Współczesne prawo kładzie coraz większy nacisk na ochronę danych osobowych. Nakłada to nowe obowiązki na przedsiębiorców, szczególnie w zakresie gromadzenia i administrowania danymi dotyczącymi pracowników. Specyficzne obowiązki ciążą na pracodawcach podczas rekrutacji pracowników oraz całego okresu zatrudnienia. Osobne regulacje dotyczą również innych form zatrudnienia, takich jak praca tymczasowa.
Dane pozyskiwane w procesie rekrutacji
Pracodawca ma prawo pozyskać od kandydatów dane identyfikacyjne, kontaktowe a także dotyczące wykształcenia, doświadczenia i umiejętności zawodowych. Nie należy natomiast pozyskiwać danych nie mających związku z zatrudnieniem, na przykład o stanie cywilnym, wyznaniu, poglądach politycznych czy orientacji seksualnej. Dane o karalności mogą być przez pracodawców gromadzone tylko w wypadku gdy wynika to z przepisów ustawy.
Wobec kandydatów zawsze należy wykonać w obowiązek informacyjny wynikający z RODO. Informacja powinna zawierać między innymi: nazwę firmy i adres siedziby, dane kontaktowe inspektora danych, opis celu i podstaw prawnych gromadzenia i przetwarzania danych, a także pouczenie o prawie żądania dostępu do danych i do cofnięcia zgody.
Niezgodne z prawem jest przeprowadzanie tak zwanych rekrutacji ukrytych, w których pracodawca pozostaje anonimowy wobec kandydata. Jest to niedozwolone choćby dlatego, że kandydat nie może nie wiedzieć, kto administruje jego danymi osobowymi. Pracodawcy, którzy chcą pozostać anonimowi mogą skorzystać z pomocy agencji rekrutacyjnej. Wtedy agencja pełni rolę administratora danych osobowych kandydatów. Jednak nawet w takim wypadku przed przekazaniem danych do konkretnego pracodawcy, kandydaci muszą być poproszeni o wyrażenie zgody.
W czasie rozmowy kwalifikacyjnej można gromadzić wyłącznie dane, które są związane z przyszłą pracą kandydatów. Nie wolno pozyskiwać żadnych danych od poprzednich pracodawców. Nawet złożenie przez kandydata referencji nie uprawnia pracodawcy do kontaktu z osobami je wystawiającymi. Nie wolno też występować do innych podmiotów w celu potwierdzenia prawdziwości dokumentów takich jak dyplomy, świadectwa, potwierdzenia odbytych szkoleń itp. Jeżeli pracodawca podejrzewa, że przedłożony dokument jest sfałszowany, powinien zawiadomić stosowny organ o możliwości popełnienia przestępstwa. Niedopuszczalne jest gromadzenie i przetwarzanie danych zamieszczonych przez kandydatów na portalach społecznościowych. Otrzymane przez pracodawcę dane powinny zostać usunięte lub odesłane kandydatom niezwłocznie po zakończeniu procesu rekrutacji.
Administrowanie danymi osobowymi pracowników w okresie zatrudnienia
W przypadku nawiązania stosunku pracy, pracodawca musi pozyskać dalsze dane osobowe pracownika, mogą to być na przykład numer pesel, dane o dzieciach pracownika lub inne dane, których pozyskanie jest konieczne na podstawie odrębnych przepisów.
Dane pracownika mają charakter poufny. Jakiekolwiek ich udostępnianie musi odbywać się na podstawie zgody pracownika lub innej podstawy prawnej. Dotyczy to na przykład umieszczania zdjęć pracowników na identyfikatorach czy publikacji wizerunku pracownika w internecie. Dane o sytuacji rodzinnej i materialnej pracowników mogą być gromadzone dla potrzeb ustalenia prawa do pozyskania świadczeń z zakładowego funduszu świadczeń socjalnych.
Pracodawca ma prawo do monitorowania służbowego konta e-mail pracownika. Zakres monitoringu musi być ujawniony w układzie zbiorowym lub regulaminie pracy. Jeżeli takie dokumenty w zakładzie pracy nie istnieją, należy poinformować pracowników o stosowaniu monitoringu. Podobne zasady obowiązują w przypadku stosowania przez pracodawcę urządzeń lokalizacyjnych, na przykład w służbowych środkach transportu.
W przypadku zatrudnienia pracowników na podstawie umów cywilnoprawnych, istnieje zasada swobody umów. Jednak nawet w tym przypadku zakres zbieranych danych musi być uzasadniony przez cel oraz charakter wykonywanej pracy. Pracodawca zawsze musi też wykonać obowiązek informacyjny, zgodnie z RODO.