Datos personales del empleado y GDPR: ¿cuáles son las obligaciones del empleador?

Servicio

A partir de mayo de 2018, cada empleador tuvo que adaptar sus procedimientos de protección de datos personales a los requisitos del RGPD. Además de imponer a los empleadores la obligación de prestar más atención a la protección de los datos de los empleados, el reglamento también limitó el alcance de la información que un empleador puede exigir a los candidatos para un empleado y a las personas ya empleadas. Entonces, ¿qué datos personales de un empleado tiene derecho a procesar un emprendedor? ¿Qué información se puede ceder a terceros? ¿En qué situaciones el tratamiento de los datos de los empleados requiere su consentimiento expreso e inequívoco? Responderemos estas preguntas en este artículo.

En relación con la última etapa de la implementación del GDPR, es decir, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de las personas con respecto al procesamiento de datos personales y sobre la movimiento de dichos datos, y derogando la Directiva 95/46 / CE (reglamento general de protección de datos), el 4 de mayo de 2019 se introdujo una enmienda al Código del Trabajo (en adelante, el Código del Trabajo). Bajo las nuevas regulaciones, cada empleador debe procesar los datos personales de sus empleados de acuerdo con el Art. 221 del Código del Trabajo, y en casos especiales de conformidad con el art. 221a 221b del Código del Trabajo. Como regla general, la enmienda requería que los empleadores procesaran solo los datos personales de un empleado que son necesarios para el desempeño de su trabajo. Sin embargo, el Código del Trabajo no regula todas las situaciones que pueden surgir en la práctica durante el funcionamiento de una empresa que emplea a varias docenas o cientos de personas. Por lo tanto, intentaremos explicar qué pueden hacer los empleadores y qué está absolutamente prohibido en lo que respecta al procesamiento de los datos personales de los empleados.

Conclusión de un contrato de trabajo y GDPR

La conclusión del contrato de trabajo es la siguiente etapa en la que el empleador tiene derecho a solicitar al empleado que proporcione sus datos personales; la primera es la llamada El proceso de contratación. Cuando un empresario decide contratar a un candidato determinado, surgen derechos y obligaciones específicos tanto por parte del empleador como del empleado, cuya implementación requiere el procesamiento de información sobre el empleado.

De conformidad con el art. 221 § 2 y 4 del Código Laboral, el empleador tiene derecho a exigir a un empleado recién contratado una solicitud (independientemente de los datos personales obtenidos en el curso de la contratación):

  • nombre y apellido;

  • fecha de cumpleaños;

  • Número PESEL;

  • datos de contacto (no hay derecho a exigir la dirección de residencia);

  • educación, siempre que sea necesario para realizar un trabajo de un tipo específico o en un puesto específico;

  • calificaciones profesionales: si es necesario para realizar un trabajo de un tipo específico o en un puesto específico;

  • el curso del empleo anterior, solo si es necesario para realizar un trabajo de un tipo específico o en un puesto específico;

  • nombres y apellidos y fechas de nacimiento de los niños, si es necesario proporcionar dichos datos debido a que el empleado ejerce derechos especiales previstos en la legislación laboral;

  • otros datos personales distintos de los indicados anteriormente, si la obligación de facilitarlos resulta de disposiciones independientes.

Los datos anteriores pueden estar incluidos en el contrato de trabajo. Por razones obvias, el empleado puede negarse a proporcionar cualquier información que se le solicite, sin embargo, entonces debe tener en cuenta que el empleador renunciará a contratarlo. Debido a que los datos personales del empleado serán tratados con una finalidad distinta a la del candidato, y el grupo de destinatarios de estos datos cambiará, el empleador está obligado a cumplir de nuevo con la obligación de información hacia el empleado (también en lo que respecta a los datos). obtenido del empleado durante la contratación).

Archivos personales del empleado y GDPR

El establecimiento de una relación laboral crea una serie de obligaciones por parte del empleador relacionadas con la documentación del flujo de trabajo del empleado. Toda esta información debe estar en los archivos personales de los empleados. ¿Qué documentos y datos, además de los indicados anteriormente, puede conservar el empleador?

Una práctica común hasta la fecha ha sido adjuntar una fotocopia de la identificación del empleado (o pasaporte) a los archivos. Sin embargo, cabe señalar que el Código de Trabajo y cualquier otra ley no indican directamente el derecho a procesar dichos datos personales. Por lo tanto, debe concluirse que no existe una necesidad legítima de realizar una copia de este documento. Por lo tanto, tener una copia de la evidencia significa recopilar datos no relacionados con el trabajo realizado por el empleado, lo cual está prohibido por el GDPR y los actos de implementación del reglamento.

En la práctica, el empleador no podrá desempeñar plenamente sus obligaciones para con el empleado si tuviera que basarse únicamente en los datos personales que se le proporcionaron al concluir el contrato de trabajo. Por tanto, los datos personales también pueden contener información que no esté estrictamente relacionada con la relación laboral. A menudo, para que un empleado pueda ejercer algunos de sus derechos, debe proporcionar al empleador información sobre su vida personal. Si, por ejemplo, desea tomar una licencia especial, estará obligado a indicar una circunstancia determinada de su vida personal que justifique el derecho a dicha licencia, por ejemplo, el funeral de un ser querido.

Divulgación de los datos personales de los empleados y el RGPD

Como regla general, los datos personales del empleado son confidenciales, por lo que el acceso a ellos debe estar particularmente protegido y controlado. Sin embargo, hay situaciones en las que se necesitará la divulgación pública de algunos datos (menos sensibles) para el desempeño eficaz del trabajo en la empresa.

Uno de los casos más comunes de colocar los datos de los empleados para que los vea un grupo más amplio de entidades es mantener una lista de asistencia. Desafortunadamente, la ley no regula este tema. Por tanto, es necesario apoyarse en la jurisprudencia actual y los comentarios de la doctrina. Por tanto, parece que firmar la lista de asistencia a disposición de todos los empleados no es contrario al RGPD. Sin embargo, será incompatible con la ordenanza dejar información sobre la licencia por enfermedad del empleado o la llamada dejar a pedido. De acuerdo con las regulaciones, los datos sobre enfermedades de los empleados o bajas por enfermedad en sí mismos son datos confidenciales y no se pueden difundir. Por lo tanto, las listas de asistencia, además de los nombres y apellidos de los empleados, solo pueden contener información sobre la presencia o ausencia de un empleado.

Otra práctica común utilizada en las corporaciones es la asignación de insignias a los empleados. La primera pregunta que surge es: ¿un documento de este tipo puede tener una foto del empleado? La foto que muestra la imagen del empleado no es la información indicada en el Art. 221 del Código del Trabajo, por lo que para que el empleador los coloque en la placa, debe obtener el consentimiento voluntario del empleado, lo que significa que su ausencia no puede tener consecuencias negativas. Dicho consentimiento puede revocarse en cualquier momento. Las excepciones a lo anterior son los casos en que la imagen del empleado está estrechamente relacionada con su profesión y la posesión de una identificación con una foto actual es requerida por un acto especial. Podemos tomar un guardia de seguridad como ejemplo, de acuerdo con el art. 9a de la Ley de Protección de Personas y Bienes, la tarjeta de identidad de un trabajador de seguridad física calificado o de un trabajador de seguridad técnica calificado incluye, entre otras cosas, su foto actual. En la era de la realidad virtual ubicua, se ha vuelto muy popular presentar información sobre empleados en sitios web corporativos, en particular sus nombres, puestos, números de teléfono y direcciones de correo electrónico. Debe reconocerse que, en la mayoría de los casos, la divulgación de dichos datos sirve para el desempeño de funciones oficiales por parte de los empleados, así como para aumentar la confianza de los clientes potenciales de la empresa. Por lo tanto, el empleador puede facilitar estos datos sin el consentimiento de los empleados. Esto se debe al hecho de que no se puede evitar que revele los nombres de los empleados que ocupan ciertos puestos dentro de la institución y se mantienen en contacto con contratistas y clientes.

También está permitido, a la luz de la ley, colocar los nombres y apellidos de los empleados en las puertas de los lugares de trabajo, los sellos de los empleados y los títulos de las cartas redactadas por los empleados.

Una cuestión diferente es si el empleador puede, junto con los datos antes mencionados, colocar la imagen del empleado en el sitio web sin su consentimiento. Aquí la respuesta es simple: no. La publicación de la foto de un empleado requiere consentimiento voluntario. La regla anterior no se aplicará a los llamados intranets corporativas (redes con acceso limitado a computadoras en una empresa determinada). Si la colocación de imágenes de empleados en la intranet se utilizará únicamente con el fin de mejorar y agilizar la gestión de la empresa, dicha acción puede considerarse aceptable. Obtenga más información sobre la protección de los datos personales de los empleados:
Protección de los datos personales de los empleados: ¿cuáles son las obligaciones del empleador?
¿Qué datos personales puede procesar el empleador a la luz de las disposiciones del RGPD?
GDPR y datos personales de un empleado y un candidato a un trabajo

Tratamiento de datos personales de los empleados y medicina del trabajo

Se debe enfatizar que derivar a un empleado para exámenes médicos iniciales, periódicos y de control, es decir, exámenes preventivos, es una obligación del empleador en virtud del Código del Trabajo. También debe almacenar esta información en su base de datos. Debido al hecho de que los datos de salud de los empleados son datos sensibles, el empleador debe prestar especial atención a su protección. No obstante, la jurisprudencia ha aceptado que no es necesario celebrar un contrato de tratamiento de datos personales con una unidad de servicio de medicina del trabajo. Esto se debe al hecho de que el empleador y la unidad médica operan de forma independiente entre sí y, por lo tanto, cada uno de ellos determina de forma independiente los fines y los medios del procesamiento de datos personales.

Por otro lado, las disposiciones sobre registros médicos en general se aplican al almacenamiento de la documentación de los exámenes preventivos de los empleados. Debe tenerse en cuenta que los datos contenidos en la documentación discutida están sujetos a un estricto secreto profesional y oficial, es decir, solo pueden estar disponibles para las entidades especificadas en reglamentos separados y en los términos especificados en el mismo.

¡Comience un período de prueba gratuito de 30 días sin condiciones!

Datos personales de los empleados y formación de los empleados

Otra situación que puede generar problemas en materia de protección de datos personales es la organización de la formación. Muy a menudo, los empleadores contratan empresas externas que se especializan en determinados tipos de formación. Esto significa que en la mayoría de estos cursos, el empleador se ve obligado a transferir los datos personales de sus empleados a dicha empresa externa en mayor o menor medida.

Por regla general, la primera formación obligatoria que tendrá que afrontar cada empleado es la formación en seguridad y salud laboral. Puede ser realizado por un empleado designado para la seguridad y salud en el trabajo o por una entidad externa. Tanto el empleado de OHS como la entidad externa deben estar autorizados para procesar los datos de las personas que participan en la capacitación. Además, se requiere que una empresa externa celebre un acuerdo de procesamiento de datos personales con el empleador.

En el caso de otras formaciones, incluidas las opcionales, la situación del empleador depende de si el empleado participa en ella de forma privada (se inscribió él mismo) o si el empleador lo delegó en una formación determinada. En el primer caso, si el empleado se inscribió individualmente para la capacitación y el empleador solo cubre su parte, no tiene ninguna obligación relacionada con la protección de los datos de dicho empleado. Aquí, la empresa externa actúa como un administrador independiente, por lo que debe realizar todas las obligaciones de información y otras tareas especificadas en el RGPD hacia su estudiante. Sin embargo, si el empleador envió al empleado al curso y la empresa de formación externa es la entidad encargada por el empleador del tratamiento de los datos personales, el empleador deberá celebrar un contrato de encomienda con la empresa externa. En una situación en la que el curso no requiera el procesamiento de datos personales de los empleados y no suceda realmente (por ejemplo, la empresa de formación no mantendrá una lista de asistencia), entonces el empleador no tiene que celebrar un contrato de encomienda con esta empresa. .

Datos personales del empleado y el RGPD - resumen

El procesamiento de datos personales, especialmente en las grandes empresas, puede presentar a los controladores de datos muchas dificultades de interpretación y problemas prácticos. No basta con asegurar que la información obtenida de los empleados cumpla con el Código Laboral y el RGPD. Dirigir una empresa es tan complejo y variado que no todos los aspectos de la protección de datos están regulados directamente por la legislación. Muchos problemas prácticos requieren interpretaciones complejas de las regulaciones y una larga búsqueda en sitios web con sentencias de la Corte Suprema. Sin embargo, esta es información que todo empresario que emplee empleados debería tener, porque cualquier acción que no cumpla con los requisitos del RGPD puede resultar en sanciones económicas muy elevadas.

¡Sistema WFirma.pl compatible con GDPR!

En el sistema wFirma.pl, puede descargar un informe sobre el procesamiento de los datos personales de los empleados. Simplemente vaya a la pestaña PERSONAL »EMPLEADOS» DETALLES DEL EMPLEADO (haciendo clic en el nombre y apellido del empleado). Aparecen tres iconos en la esquina superior derecha. El icono de carpeta abierta significa Informe ODO.

Después de hacer clic en él, aparecerá una ventana con los datos del empleado y todas las entradas relacionadas con la introducción / cambio de datos.

Dicho informe se puede descargar, simplemente haga clic en la opción GENERAR INFORME.