteuttaminen edellyttää työntekijää koskevien tietojen käsittelyä.

Art. Työlain 221 §:n 2 ja 4 mukaan työnantajalla on oikeus vaatia vastikään palkatulta työntekijältä hakemus (riippumatta rekrytoinnin yhteydessä hankituista henkilötiedoista):

  • nimi ja sukunimi;

  • syntymäaika;

  • PESEL-numero;

  • yhteystiedot (ei ole oikeutta vaatia asuinosoitetta);

  • koulutus - edellyttäen, että on tarpeen suorittaa tietyntyyppistä työtä tai tietyssä asemassa;

  • ammatillinen pätevyys - jos on tarpeen suorittaa tietyntyyppistä työtä tai tietyssä asemassa;

  • aiemman työsuhteen kulku - vain, jos on tarpeen suorittaa tietyntyyppistä työtä tai tietyssä asemassa;

  • lasten nimet ja sukunimet ja syntymäajat - jos tietojen antaminen on välttämätöntä työntekijän työlainsäädännössä säädettyjen erityisoikeuksien vuoksi;

  • muita kuin edellä mainittuja henkilötietoja, jos niiden luovuttamisvelvollisuus johtuu erillisistä määräyksistä.

Yllä olevat tiedot voidaan sisällyttää työsopimukseen. Työntekijä voi ilmeisistä syistä kieltäytyä antamasta hänelle vaadittuja tietoja, mutta tällöin hänen on otettava huomioon työnantajan irtisanoutuminen hänen palveluksessaan. Koska työntekijän henkilötietoja käsitellään muuhun tarkoitukseen kuin ehdokkaaseen ja näiden tietojen vastaanottajaryhmä muuttuu, työnantaja on velvollinen täyttämään uudelleen tiedonantovelvollisuuden työntekijää kohtaan (myös tietojen osalta). saatu työntekijältä rekrytoinnin aikana).

Työntekijän henkilökohtaiset tiedostot ja GDPR

Työsuhteen solmiminen luo työnantajalle joukon velvollisuuksia, jotka liittyvät työntekijän työnkulun dokumentointiin. Kaikkien näiden tietojen tulee olla työntekijän henkilökohtaisissa tiedostoissa. Mitä asiakirjoja ja tietoja edellä mainittujen lisäksi työnantaja saa säilyttää?

Tähän mennessä yleinen käytäntö on ollut liittää asiakirjoihin valokopio työntekijän henkilötodistuksesta (tai passista). On kuitenkin syytä huomauttaa, että työlaki ja mikään muu laki ei suoraan osoita oikeutta käsitellä tällaisia ​​henkilötietoja. Tästä syystä on pääteltävä, ettei tästä asiakirjasta ole oikeutettua tarvetta kopioida. Todisteen jäljennöksen saaminen tarkoittaa siis työntekijän työhön liittymättömien tietojen keräämistä, mikä on GDPR:n ja asetuksen täytäntöönpanosäädösten mukaan kielletty.

Käytännössä työnantaja ei pysty täyttämään velvollisuuksiaan työntekijää kohtaan, jos hän luottaisi vain hänelle toimittamiinsa henkilötietoihin työsopimusta tehdessään. Siksi henkilötiedot voivat sisältää myös tietoja, jotka eivät liity varsinaisesti työsuhteeseen. Usein, jotta työntekijä voisi käyttää joitakin oikeuksiaan, hänen on annettava työnantajalle tietoja henkilökohtaisesta elämästään. Jos hän esimerkiksi haluaa pitää erityisvapaata, hän on velvollinen ilmoittamaan henkilökohtaisessa elämässään tietystä seikasta, joka oikeuttaa tällaiseen lomaan, esimerkiksi läheisen hautajaiset.

Työntekijän henkilötietojen ja GDPR:n luovuttaminen

Työntekijän henkilötiedot ovat pääsääntöisesti luottamuksellisia, joten niihin pääsyä on erityisen suojattava ja valvottava. On kuitenkin tilanteita, joissa joidenkin (vähemmän arkaluonteisten) tietojen julkistaminen on tarpeen työn tehokkaan suorittamisen kannalta.

Yksi hyvin yleisistä tapauksista, joissa työntekijätiedot asetetaan laajemman kokonaisuuden tarkasteltaviksi, on läsnäololistan pitäminen. Valitettavasti laki ei säätele tätä asiaa. Siksi on välttämätöntä luottaa nykyiseen oikeuskäytäntöön ja opin kommentteihin. Siksi näyttää siltä, ​​että kaikkien työntekijöiden saatavilla olevan läsnäololistan allekirjoittaminen ei ole GDPR:n vastaista. Asetuksen vastaista on kuitenkin jättää tiedot työntekijän sairauslomasta tai ns. jättää pyynnöstä. Säännösten mukaan työntekijän sairauksia tai sairauspoissaoloja koskevat tiedot ovat arkaluonteisia, eikä niitä saa levittää. Läsnäololistat voivat siis työntekijöiden nimien ja sukunimien lisäksi sisältää vain tietoja työntekijän läsnäolosta tai poissaolosta.

Toinen yrityksissä yleinen käytäntö on tunnusten jakaminen työntekijöille. Ensimmäinen heräävä kysymys on: voiko tällaisessa asiakirjassa olla valokuva työntekijästä? Valokuva, jossa näkyy työntekijän kuva, ei ole kohdassa Art. Työlain 221 §:n mukaan, jotta työnantaja voi laittaa ne tunnukseen, hänen on hankittava työntekijän vapaaehtoinen suostumus - mikä tarkoittaa, että sen puuttumisesta ei voi aiheutua kielteisiä seurauksia. Tällainen suostumus voidaan peruuttaa milloin tahansa. Poikkeuksena yllä olevaan ovat tapaukset, joissa työntekijän kuva liittyy läheisesti hänen ammattiinsa ja voimassaolevan kuvallisen henkilötodistuksen hallussapitoa edellytetään erityislailla. Esimerkkinä voimme ottaa vartijan - Art. Henkilö- ja omaisuudensuojelulain 9 a §:n mukaan pätevän fyysisen turvatyöntekijän tai pätevän teknisen turvatyöntekijän henkilökortti sisältää mm. hänen nykyinen valokuvansa. Kaikkialla läsnä olevan virtuaalitodellisuuden aikakaudella on tullut erittäin suosittua esittää työntekijöitä koskevia tietoja yritysten verkkosivuilla, erityisesti heidän nimensä, asemansa, puhelinnumeronsa ja sähköpostiosoitteensa. On huomattava, että useimmissa tapauksissa tällaisten tietojen luovuttaminen palvelee työntekijöiden virallisten tehtävien suorittamista sekä lisää yrityksen potentiaalisten asiakkaiden luottamusta. Siksi työnantaja voi antaa nämä tiedot saataville ilman työntekijöiden suostumusta. Tämä johtuu siitä, että ei voida estää julkistamasta laitoksessa tiettyjä tehtäviä hoitavien työntekijöiden nimiä ja pitää yhteyttä urakoitsijoihin ja asiakkaisiin.

Lain valossa on myös sallittua sijoittaa työntekijöiden etu- ja sukunimiä työpaikkojen oviin, työntekijöiden leimiin ja työntekijöiden laatimiin kirjeiden otsikoihin.

Eri asia on, voiko työnantaja yllämainittujen tietojen yhteydessä sijoittaa työntekijän kuvan verkkosivuille ilman hänen suostumustaan. Tässä vastaus on yksinkertainen - ei. Työntekijän kuvan julkaiseminen edellyttää vapaaehtoista suostumusta. Yllä oleva sääntö ei koske ns yritysten intranetit (verkot, joiden käyttöoikeus on rajoitettu tietyn yrityksen tietokoneisiin). Jos työntekijöiden kuvien sijoittamista intranetiin käytetään yksinomaan yrityksen johtamisen parantamiseen ja virtaviivaistamiseen, tällaista toimintaa voidaan pitää hyväksyttävänä. Lue lisää työntekijöiden henkilötietojen suojasta:
Työntekijöiden henkilötietojen suojaaminen – mitkä ovat työnantajan velvollisuudet?
Mitä henkilötietoja työnantaja voi käsitellä GDPR:n säännösten perusteella?
GDPR sekä työntekijän ja työhön hakijan henkilötiedot

Työntekijöiden henkilötietojen käsittely ja työlääketiede

On korostettava, että työntekijän lähettäminen ensi-, määräaikais- ja kontrollilääkärintarkastuksiin eli ennaltaehkäiseviin tutkimuksiin on työnantajan velvollisuus työlain mukaan. Hänen on myös tallennettava nämä tiedot tietokantaansa. Koska työntekijöiden terveystiedot ovat arkaluonteisia tietoja, työnantajan on kiinnitettävä erityistä huomiota heidän suojaamiseensa. Oikeuskäytännössä on kuitenkin hyväksytty, että työlääketieteen palveluyksikön kanssa ei ole tarpeen tehdä henkilötietojen käsittelysopimusta. Tämä johtuu siitä, että työnantaja ja lääkintäyksikkö toimivat toisistaan ​​riippumattomasti, ja siksi kumpikin määrittelee itsenäisesti henkilötietojen käsittelyn tarkoitukset ja keinot.

Toisaalta työntekijöiden ennaltaehkäisevien tarkastusten asiakirjojen säilyttämiseen sovelletaan potilaskertomusta koskevia säännöksiä yleisesti. On syytä muistaa, että käsitellyn dokumentaation sisältämät tiedot ovat tiukan salassapitovelvollisuuden alaisia, eli ne voidaan luovuttaa vain erillisissä määräyksissä määritellyin tahoin ja niissä määrätyin ehdoin.

Aloita ilmainen 30 päivän kokeilujakso ilman ehtoja!

Työntekijän henkilötiedot ja työntekijöiden koulutus

Toinen tilanne, joka voi aiheuttaa ongelmia henkilötietojen suojan kannalta, on koulutuksen järjestäminen. Useimmiten työnantajat palkkaavat ulkopuolisia yrityksiä, jotka ovat erikoistuneet tietyntyyppisiin koulutukseen. Tämä tarkoittaa, että suurimmalla osalla tällaisista kursseista työnantaja joutuu siirtämään työntekijöidensä henkilötietoja suuremmassa tai pienemmässä määrin tällaiselle ulkopuoliselle yritykselle.

Pääsääntöisesti ensimmäinen pakollinen koulutus, johon jokaisen työntekijän on osallistuttava, on työterveys- ja turvallisuuskoulutus. Sen voi suorittaa työterveys- ja työturvallisuustehtäviin nimetty työntekijä tai ulkopuolinen taho. Sekä työterveyshuollon työntekijällä että ulkopuolisella taholla tulee olla valtuudet käsitellä koulutukseen osallistuvien henkilöiden tietoja. Lisäksi ulkopuolisen yrityksen on tehtävä työnantajan kanssa henkilötietojen käsittelysopimus.

Muiden koulutusten, myös valinnaisten, osalta työnantajan tilanne riippuu siitä, osallistuuko työntekijä siihen yksityisesti (itse ilmoittautunut) vai delegoiko työnantaja hänet johonkin koulutukseen. Ensimmäisessä tapauksessa, jos työntekijä ilmoittautui erikseen koulutukseen ja työnantaja kattaa vain hänen osuutensa, hänellä ei ole velvollisuuksia tällaisten työntekijän tietojen suojaamiseen liittyen. Ulkopuolinen yritys toimii tässä erillisenä ylläpitäjänä, joten sen on suoritettava kaikki GDPR:ssä määritellyt tiedonantovelvollisuudet ja muut tehtävät opiskelijaansa kohtaan. Jos työnantaja kuitenkin lähetti työntekijän kurssille ja ulkopuolinen koulutusyritys on se taho, jolle työnantaja on uskonut henkilötietojen käsittelyn, työnantajan on tehtävä toimeksiantosopimus ulkopuolisen yrityksen kanssa. Tilanteessa, jossa kurssi ei edellytä työntekijöiden henkilötietojen käsittelyä eikä sitä todellisuudessa tapahdu (esim. koulutusyritys ei pidä läsnäololistaa), työnantajan ei tarvitse tehdä toimeksiantosopimusta tämän yrityksen kanssa. .

Työntekijän henkilötiedot ja GDPR - yhteenveto

Henkilötietojen käsittely varsinkin suurissa yrityksissä voi aiheuttaa rekisterinpitäjille monia tulkintavaikeuksia ja käytännön ongelmia. Ei riitä, että varmistetaan, että työntekijöiltä saadut tiedot ovat työlain ja GDPR:n mukaisia. Yrityksen pyörittäminen on niin monimutkaista ja monipuolista, että kaikkia tietosuojaan liittyviä näkökohtia ei säädetä suoraan lailla. Monet käytännön asiat vaativat monimutkaisia ​​säännösten tulkintoja ja pitkää hakua korkeimman oikeuden tuomioita sisältäviltä verkkosivuilta. Tämä on kuitenkin tieto, joka jokaisen työntekijää työllistävän yrittäjän tulee saada, sillä kaikki toimet, jotka eivät täytä GDPR:n vaatimuksia, voivat johtaa erittäin korkeisiin taloudellisiin seuraamuksiin.

WFirma.pl-järjestelmä GDPR:n mukainen!

wFirma.pl-järjestelmästä voit ladata raportin työntekijän henkilötietojen käsittelystä. Mene vain HENKILÖSTÖ »TYÖNTEKIJÄT» TYÖNTEKIJÄN TIEDOT -välilehteen (napsauttamalla työntekijän nimeä ja sukunimeä). Oikeassa yläkulmassa näkyy kolme kuvaketta. Avoimen kansion kuvake tarkoittaa ODO-raporttia.

Kun napsautat sitä, näkyviin tulee ikkuna, jossa on työntekijän tiedot ja kaikki tietojen käyttöönottoa/muutosta koskevat merkinnät.

Tällainen raportti voidaan ladata, napsauta vain LUO RAPORTTI -vaihtoehtoa.