By /

Minimalizacja danych w kadrach: jak ustalić, czego naprawdę nie wolno zbierać „na zapas”

Minimalizacja danych osobowych w kadrach to jeden z tych obszarów, w których teoria bardzo często rozmija się z praktyką. Z jednej strony pracodawcy są coraz bardziej świadomi obowiązków wynikających z RODO, z drugiej – wciąż funkcjonują utrwalone nawyki zbierania dokumentów i informacji „na wszelki wypadek”. Kserokopie dowodów osobistych, niepotrzebne dane członków rodziny, nadmiarowe zaświadczenia czy informacje zdrowotne trafiają do akt osobowych, choć nie mają realnego uzasadnienia prawnego.

Minimalizacja danych nie jest jedynie formalnym hasłem z art. 5 RODO. To realny obowiązek pracodawcy, którego naruszenie może skutkować odpowiedzialnością administracyjną, cywilną, a także poważnymi konsekwencjami wizerunkowymi. Dla działów kadr oznacza to konieczność gruntownego przeglądu praktyk, formularzy, procedur oraz całej dokumentacji pracowniczej.

Celem niniejszego artykułu jest pokazanie, jak w sposób praktyczny i bezpieczny ustalić, jakich danych osobowych nie wolno zbierać „na zapas”, gdzie leży granica legalnego przetwarzania oraz jak wdrożyć zasadę minimalizacji danych w codziennej pracy kadr.

Czym jest zasada minimalizacji danych?

Zasada minimalizacji danych została wyrażona w art. 5 ust. 1 lit. c RODO. Zgodnie z nią dane osobowe muszą być:

  • adekwatne,
  • stosowne,
  • ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

W praktyce oznacza to, że pracodawca powinien każdorazowo odpowiedzieć sobie na pytanie: czy dana informacja jest rzeczywiście niezbędna do realizacji konkretnego celu wynikającego z przepisów prawa lub umowy o pracę? Jeżeli odpowiedź brzmi „nie” lub „być może przyda się w przyszłości”, dane nie powinny być zbierane.

Minimalizacja danych dotyczy zarówno:

  • zakresu zbieranych informacji,
  • formy ich pozyskiwania,
  • czasu przechowywania,
  • liczby kopii i dostępów.

Minimalizacja danych a Kodeks pracy

W obszarze zatrudnienia kluczowe znaczenie mają przepisy Kodeksu pracy, które wprost określają, jakich danych osobowych pracodawca może żądać od kandydata i pracownika.

Zakres danych, które mogą być przetwarzane, jest zamknięty i obejmuje m.in.:

  • imię i nazwisko,
  • datę urodzenia,
  • dane kontaktowe,
  • wykształcenie i kwalifikacje zawodowe – tylko gdy jest to niezbędne do wykonywania pracy,
  • przebieg dotychczasowego zatrudnienia – również tylko gdy jest to uzasadnione.

Każde wyjście poza ten katalog wymaga wyraźnej podstawy prawnej. Zgoda pracownika co do zasady nie legalizuje zbierania nadmiarowych danych w relacji pracodawca–pracownik.

Dlaczego zbieranie danych „na zapas” jest ryzykowne?

Zbieranie danych bez konkretnego celu narusza nie tylko zasadę minimalizacji, ale również:

  • zasadę legalności,
  • zasadę ograniczenia celu,
  • zasadę rozliczalności.

W praktyce oznacza to, że w razie kontroli pracodawca musi być w stanie wykazać:

  • po co dane zostały zebrane,
  • na jakiej podstawie prawnej,
  • przez jaki okres były przechowywane.

Argument „zawsze tak robiliśmy” lub „na wszelki wypadek” nie ma żadnej wartości dowodowej.

Najczęściej nadmiarowo zbierane dane w kadrach

Kserokopie dokumentów tożsamości

Jednym z najczęstszych naruszeń jest wykonywanie i przechowywanie kopii dowodów osobistych. Co do zasady pracodawca nie ma prawa kopiować dowodu osobistego pracownika. Dopuszczalne jest jedynie spisanie danych niezbędnych do realizacji obowiązków wynikających z przepisów.

Dane członków rodziny

Dane małżonka, dzieci czy innych członków rodziny mogą być przetwarzane wyłącznie wtedy, gdy jest to niezbędne do realizacji konkretnego uprawnienia pracowniczego, np. zgłoszenia do ubezpieczenia zdrowotnego. Przechowywanie tych danych po ustaniu celu jest niedopuszczalne.

Informacje zdrowotne

Dane dotyczące zdrowia należą do szczególnej kategorii danych osobowych. Pracodawca nie ma prawa gromadzić informacji o stanie zdrowia pracownika poza tym, co wynika z orzeczeń lekarskich wydanych przez uprawnionego lekarza.

Dane „na potrzeby przyszłych benefitów”

Częstą praktyką jest zbieranie danych z myślą o potencjalnych benefitach lub programach socjalnych, które jeszcze nie funkcjonują. Takie działania nie spełniają wymogu niezbędności.

Akta osobowe a minimalizacja danych

Prowadzenie akt osobowych w formie papierowej lub elektronicznej nie zwalnia pracodawcy z obowiązku minimalizacji danych. Każdy dokument w aktach musi mieć:

  • podstawę prawną,
  • cel przetwarzania,
  • określony okres przechowywania.

Przechowywanie dokumentów „bo kiedyś były wymagane” lub „bo mogą się przydać” jest sprzeczne z RODO.

Minimalizacja danych a zgoda pracownika

W praktyce często pojawia się przekonanie, że zgoda pracownika legalizuje zbieranie dodatkowych danych. Tymczasem relacja pracodawca–pracownik charakteryzuje się nierównowagą stron, co powoduje, że zgoda rzadko jest uznawana za dobrowolną.

Zgoda nie może stanowić podstawy do:

  • zbierania danych wykraczających poza przepisy prawa,
  • przechowywania dokumentów „profilaktycznie”,
  • przetwarzania danych szczególnych kategorii bez wyraźnej podstawy ustawowej.

Jak wdrożyć zasadę minimalizacji danych w kadrach?

1. Audyt danych osobowych

Pierwszym krokiem powinien być audyt danych przetwarzanych w kadrach. Należy zidentyfikować:

  • jakie dane są zbierane,
  • w jakim celu,
  • na jakiej podstawie prawnej,
  • przez jaki okres są przechowywane.

2. Przegląd formularzy i wzorów

Formularze rekrutacyjne, kwestionariusze osobowe i wnioski pracownicze bardzo często zawierają pola, które nie mają uzasadnienia prawnego. Każde pole powinno zostać zweryfikowane pod kątem niezbędności.

3. Ograniczenie dostępu

Minimalizacja danych to także ograniczenie liczby osób mających dostęp do dokumentacji kadrowej. Dostęp powinien być nadawany wyłącznie osobom, które faktycznie go potrzebują.

4. Procedury usuwania danych

Należy wdrożyć jasne procedury usuwania lub anonimizacji danych po ustaniu celu ich przetwarzania.

Kontrole i odpowiedzialność pracodawcy

W przypadku kontroli organu nadzorczego lub sporu sądowego to pracodawca musi wykazać zgodność z zasadą minimalizacji danych. Brak dokumentacji, procedur i świadomości po stronie kadr działa zawsze na niekorzyść pracodawcy.

Minimalizacja danych jako element kultury compliance

Minimalizacja danych nie powinna być traktowana jako jednorazowe działanie, lecz jako element kultury organizacyjnej i systemu compliance. Regularne szkolenia, aktualizacja procedur oraz współpraca działu HR z inspektorem ochrony danych są kluczowe dla utrzymania zgodności.

Podsumowanie

Zasada minimalizacji danych w kadrach wymaga odejścia od myślenia „na zapas” na rzecz podejścia opartego na konkretnym celu i podstawie prawnej. Pracodawca powinien zbierać wyłącznie te dane, które są rzeczywiście niezbędne, i przechowywać je tylko tak długo, jak to konieczne.

Dobrze wdrożona minimalizacja danych to nie tylko spełnienie wymogów RODO, ale również realne ograniczenie ryzyka prawnego, organizacyjnego i reputacyjnego.

Scroll to Top