🔹 Вступ

 Кожен роботодавець обробляє особисті дані своїх працівників – від моменту найму, протягом всього періоду роботи, до зберігання документації після її завершення. Ці принципи регулюються:

• Регламентом Європейського парламенту та Ради (ЄС) 2016/679 (GDPR),
• Кодексом праці, та
• Законом про захист персональних даних від 10 травня 2018 року

🔸 1. Які особисті дані може обробляти роботодавець? 

✅ Обов'язкові дані (на підставі ст. 22¹ Кодексу праці):

• Найм - ім'я, прізвище, контактні дані, освіта, досвід роботи
• Працевлаштування - PESEL, адреса, дані про дітей (для податкових цілей), номер банківського рахунку
• Протягом роботи - дані про інвалідність, медичні довідки, судові рішення (за необхідності)
• Після завершення роботи - дані в особистих файлах протягом 10 років

📌 Біометричні, генетичні, медичні або релігійні дані не можуть бути оброблені роботодавцем, якщо це не передбачено законом і не є необхідним.
 

🔸 2. Обов'язки роботодавця як адміністратора даних

 Відповідно до GDPR, роботодавець як адміністратор даних зобов'язаний:

✅ a) Законність обробки

• Дані можуть оброблятися на підставі трудового договору або юридичного зобов'язання (наприклад, Кодекс праці, Соціальне страхування, Податкова служба) – згода не потрібна

✅ b) Мінімізація даних

• Лише дані необхідні для мети (наприклад, працевлаштування, розрахунок заробітної плати, соціальне страхування)

✅ c) Надання інформаційної клієнтської угоди

• Обов'язок інформації – наприклад, під час найму та працевлаштування (ст. 13 та 14 GDPR),
• Має включати: адміністратора, мету, правову основу, термін зберігання, права працівника.

✅ d) Безпека даних

• Організаційні (наприклад, доступ лише для відділу кадрів),
• Технічні (паролі, шифрування, контроль доступу).

✅ e) Зберігання даних лише так довго, як це необхідно

• Особисті дані в особистих файлах – 10 років,
• Дані, оброблені на основі згоди – до відкликання або виконання мети.

🔸 3. Інформаційні зобов'язання перед працівником

Працівник має бути поінформований, зокрема, про:

• мету та обсяг обробки даних,
• свої права (доступ, виправлення, заперечення, видалення, обмеження),
• контактні дані уповноваженої особи з захисту даних (якщо призначена),
• право подати скаргу до Президента Офісу захисту персональних даних.

📌 Інформація повинна надаватися в письмовій або електронній формі (наприклад, як додаток до договору або регламентів).
 

🔸 4. Права працівника (як суб'єкта даних)

•  Доступ до даних - Право переглядати та отримувати копію даних
• Виправлення даних - Можливість вимагати виправлення неправильних даних
• Видалення (“право бути забутим”) - Лише коли дані обробляються на основі згоди
• Обмеження обробки - У певних ситуаціях (наприклад, спір щодо точності даних)
• Заперечення - Коли дані обробляються на основі законного інтересу

📌 На практиці дані, що виникають з Кодексу праці та публічних юридичних зобов'язань, не можуть бути видалені на вимогу (наприклад, особисті файли, документи для Соціального страхування).
 

🔸 5. Чи можуть оброблятися дані кандидатів, родини, здоров'я?

• Дані кандидатів на роботу - Лише необхідні (ст. 22¹ Кодексу праці) + згода на резюме
• Дані дітей (для виплат, Фонд соціальних пільг) - Так, але лише якщо це передбачено законом (наприклад, PIT-2)
• Дані про здоров'я - Лише на підставі направлення до лікаря / рішення
• Фото, моніторинг, місцезнаходження - Необхідна інформація та обґрунтування в регламентах

🔸 6. Наслідки порушення GDPR

Відсутність інформаційної клієнтської угоди - Скарга до Офісу захисту даних, рекомендації, наказ на видалення даних
Обробка непотрібних даних - Попередження або адміністративний штраф
Втрата або розкриття даних - Штраф до €20 мільйонів або 4% від обороту (на практиці: до PLN 1 мільйона в Польщі)
Несвоєчасне повідомлення про порушення - Додаткові санкції та перевірочні провадження

📚 Правова основа 

• GDPR (Регламент Європейського парламенту та Ради (ЄС) 2016/679),
• Кодекс праці – ст. 22¹–22⁵
• Закон від 10 травня 2018 року про захист персональних даних