Pytanie:  Pracodawca po dokonanej analizie ryzyka ocenił, że w związku z tym, że pracownicy wykonujący konkretne prace są narażeni na kontakt ze szkodliwymi czynnikami biologicznymi, powinni uzyskać możliwość dokonania szczepień ochronnych, zaleconych przez lekarza medycyny pracy. W związku z tym pracodawca planuje zebrać od pracowników oświadczenia, w których wyrażą one zgodę na poddanie się szczepieniu lub odmówią poddania się szczepieniu. Oświadczenie o poddaniu się szczepieniu, fakt poddania się szczepieniu, jak i oświadczenie o odmowie są danymi, które pracodawca zamierza przechowywać z uwagi na realizację obowiązków pracodawcy wynikających z przepisów prawa pracy i BHP, w tym zapewnienia profilaktyki zdrowotnej i bezpieczeństwa w miejscu pracy, dokumentowania decyzji pracownika w zakresie zalecanych szczepień ochronnych oraz ochrony praw i interesów pracodawcy, w szczególności w związku z ewentualnymi roszczeniami wynikającymi z chorób zawodowych lub zdarzeń w miejscu pracy. Do oświadczenia planujemy dodać klauzulę informacyjną dotyczącą przetwarzania tego rodzaju danych. Czy takie działanie jest wystarczające? Jeśli nie, proszę o wskazanie co powinien zrobić pracodawca, żeby móc legalnie takie dane przechowywać? Jakie są podstawy prawne ich przetwarzania? Czy pracodawca ma prawo żądać od pracownika przedstawienia zaświadczenia o zaszczepieniu, mając na uwadze powyższe cele przetwarzania tych danych? Jeśli tak, to jakie formalności powinien spełnić? Jeśli wymagane jest tylko spełnienie obowiązku informacyjnego, jaki okres przechowywanie tego rodzaju danych należy wskazać (art. 13 ust. 2 a) RODO +? Na pewno będzie to okres zatrudnienia. Z przepisów dotyczących chorób zawodowych wynika jednak, że okres przedawnienia roszczeń pracownika w takim przypadku wynosi w przypadku roszczeń od pracodawcy trzy lata od dnia, w którym rozpoznano chorobę i możliwe było stwierdzenie jej związku z pracą. Nie jest to zatem określony wprost i możliwy do przewidzenia.

Pytanie:  Rzecznik prasowy publicznego podmiotu leczniczego chce, aby przy zatrudnieniu nowych osób do pracy powszechnie znanych, w związku z pełnieniem przez nich funkcji publicznej – w szczególności, dyrektorzy, ordynatorzy, oddziałowe podpisywały zgodę na wykorzystanie wizerunku do celów promocyjnych i reklamowych. RODO wymaga, aby zgoda była dobrowolna, świadoma, konkretna i możliwa do wycofania w każdej chwili. Podczas zatrudnienia pracownik znajduje się w relacji podporządkowania wobec pracodawcy. W praktyce oznacza to, że podpisując dokumenty przy przyjęciu do pracy, pracownik nie ma realnej swobody odmowy, może obawiać się negatywnych konsekwencji odmowy podpisania, działa pod presją, chcąc otrzymać zatrudnienie. Czy można skutecznie udzielić zgody „na wszelkie przyszłe materiały promocyjne szpitala”? Zgoda udzielona podczas zatrudnienia byłaby zbyt ogólna, a więc nie spełnia wymogu „konkretności” z art. 4 pkt 11 RODO. Taka zgoda nie spełnia wymogu „dobrowolności” i jest nieważna.

Pytanie:  Pracownik naszego działu kadr i płac pomyłkowo wysłał skan wypowiedzenia umowy o pracę na niewłaściwy adres e-mail (pracownik prosił o wysłanie go na swoją prywatną skrzynkę, po tym jak nie zabrał ze sobą dokumentu po jego osobistym wręczeniu), który nie był adresem pracownika. W adresie e-mail, na który wysłane zostało wypowiedzenie, było to samo imię i nazwisko, co w adresie pracownika, ale bez cyfr, które są w adresie wskazanym przez pracownika. Wypowiedzenie to zawierało imię i nazwisko oraz adres pracownika, a także wskazywało przyczyny rozwiązania umowy o pracę. Po wysłaniu skanu wypowiedzenia pracownik działu kadr nie otrzymał z tegoż adresu żadnej informacji zwrotnej, w tym informacji o tym, że adres nie istnieje, czy też ze jest nieprawidłowy). Po odkryciu pomyłki, w ślad za tym mailem na ten sam adres został wysłany kolejny, z prośbą o usunięcie poprzedniej wiadomości skierowanej pomyłkowo oraz o potwierdzenie takiego usunięcia. Na razie odpowiedzi nie mamy. Dodatkowo w stopkach maili wysyłanych przez naszych pracowników jest standardowo zamieszczona informacja o tym, że wiadomość może zawierać informacje poufne lub zastrzeżone i jeżeli osoba otrzymująca nie jest adresatem wiadomości, prosimy o niezwłoczne powiadomienie nadawcy w zwrotnej wiadomości oraz o usunięcie wiadomości wraz ze wszystkimi załącznikami, bez zachowywania jakiejkolwiek kopii. Tak też było i w tym przypadku. Dodatkowo okres wypowiedzenia umowy o pracę w stosunku do tego pracownika upłynie na koniec października, pracownik jest zwolniony z obowiązku świadczenia pracy w okresie wypowiedzenia. Czy w takim przypadku administrator powinien powiadomić Prezesa UODO o naruszeniu oraz czy równolegle powinniśmy powiadomić pracownika o tej sytuacji?

Pytanie:  Czy szkoła może wprowadzić dane dziedzinowe ucznia do SIO dotyczące mLegitymacji, jeżeli rodzic zgłosił sprzeciw? Dane dziedzinowe obejmują również dane zawarte w mLegitymacji szkolnej oraz dane jej dotyczące, obejmujące: numer mLegitymacji szkolnej, datę wydania mLegitymacji szkolnej, datę ważności mLegitymacji szkolnej, datę i przyczynę unieważnienia mLegitymacji szkolnej, kod QR służący do wydania mLegitymacji szkolnej, fotografię kolorową zawierającą wizerunek twarzy ucznia. Czy pola informacji SIO o mlegitymacji powinny zostać puste?

Pytanie:  Pracodawca przetwarza informacje o dacie, godzinie i minucie badania na stan trzeźwości pracownika oraz jego wyniku wskazującym na stan po użyciu alkoholu albo stan nietrzeźwości lub środków działających podobnie do alkoholu wyłącznie w przypadku, gdy jest to niezbędne do zapewnienia ochrony życia i zdrowia pracowników lub innych osób lub ochrony mienia. Następnie przechowuje te informacje w aktach osobowych pracownika przez okres nieprzekraczający roku od dnia ich zebrania. Tym samym nie powinno się przechowywać negatywnych wyników kontroli, tj. o braku zawartości alkoholu we krwi lub braku obecności w organizmie pracownika środków działających podobnie do alkoholu. Niemniej jednak wychodząc naprzeciw sytuacjom, w których nastąpi np. zdarzenie komunikacyjne z udziałem kierowcy ZKM i kierowca (mimo tego, że jest trzeźwy) poprosi pracodawcę o przeprowadzenie kontroli trzeźwości na wypadek ewentualnego postępowania (pracownik chce tym samym na własne żądanie uzyskać potwierdzenie/dokument od pracodawcy, że tego dnia i w tej konkretnej sytuacji był trzeźwy) prosi o opinię. Czy w tej sytuacji mając na względzie powyższe oraz art. 5 ust. 1 lit. b i c RODO, pracodawca może sporządzić formularz z kontroli trzeźwości i udokumentować fakt, że pracownik jest trzeźwy (zachować wynik negatywny)? Ponadto czy przypadku wystąpienia ewentualnych zdarzeń konfliktowych/komunikacyjnych, kierowca po zakończonym kursie składa pracodawcy raport ze zdarzenia. W przedmiotowym raporcie chciałby zapisać informację, że po danym zdarzeniu na swój wniosek został skontrolowany przez pracodawcę na obecność alkoholu w wydychanym powietrzu, a kontrola wykazała 0,00 mg 1dm3. Czy w tej sytuacji pracodawca może przebadać pracownika i przetwarzać jego dane uwzgledniające negatywny wynik kontroli, mimo iż zapis ten będzie zachowany na oświadczeniu, a nie na formularzu z kontroli?

Pytanie:  Czy można udzielić informacji rodzicom dziecka, którego dane niezgodnie z prawem ujawniono rodzicom tzw. trójki klasowej, w zakresie imion i nazwisk osób, które weszły w posiadanie nieprzeznaczonych do nich danych osobowych?

Pytanie:  Czy w procesie rekrutacyjnym świadectwa pracy są dokumentem, którego pracodawca może żądać jako wymagane, czy jedynie dokumentem dodatkowym, który aplikant może dołączyć do dokumentacji dobrowolnie? Chodzi o kwestie przetwarzania danych z uwagi na przebieg dotychczasowego zatrudnienia oraz o kwestie dyskryminacji a raczej uniknięcia tego problemu. Ze świadectwa pracy można otrzymać informację o absencji pracownika, która może mieć wpływ na jego zatrudnienie. Jak udokumentować przebieg dotychczasowego zatrudnienia w inny sposób zgodny z potrzebami pracodawcy oraz RODO?

Pytanie:  Czy w związku z ubezpieczeniem grupowym pracowników należy pozyskiwać zgodę na przetwarzanie ich danych osobowych? Jaka jest podstawa przetwarzania danych osobowych pracowników w związku z ubezpieczeniem grupowym?

Przepisy prawa pracy, jak również dotyczące ochrony danych osobowych nie regulują w sposób bezpośredni okresu przechowywania danych w dokumentach rekrutacyjnych osób, które ubiegały się o pracę - jednak nie zostały zatrudnione. Jaki okres przechowywania danych osobowych kandydata, który nie został zatrudniony, należy zatem przyjąć? Poznaj propozycję specjalisty z zakresu prawa pracy.

Pracodawca zawiera umowa z urzędem pracy o odbyciu stażu w ramach projektu aktywizacji osób bezrobotnych. Czy należy w związku z tym zawrzeć umowę powierzenia przetwarzania danych? Czy też pracodawca i urząd pracy mają status odrębnych administratorów danych osobowych? Wyjaśnienie w artykule.