Czy wysyłanie pasków wynagrodzeń oraz PIT do pracowników rodzi problem z tytułu RODO?
Pracodawca może wysyłać paski z wynagrodzeniami oraz PIT-11 poprzez wiadomość e-mail, ale musi pamiętać o ważnych aspektach związanych z taką wysyłką.
Możliwość takiej wysyłki potwierdza interpretacja indywidualna Dyrektor Krajowej Informacji Skarbowej z dnia 18.12.2019 r. nr 0115-KDIT2.4011.9.2019.1.HD.
Zgodnie z art. 6 ust. 1 lit. a rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. 119, s. 1 ze zm.) należy pamiętać, że pracodawca musi uzyskać zgodę pracownika na taką wysyłkę, a sam prywatny e-mail musi być dobrowolnie przez pracownika do tego celu podany. Takie stanowisko zostało zaprezentowane w komunikacie na stronie UODO (https://uodo.gov.pl/pl/138/1636).
Istnieją w tym zakresie, moim zdaniem, błędne interpretacje co do zgody pozyskanej w procesie rekrutacji lub zatrudniania. Jeżeli nie mamy innej podstawy prawnej, a podstawą dla przetwarzania adresu e-mail jest zgoda pracownika, musi ona zawsze być dobrowolna oraz konkretna. Zgodnie z motywem 32 RODO: „Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele.”.
Względem pracownika, którego zgodę na ten cel pozyskujemy, należy spełnić obowiązek informacyjny, zgodnie z art. 13 RODO.
Kolejnym bardzo ważnym aspektem takiej wysyłki jest upewnienie się, że danych w ten sposób wysłanych nie otrzyma inna osoba. Jeżeli chcielibyśmy do tego celu wykorzystać służbowy e-mail pracownika, a korespondencja z takiej skrzynki jest np. przekazywana automatycznie innemu pracownikowi, wówczas za pośrednictwem poczty służbowej informacje takie nie mogą być wysyłane. Powinno się użyć do tego celu prywatnej skrzynki e-mail pracownika, dysponując zgodą, o której mowa była wcześniej.
Należy zadbać o poufność danych zawartych w przesyłanym pliku. Warto, aby dokument taki był zabezpieczony np. hasłem, a hasło przekazane osobnym kanałem komunikacji (np. sms-em). Pliki wysyłane poszczególnym pracownikom powinny mieć różne hasła, a hasła takie powinny być aktualizowane. Zaszyfrowanie pliku i nadanie hasła stanowi mechanizm chroniący plik przed dostępem osoby innej niż ta, której dane dotyczą (np. omyłkowa wysyłka do błędnego adresata).
Hasło nie jest jednak jedynym możliwym środkiem zabezpieczenia. Cytując RODO:
Artykuł 32
Bezpieczeństwo przetwarzania
- 39
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
a) pseudonimizację i szyfrowanie danych osobowych;
Słowo kluczowe to administrator i procesor wdrażają ODPOWIEDNIE środki techniczne i organizacyjne. Czyli dla każdego procesu przetwarzania identyfikujemy ryzyka, szacujemy możliwość ich wystąpienia i skutki, które za sobą niosą i podejmujemy decyzję czy dane mogą być w danym procesie przetwarzane.
Możemy więc podjąć decyzję o szyfrowaniu i zabezpieczaniu hasłem, o umieszczeniu pliku na wydzielonym udziale np. w chmurze i dostępie po zautentykowaniu użytkownika lub w skrajnym przypadku zaprzestaniu przetwarzania w ten sposób. Wszystko zależy tutaj od oceny ryzyka. Należy wdrożyć odpowiednie środki zabezpieczające lub nawet weryfikujące adresata, aby nie otrzymał danych nadmiarowych, lub takich które jego nie dotyczą.