Wielu pracodawców zakłada, że do przetwarzania danych osobowych pracownika potrzebna jest jego zgoda. To przekonanie wynika z nadmiernej ostrożności po wejściu w życie RODO oraz z mylnego utożsamiania każdej formy akceptacji z zgodą w rozumieniu przepisów. W rzeczywistości zgoda pracownika jest rzadko wymaganą i problematyczną podstawą przetwarzania danych – w większości przypadków pracodawca ma inne, znacznie pewniejsze podstawy prawne. Zrozumienie tej różnicy chroni przed błędami w dokumentacji kadrowej i niepotrzebnymi komplikacjami prawnymi.
Kiedy zgoda pracownika nie jest potrzebna
Podstawowe dane pracownika – imię, nazwisko, PESEL, adres zamieszkania, wykształcenie, przebieg zatrudnienia – pracodawca przetwarza na podstawie obowiązku prawnego wynikającego z Kodeksu pracy. To pierwsza i najważniejsza podstawa z art. 6 ust. 1 RODO. Nie potrzeba tu żadnej zgody, bo przepisy wprost nakazują gromadzenie tych informacji.
Kolejna sytuacja to wykonanie umowy o pracę. Dane kontaktowe, numer konta bankowego, informacje o uprawnieniach zawodowych – wszystko, co jest niezbędne do realizacji stosunku pracy, mieści się w tej podstawie. Pracownik podpisując umowę, akceptuje konieczność przetwarzania tych danych, ale to nie jest zgoda w rozumieniu RODO.
Trzecia podstawa to prawnie uzasadniony interes pracodawcy. Przykład? Monitoring w miejscu pracy dla bezpieczeństwa mienia czy nagrania z kamer w celach dowodowych. Tu też zgoda nie jest wymagana, choć pracodawca musi wyważyć swój interes z prawami pracownika.
Przepisy prawa pracy nakładają na pracodawcę obowiązek prowadzenia dokumentacji pracowniczej przez 10 lat po ustaniu zatrudnienia, niezależnie od woli pracownika.
Gdy zgoda faktycznie ma znaczenie
Zgoda staje się konieczna przy przetwarzaniu danych szczególnych kategorii, które nie są wymagane przepisami ani umową. Chodzi o informacje o stanie zdrowia (poza orzeczeniami medycyny pracy), przynależności związkowej, przekonaniach religijnych czy orientacji seksualnej.
Publikacja wizerunku pracownika to kolejny obszar wymagający zgody. Zdjęcia na stronie internetowej firmy, w materiałach marketingowych, w mediach społecznościowych – wszystko to wymaga wyraźnej zgody. Nie wystarczy ogólne stwierdzenie w umowie o pracę, potrzebna jest konkretna zgoda na określony cel.
Podobnie wygląda sprawa z danymi biometrycznymi używanymi do identyfikacji. Odcisk palca do systemu kontroli dostępu, rozpoznawanie twarzy – to przetwarzanie wymaga zgody, chyba że pracodawca wykaże, że jest to niezbędne z ważnych względów interesu publicznego.
Dane do celów rekrutacyjnych
Kandydaci do pracy znajdują się w specyficznej sytuacji. Pracodawca może żądać tylko danych wskazanych w Kodeksie pracy: imienia, nazwiska, daty urodzenia, danych kontaktowych, wykształcenia i przebiegu kariery. Wszystko ponad to wymaga zgody kandydata. Zdjęcie w CV? Tylko za zgodą. Informacje o zainteresowaniach? Również.
Problem w tym, że kandydat rzadko czuje się swobodny w odmowie, gdy pracodawca „prosi” o dodatkowe dane. Dlatego coraz więcej firm rezygnuje z żądania informacji wykraczających poza ustawowy katalog, by uniknąć zarzutu wymuszania zgody.
Problem dobrowolności zgody w relacji służbowej
RODO stawia jeden fundamentalny warunek: zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna. W relacji pracodawca-pracownik dobrowolność jest wątpliwa. Pracownik, obawiając się konsekwencji odmowy, zazwyczaj wyrazi zgodę nawet wtedy, gdy nie czuje się z tym komfortowo.
Europejska Rada Ochrony Danych wielokrotnie podkreślała, że w stosunkach charakteryzujących się nierównowagą stron zgoda nie jest odpowiednią podstawą przetwarzania. Pracodawca ma nad pracownikiem przewagę – decyduje o wynagrodzeniu, awansach, a ostatecznie o kontynuacji zatrudnienia.
Dlatego organy nadzorcze zalecają, by pracodawcy szukali innych podstaw prawnych. Jeśli ich nie ma, należy poważnie rozważyć, czy dane przetwarzanie jest w ogóle konieczne.
Zgoda pracownika na przetwarzanie danych może być w każdej chwili wycofana, co w praktyce uniemożliwia dalsze prowadzenie procesów opartych wyłącznie na tej podstawie.
Jak powinna wyglądać prawidłowa zgoda
Jeśli już pracodawca decyduje się na uzyskanie zgody, musi zadbać o odpowiednią formę. Zgoda nie może być ukryta w wielostronicowej umowie o pracę czy regulaminie. Wymaga oddzielnego oświadczenia, jasno sformułowanego, bez żargonu prawniczego.
Pracownik musi wiedzieć:
- Jakie konkretnie dane będą przetwarzane
- W jakim celu
- Jak długo
- Że może wycofać zgodę w każdej chwili bez konsekwencji
Formularz zgody powinien zawierać checkbox lub pole do podpisu, wyraźnie oddzielone od innych dokumentów. Nie można wymagać zgody jako warunku zatrudnienia, chyba że przetwarzanie jest obiektywnie niezbędne do wykonywania pracy.
Przykłady prawidłowych i błędnych zapisów
Zapis błędny: „Wyrażam zgodę na przetwarzanie moich danych osobowych przez pracodawcę”. To zdanie nic nie mówi – jakich danych, w jakim celu, na jak długo?
Zapis prawidłowy: „Wyrażam zgodę na przetwarzanie mojego wizerunku (zdjęć) przez [nazwa firmy] w celu publikacji na stronie internetowej firmy oraz w mediach społecznościowych przez okres zatrudnienia. Wiem, że mogę wycofać zgodę w każdej chwili.”
Różnica jest oczywista. Drugi zapis precyzuje wszystkie istotne elementy i informuje o prawie do wycofania zgody.
Konsekwencje wycofania zgody
Pracownik może wycofać zgodę tak łatwo, jak ją udzielił – wystarczy proste oświadczenie. Pracodawca musi zaprzestać przetwarzania danych w zakresie objętym zgodą, chyba że znajdzie inną podstawę prawną.
Tu pojawia się problem. Jeśli firma przez lata publikowała zdjęcia pracownika na podstawie zgody, a ten nagle ją wycofuje, trzeba usunąć wszystkie materiały. To może być kosztowne i czasochłonne, zwłaszcza gdy zdjęcia trafiły do materiałów drukowanych czy kampanii reklamowych.
Dlatego zgoda nigdy nie powinna być jedyną podstawą dla procesów biznesowych o długotrwałym charakterze. Lepiej od początku znaleźć inną podstawę lub zrezygnować z danego przetwarzania.
Alternatywy dla zgody
Zamiast zbierać zgody, warto przemyśleć konstrukcję procesów w firmie. Monitoring można oprzeć na prawnie uzasadnionym interesie. Badania lekarskie – na obowiązku prawnym lub wykonaniu umowy. System ocen pracowniczych – na wykonaniu umowy i prawnie uzasadnionym interesie.
Czasem wystarczy zmienić sposób realizacji celu. Zamiast publikować zdjęcia konkretnych pracowników, można używać zdjęć stockowych. Zamiast systemu biometrycznego – tradycyjnych kart dostępu. Nie każde rozwiązanie technologiczne jest konieczne.
Jeśli dane szczególnych kategorii są potrzebne (np. informacja o niepełnosprawności dla dostosowania stanowiska pracy), często można się oprzeć na przepisach prawa pracy nakazujących pracodawcy zapewnienie odpowiednich warunków. Zgoda nie zawsze jest jedyną drogą.
Urząd Ochrony Danych Osobowych w swoich wytycznych wprost zaleca pracodawcom unikanie zgody jako podstawy przetwarzania i poszukiwanie innych, bardziej stabilnych podstaw prawnych.
Praktyczne wskazówki dla działów HR
Przede wszystkim warto przeprowadzić audyt dotychczasowych praktyk. Ile zgód zbiera firma? Czy są rzeczywiście potrzebne? Czy można je zastąpić innymi podstawami prawnymi? To pytania, które powinien zadać sobie każdy dział kadrowy.
Kolejny krok to edukacja menedżerów. To oni często proszą HR o „załatwienie zgody” na różne działania, nie zdając sobie sprawy z konsekwencji prawnych. Warto wyjaśnić, że zgoda to nie uniwersalny klucz do przetwarzania danych.
Dokumentacja również wymaga przeglądu. Umowy o pracę, regulaminy, procedury – wszystkie te dokumenty powinny wskazywać właściwe podstawy przetwarzania. Jeśli gdzieś widnieje „za zgodą pracownika”, należy sprawdzić, czy to faktycznie konieczne.
Wreszcie – transparentność. Pracownicy mają prawo wiedzieć, jakie ich dane są przetwarzane i na jakiej podstawie. Dobrze przygotowana klauzula informacyjna, przedstawiona przy zatrudnieniu, oszczędza późniejszych pytań i wątpliwości.
Zgoda pracownika na przetwarzanie danych to instrument, który w praktyce kadrowej powinien być stosowany oszczędnie i rozważnie. W większości sytuacji pracodawca ma solidniejsze podstawy prawne, które nie niosą ryzyka nagłego wycofania. Tam, gdzie zgoda jest nieunikniona, wymaga staranności w formułowaniu i świadomości konsekwencji. Prostota i przejrzystość procesów HR to najlepsza ochrona przed problemami z RODO.