Po wejściu w życie nowych przepisów o ochronie danych osobowych (RODO), konieczne stało się przeprowadzenie pewnych zmian organizacyjnych i kadrowych. Dotyczy to m.in. listy obecności pracowników. Co należy zrobić, aby lista obecności pracowników w firmie była zgodna z RODO?
Lista obecności zawiera dane osobowe pracowników. Powinna zatem spełniać wszelkie niezbędne zalecenia i wymogi, które niesie ze sobą Rozporządzenie Parlamentu Europejskiego i Rady UE w kwestii ochrony danych osobowych i ich przetwarzania.
Zacznijmy od tego, że nie ma jednoznacznych przepisów prawa pracy, które bezwzględnie nakazywałyby prowadzenie przez pracodawcę listy obecności. To dokument nieobowiązkowy, ale często i chętnie stosowany przez pracodawców. Pozwala potwierdzić przybycie i obecności w pracy pracowników. Zazwyczaj taka lista zawiera datę, dane osobowe pracownika, jego podpis i określenie czasu pracy w danym dniu.
Warto jednak wiedzieć, że nie musi mieć standardowej, papierowej formy. Potwierdzenie obecności w pracy może odbywać się równie dobrze w formie zalogowania do systemu informatycznego. Może mieć formę „podbijania” karty pracowniczej w specjalnym czytniku, co jest często stosowanym pomysłem, zwłaszcza w większych firmach. Mamy zatem pewną dowolność. Natomiast jeśli chodzi o dostosowanie się do wymogów jakie niesie ze sobą RODO, takiej dowolności już nie ma.
Zgodnie z RODO, lista obecności to dane osobowe, a zatem ich administrator powinien je odpowiednio chronić. Jak powinien to robić?
Jak przygotować listę obecności zgodną z RODO?
Odpowiednia ochrona danych osobowych pracowników i klientów jest bardzo ważna, ale nie należy też popadać w skrajność i chorobliwą przesadę. Ujawnianie na liście obecności imion i nazwisk pracowników jest zrozumiałe i naturalne, pod warunkiem, że dostęp do nich mają jedynie współpracownicy i uprawnione osoby. Co ważne, RODO wprowadziło m.in. zasadę minimalizacji danych. Pracodawca, kadrowa, czy też pracownik nie powinni wprowadzać dodatkowych danych do listy. Jedynie te niezbędne, które służą określonym celom.
Jeśli mówimy już o celach, to przypominamy, że lista obecności pracownika, nie służy do ewidencjonowania przyczyn nieobecności pracownika. Ma to duże znaczenie, ponieważ cel w jakim przetwarzamy dane osobowe ma kluczowe znaczenie w kontekście przepisów RODO. To ewidencja czasu pracy powinna być dokumentem, na podstawie którego pracodawca wykonuje rozliczenia czasu pracy, ustala wynagrodzenie itd. Lista obecności to jedynie narzędzie pomocnicze. Biorąc to pod uwagę, zaznaczanie na liście obecności przyczyn nieobecności jest bezzasadne. Co więcej – taka praktyka może być uznana jako sprzeczna z przepisami RODO, co może skończyć się nieprzyjemnymi konsekwencjami.
Warto mieć to na uwadze i znaleźć inne rozwiązanie. Dobrym pomysłem będzie być może prowadzenie indywidualnych list obecności, albo zmiana formy informowania o jej przyczynach. Najważniejsze, aby nie zapomnieć o celu prowadzenia listy i tym samym przetwarzania danych, którym jest potwierdzanie obecności w pracy, nie zaś ewidencjonowanie czasu pracy.
Pewnego rodzaju problemem staje się też symbol absencji, czyli określenie przyczyny nieobecności w pracy. Zgodnie z przepisami RODO, może mieć to formę danych wrażliwych, do których dostępu nie powinni mieć inni w firmie i osoby postronne. Pracownik ma obowiązek poinformować pracodawcę o przyczynie swojej nieobecności, jednak nie muszą o niej wiedzieć jego współpracownicy. Wskazanie konkretnej przyczyny nieobecności, np. choroba, delegacja czy urlop na liście obecności, może zostać uznane za naruszenie i przetwarzanie danych niezgodnie z ich przeznaczeniem.
Duże znaczenie ma też lokalizacja listy obecności. Chodzi o to, aby osoby trzecie nie miały do niej swobodnego dostępu. A tym samym dostępu do zawartych w niej danych osobowych. W związku z tym listę, należy umieścić w takim miejscu, aby dostęp do niej miały jedynie zatrudnieni współpracownicy i pracodawca.
Jeśli chodzi o podpis pracownika na liście – tu nie mamy do czynienia z danymi osobowymi. Chyba, że byłby to podpis cyfrowy. Wtedy miałby charakter danej biometrycznej, co umożliwiałoby identyfikację autora podpisu, a jej przetwarzanie podlegałoby zasadom RODO. Także o zwykły podpis na wydrukowanej liście obecności nie musicie się martwić.
Tego rodzaju niuansów związanych z prawidłowym przetwarzaniem danych osobowych, jest sporo. Dlatego warto mieć odpowiednie rozeznanie i wiedzę, w oparciu o którą konieczne jest dostosowanie się do nowy przepisów w ochronie danych osobowych.
Źródło: M&M Księgi Rachunkowe