By /

Dostęp do akt pracowniczych: jak ustawić role i uprawnienia (HR, menedżer, finanse)

Dostęp do akt pracowniczych to jeden z najbardziej wrażliwych obszarów w organizacji – zarówno z perspektywy prawa pracy, jak i ochrony danych osobowych. Akta osobowe zawierają szeroki zakres informacji: od danych identyfikacyjnych, przez dokumenty dotyczące zatrudnienia i wynagrodzenia, aż po informacje o karach porządkowych czy stanie zdrowia. Nieprawidłowe zarządzanie dostępem do tych danych jest jedną z częstszych przyczyn naruszeń RODO oraz zarzutów formułowanych podczas kontroli PIP i UODO.

W praktyce problem nie polega na braku regulacji, lecz na ich nieprecyzyjnym wdrożeniu. W wielu firmach dostęp do akt pracowniczych jest „historycznie otwarty”: menedżerowie widzą więcej, niż powinni, dział finansowy ma dostęp do pełnych teczek, a HR nie zawsze posiada formalne umocowanie do zarządzania uprawnieniami. Tymczasem zarówno Kodeks pracy, jak i RODO wymagają ścisłego powiązania zakresu dostępu z rolą i celem przetwarzania.

Celem niniejszego artykułu jest pokazanie, jak bezpiecznie i praktycznie ustawić role oraz uprawnienia do akt pracowniczych – w szczególności dla HR, menedżerów i działu finansów – tak aby zapewnić zgodność z przepisami i ograniczyć ryzyka prawne.

Czym są akta pracownicze i jakie dane zawierają?

Akta pracownicze to uporządkowany zbiór dokumentów dotyczących pracownika, prowadzony przez pracodawcę przez cały okres zatrudnienia oraz po jego zakończeniu. Ich struktura jest określona w przepisach i obejmuje m.in.:

  • dokumenty związane z ubieganiem się o zatrudnienie,
  • dokumenty dotyczące nawiązania stosunku pracy,
  • dokumenty dotyczące przebiegu zatrudnienia,
  • dokumenty związane z odpowiedzialnością porządkową,
  • dokumenty dotyczące rozwiązania lub wygaśnięcia stosunku pracy.

Z punktu widzenia RODO kluczowe jest to, że akta pracownicze zawierają zarówno dane „zwykłe”, jak i dane szczególnych kategorii, co wymaga podwyższonego poziomu ochrony.

Podstawy prawne dostępu do akt pracowniczych

Zasady dostępu do akt pracowniczych wynikają z kilku źródeł:

  • Kodeksu pracy,
  • przepisów wykonawczych dotyczących prowadzenia dokumentacji pracowniczej,
  • RODO,
  • wewnętrznych regulacji pracodawcy.

Wspólnym mianownikiem tych regulacji jest zasada minimalizacji dostępu – dostęp do danych powinny mieć wyłącznie osoby, dla których jest to niezbędne do realizacji ich obowiązków służbowych.

Dlaczego nie każdy może mieć dostęp do akt?

Częstym błędem jest utożsamianie funkcji kierowniczej z automatycznym prawem do wglądu w pełne akta pracownika. Tymczasem dostęp do akt nie wynika z hierarchii organizacyjnej, lecz z celu przetwarzania danych.

Nadmierny dostęp:

  • zwiększa ryzyko naruszenia RODO,
  • utrudnia rozliczalność,
  • prowadzi do niekontrolowanego rozpowszechniania danych,
  • osłabia zaufanie pracowników.

Rola HR – administrator i opiekun dokumentacji

Dział HR pełni centralną rolę w zarządzaniu aktami pracowniczymi. To HR odpowiada za:

  • kompletność dokumentacji,
  • prawidłowe prowadzenie akt,
  • realizację obowiązków informacyjnych,
  • kontrolę dostępu i nadawanie uprawnień.

HR powinien mieć najszerszy dostęp do akt, ale również ten dostęp powinien być podzielony wewnętrznie – np. na kadry, płace, HR business partnerów.

Dostęp menedżera do akt pracownika

Menedżer liniowy potrzebuje dostępu do określonych informacji o pracowniku, ale nie do pełnych akt osobowych. W praktyce jego dostęp powinien obejmować:

  • dane identyfikacyjne pracownika,
  • zakres obowiązków,
  • informacje o czasie pracy i absencjach,
  • dane niezbędne do oceny pracy i planowania zadań.

Menedżer nie powinien mieć dostępu do:

  • danych płacowych (poza zakresem niezbędnym),
  • dokumentów dotyczących kar porządkowych, jeśli nie są związane z jego decyzją,
  • danych zdrowotnych.

Dział finansów i płac – dostęp celowy

Dział finansów i płac przetwarza dane pracownicze w ściśle określonym celu: naliczania wynagrodzeń, podatków i składek. W związku z tym jego dostęp powinien być ograniczony do:

  • danych identyfikacyjnych,
  • danych dotyczących wynagrodzeń i składników płacowych,
  • informacji niezbędnych do rozliczeń podatkowo-składkowych.

Dział finansów nie potrzebuje dostępu do całych akt osobowych ani dokumentów kadrowych niezwiązanych z rozliczeniami.

Role i uprawnienia w systemach elektronicznych

W przypadku e-teczek i systemów kadrowo-płacowych kluczowe znaczenie ma prawidłowa konfiguracja ról. Każda rola powinna mieć:

  • jasno określony zakres danych,
  • przypisane konkretne uprawnienia (odczyt, edycja, usuwanie),
  • możliwość audytu działań.

Brak takiej konfiguracji jest jedną z najczęstszych nieprawidłowości ujawnianych podczas kontroli.

Zasada need to know w praktyce HR

Podstawową zasadą powinno być „need to know” – dostęp tylko wtedy, gdy jest to konieczne. Oznacza to, że nawet w ramach jednego działu nie każdy musi widzieć wszystko.

Wdrożenie tej zasady wymaga:

  • mapowania procesów,
  • przypisania ról,
  • okresowego przeglądu uprawnień.

Dokumentowanie dostępu i upoważnienia

Każda osoba mająca dostęp do akt pracowniczych powinna posiadać:

  • pisemne upoważnienie do przetwarzania danych,
  • przeszkolenie z zakresu ochrony danych,
  • jasno określony zakres odpowiedzialności.

Brak formalnych upoważnień to poważne naruszenie zasad RODO.

Kontrola i audyt uprawnień

Uprawnienia do akt pracowniczych nie powinny być nadawane „raz na zawsze”. Dobrą praktyką jest:

  • okresowy przegląd ról,
  • cofanie uprawnień po zmianie stanowiska,
  • monitorowanie dostępu.

Takie działania znacząco ograniczają ryzyko naruszeń.

Najczęstsze błędy pracodawców

Do najczęściej spotykanych błędów należą:

  • zbyt szeroki dostęp menedżerów,
  • brak rozróżnienia ról HR i finansów,
  • brak dokumentacji upoważnień,
  • niekontrolowany dostęp do e-teczek,
  • brak procedur wewnętrznych.

Jak uregulować dostęp w dokumentach wewnętrznych?

Zasady dostępu do akt pracowniczych powinny być opisane w:

  • polityce ochrony danych osobowych,
  • procedurze prowadzenia dokumentacji pracowniczej,
  • regulaminie pracy lub regulaminie organizacyjnym.

Dokumenty te powinny jasno wskazywać role, zakresy dostępu i odpowiedzialność.

Podsumowanie

Prawidłowe ustawienie ról i uprawnień do akt pracowniczych jest jednym z fundamentów bezpiecznego systemu HR. Kluczowe znaczenie ma odejście od modelu „wszyscy widzą wszystko” na rzecz precyzyjnego przypisania dostępu do celu przetwarzania.

Dla HR oznacza to konieczność świadomego projektowania ról, regularnych przeglądów uprawnień oraz ścisłej współpracy z działem IT i finansów. Dobrze ustawiony system dostępu to nie tylko zgodność z przepisami, ale również realna ochrona pracodawcy i pracowników.

Scroll to Top