Taka praktyka jest popularna wśród pracodawców, choć resort rodziny uważa ją za nieprawidłową. Mimo to firmy, które ją stosują, nie powinny się obawiać sankcji ze strony UODO za naruszenie przepisów o ochronie danych osobowych – jeśli tylko dane te będą właściwie wykorzystywane.
Zasady przechowywania dokumentacji prowadzonej przez pracodawców skomplikowały się znacznie w 2019 r. Z początkiem roku wprowadzono bowiem nowe pojęcie dokumentacji pracowniczej, na skutek czego pojawiło się wiele wątpliwości praktycznych co do możliwości przechowywania w aktach osobowych różnych rodzajów dokumentów. Na ten temat niejednokrotnie na naszych łamach wypowiadało się Ministerstwo Rodziny, Pracy i Polityki Społecznej. W stanowisku z 8 lipca 2019 r. (zob. „Resort pracy i UODO tłumaczą, kiedy pozyskiwać adresy: zamieszkania, zameldowania i do korespondencji” –tygodnik Kadry i płace z 29 sierpnia 2019 r.) resort przyjął, że w kwestionariuszu (oświadczeniu) osobowym pracownika można wymagać podania przez niego wyłącznie adresu zamieszkania, natomiast nie powinny być tam wpisywane inne adresy, które zgodnie z przepisami prawa ubezpieczeń społecznych są niezbędne do zgłoszenia pracownika do ubezpieczeń. W ocenie MRPiPS adresy zameldowania i do korespondencji powinny być więc podane tylko w druku ZUS ZUA (na marginesie zaznaczmy jednak, że adresy te mogą zostać podane jako dane kontaktowe z inicjatywy przyszłego pracownika jeszcze na etapie rekrutacji).
Z innego stanowiska resortu z 12 lipca 2019 r. (zob. „Dokumentacja płacowa jednak rozproszona. I aż trzy miejsca na jej przechowywanie” – tygodnik Kadry i Płace z 25 lipca 2019 r.) można natomiast wysnuć wniosek, że nie tylko druk ZUS ZUA, lecz także inne dokumenty zgłoszeniowe czy raporty wysyłane do ZUS nie powinny być przechowywane w aktach osobowych (co wynika m.in. z innych okresów przechowywania takich dokumentów niż czas przechowywania dokumentacji pracowniczej wynikający z kodeksu pracy).
Podejście takie jest jednak bardzo formalne i niepraktyczne. Na rynku pracy funkcjonują rozbudowane kwestionariusze osobowe, zawierające dane niezbędne do zgłoszenia do ZUS, a dokumentacja dotycząca ubezpieczeń jest często przechowywana w aktach osobowych (żeby nie mnożyć w kadrach dodatkowych teczek dla pracownika). W praktyce więc pojawił się problem, czy za takie działania mogą grozić kary z tytułu naruszenia zasad przetwarzania danych osobowych. W związku z powyższym skierowaliśmy do Urzędu Ochrony Danych Osobowych dwa pytania następującej treści:
1) Czy sposób pozyskiwania danych osobowych może mieć wpływ na karę za nieprawidłowości w ich przetwarzaniu, tj. w przypadku gdy jako pracodawca przetwarzam je już w kwestionariuszu osobowym pracownika, a nie dopiero w treści druku ZUS ZUA? Czy ma to znaczenie, że dane będą przechowywane w dwóch miejscach (w dwóch różnych dokumentach), skoro wykorzystam je w praktyce tylko do celów zgłoszenia do ZUS?
2) Czy pracodawca może przechowywać w aktach osobowych dokumenty wynikające z innych przepisów, mające krótszy okres przechowywania niż cała dokumentacja pracownicza, jeśli będzie usuwał takie dokumenty z akt w odpowiednich terminach? Czy nie naraża się wówczas na karę?
UODO stwierdziło, że unijne rozporządzenie RODO odnosi pojęcie „przetwarzania danych osobowych” do samych danych, a nie do dokumentów, w których są one zawarte. W praktyce oznacza to, że dotychczasowy sposób działania pracodawców jest dla tego urzędu akceptowalny, jeśli dane będą gromadzone legalnie i przetwarzane w konkretnym i zgodnym z prawem celu. UODO podkreśliło ponadto, że z jego punktu widzenia nie jest istotne, gdzie będzie umieszczony dany dokument oraz na jakim nośniku będą przechowywane dane osobowe.
Zatem aby pozostać w zgodzie ze stanowiskiem UODO, należy pamiętać o:
1) niewykorzystywaniu danych osobowych w innym celu, niż zostały one zebrane,
2) usunięciu danych osobowych w odpowiednim czasie wynikającym z przepisów dotyczących danej kategorii danych, który może być krótszy niż okres przechowywania dokumentacji pracowniczej. [przykład]©℗

przykład

Liczy się cel
Pracodawca stosuje rozbudowany kwestionariusz osobowy dla pracowników, w którym zbiera dane osobowe niezbędne do zgłoszenia do ZUS. Pracownik wypełnia więc w nim rubryki dotyczące aż trzech adresów:
• zamieszkania, którego podanie wynika z kodeksu pracy,
• zameldowania, który jest wykorzystywany do zgłoszenia do ZUS,
• do korespondencji, który również jest wykorzystywany do zgłoszenia do ZUS.
Za takie działanie pracodawcy nie grozi kara z RODO, jeśli dwa adresy inne niż zamieszkania wykorzystał on jedynie do zgłoszenia pracownika do ZUS, czyli wysyłając ZUS ZUA. Ryzykiem jest więc wysłanie na adres do korespondencji jakiegoś pisma do pracownika, gdyż wtedy przekroczony zostanie cel przetwarzania danych osobowych. ©℗
Stanowisko UODO dla DGP z 26 września 2019 r. w sprawie rozumienia pojęcia „przetwarzanie danych osobowych”
Ogólne rozporządzenie o ochronie danych, czyli RODO, posługuje się pojęciem „przetwarzania danych osobowych”, odnosząc je zawsze do danych osobowych, nie zaś do zawierających je dokumentów. Nie reguluje więc zasad posługiwania się dokumentami, lecz zasady przetwarzania danych osobowych.
Powyższe stanowisko podzielił Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 6 września 2005 r. w sprawie o sygn. akt II SA/Wa 825/05. Wyrok ten jest aktualny pomimo nieobowiązującej już ustawy z 29 sierpnia 1997 r. (Dz.U. z 2016 r. poz. 922 z późn. zm.), do której wyrok ten się odwoływał [poprzednia ustawa o ochronie danych osobowych – red.]. Odnosząc się do uzasadnienia do przedmiotowego wyroku, należy stwierdzić, że na gruncie obecnie obowiązujących przepisów o ochronie danych osobowych ocenie podlegać może wyłącznie kwestia przetwarzania danych osobowych, a nie dokumentów, które je zawierają.
Dla Prezesa Urzędu Ochrony Danych Osobowych nie jest istotne, w jakim miejscu w dokumentacji przechowywany będzie konkretny dokument zawierający dane osobowe, czy też na jakiego rodzaju nośniku danych będą takie dane przetwarzane. Ważne jest, aby dane te przetwarzane były legalnie, w konkretnym, zgodnym z prawem celu, oraz zabezpieczone odpowiednio do ryzyka wystąpienia naruszenia praw i wolności osoby, której dane dotyczą.
Podstawa prawna
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO, Dz.Urz. UE z 2016 r. L 119, s. 1).