Wniosek pracownika o dostęp do danych osobowych i uzyskanie ich kopii – 10 wskazówek dla pracodawców
Do pracodawców coraz częściej kierowane są wnioski pracowników o dostęp do danych osobowych, w tym uzyskanie ich kopii (na podstawie art. 15 RODO). Przybierają one różne formy – od żądania udostępnienia kopii dokumentów (np. dokumentacji kadrowej), przez korespondencję mailową, po żądanie przekazania danych zapisanych na urządzeniach elektronicznych lub innych nośnikach danych.
Taki wniosek może sprawić pracodawcy sporo trudności, a odpowiedź na niego – wymagać ponadstandardowego zaangażowania. W praktyce wyzwaniem może okazać się ustalenie, jak daleko sięga obowiązek pracodawcy jako administratora danych pracowników – czy zawsze należy udostępnić wszystkie nośniki danych, czy wyłącznie dane osobowe w nich zawarte.
Oto praktyczne wskazówki, które wspierają prawidłową realizację wniosku pracownika.
Zweryfikuj tożsamość wnioskodawcy
W relacji pracodawca-pracownik identyfikacja osoby składającej wniosek zazwyczaj nie sprawia większych trudności. W przypadku wątpliwości (np. złożenie wniosku wiadomością SMS z nieznanego numeru) pracodawca powinien upewnić się, że wniosek składa osoba, której dane dotyczą. W przeciwnym wypadku – istnieje ryzyko udostępnienia danych nieuprawnionemu odbiorcy.
Dokładnie przeanalizuj treść wniosku pracownika i ustal jego rzeczywisty zakres
W praktyce często zdarza się, że wnioski składane przez pracowników są nieprecyzyjne lub ogólne (np. „proszę o przekazanie moich dokumentów”). W takiej sytuacji pracodawca może zwrócić się do pracownika z prośbą o doprecyzowanie zakresu złożonego wniosku i ustalenie, jakich danych osobowych i dokumentów dotyczy wniosek.
Ustal, jakie dane osobowe podlegają udostępnieniu
Pracownik może zażądać dostępu do wszystkich lub określonej części swoich danych osobowych przetwarzanych przez pracodawcę. Należy jednak pamiętać, że to uprawnienie obejmuje wyłącznie dane dotyczące tego pracownika. W odpowiedzi na wniosek nie mogą znaleźć się dane osobowe osób trzecich – ważna jest ich prawidłowa anonimizacja. W praktyce szczególnej weryfikacji wymagają wiadomości e-mail oraz wewnętrzne notatki.
Oceń, czy żądanie pracownika nie ma charakteru nadmiernego lub powtarzalnego
Jeżeli wniosek pracownika nosi cechy nadużycia prawa dostępu do danych, np. wielokrotne żądanie kopii tych samych danych w krótkim czasie – pracodawca może wtedy pobrać opłatę lub odmówić działania. Obowiązek udowodnienia nadmierności spoczywa na pracodawcy i wymaga szczególnej oceny.
Zidentyfikuj miejsca przetwarzania danych osobowych dotyczących pracownika
Po ustaleniu zakresu wniosku pracownika należy określić, gdzie dane pracownika są przetwarzane (np. akta osobowe, systemy kadrowe, poczta elektroniczna, wewnętrzne dyski lub rozwiązania chmurowe). Ten obszar może okazać się największym wyzwaniem, w szczególności w przypadku dużych organizacji lub znacznej ilości wykorzystywanych systemów IT.
Istotne jest, aby odpowiedź obejmowała wszystkie dane osobowe wskazane we wniosku pracownika i była rzeczywiście kompletna.
Ustal właściwy sposób realizacji wniosku pracownika
Wniosek nie nakłada automatycznie na pracodawcę obowiązku wydania wszystkich dokumentów lub urządzeń (nośników) zawierających dane osobowe pracownika (np. służbowego komputera). Nie zawsze konieczne jest również przekazanie całego nośnika danych, jeżeli dane osobowe mogą zostać przedstawione w innej formie. W praktyce kopia danych może przybrać formę np. zestawienia danych lub wyciągu informacji.
Zadbaj o bezpieczny sposób przekazania danych
Jeżeli wniosek pracownika został złożony elektronicznie, zwykle odpowiedź również powinna zostać udzielona elektronicznie – chyba że pracownik zażąda innej formy przekazania danych.
Trzeba pamiętać o zaszyfrowaniu kopii danych i przekazaniu hasła innym kanałem komunikacji (np. SMS).
Pamiętaj o terminie realizacji wniosku pracownika
Pracodawca powinien udzielić odpowiedzi bez zbędnej zwłoki, nie później niż w terminie miesiąca od otrzymania wniosku pracownika. W przypadku skomplikowanego charakteru żądania termin może zostać przedłużony o kolejne dwa miesiące, jednak wymaga to poinformowania pracownika o przyczynach opóźnienia.
Przypominamy, że brak zasobów lub rozwiązań organizacyjnych nie powinna stanowić uzasadnienia do przedłużenia terminu.
Udziel odpowiedzi w sposób przejrzysty i zrozumiały
Treść odpowiedzi powinna być jasna, zrozumiała i możliwa do odczytania przez pracownika, który nie musi posiadać specjalistycznej wiedzy prawnej ani technicznej.
Uzupełnij wewnętrzną dokumentację
Trzeba pamiętać o zasadzie rozliczalności. Pracodawca powinien móc wykazać realizacje wniosku (w tym sposób, formę i termin) w przypadku ewentualnej kontroli organu. Dobrą praktyką jest prowadzenie wewnętrznego rejestru wniosków podmiotów danych.
Nasi doradcy pozostają do dyspozycji i mogą wesprzeć Państwa w realizacji wniosków lub zabezpieczeniu procesu, w tym poprzez przygotowanie odpowiednich procedur. Zapraszamy do kontaktu.
