Podstawy przetwarzania danych osobowych zawarte są w art. 6 RODO. Przepis ten wskazuje, że przetwarzanie jest zgodne z prawem wyłącznie w przypadkach i w takim zakresie w jakim spełniony jest co najmniej jeden z wymienionych warunków. Oznacza to, że w przypadku gdy pracodawca nie jest w stanie wykazać, że w stosunku do niektórych danych osobowych pracownika zachodzi co najmniej jedna z podstaw przetwarzania, przetwarzanie to nie jest legalne.
Podstawy przetwarzania danych pracownika:
1/ osoba, której dane dotyczą wyraziła na to zgodę na przetwarzanie;
Zgoda jest najbardziej powszechną podstawa przetwarzania danych osobowych. Błędne jest jednak założenie, że każde przetwarzanie można usankcjonować, uzyskując zgodę pracowników (np. zebranie skanów dowodów osobistych za zgodą pracownika).
Dobrowolność stanowi bowiem podstawowy warunek prawidłowo uzyskanej zgody. W związku z tym w odniesieniu do większości przypadków przetwarzania danych pracowników podstawą prawną takiego przetwarzania nie powinna być zgoda pracowników.
W przypadkach gdy pracodawca twierdzi, że zgoda jest wymagana, a niewyrażenie zgody przez pracownika prowadzi do rzeczywistej lub potencjalnej szkody, zgoda taka nie jest ważna, ponieważ nie jest i nie może być dobrowolnie udzielona. Chodzi zatem o taki przypadek, gdy brak udzielenia zgody przez pracownika może powodować niezadowolenia pracodawcy i wywoływać negatywne skutki dla pracownika.
W relacji z pracownikiem pracodawca powinien zatem szukać innej podstawy przetwarzania danych ograniczając kwestię zgód do całkowitego minimum i sytuacji szczególnych.
2/ przetwarzanie jest niezbędne do wykonania umowy lub podjęcia działań przed jej zawarciem;
Stosunki pracy często opierają się na umowie o pracę zawartej między pracodawcą, a pracownikiem. Przy wypełnianiu obowiązków wynikających z tej umowy, takich jak wypłacanie pracownikowi wynagrodzenia, pracodawca jest zobowiązany do przetworzenia pewnych danych osobowych. Jeśli zatem pracodawca przetwarza numer rachunku bankowego pracownika, podstawą przetwarzania będzie właśnie konieczność wykonania umowy.
Należy także mieć na uwadze, że art. 22(1) Kodeksu pracy zawiera katalog danych osobowych, które pracodawca może pobrać i przetwarzać od pracownika. Inne dane powinny być przetwarzane na innej podstawie prawnej.
3/ przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego;
Prawo pracy nakłada na pracodawcę konkretne obowiązki prawne, które wymagają przetwarzania danych osobowych.
W oczywistych sytuacjach będą to przypadki przetwarzania danych osobowych związane z podatkami oraz ubezpieczeniami społecznymi. Nie są to jednak wyłączne przypadku. Można w tym miejscu wskazać chociażby, że w przypadku zatrudnienia cudzoziemca, ustawa o skutkach powierzenia wykonania pracy cudzoziemcom przebywającym wbrew przepisom na terytorium RP nakłada na pracodawcę obowiązek posiadania dokumentów poświadczających uprawnienie do pobytu i pracy na terenie RP.
W takich przypadkach prawo także stanowi podstawę prawną przetwarzania danych. W stosunku do pracowników ta podstawa przetwarzania powinna być najczęściej wykorzystywana.
4/ przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów.
Jeżeli pracodawca próbuje powoływać się na uzasadniony interes, cel przetwarzania danych musi być zgodny z prawem, wybrana metoda lub określona technologia musi być konieczna, proporcjonalna i wdrażana w możliwie najmniej inwazyjny sposób, a także musi umożliwiać pracodawcy wykazanie, że wprowadzono odpowiednie środki w celu zapewnienia równowagi z podstawowymi prawami i wolnościami pracowników. Oznacza to, że nie każdy interes pracodawcy będzie wystarczającym uzasadnieniem dla przetwarzania danych pracownika.
Przykładem przetwarzania opartego na interesie pracodawcy może być zamontowanie GPS w pojazdach służbowych. Uznaje się wówczas, że przetwarzanie danych dotyczących lokalizacji może być uzasadnione, jeżeli jest częścią monitorowania przewozu ludzi lub towarów lub służy lepszemu dysponowaniu zasobami w celu świadczenia usług w rozproszonych lokalizacjach (np. planowanie operacji w czasie rzeczywistym), lub zapewnieniu bezpieczeństwa pracownikom bądź towarom czy pojazdom, za które są oni odpowiedzialni.
Jeśli jednak samochód służbowy wykorzystywany jest przez pracownika także do celów osobistych, wówczas system GPS powinien być wyłączany. Urządzenia monitorowania pojazdów nie są bowiem urządzeniami monitorowania pracowników, a ich funkcją jest wyłącznie śledzenie lub monitorowanie lokalizacji pojazdów, w których są zainstalowane.
Innym przykładek przetwarzania danych na podstawie interesu pracodawcy może być obowiązek wprowadzenia identyfikatorów ze zdjęciem pracownika, co może uzasadniać charakter pracy i wielkość zakładu.
* * * * *
Podstawą przetwarzania może być także sytuacja, w której przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a także sytuacja gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej. W stosunku pracodawca-pracownik podstawa ta raczej nie będzie znajdowała zastosowania.
