Dane z systemu RCP to dane osobowe - i to wrażliwe
System RCP przetwarza znacznie więcej danych osobowych, niż mogłoby się wydawać na pierwszy rzut oka. Godziny wejścia i wyjścia, lokalizacja GPS, fotografia z terminala biometrycznego, historia nieobecności - wszystkie te informacje podlegają ochronie na mocy RODO. Biometryczne systemy rejestracji czasu pracy przetwarzają dodatkowo dane zaliczane do kategorii szczególnej (art. 9 RODO), co nakłada na pracodawcę podwyższone obowiązki.
UODO (Urząd Ochrony Danych Osobowych) w decyzji z września 2023 roku nałożył karę 45 000 zł na firmę budowlaną, która stosowała czytnik linii papilarnych do ewidencji czasu pracy bez spełnienia przesłanek z art. 22(1b) Kodeksu pracy. Poniżej przedstawiamy 10 zasad, które pomogą uniknąć podobnych sankcji.
Zasada 1: Określ podstawę prawną przetwarzania
Prowadzenie ewidencji czasu pracy jest obowiązkiem prawnym pracodawcy (art. 149 K.p.), co stanowi podstawę przetwarzania z art. 6 ust. 1 lit. c RODO. Jednak nie wszystkie dane zbierane przez system RCP mieszczą się w tej podstawie. Geolokalizacja pracownika czy jego fotografia wymagają odrębnego uzasadnienia - zazwyczaj jest to prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f).
Zasada 2: Biometria tylko wtedy, gdy jest niezbędna
Od 2023 roku art. 22(1b) K.p. dopuszcza przetwarzanie danych biometrycznych pracownika wyłącznie wtedy, gdy jest to niezbędne do kontroli dostępu do szczególnie ważnych informacji lub pomieszczeń. Sama rejestracja czasu pracy nie jest wystarczającą przesłanką do stosowania czytników biometrycznych.
Zasada 3: Minimalizacja danych - zbieraj tylko to, co konieczne
Jeśli do prawidłowej ewidencji wystarczy rejestracja godziny wejścia i wyjścia, nie ma podstaw do zbierania dodatkowo lokalizacji GPS, adresu IP domowego czy zrzutów ekranu. Każde dodatkowe pole danych wymaga odrębnego uzasadnienia.
Zasada 4: Transparentność wobec pracowników
Pracownik musi wiedzieć dokładnie, jakie dane zbiera system ewidencji czasu pracy, w jakim celu i jak długo będą przechowywane. Obowiązek informacyjny z art. 13 RODO najlepiej zrealizować poprzez odrębną klauzulę informacyjną wręczaną przy wdrożeniu systemu. Nie wystarczy ogólna polityka prywatności na stronie firmy.
Zasada 5: Ogranicz okres przechowywania
Dane z systemu RCP powinny być przechowywane przez okres wynikający z przepisów prawa - zgodnie z art. 94 pkt 9b K.p. jest to 10 lat od końca roku kalendarzowego, w którym ustał stosunek pracy (dla umów zawartych po 1 stycznia 2019 r.). Po upływie tego okresu dane muszą zostać usunięte lub zanonimizowane.
Zasada 6: Zadbaj o bezpieczeństwo techniczne
Wymogi minimalne obejmują:
- Szyfrowanie danych w transmisji (TLS 1.2 lub wyższy) i w spoczynku (AES-256)
- Uwierzytelnianie wieloskładnikowe dla administratorów systemu
- Regularne kopie zapasowe z testowaniem odtwarzania
- Logi dostępu do danych przechowywane przez minimum 12 miesięcy
Zasada 7: Kontroluj dostęp na zasadzie least privilege
Kierownik zmiany powinien widzieć dane swojego zespołu, nie całej firmy. Dział kadr potrzebuje dostępu do pełnej ewidencji, ale niekoniecznie do logów geolokalizacji. Granularny system uprawnień to wymóg, nie opcja.
Zasada 8: Powierzenie przetwarzania dostawcy systemu
Jeśli korzystasz z systemu chmurowego, dostawca jest procesorem danych w rozumieniu RODO. Musisz zawrzeć z nim umowę powierzenia przetwarzania (art. 28 RODO). Sprawdź, gdzie fizycznie znajdują się serwery - transfer danych poza EOG wymaga dodatkowych zabezpieczeń.
Zasada 9: Przeprowadź ocenę skutków (DPIA)
Systematyczne monitorowanie pracowników - a za takie można uznać ciągłą rejestrację czasu pracy z geolokalizacją - wymaga przeprowadzenia oceny skutków dla ochrony danych (DPIA) zgodnie z art. 35 RODO. Dotyczy to zwłaszcza dużych organizacji i systemów obejmujących biometrię.
Zasada 10: Przygotuj procedury na incydenty i żądania podmiotów
Pracownik ma prawo zażądać dostępu do swoich danych z systemu RCP, ich sprostowania, a w pewnych okolicznościach - usunięcia. Musisz mieć przygotowaną procedurę obsługi takich żądań w terminie 30 dni. Równie ważna jest procedura na wypadek naruszenia ochrony danych - masz 72 godziny na zgłoszenie incydentu do UODO.
TimeHunter został zaprojektowany z uwzględnieniem wszystkich wymogów RODO od pierwszej linijki kodu. Serwery w Unii Europejskiej, szyfrowanie end-to-end, granularne uprawnienia, automatyczne usuwanie danych po upływie okresu retencji i wbudowane mechanizmy obsługi żądań podmiotów danych - to standardowe elementy platformy, nie płatne dodatki.