RCP a RODO – Jakie dane pracowników można zbierać w systemie rejestracji czasu pracy?

System rejestracji czasu pracy to niewątpliwa pomoc w zakresie prowadzenia ewidencji godzin pracy. Nie da się ukryć, że ta opcja to świetne odciążenie przy wprowadzaniu grafików, czy ogólnym dbaniu o rozliczanie godzin i nieobecności. Warto jednak uwypuklić fakt, że to narzędzie odpowiada również za przetwarzanie danych osobowych pracowników. Z tego też względu jego wdrożenie powinno […]

System rejestracji czasu pracy to niewątpliwa pomoc w zakresie prowadzenia ewidencji godzin pracy. Nie da się ukryć, że ta opcja to świetne odciążenie przy wprowadzaniu grafików, czy ogólnym dbaniu o rozliczanie godzin i nieobecności. Warto jednak uwypuklić fakt, że to narzędzie odpowiada również za przetwarzanie danych osobowych pracowników. Z tego też względu jego wdrożenie powinno uwzględniać wymagania związane z RODO. Jak to właściwie wygląda?

RCP a RODO – Dlaczego dane o czasie pracy są danymi osobowymi?

RODO bierze pod uwagę dane osobowe, jako informacje, które umożliwiają identyfikację osoby fizycznej w sposób pośredni lub bezpośredni. Dane, które są gromadzone przez system RCP, wśród których znajduje się numer identyfikacyjny, imię i nazwisko, czy historia wejść oraz wyjść z zakładu pracy, odnoszą się do konkretnego pracownika. Właśnie dlatego podlegają one specjalnej ochronie.

Jeśli chodzi o informacje, które skupiają się na liczbie godzin spędzonych na obowiązkach, absencjach, czy też nadgodzinach, to można je wykorzystać do oceny organizowania swojej pracy przez personel. Dlatego też tak istotne jest, by pracodawca przechowywał je w zgodzie z wyznaczonymi zasadami legalności, ograniczenia celu ich przetwarzania i legalizacji danych.

Jakie dane pracowników można zbierać w systemie RCP?

Zakres informacji, które zbiera system RCP, powinien być dostosowywany do celu, w jakim prowadzi się ewidencję czasu pracy. Wśród najczęściej zbieranych danych w tym zakresie wymienia się przede wszystkim:

  • Imię i nazwisko pracownika,
  • Datę i godzinę wejścia do pracy oraz jej opuszczenia,
  • Informacje dotyczące odbywanych przerw,
  • Dane o zaplanowanych nieobecnościach z tytułu pełnienia obowiązków,
  • Informacje o pracy zmianowej, nadgodzinach lub zdalnej – gdy jest to niezbędne rozliczeń,
  • Identyfikator personelu, bądź jego numer kadrowy.

Przetwarzanie zaprezentowanych powyżej danych zwykle opiera się stricte na obowiązkach pracodawcy. Te wynikają natomiast z przepisów zawartych w prawie pracy, więc zazwyczaj na ich pozyskanie nie wymaga się zgody pracownika.

Jakich danych nie warto zbierać, jeśli nie są potrzebne do ewidencji czasu pracy?

Nie można zaprzeczyć, że wśród podstawowych zasad RODO znajduje się ta mówiąca o minimalizacji zbieranych informacji. Oznacza to, że narzędzie, jakim jest system RCP, nie powinien gromadzić danych, które nie są niezbędne przy prowadzeniu ewidencji czasu pracy. Dane, które nie muszą być zbierane to:

  • Lokalizacja personelu, chyba że jest to uzasadnione charakterem pełnionych obowiązków,
  • Informacje o szczególnej kategorii np. dotyczące zdrowia – nie są one potrzebne, jeśli nie istnieje na to podstawa prawna,
  • Dane szczegółowe skupione wokół aktywności pracownika i niemające związku z rozliczaniem godzin jego pracy,
  • Prywatne adresy mailowe, czy numery telefonu – jeżeli nie służą wykorzystaniu w obsłudze systemu.

Im mniejszy zakres danych pozyskujecie od swoich pracowników, tym większa szansa na zachowanie zgodności z RODO.

Biometria w systemie RCP – Kiedy pojawia się największe ryzyko?

Niektóre systemy RCP wykorzystują dane biometryczne, np. odcisk palca lub skan geometrii twarzy. Choć oczywiście zwiększa to wygodę korzystania z ów narzędzia, to wiąże się także z wyższym poziomem ryzyka. Otóż dane biometryczne to szczególne informacje osobowe. Ich przetwarzanie jest dopuszczalne tylko w sytuacjach, które są przewidziane przez przepisy.

Jeśli waszym uzasadnieniem w ich uzyskiwaniu jest wygodniejsza rejestracja czasu pracy, to niestety dla obowiązującego prawa nie jest ono wystarczające. Nim zdecydujecie się na wdrożenie biometrii, przeanalizujcie, czy ten sam cel możecie osiągnąć, wykorzystując metody o mniejszej inwazyjności. Mowa tutaj o aplikacjach mobilnych, identyfikatorach, czy też kartach zbliżeniowych. Wówczas będzie to dla was zwyczajnie łatwiejsze do wprowadzenia.

Kto powinien mieć dostęp do danych z rejestracji czasu pracy?

To pytanie jest zadawane naprawdę często, a odpowiedź jest prosta. Dostęp do informacji pozyskiwanych i gromadzonych w systemie RCP powinny mieć te osoby, które bezspornie potrzebują go do wykonywania swoich obowiązków służbowych. Najczęściej są to osoby na stanowiskach, takich jak:

  • Pracownicy w dziale kadr i płac,
  • Administratorzy systemu RCP,
  • Przełożeni pod kątem danych osób z ich zespołu,
  • Osoby, które rozliczają czas pracy.

Dobrym wyborem jest stosowanie indywidualnych kont użytkowników, ale także rejestrowanie operacji, które są wykonywane w systemie. Ponadto z ważny punkt trzeba także uznać nadawanie uprawnień zgodnych z zakresem obowiązków.

Jak zabezpieczyć dane pracowników w systemie RCP?

Bezpieczeństwo informacji, które są przechowywane w systemie RCP, skupia się zarówno na kwestiach technicznych, jak i organizacyjnych. Istotnymi elementami w celu jego zapewnienia jest przede wszystkim szyfrowanie transmisji danych, regularne aktualizacje oprogramowania, czy wykonywanie kopii zapasowych.

Ponadto należy chronić dane, prowadząc rejestr zdarzeń i prób logowania, a także szkoląc pracowników w zakresie ochrony danych osobowych. Ważne jest również stosowanie silnych mechanizmów uwierzytelniania użytkowników i wykorzystanie ograniczeń dostępu kierując się rolami konkretnych użytkowników.

Kiedy wdrożenie RCP warto skonsultować z dostawcą systemu?

Czasami zdarza się, że konsultacja z dostawcą jest szczególnie wskazana. Mowa o momentach, kiedy to przedsiębiorstwo planuje wdrożenie niestandardowych funkcji, ale także wtedy, gdy chce zintegrować narzędzie z innymi systemami np. kadrowo-płacowymi.

W takich sytuacjach warto omówić zakres przetwarzanych informacji, ale także:

  • Okres przechowywania danych,
  • Możliwości anonimowości i usuwania informacji,
  • Sposób archiwizowania danych,
  • Konfigurację w zakresie uprawnień użytkowników,
  • funkcje wspierające realizację obowiązków wynikających z RODO.

Dzięki dobrze skonfigurowanemu systemie RCP można usprawnić ewidencję czasu pracy i ograniczyć ryzyko popełnianych błędów organizacyjnych oraz naruszeń z tytułu ochrony danych.

Podsumowanie – System RCP powinien wspierać ewidencję czasu pracy i zgodność z RODO

System RCP powinien przetwarzać wyłącznie te informacje, które są niezbędne do realizacji obowiązków pracodawcy. Najważniejsze znaczenie mają zasady związane z minimalizacją uzyskiwanych danych, ale także kontrola w zakresie dostępu do nich, czy też adekwatne zabezpieczenia techniczne.

Nim dojdzie do wdrożenia omawianego narzędzia w waszej firmie, należy przeanalizować to, jakie funkcje są realnie potrzebne oraz czy wybrana opcja pozwala na łatwe spełnienie wymagań, które wynikają z RODO. Taki system to spore ułatwienie, jednak do jego wdrożenia należy podejść bardzo skrupulatnie. Można go też łączyć z kontrolą dostępu. Mamy nadzieję, że przedstawiony temat nie budzi już waszych wątpliwości.

Dane rejestracyjne:
NIP: 894-298-81-97
Regon: 020245909
KRS: 0000248510
Numer koncesji MSWiA: L-0259/16
Polityka prywatności
POLSYSTEM SI Sp. z o.o., s.k.a.
ul. Ukraińska 4D
54-401 Wrocław, Woj. Dolnośląskie
Adres ogólny: biuro@polsystem.pl
zapytanie@polsystem.pl
tel. +48 (71) 7837890
tel. +48 692 430 193
Dołącz do newslettera