Kontekst zatrudniania cudzoziemców a RODO – z czym mierzy się pracodawca
Przy zatrudnianiu cudzoziemców przetwarzanie danych osobowych robi się automatycznie „gęstsze”: pojawia się więcej dokumentów, więcej numerów, zezwoleń, decyzji, dat ważności, a do tego różne organy – ZUS, urzędy skarbowe, wojewodowie, Straż Graniczna. Każdy z tych podmiotów oczekuje określonych informacji, ale nie oznacza to, że pracodawca może zbierać wszystko, co wpadnie w rękę, ani tym bardziej przechowywać to bez końca.
Cudzoziemiec zostawia po sobie dużo bardziej rozbudowany „ślad papierowy” niż pracownik z polskim obywatelstwem: paszport, karty pobytu, zezwolenia na pracę, oświadczenia, potwierdzenia z ZUS, numery identyfikacyjne, potwierdzenia zameldowania. Z perspektywy RODO to wciąż dane osobowe, które należy przetwarzać w sposób zgodny z zasadami: legalności, minimalizacji, ograniczenia celu i przechowywania, integralności i poufności.
Do gry wchodzą jednocześnie trzy porządki prawne:
RODO i ustawa o ochronie danych osobowych – określają zasady ogólne i obowiązki administratora danych.
Kodeks pracy oraz przepisy wykonawcze – precyzują, jakie dane o pracowniku można (a nawet trzeba) przetwarzać w związku ze stosunkiem pracy.
Przepisy migracyjne (ustawa o cudzoziemcach, ustawa o promocji zatrudnienia i instytucjach rynku pracy, przepisy o delegowaniu pracowników) – nakładają obowiązki związane z legalnością pobytu i pracy, ewidencją, przechowywaniem dokumentów.
Pracodawca jest w tym układzie administratorem danych osobowych pracownika – to on decyduje o celach i sposobach przetwarzania. Czasami może też być współadministratorem (np. przy projektach realizowanych z innymi podmiotami) albo występować jako procesor (podmiot przetwarzający dane na zlecenie innego administratora, co często dotyczy agencji pracy tymczasowej wobec pracodawcy użytkownika).
Błędy w podejściu do danych cudzoziemców mają podwójne konsekwencje: z jednej strony grożą sankcjami UODO (wysokie kary administracyjne, nakazy usunięcia danych, ograniczenia przetwarzania), z drugiej – mogą wywołać problemy z legalizacją pobytu i pracy podczas kontroli Straży Granicznej czy PIP. Czasem wystarczy jedna nadgorliwa praktyka, by trzeba było tłumaczyć się na dwóch frontach.
Dobrym przykładem jest firma, która „na wszelki wypadek” skanowała każdą stronę paszportu cudzoziemca, w tym stare wizy turystyczne i stemple graniczne sprzed kilku lat. W praktyce nie było żadnej podstawy prawnej, by archiwizować tak szeroki zakres informacji – do legalizacji pracy wystarczały dane identyfikacyjne, numery dokumentów i aktualne tytuły pobytowe. Reszta była po prostu zbędna i zwiększała ryzyko naruszenia RODO.
Źródło: Pexels | Autor: Alex Green
Podstawy prawne przetwarzania danych cudzoziemców przy zatrudnieniu
Art. 6 RODO – na czym opierać przetwarzanie danych pracownika
Każde przetwarzanie danych cudzoziemca – od rozmowy kwalifikacyjnej, przez wypełnienie umowy, po wysyłanie informacji do ZUS czy Straży Granicznej – musi mieć konkretną podstawę prawną. RODO wymienia ich kilka w art. 6 ust. 1, ale w relacji pracodawca–pracownik w praktyce stosuje się głównie trzy:
obowiązek prawny (art. 6 ust. 1 lit. c RODO) – gdy dane są potrzebne, aby wywiązać się z obowiązków wynikających z przepisów prawa pracy, ubezpieczeń społecznych, podatkowych, przepisów migracyjnych;
wykonanie umowy lub działania przed jej zawarciem (lit. b) – np. przekazanie danych do przygotowania umowy o pracę czy umowy zlecenia;
uzasadniony interes administratora (lit. f) – np. zabezpieczenie roszczeń, wewnętrzne statystyki, organizacja pracy, ochrona mienia, jeżeli nie narusza to nadmiernie praw i wolności pracownika.
Zgoda pracownika (art. 6 ust. 1 lit. a RODO) pojawia się tu bardzo rzadko i raczej wyjątkowo. Relacja pracodawca–pracownik jest co do zasady nierównorzędna, co oznacza, że zgoda z definicji może nie być dobrowolna. Pracownik może odczuwać presję, że jeśli jej nie udzieli, to konsekwencje będą dla niego negatywne. UODO i organy unijne podchodzą do zgód pracowniczych z dużą ostrożnością.
W praktyce oznacza to, że większość danych cudzoziemca przetwarzasz bez proszenia go o zgodę, opierając się na obowiązku prawnym, wykonaniu umowy lub uzasadnionym interesie. Zgoda może być właściwa np. przy:
publikacji wizerunku pracownika na stronie internetowej pracodawcy (jeśli nie wynika to z przepisów szczególnych czy zakresu obowiązków),
utrzymywaniu danych w bazie rekrutacyjnej na potrzeby przyszłych procesów rekrutacyjnych, po zakończeniu aktualnego procesu.
Dobra praktyka: dla każdej czynności przetwarzania (np. prowadzenie akt osobowych, rekrutacja, ewidencja czasu pracy, legalizacja pobytu) wskazać w rejestrze czynności przetwarzania właściwą podstawę z art. 6 RODO – tak, aby w razie kontroli nie szukać nerwowo argumentów „po fakcie”.
Kodeks pracy i przepisy szczególne dotyczące cudzoziemców
RODO mówi: dane muszą być przetwarzane zgodnie z prawem. Co to prawo konkretnie nakazuje przy zatrudnianiu cudzoziemców, wskazują m.in.:
Kodeks pracy – art. 221 określa katalog danych, jakich pracodawca może żądać od kandydata i pracownika;
ustawa o systemie ubezpieczeń społecznych oraz przepisy o ZUS
ustawa o podatku dochodowym od osób fizycznych i przepisy o obowiązkach płatnika;
ustawa o cudzoziemcach – warunki pobytu;
ustawa o promocji zatrudnienia i instytucjach rynku pracy – zasady powierzania pracy cudzoziemcom;
rozporządzenia wykonawcze dotyczące prowadzenia akt osobowych i dokumentacji pracowniczej.
Te przepisy wymuszają pozyskiwanie określonych danych, np. numeru PESEL (gdy jest), adresu zamieszkania, danych identyfikacyjnych, numerów dokumentów pobytowych i zezwoleń na pracę, informacji potrzebnych do zgłoszenia do ZUS, rozliczeń podatku czy np. PPK. Jeżeli ustawa mówi, że musisz sprawdzić legalność pobytu i pracy cudzoziemca, to masz podstawę prawną, by żądać od niego danych umożliwiających weryfikację tych przesłanek.
To jednak nie oznacza, że możesz „przy okazji” zbierać dodatkowe informacje z ciekawości – np. dokładny opis historii podróży, dane o członkach rodziny, zdjęcia każdej pieczątki w paszporcie, szczegółowe pytania o powody poprzednich pobytów. Prawo wymaga tyle, ile wymaga – reszta jest zbędna w rozumieniu zasady minimalizacji danych.
Dane potrzebne „do zatrudnienia” a dane z ciekawości
Kuszące jest podejście: „skoro urzędy wymagają od nas tyle papierów, to zbierzmy wszystko – będzie spokój”. Niestety, z perspektywy RODO to prosta droga do zarzutu przetwarzania danych w nadmiernym zakresie. Granica przebiega między:
danymi koniecznymi – bez nich nie da się zawrzeć umowy, zgłosić do ZUS, rozliczyć podatków, spełnić wymogów migracyjnych;
danymi „marketingowo-HRowymi”, ciekawostkowymi, zbieranymi „na wszelki wypadek” lub „bo fajnie je mieć”.
Przykłady danych potrzebnych „do zatrudnienia”:
imię, nazwisko, data urodzenia, dane kontaktowe kandydata/pracownika,
dane dokumentu tożsamości i dokumentu pobytowego (numer, data ważności),
numer PESEL lub inny identyfikator wymagany do zgłoszeń (np. numer paszportu),
dane niezbędne do rozliczeń podatkowych (np. rezydencja podatkowa, kraj zamieszkania),
dane wymagane przez przepisy o powierzaniu pracy cudzoziemcom (numery zezwoleń, rodzaj tytułu pobytowego).
Przykłady danych „z ciekawości”:
powody, dla których dana osoba wyjechała z kraju pochodzenia,
szczegółowa historia podróży widoczna w paszporcie,
informacje o rodzinie mieszkającej za granicą, jeśli nie są potrzebne podatkowo lub ubezpieczeniowo,
pytania o poglądy polityczne, wyznanie, przynależność do organizacji (to już często dane szczególne!).
Takie dodatkowe informacje nie mają podstawy w prawie pracy ani przepisach migracyjnych, więc ich przetwarzanie jest wątpliwe. Zgoda pracownika też nie „ratuje sytuacji”, jeśli trudno wskazać realny, konkretny cel i wykazać dobrowolność.
Źródło: Pexels | Autor: Tima Miroshnichenko
Jakie dane osobowe cudzoziemca wolno pozyskiwać przed zatrudnieniem
Dane w procesie rekrutacji – zakres minimalny
Na etapie rekrutacji główne znaczenie ma art. 221 Kodeksu pracy. Pracodawca może żądać od kandydata danych:
identyfikacyjnych: imię (imiona) i nazwisko,
kontaktu: data urodzenia (jeżeli jest niezbędna do wykonywania pracy określonego rodzaju lub na określonym stanowisku),
kontaktowych: dane kontaktowe wskazane przez kandydata,
innych danych, jeżeli jest to potrzebne z uwagi na charakter pracy (np. dane o wykształceniu, kwalifikacjach, przebiegu dotychczasowego zatrudnienia),
innych danych, jeżeli obowiązek ich podania wynika z odrębnych przepisów.
W praktyce w ogłoszeniu i formularzu rekrutacyjnym pracodawca ogranicza się zazwyczaj do:
imię i nazwisko,
adres e-mail, numer telefonu,
podstawowe informacje o doświadczeniu i wykształceniu (CV),
ewentualnie preferencje dotyczące zatrudnienia (wymiar etatu, dostępność).
To wystarcza, by wybrać kandydatów do rozmów. Rozsądny HR nie dopytuje na tym etapie o szczegóły dokumentów pobytowych, numery paszportu czy adres zamieszkania. Te dane staną się potrzebne dopiero po podjęciu decyzji o zatrudnieniu, gdy trzeba będzie stworzyć umowę i dopełnić obowiązków prawnych.
Pytania o obywatelstwo, kraj pochodzenia i prawo do pracy
Kluczowe wyzwanie: jak sprawdzić, czy cudzoziemiec będzie mógł legalnie pracować w Polsce, bez wchodzenia na pole dyskryminacji i naruszeń RODO. Trzeba połączyć prawo pracy, zasady równego traktowania i ochronę danych.
Dopuszczalne są formuły ogólne, np. w formularzu rekrutacyjnym:
„Czy posiadasz prawo do legalnej pracy na terytorium RP?” – odpowiedź „tak/nie”,
„Czy wymagasz ze strony pracodawcy uzyskania zezwolenia na pracę?” – odpowiedź „tak/nie”.
Takie pytania pomagają ocenić, czy zatrudnienie cudzoziemca jest w ogóle możliwe w zakładanym czasie i formie. Nie wchodzą jednak w zbędne szczegóły, nie wymagają podawania pełnych danych dokumentu pobytowego na samym początku.
Odrębną kwestią jest pytanie o obywatelstwo. Co do zasady, jest to dana osobowa, która może mieć znaczenie prawne, bo uprawnienia do pracy różnią się np. dla obywateli UE/EOG i państw trzecich. Jeżeli stanowisko jest dostępne tylko dla osób z określonymi uprawnieniami (np. z racji przepisów dotyczących dostępu do informacji niejawnych), można to uzasadnić. W pozostałych przypadkach pytanie o obywatelstwo należy stosować rozważnie, najlepiej:
jako informację dobrowolną, bez wpływu na ocenę merytoryczną kandydata,
z jasnym wyjaśnieniem celu (np. „informacja pozwala ocenić wymogi dotyczące legalizacji pracy”).
Zdecydowanie ryzykowne są szczegółowe pytania typu: „Z jakiego regionu w kraju pochodzisz?”, „Jaką masz narodowość etniczną?”, „Jaki jest Twój język ojczysty?” – te dane wchodzą w obszar potencjalnej dyskryminacji i nie są niezbędne.
Ocena możliwości legalnego zatrudnienia bez dyskryminacji
Pracodawca musi ocenić, czy zatrudnienie cudzoziemca będzie legalne – inaczej naraża się na sankcje Straży Granicznej. Jednocześnie nie może odrzucać kandydatów ze względu na narodowość czy pochodzenie etniczne. Jak to pogodzić?
Praktyczne rozwiązania:
W ogłoszeniu o pracę wprowadzić neutralne zdanie: „Ofertę kierujemy do osób posiadających prawo do pracy w Polsce lub gotowych do jego uzyskania przy wsparciu pracodawcy”.
Na pierwszym etapie rekrutacji pytać ogólnie o prawo do pracy, a szczegóły dokumentów pobytowych omawiać dopiero z kandydatem, który przeszedł etap merytoryczny i jest realnie brany pod uwagę.
Wstępne weryfikowanie dokumentów pobytowych a zakres danych
W pewnym momencie rozmowa rekrutacyjna z cudzoziemcem schodzi na konkrety: wiza, karta pobytu, zezwolenie na pracę. Pojawia się pokusa, by już na etapie „wstępnej rozmowy” skanować paszport i archiwizować kopie wszystkich dokumentów. Z perspektywy RODO to o krok za daleko.
Na etapie przed zatrudnieniem możesz poprosić o okazanie dokumentu pobytowego do wglądu, aby wstępnie ocenić możliwość zatrudnienia – ale:
nie musisz (i nie powinieneś) od razu wykonywać kopii paszportu czy karty pobytu,
w zupełności wystarcza zanotowanie typu dokumentu i np. orientacyjnego terminu ważności, aby upewnić się, że zatrudnienie nie będzie nielegalne za dwa tygodnie,
szczegółowe dane (pełny numer, organ wydania, dokładna data wydania) zostaw na etap przygotowania umowy i zgłoszeń.
Scenariusz z życia: rekruter robi ksero całego paszportu „na wszelki wypadek”, po czym kandydat nie przechodzi dalej. Kopia ląduje w szafce „na potem” i nikt nie wie, kiedy to „potem” ma nastąpić. Trudno o lepszy przykład nadmiarowego przetwarzania.
Testy kompetencji, zadania rekrutacyjne i dane dodatkowe
W rekrutacji korzysta się często z testów językowych, technicznych czy psychometrycznych. Przy cudzoziemcach pojawia się dodatkowy aspekt – bariera językowa, inne standardy dokumentów, różnice kulturowe.
Jeżeli stosujesz testy:
zbieraj tylko takie informacje, które są rzeczywiście związane z oceną kwalifikacji – wynik testu, poziom języka, zakres wiedzy zawodowej,
nie pytaj w testach o kwestie „społeczno-obyczajowe”, które mogą ujawniać dane o wyznaniu, światopoglądzie, orientacji, sytuacji rodzinnej,
jeśli korzystasz z zewnętrznej platformy testowej, zadbaj o umowę powierzenia danych i sprawdź, jakie dane osobowe platforma realnie potrzebuje (czasem wystarczy pseudonim lub ID kandydata).
Jeżeli zadanie rekrutacyjne wymaga podania danych innych osób (np. w branży HR, prawo, finanse), zabezpiecz proces tak, aby kandydat mógł korzystać z danych fikcyjnych lub zanonimizowanych. Kandydat nie jest „podmiotem przetwarzającym” na Twoją rzecz i nie może przesyłać prawdziwych danych klientów z poprzedniej pracy, żeby udowodnić swoje kompetencje.
Korzystanie z agencji pracy i pośredników – kto za co odpowiada
W rekrutacji cudzoziemców częściej niż przy „lokalnych” zatrudnieniach pojawiają się agencje pracy, firmy relokacyjne, pośrednicy. Im więcej podmiotów, tym większe zamieszanie w odpowiedzialności za dane.
Trzeba ustalić, kto jest:
administratorem danych kandydata (zwykle każda strona w swoim zakresie – agencja i pracodawca),
podmiotem przetwarzającym – jeśli agencja działa wyłącznie w imieniu jednego, konkretnego pracodawcy i nie rekrutuje „na zapas” do własnej bazy.
W praktyce:
agencja pracy tymczasowej często pełni rolę odrębnego administratora – buduje własną bazę kandydatów, prowadzi kampanie rekrutacyjne, przedstawia wybranych pracodawcom; wtedy udostępnia dane konkretnemu pracodawcy, gdy kandydat wyraził na to zgodę lub gdy jest to niezbędne do działań przed zawarciem umowy,
firma relokacyjna, która tylko organizuje mieszkanie, transport czy pomoc w urzędach, zwykle jest podmiotem przetwarzającym wobec pracodawcy i działa na jego polecenie – wymaga to umowy powierzenia.
Jeżeli lista dokumentów i danych osobowych, jakich żąda od cudzoziemca pośrednik, budzi niepokój Twojego inspektora ochrony danych – prawdopodobnie żąda ich za dużo. Administrator nie może „wybielić się” stwierdzeniem: „to agencja zbiera, my tylko dostajemy”. Odpowiedzialność za wybór procesorów i zakres wymaganych danych wciąż spoczywa na Tobie.
Jakie dane cudzoziemca może przetwarzać pracodawca już po zatrudnieniu
Standardowy katalog danych pracowniczych – co dotyczy także cudzoziemców
Po podpisaniu umowy cudzoziemiec przestaje być „egzotycznym przypadkiem” i staje się po prostu pracownikiem. Zastosowanie ma ten sam art. 221 Kodeksu pracy oraz przepisy o dokumentacji pracowniczej. Mogą być przetwarzane m.in.:
imię, nazwisko, data urodzenia,
PESEL lub – jeśli go brak – inny identyfikator (np. numer paszportu) do zgłoszeń w ZUS i systemach kadrowo-płacowych,
adres zamieszkania i do korespondencji,
dane członków rodziny, jeżeli wymaga tego prawo (np. do celów podatkowych, zasiłków, ubezpieczenia zdrowotnego),
dane dotyczące wykształcenia i kwalifikacji zawodowych, jeżeli są potrzebne do rodzaju pracy,
informacje płacowe, o czasie pracy, urlopach, zwolnieniach – jak przy każdym pracowniku.
Przy cudzoziemcach dochodzi kilka specyficznych kategorii danych – związanych z legalnością pobytu i pracy.
Dane dotyczące legalności pobytu i pracy – co jest „must have”
Aby nie narazić się na zarzut powierzenia pracy nielegalnie przebywającemu cudzoziemcowi, pracodawca musi gromadzić i aktualizować określone informacje. Zwykle będą to:
dane dokumentu tożsamości (np. paszportu): numer, seria, data wydania i ważności, organ wydający,
dane dokumentu pobytowego (wiza, karta pobytu, stempel w paszporcie, zezwolenie na pobyt czasowy/stały): numer, data ważności, podstawa pobytu,
dane zezwolenia na pracę, oświadczenia o powierzeniu pracy, zezwolenia jednolitego (jeżeli są wymagane): numer decyzji, daty obowiązywania, warunki (stanowisko, pracodawca, wymiar czasu pracy, wysokość wynagrodzenia),
informacje o zgłoszeniu do odpowiednich rejestrów, jeśli wymagają tego przepisy (np. praca sezonowa).
Te dane są niezbędne nie tylko dla spokoju sumienia, lecz także na wypadek kontroli Straży Granicznej, PIP czy urzędu wojewódzkiego. Bez nich obrona typu „przecież mówił, że ma kartę pobytu” będzie mało przekonująca.
Czy wolno kopiować paszport i kartę pobytu pracownika
Jedno z częstszych pytań: czy można przechowywać kopie paszportu, wizy lub karty pobytu cudzoziemca w aktach osobowych? Przepisy migracyjne nie nakazują wprost wykonywania kopii, ale wymagają sprawdzenia legalności pobytu i pracy.
Możliwe podejścia:
brak kopii, tylko notatka – pracodawca spisuje do systemu kadrowego niezbędne dane z dokumentu (numer, datę ważności) oraz datę weryfikacji; dokument jest tylko okazywany do wglądu,
kopie dokumentów – część pracodawców decyduje się na przechowywanie skanów/kopii jako dowodu do kontroli; w takim przypadku trzeba uzasadnić to prawnie uzasadnionym interesem (art. 6 ust. 1 lit. f RODO) i przeprowadzić test równowagi.
Jeżeli decydujesz się na kopie, powinno temu towarzyszyć kilka zabezpieczeń:
kopie zawierają wyłącznie niezbędne strony dokumentu (nie ma sensu skanować wszystkich wolnych kartek paszportu),
dostęp do skanów jest ściśle ograniczony (kadry, dział legalizacji, ewentualnie compliance),
procedury określają czas przechowywania – po ustaniu zatrudnienia i upływie okresów archiwizacji dokumentacji pracowniczej kopie powinny zostać usunięte,
wyraźnie informujesz pracownika w klauzuli informacyjnej, że kopie są przechowywane i w jakim celu.
Rozwiązaniem pośrednim bywa „zaciemnianie” fragmentów, które są zbędne (np. stron z pieczątkami nieistotnymi dla legalności pobytu), ale tu trzeba zachować rozsądek – nie może to utrudniać ewentualnej kontroli.
Monitorowanie ważności dokumentów pobytowych – jakie dane przetwarzać
Cudzoziemiec, któremu wygasła wiza czy zezwolenie na pracę, może w jednej chwili zamienić się z pracownika w poważne ryzyko prawne. Dlatego firmy wdrażają „monitoring ważności” dokumentów.
System taki może opierać się na:
rejestrze z datami ważności poszczególnych dokumentów,
przypomnieniach generowanych automatycznie (np. 90/60/30 dni przed upływem terminu).
W takim rejestrze wystarczy zazwyczaj przetwarzać:
imię, nazwisko, identyfikator pracownika,
rodzaj dokumentu (wiza, karta pobytu, zezwolenie na pracę),
daty wydania i ważności,
ewentualnie informację o etapie przedłużenia (złożony wniosek, oczekiwanie na decyzję).
Nie ma potrzeby, aby w tym rejestrze przechowywać skan całego paszportu, dane członków rodziny czy historię poprzednich pobytów. To rejestr legalności, a nie kronika życia pracownika.
Dane szczególnych kategorii przy cudzoziemcach – kiedy pojawia się „czerwona lampka”
RODO wymienia szczególne kategorie danych (art. 9), m.in. dane o zdrowiu, wyznaniu, poglądach politycznych, pochodzeniu rasowym lub etnicznym. Przy cudzoziemcach ryzyko „niechcącego” zebrania takich informacji jest większe.
Przykładowe sytuacje:
pracownik przedstawia dokumenty pobytowe w ramach procedury dla cudzoziemców określonej narodowości lub pochodzenia etnicznego – łatwo wtedy o wnioski dotyczące pochodzenia rasowego lub etnicznego,
w dokumentach migracyjnych pojawiają się wzmianki o powodach udzielenia ochrony międzynarodowej (uchodźca, ochrona uzupełniająca) – to może pośrednio ujawniać poglądy polityczne lub wyznanie,
przy organizowaniu opieki medycznej i badań pojawia się pokusa, by dopytywać o „egzotyczne choroby z kraju pochodzenia” – w warstwie prawnej to zwykłe dane o zdrowiu, czyli szczególna kategoria.
Jeżeli takie informacje nie są wymagane przez przepisy (np. w procedurze dotyczącej statusu uchodźcy, gdzie organem jest urząd, nie pracodawca), nie powinny trafiać do dokumentacji pracodawcy. W relacjach kadry–pracownik lepiej trzymać się prostego pytania: czy ta informacja jest konieczna do zatrudnienia lub wykonywania obowiązków pracodawcy? Jeśli nie – nie zapisujemy, nie kopiujemy, nie przechowujemy.
Udostępnianie danych cudzoziemca instytucjom – kto może żądać czego
Pracodawca bywa w praktyce pośrednikiem między cudzoziemcem a urzędami. W sprawę potrafią zaangażować się: ZUS, urząd skarbowy, Straż Graniczna, wojewoda, PIP, urząd pracy. Każdy z nich ma swoje uprawnienia do żądania danych.
Podstawowe zasady:
przekazujesz dane w takim zakresie, jaki wynika z przepisu (ustawa, rozporządzenie) lub z konkretnego żądania organu,
nie wysyłasz „pełnego pakietu” dokumentów, jeżeli urząd wprost nie żąda wszystkiego,
sprawdzasz, czy żądanie organu ma podstawę prawną (szczególnie przy mniej formalnych prośbach telefonicznych lub e-mailowych).
Przykład: urząd skarbowy zwraca się o wyjaśnienie miejsca zamieszkania dla celów podatkowych – w większości przypadków wystarczy przekazać:
adres zamieszkania wskazany przez pracownika,
informację o kraju, w którym wykonuje on pracę,
ewentualnie oświadczenie pracownika o rezydencji podatkowej.
Nie ma potrzeby wysyłać kopii całego paszportu czy dokumentów pobytowych, jeśli urząd tego wprost nie żąda i nie wskazuje podstawy prawnej tak szerokiego żądania.
Przekazywanie danych cudzoziemców poza EOG – relokacje, centra usług wspólnych
Przy zatrudnianiu cudzoziemców częściej występuje potrzeba współpracy z podmiotami spoza Europejskiego Obszaru Gospodarczego (EOG) – choćby wtedy, gdy:
główny system HR lub płacowy znajduje się w centrali w USA, Indiach czy innym państwie trzecim,
dane kadrowe są przechowywane w chmurze na serwerach poza EOG.
RODO wprost wymaga wtedy zastosowania jednego z mechanizmów z rozdziału V, np.:
decyzji stwierdzającej odpowiedni stopień ochrony (np. w stosunku do niektórych państw),
standardowych klauzul umownych (SCC),
wiążących reguł korporacyjnych (BCR),
wyjątkowo – zgody pracownika, ale to w praktyce bardzo rzadki i ryzykowny scenariusz.
Dane cudzoziemców w rekrutacjach wewnętrznych i awansach – czy coś się zmienia
Gdy cudzoziemiec już pracuje i zgłasza się do rekrutacji wewnętrznej albo jest typowany do awansu, zasada „RODO + prawo pracy” wciąż obowiązuje, ale w praktyce różne działy HR lubią dorzucić coś od siebie.
pytania o sytuację rodzinną (czy ma małżonka/dzieci w Polsce, czy planuje sprowadzić rodzinę),
prośby o dodatkowe oświadczenia podatkowe „bo teraz będzie wyższe stanowisko”.
Przy zmianie stanowiska lub awansie pracodawca faktycznie może potrzebować ponownej analizy legalności pobytu i pracy, jeżeli:
zezwolenie na pracę lub pobyt jest powiązane z konkretnym stanowiskiem, wynagrodzeniem lub wymiarem czasu pracy,
zmiana działu oznacza zmianę pracodawcy użytkownika (np. w agencjach pracy).
W praktyce oznacza to, że można:
zebrać dane potrzebne do złożenia nowych wniosków o zezwolenie (zakres wymagany przez przepisy migracyjne),
zaktualizować informacje o wynagrodzeniu, wymiarze czasu pracy, miejscu wykonywania pracy,
odnotować w systemie kadrowym, że toczy się procedura legalizacyjna związana z nową funkcją.
Nie ma natomiast podstaw, aby przy okazji awansu:
dopytywać o plany rodzinne, obywatelstwo członków rodziny czy plany uzyskania stałego pobytu (chyba że sam pracownik chce to omówić w innym kontekście),
żądać nowych oświadczeń dotyczących np. wyznania czy przynależności do określonej diaspory – nawet jeśli „w firmie wszyscy tak robią”.
Rekrutacja wewnętrzna to nadal rekrutacja – więc pula danych, które można zbierać, nie magicznie się rozszerza tylko dlatego, że kandydata już „mamy w systemie”.
Zautomatyzowane systemy HR a dane cudzoziemców – profilowanie i dostęp
Coraz częściej procesy obsługi cudzoziemców są wspierane przez rozbudowane systemy HR: moduły do obsługi zezwoleń, workflow zgód, elektroniczne teczki osobowe. Dobrze skonfigurowane narzędzie pomaga, ale źle ustawione potrafi zamienić się w maszynę do masowego nadmiernego przetwarzania danych.
Problematyczne są głównie dwie kwestie: nadmierny dostęp i automatyczne profilowanie.
Dostęp do danych powinien opierać się na zasadzie „need to know”:
dział HR/Legalizacja – pełen dostęp do danych związanych z legalnością pobytu i pracy,
bezpośredni przełożony – dostęp do podstawowych danych kadrowych, ale zazwyczaj bez szczegółów dotyczących zezwolenia, numeru paszportu czy historii pobytu,
dział IT, controlling, finanse – dane zanonimizowane lub ograniczone do niezbędnych pól (np. wynagrodzenie, wymiar etatu, kraj wykonywania pracy).
Jeżeli system pozwala na prostą filtrację po obywatelstwie, rodzaju dokumentu pobytowego czy statusie uchodźcy, łatwo o półformalną „listę cudzoziemców X kategorii”. Taki zestaw danych może już wchodzić w obszar szczególnych kategorii lub wywoływać ryzyko dyskryminacji, jeśli np. przełożeni zaczynają filtrować kandydatów do szkoleń po kraju pochodzenia.
Automatyczne profilowanie pojawia się wtedy, gdy system:
przypisuje pracownikom „ryzyko kadrowe” na podstawie rodzaju dokumentu pobytowego lub częstotliwości przedłużeń,
automatycznie ogranicza dostęp do określonych programów benefitowych, ponieważ ktoś nie ma stałego pobytu lub obywatelstwa.
Jeżeli takie kryteria nie wynikają z przepisów (np. program jest przeznaczony tylko dla osób zatrudnionych w danym kraju podatkowo) i mają istotny wpływ na sytuację pracownika, trzeba zbadać podstawę prawną oraz wykonać ocenę skutków dla ochrony danych (DPIA). Stworzenie algorytmu „lepszy kandydat = obywatel kraju UE” jest prostą drogą do kłopotów prawnych – nie tylko rodo-wych.
Agencje zatrudnienia, outsourcing i podwykonawcy – kto jest administratorem danych cudzoziemca
Przy cudzoziemcach częściej pojawiają się modele współpracy typu agencja pracy tymczasowej, body leasing czy klasyczny outsourcing usług. Z punktu widzenia RODO kluczowe jest, czy podmiot:
samodzielnie decyduje o celach i sposobach przetwarzania danych (administrator), czy
przetwarza dane wyłącznie w imieniu innego podmiotu, według jego instrukcji (podmiot przetwarzający).
W typowym modelu agencji pracy tymczasowej:
agencja jest administratorem danych kandydatów i pracowników tymczasowych,
pracodawca użytkownik ma status odrębnego administratora w zakresie danych, które otrzymuje, aby organizować pracę (grafiki, BHP, dostęp do systemów),
między stronami warto zawrzeć nie tylko umowę ramową, lecz także uzgodnienia dotyczące współadministrowania lub przekazywania danych.
W praktyce oznacza to, że:
każda ze stron powinna mieć własną klauzulę informacyjną dla cudzoziemca,
trzeba uzgodnić, kto i w jakim zakresie gromadzi dokumenty legalizujące pobyt i pracę – by nie powielać przechowywania tych samych skanów paszportu w trzech różnych archiwach,
w umowach z agencjami warto precyzyjnie określić, kto zajmuje się monitorowaniem ważności zezwoleń i kto komunikuje się z organami administracji.
Przy klasycznym outsourcingu (np. firma świadczy usługi sprzątania czy IT w siedzibie klienta) podstawowy pracodawca zazwyczaj pozostaje jedynym administratorem danych zatrudnionych cudzoziemców, a klient otrzymuje wyłącznie tyle informacji, ile potrzeba do dopuszczenia pracownika do pracy (lista osób, nr dokumentu w celu wydania przepustki itp.). Rozszerzanie tej listy „bo klient chciałby mieć skan paszportu wszystkich, którzy wchodzą do budynku” wywołuje konieczność poszukania realnej podstawy prawnej – a ta często magicznie nie występuje.
Okresy przechowywania danych cudzoziemców – kiedy można wreszcie coś wyrzucić
Jednym z większych grzechów organizacji jest przechowywanie dokumentów cudzoziemców „na wieki”, z obawy, że kiedyś ktoś o coś zapyta. RODO jednak wymaga, żeby cele i okresy przechowywania były jasno określone. Przy cudzoziemcach nakładają się trzy grupy regulacji:
przepisy prawa pracy i dokumentacji pracowniczej (okresy archiwizacji akt osobowych),
przepisy podatkowe i ubezpieczeniowe,
przepisy migracyjne i związane z odpowiedzialnością za powierzenie pracy cudzoziemcowi.
W praktyce można przyjąć kilka zasad:
dane z dokumentów potwierdzających legalność pobytu i pracy przechowuje się przynajmniej tak długo, jak trwa zatrudnienie, a po jego ustaniu – przez okres wymagany dla dokumentacji pracowniczej,
kopie dokumentów (jeśli są wykonywane) nie muszą być przechowywane dłużej niż informacje niezbędne do wykazania należytej staranności przy zatrudnieniu; po upływie okresów przedawnienia odpowiedzialności administracyjnej i karnej powinny zniknąć z archiwów,
„tymczasowe” listy, rejestry i skany tworzone wyłącznie na potrzeby uzyskania konkretnego zezwolenia (np. zestaw dokumentów do wniosku o zezwolenie jednolite) można usuwać po zakończeniu procedury i upływie rozsądnego okresu na ewentualne odwołanie, o ile prawo nie nakłada obowiązku ich dalszego przechowywania.
Dobrą praktyką jest stworzenie wewnętrznego wykazu kategorii danych cudzoziemców z przypisanymi okresami przechowywania. Dzięki temu dział kadr nie musi po każdej kontroli dzwonić do prawnika z pytaniem: „to my ten skan paszportu pracownika, który wyjechał pięć lat temu, jeszcze trzymamy czy już nie?”.
Prawa cudzoziemca jako osoby, której dane dotyczą – jak na nie reagować w kadrach
Obywatelstwo nie ma wpływu na zakres praw z RODO. Cudzoziemiec ma dokładnie takie same uprawnienia jak obywatel Polski – może żądać dostępu do swoich danych, ich sprostowania, ograniczenia przetwarzania czy wniesienia sprzeciwu wobec określonych operacji.
Najbardziej kłopotliwe dla pracodawcy bywają trzy typy wniosków:
żądanie usunięcia danych – szczególnie tych, które dotyczą dawnych zezwoleń i kopii dokumentów,
sprzeciw wobec określonego celu przetwarzania (np. sprzeciw wobec przechowywania kopii paszportu),
żądanie kopii danych, w tym danych przekazanych do organów administracji lub podmiotów współpracujących.
Przy żądaniu usunięcia danych trzeba odróżnić informacje, które:
są niezbędne do wywiązania się z obowiązków prawnych pracodawcy (tu prym mają przepisy prawa pracy i migracyjne) – w takim zakresie wniosek będzie nieskuteczny,
są przetwarzane na podstawie prawnie uzasadnionego interesu, np. przechowywanie kopii dokumentów jako zabezpieczenia na potrzeby ewentualnej kontroli – tu należy przeprowadzić test równowagi na nowo i rozważyć, czy utrzymywanie kopii nadal jest proporcjonalne.
Sprzeciw wobec przetwarzania danych w oparciu o uzasadniony interes (np. tworzenie wewnętrznych zestawień dotyczących cudzoziemców) wymaga indywidualnej oceny. Czasem racją pracodawcy będzie konieczność obrony przed potencjalnymi roszczeniami lub wykazania legalności zatrudnienia, ale nie może to być odpowiedź automatyczna w każdym przypadku.
Przy żądaniu kopii danych trzeba pamiętać, że pracownik ma prawo uzyskać kopię danych, a nie „kopię każdego dokumentu”, jaki znajduje się w teczce. Jeżeli jednak te dane są przechowywane właśnie w formie dokumentów (np. w postaci skanu karty pobytu), ich przekazanie w takiej formie będzie zazwyczaj najprostszym rozwiązaniem. Dobrze jest tylko zadbać, by w pakiecie nie znalazły się dane innych osób (np. współmałżonka wpisanego do paszportu), które nie są adresatem wniosku.
Bezpieczeństwo danych cudzoziemców – kilka praktycznych wrażliwych punktów
Dane cudzoziemców często krążą szerzej w organizacji niż dane „zwykłych” pracowników: HR, dział relokacji, prawnicy, czasem zewnętrzni doradcy migracyjni. W takim środowisku błędy bezpieczeństwa są bardziej kosztowne, bo naruszenie może dotyczyć całych „paczek” danych – paszportów, zezwoleń, adresów zamieszkania.
Do szczególnie wrażliwych obszarów należą:
wymiana dokumentów e-mailem – skany paszportów, kart pobytu, pełne zestawy dokumentów do wniosków migracyjnych krążą po skrzynkach bez szyfrowania, często także na prywatne adresy pracowników,
serwisy do wysyłki dużych plików – jeśli nie zostały zweryfikowane przez dział IT, trudno mówić o spełnieniu wymogów art. 28 i 32 RODO,
papierowe kopie dokumentów – leżące na biurku formularze wniosków do wojewody z pełnymi danymi całej rodziny cudzoziemca nikomu nie poprawiają sytuacji prawnej.
Przy wdrażaniu środków bezpieczeństwa przydatne są proste, ale konsekwentnie stosowane rozwiązania:
szyfrowanie załączników zawierających dokumenty tożsamości oraz przekazywanie hasła innym kanałem,
wykorzystanie bezpiecznych wewnętrznych narzędzi do udostępniania plików (z logowaniem, logami dostępu i datą ważności linku),
jasna polityka „czystego biurka” w dziale kadr i relokacji; tak, to naprawdę działa, jeśli ktoś tego pilnuje,
okresowe przeglądy uprawnień do folderów z dokumentacją cudzoziemców – szczególnie po zmianach organizacyjnych.
Naruszenie ochrony danych dotyczących cudzoziemca (udostępnienie paszportu nieuprawnionej osobie, wysyłka dokumentów na zły adres e-mail) w wielu przypadkach będzie wymagało zarówno zgłoszenia do organu nadzorczego, jak i zawiadomienia samego pracownika. Lepiej więc, by o incydencie usłyszeli w teorii na szkoleniu, niż w praktyce od inspektora ochrony danych.
Najczęściej zadawane pytania (FAQ)
Jakie dane osobowe cudzoziemca pracodawca może legalnie zbierać przy zatrudnieniu?
Pracodawca może zbierać przede wszystkim dane wymienione w Kodeksie pracy oraz przepisach podatkowych, ubezpieczeniowych i migracyjnych. Chodzi m.in. o: imię i nazwisko, datę urodzenia, dane kontaktowe, dane identyfikacyjne (np. numer paszportu, PESEL jeśli jest nadany), adres zamieszkania, numer rachunku bankowego, dane potrzebne do zgłoszenia do ZUS i rozliczeń podatku, a także numer i datę ważności dokumentu pobytowego oraz zezwolenia na pracę.
Dodatkowo pracodawca może przetwarzać informacje wymagane przepisami o powierzaniu pracy cudzoziemcom (np. rodzaj tytułu pobytowego, nr oświadczenia o powierzeniu pracy). Zbieranie danych wykraczających poza ten zakres wymaga osobnej podstawy prawnej i bardzo dobrego uzasadnienia w świetle zasady minimalizacji danych.
Czy pracodawca może skanować cały paszport cudzoziemca do akt osobowych?
Co do zasady nie ma podstawy prawnej, aby skanować każdą stronę paszportu, w tym stare wizy, pieczątki graniczne czy adnotacje niezwiązane z aktualnym zatrudnieniem. Do legalizacji pracy i pobytu wystarczają zwykle dane identyfikacyjne, numery dokumentów, daty ważności i informacje o aktualnym tytule pobytowym. Reszta to nadmiar w rozumieniu RODO.
Jeśli przepisy szczególne wymagają posiadania kopii konkretnej strony (np. strony ze zdjęciem i danymi osobowymi), pracodawca może ją sporządzić, ale nadal musi zadbać o ograniczenie zakresu danych i czasu przechowywania. Zasada „na wszelki wypadek” jest jedną z częstszych przyczyn problemów przy kontroli UODO.
Czy do przetwarzania danych cudzoziemca potrzebna jest jego zgoda?
W relacji pracodawca–pracownik zgoda jest wyjątkiem, a nie standardem. Dane cudzoziemca przetwarza się głównie na podstawie: obowiązku prawnego (np. zgłoszenia do ZUS, weryfikacja legalności pobytu), wykonania umowy lub działań przed jej zawarciem (np. przygotowanie umowy o pracę) oraz uzasadnionego interesu pracodawcy (np. dochodzenie roszczeń).
Zgoda może być właściwa jedynie w sytuacjach „dodatkowych”, jak np. publikacja wizerunku pracownika na stronie firmy czy przechowywanie CV po zakończeniu konkretnej rekrutacji na potrzeby przyszłych naborów. Przy typowych czynnościach kadrowych lepiej nie opierać się na zgodzie, bo ze względu na nierówną pozycję stron może zostać uznana za nieważną.
Jak długo pracodawca może przechowywać dane osobowe cudzoziemca?
Czas przechowywania danych cudzoziemca co do zasady jest taki sam jak w przypadku obywatela polskiego i wynika z przepisów o dokumentacji pracowniczej, ubezpieczeniach społecznych i podatkach. Akta osobowe co do zasady przechowuje się przez 10 lub 50 lat (w zależności od daty zatrudnienia i zgłoszeń ZUS), dokumenty podatkowe minimum 5 lat, a dokumenty związane z legalizacją pracy – tak długo, jak wymagają tego przepisy migracyjne i kontrolne.
Po upływie wymaganych terminów dane należy usunąć lub zanonimizować. Przechowywanie „bo może się kiedyś przyda” jest sprzeczne z zasadą ograniczenia przechowywania i może zostać zakwestionowane przy kontroli. Innymi słowy: segregatorów z kserami paszportów na wieczne czasy lepiej nie kolekcjonować.
Jakich danych o cudzoziemcu pracodawca nie powinien zbierać?
Pracodawca nie powinien zbierać informacji, które nie są potrzebne do zatrudnienia, rozliczeń czy wypełnienia obowiązków wynikających z przepisów migracyjnych. Chodzi m.in. o szczegółową historię podróży (wszystkie pieczątki w paszporcie), powody wyjazdu z kraju pochodzenia, dane o rodzinie za granicą, jeśli nie są wymagane np. podatkowo, oraz informacje o poglądach politycznych, wyznaniu, stanie zdrowia – chyba że wynika to wprost z przepisów (np. badania wstępne BHP) i ma osobną podstawę z art. 9 RODO.
Zasada jest prosta: jeśli nie potrafisz wskazać konkretnego przepisu lub celu związanego z zatrudnieniem, który wymaga danej informacji, lepiej jej nie zbieraj. „Ciekawość kadrowa” nie jest podstawą prawną przetwarzania danych.
Jakie są konsekwencje naruszenia RODO przy danych cudzoziemców?
Naruszenia mogą mieć podwójne skutki. Po pierwsze, grożą sankcje ze strony Prezesa UODO: administracyjne kary pieniężne, nakazy ograniczenia przetwarzania, usunięcia danych czy zmiany procedur. Po drugie, nieprawidłowe przetwarzanie lub dokumentowanie danych może wywołać problemy przy kontrolach Straży Granicznej, PIP czy urzędu wojewódzkiego – np. podważenie prawidłowości powierzenia pracy cudzoziemcowi.
W praktyce jedna nadgorliwa lub przeciwnie – zbyt „luźna” praktyka (np. brak wymaganych dokumentów albo archiwizacja wszystkiego jak leci) może skutkować koniecznością tłumaczenia się na dwóch frontach jednocześnie. Dlatego warto mieć jasno opisane procedury i rejestr czynności przetwarzania, szczególnie dla procesów dotyczących cudzoziemców.
Czy pracodawca może udostępniać dane cudzoziemca innym podmiotom, np. agencji pracy lub kontrahentowi?
Ujawnianie danych cudzoziemca innym podmiotom jest dopuszczalne, jeśli istnieje do tego podstawa prawna i konkretny cel. Przykładowo, przekazanie danych do biura rachunkowego czy firmy kadrowej odbywa się w ramach powierzenia przetwarzania na podstawie umowy powierzenia. Dane mogą też być przekazywane organom publicznym (ZUS, urzędy skarbowe, Straż Graniczna) w zakresie wymaganym przepisami.
Inaczej wygląda sytuacja z kontrahentami czy agencjami pracy: tutaj trzeba jasno określić, kto jest administratorem, kto procesorem, a kiedy występuje współadministrowanie. Udostępnianie danych „przy okazji” (np. pełnych skanów paszportów wszystkim podwykonawcom na budowie) jest nadmierne i może zostać uznane za naruszenie RODO.
Najważniejsze punkty
Zatrudnianie cudzoziemców oznacza znacznie szerszy zakres przetwarzania danych (paszporty, karty pobytu, zezwolenia, decyzje, numery identyfikacyjne), ale nie daje pracodawcy „licencji na zbieranie wszystkiego” – obowiązują te same zasady RODO: legalność, minimalizacja, ograniczenie celu i czasu przechowywania.
Pracodawca jest administratorem danych cudzoziemca i to on odpowiada za dobór podstaw prawnych, zakres danych, czas przechowywania i zabezpieczenia – nadgorliwość (np. skanowanie całych paszportów „na wszelki wypadek”) zwiększa ryzyko naruszeń i nie ma oparcia w przepisach.
Podstawą przetwarzania danych cudzoziemców są głównie: obowiązek prawny (prawo pracy, podatki, ZUS, przepisy migracyjne), wykonanie umowy oraz uzasadniony interes pracodawcy; zgoda pracownika pojawia się wyjątkowo i z dużą ostrożnością, bo relacja jest nierówna.
Zgoda pracownika ma sens przede wszystkim w sytuacjach „dodatkowych”, niezwiązanych wprost z zatrudnieniem, np. publikacja wizerunku na stronie firmy czy przechowywanie CV w bazie na potrzeby przyszłych rekrutacji – i musi być realnie dobrowolna, z możliwością łatwego wycofania.
Zakres danych, które pracodawca może żądać przy zatrudnianiu cudzoziemców, wynika z konkretnych przepisów (Kodeks pracy, ustawa o cudzoziemcach, ustawa o promocji zatrudnienia, regulacje ZUS i podatkowe); to z nich „wyciąga się” listę informacji niezbędnych do legalnej pracy i pobytu, zamiast tworzyć własne, rozbudowane formularze.
