Zgodnie z unijnym rozporządzeniem o ochronie danych osobowych (RODO), pracodawca ma pełne prawo monitorować czas pracy swoich podwładnych przy użyciu systemów elektronicznych, o ile wykaże swój prawnie uzasadniony interes i poinformuje o tym załogę.
Kluczem do legalnego wdrożenia jest jednak zasada minimalizacji – wolno zbierać tylko te informacje, które są absolutnie niezbędne do poprawnego wyliczenia wynagrodzenia. Wybierając nowoczesny system RCM Control, zyskujesz oprogramowanie technologicznie przygotowane do ochrony danych, jednak sama instalacja urządzeń na ścianie to nie wszystko. Jako administrator danych musisz dopełnić kilku formalności prawnych.
Wdrożenie elektroniki do działu kadr to doskonały moment na uporządkowanie wewnętrznych regulaminów. Zanim Twoja nowa rejestracja czasu pracy zacznie funkcjonować, upewnij się, że Twoja firma spełnia poniższe 5 kryteriów.
5 kroków do pełnej zgodności z RODO przed startem systemu
Poniższa lista kontrolna (checklista) pozwoli Ci zabezpieczyć firmę przed ewentualnymi zarzutami ze strony Urzędu Ochrony Danych Osobowych (UODO) oraz samych pracowników.
1. Ustalenie podstawy prawnej (Prawnie uzasadniony interes)
Zanim uruchomisz czytniki, musisz wiedzieć, na jakiej podstawie przetwarzasz dane (takie jak data i godzina wejścia, nazwisko, identyfikator). W przypadku standardowych czytników na karty RFID podstawą prawną jest art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes administratora. Interesem tym jest konieczność rzetelnego rozliczenia czasu pracy narzucona przez Kodeks pracy. Nie potrzebujesz na to dodatkowej zgody pracownika – wystarczy oficjalny komunikat.
2. Aktualizacja regulaminu i obowiązek informacyjny
Pracownicy nie mogą być zaskoczeni nowym systemem. Zgodnie z przepisami (art. 104 Kodeksu pracy oraz wymogi RODO), musisz poinformować załogę o wprowadzeniu systemu RCP co najmniej 14 dni przed jego uruchomieniem. Informacja ta powinna znaleźć się w Regulaminie Pracy. Dodatkowo, każdy pracownik powinien otrzymać i podpisać klauzulę informacyjną RODO, która wyjaśnia, kto jest administratorem danych z czytników, w jakim celu są zbierane i jak długo będą przechowywane.
3. Minimalizacja danych (Nie zbieraj na zapas)
System RCP ma służyć wyłącznie do ewidencji czasu. RODO stanowczo zabrania zbierania danych „na wszelki wypadek”. Jeśli czytnik zbliżeniowy wymaga jedynie numeru karty i przypisanego do niej numeru ewidencyjnego pracownika, nie wgrywaj do terminala pełnych danych kadrowych (np. numerów PESEL, adresów zamieszkania czy dat urodzenia). W RCM Control terminal pobiera z chmury tylko to, co niezbędne do identyfikacji.
4. Biometria – tutaj potrzebujesz wyraźnej zgody
Zasady zmieniają się drastycznie, jeśli zdecydujesz się na logowanie za pomocą odcisków palców. Biometria jest traktowana przez RODO jako „dane szczególnej kategorii” (dane wrażliwe). Zgodnie ze stanowiskiem polskiego UODO, nie możesz zmusić pracownika do korzystania z czytnika biometrycznego. Taka identyfikacja jest w pełni legalna, ale musi opierać się na dobrowolnej, wyrażonej na piśmie zgody pracownika (z własnej inicjatywy pracownika). Jeśli ktoś odmówi, musisz zapewnić mu alternatywną metodę logowania – np. kartę RFID lub kod PIN w tym samym urządzeniu hybrydowym.
5. Zabezpieczenie fizyczne i IT
Ostatnim punktem jest audyt bezpieczeństwa samego sprzętu. Kto ma dostęp do szafki z serwerem lub – w przypadku systemów chmurowych – kto posiada hasło do konta administratora? Dostęp do panelu RCP powinny mieć wyłącznie upoważnione osoby z działu HR, kadr lub kierownicy (tylko z wglądem w dane swojego zespołu). Równie ważne jest zabezpieczenie logowania certyfikatem SSL, w co systemy RCM Control są wyposażone w standardzie.
Checklista wdrożeniowa dla HR i Zarządu
Oto skrócona tabela, która pomoże Ci odhaczyć niezbędne zadania przed godziną „zero”.
| Krok prawny / organizacyjny | Wymóg wynikający z przepisów | Osoba odpowiedzialna |
|---|---|---|
| Wybór podstawy prawnej | Określenie art. 6 (uzasadniony interes) lub art. 9 (biometria) RODO. | Inspektor Ochrony Danych (IOD) / Zarząd |
| Aneks do Regulaminu Pracy | Ogłoszenie zasad korzystania z czytników z 14-dniowym wyprzedzeniem. | Dział HR / Kadry |
| Klauzula informacyjna | Przekazanie pracownikom informacji o celu i czasie retencji danych z systemu RCP. | Dział HR / Kadry |
| Zgody biometryczne | Odebranie pisemnych, dobrowolnych oświadczeń (tylko w przypadku używania odcisku palca). | Dział HR / Kadry |
| Matryca uprawnień | Nadanie selektywnych dostępów (haseł) do panelu online tylko uprawnionym menedżerom. | Administrator IT / HR |
FAQ – Najczęściej zadawane pytania o RODO w systemach RCP
1. Czy pracownik może odmówić odbijania się na czytniku na kartę RFID?
Nie. Jeśli pracodawca wpisał ten obowiązek do regulaminu pracy i poinformował o tym załogę, pracownik musi się do tego stosować. Rejestracja czasu pracy w standardowy sposób nie wymaga zgody, a odmowa wykonania tego obowiązku może skutkować karą porządkową.
2. Czy można stosować czytniki linii papilarnych bez zgody pracownika?
Nie w Polsce. Polski Kodeks pracy oraz Prezes UODO stoją na stanowisku, że biometria w stosunku pracy może być użyta wyłącznie za uprzednią, dobrowolną zgodą samego pracownika. Pracodawca nie może narzucić tej formy logowania jako jedynej.
3. Jak długo można przechowywać dane z czytników RCP?
Zgodnie z przepisami, ewidencja czasu pracy (do której trafiają dane z czytników) powinna być przechowywana przez okres 10 lat od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł. Same „surowe” logi z urządzeń można zazwyczaj nadpisywać wcześniej, po ich przeniesieniu do oficjalnej dokumentacji kadrowej.
4. Gdzie powiesić klauzulę informacyjną RODO o systemie RCP?
Najlepszą praktyką jest dołączenie klauzuli bezpośrednio do akt osobowych (jako oświadczenie do podpisu podczas wdrożenia lub zatrudniania). Dodatkowo, skrócona wersja informująca o monitorowaniu terenu/czasu powinna być zawieszona w widocznym miejscu, niedaleko samego czytnika przy wejściu.
5. Czy trzeba zgłaszać system RCP do UODO?
Od momentu wejścia w życie RODO nie ma już obowiązku rejestrowania poszczególnych zbiorów danych u Prezesa UODO. Posiadanie i przetwarzanie danych z RCP należy po prostu uwzględnić w wewnętrznym Rejestrze Czynności Przetwarzania, który firma prowadzi na własny użytek audytowy.
