Zgodnie z przepisami RODO dane osobowe byłych pracowników można przetwarzać najczęściej w ograniczonym do niezbędnego czasu celu, jakim jest wypełnienie obowiązków wynikających z prawa pracy, przepisów podatkowych, emerytalnych oraz innych regulacji. Oznacza to, że przechowywanie danych nie może odbywać się bezterminowo i musi być uzasadnione konkretnym celem oraz podlegać zasadzie minimalizacji danych.
Jak długo można przechowywać dane byłych pracowników?
Okres przechowywania danych byłych pracowników wynika przede wszystkim z przepisów prawa pracy, ubezpieczeń społecznych i prawa podatkowego, a także z zasad RODO dotyczących minimalizacji danych oraz ograniczenia celu i czasu przetwarzania. Co do zasady dokumentację pracowniczą (akta osobowe oraz dokumentację w sprawach związanych ze stosunkiem pracy) przechowuje się przez okres zatrudnienia pracownika, a następnie przez 10 lat, licząc od końca roku kalendarzowego, w którym stosunek pracy ustał. Taki 10-letni okres dotyczy w szczególności stosunków pracy nawiązanych 1 stycznia 2019 r. lub później, a także stosunków pracy sprzed tej daty, dla których pracodawca złożył do ZUS odpowiedni raport informacyjny, co pozwala skrócić pierwotnie 50-letni okres przechowywania dokumentacji.
Dokumenty płacowe, księgowe i podatkowe związane z zatrudnieniem (np. listy płac, imienne karty wynagrodzeń, dokumenty ZUS, dowody rozliczeń podatkowych) przechowuje się co do zasady do czasu upływu terminu przedawnienia zobowiązań podatkowych, czyli przez 5 lat, licząc od końca roku, w którym upłynął termin płatności podatku. Jednocześnie część dokumentacji płacowej pełni funkcję dowodów dla celów emerytalno-rentowych, co – w zależności od okresu zatrudnienia i tego, czy pracodawca złożył wymagane raporty do ZUS – może oznaczać obowiązek przechowywania jej nawet przez 50 lat od zakończenia zatrudnienia. Odrębne przepisy regulują także okres przechowywania dokumentacji powypadkowej oraz dokumentacji związanej z chorobami zawodowymi, który co do zasady wynosi co najmniej 10 lat, przy czym część dokumentacji medycznej dotyczącej narażenia na szczególnie szkodliwe czynniki może podlegać dłuższym terminom archiwizacji.
Zgodnie z zasadą minimalizacji danych i celowości przetwarzania RODO, po upływie obowiązujących okresów przechowywania dokumentacja personalna powinna być odpowiednio usunięta, zanonimizowana lub zniszczona, tak aby zapobiec dalszemu przetwarzaniu lub identyfikacji osoby, której dane dotyczą. Przedłużanie okresu przechowywania bez ważnej podstawy prawnej lub celu jest niezgodne z przepisami.
Firmy powinny mieć jasno zdefiniowane i udokumentowane polityki przechowywania danych, które określają terminy i warunki archiwizacji oraz procedury niszczenia dokumentów. Regularne przeglądy i audyty tych polityk pomagają w zapewnieniu zgodności z przepisami i zmieniającymi się wymogami prawa.
Warto zaznaczyć, że jeśli dany były pracownik wystąpi z określonym żądaniem dotyczącym jego danych (np. prawo do usunięcia lub sprostowania), firma musi ocenić takie żądanie w kontekście obowiązujących przepisów i potrzeb przechowywania danych, co czasem może skutkować odroczeniem usunięcia, jeśli istnieje prawna podstawa do dalszego przetwarzania.
Jakie zasady obowiązują w przechowywaniu tych danych?
Pracodawca jako administrator danych ma obowiązek zabezpieczyć je przed nieuprawnionym dostępem, zniszczeniem lub utratą. Dokumentacja w wersji papierowej powinna być przechowywana w odpowiednio zamkniętych i zabezpieczonych miejscach, natomiast dane elektroniczne muszą być chronione za pomocą systemów zabezpieczeń, takich jak hasła czy szyfrowanie.
Co zrobić z danymi, gdy nie są już potrzebne?
Po zakończeniu współpracy dane osobowe byłego pracownika nie mogą być już przetwarzane do celów, dla których zostały zebrane, pod warunkiem, że nie istnieją obowiązki prawne wymagające ich dalszego przechowywania. Zgodnie z art. 17 RODO, osoba, której dane dotyczą, ma prawo żądania od administratora ich usunięcia, jeśli dane nie są już potrzebne do realizacji pierwotnego celu lub jeśli przetwarzanie było niezgodne z prawem. Administrator danych ma wówczas obowiązek bez zbędnej zwłoki usunąć te dane osobowe.
Praktyka pokazuje jednak, że usunięcie danych nie zawsze oznacza ich natychmiastowe, mechaniczne wykasowanie. Dane powinny zostać usunięte z wszystkich systemów i nośników, na których były przetwarzane — zarówno elektronicznych baz danych, systemów CRM, kopii zapasowych, jak i dokumentów papierowych. Usunięcie musi uwzględniać techniczne możliwości i charakter danych. Ważne jest, aby proces był dobrze udokumentowany, a polityki i procedury firmy jasno określały terminy i zasady usuwania danych.
Istnieją sytuacje, w których prawo wymaga przechowywania danych byłych pracowników przez określony czas (np. przepisy podatkowe, prawo pracy czy bezpieczeństwa i higieny pracy). W takich przypadkach usunięcie może być odroczone do momentu wygaśnięcia tych obowiązków. Jednak po ustaniu tych okresów dane powinny być niezwłocznie usunięte lub anonimowe.
Warto również zwrócić uwagę na sytuacje, gdy były pracownik nadal figuruje na przykład na stronie internetowej firmy (np. zdjęcie, imię i nazwisko). Jeżeli nie ma już uzasadnionej podstawy do ich przetwarzania, należy takie dane usunąć, aby nie naruszyć prawa do prywatności i ochrony danych osobowych.
Dlaczego warto korzystać z profesjonalnego wsparcia w tym zakresie?
Z perspektywy naszego doświadczenia w Biurze Porad Prawnych Zacharski wiemy, że zarządzanie danymi osobowymi w firmie to obszar wymagający nie tylko znajomości regulacji prawnych, ale też praktycznych umiejętności wdrożeniowych i bieżącego nadzoru. Dane byłych pracowników podlegają szczególnym zasadom wynikającym z RODO oraz przepisów prawa pracy i podatkowego, które nakładają konkretne obowiązki dotyczące czasu przechowywania, zabezpieczenia oraz właściwego usuwania tych danych.
Nasza kancelaria oferuje kompleksowe wsparcie, które pomaga firmom minimalizować ryzyko naruszeń związanych z przetwarzaniem danych osobowych byłych pracowników. Przeprowadzamy szczegółowe audyty, które identyfikują potencjalne niezgodności i luki w politykach przechowywania danych. Na tej podstawie przygotowujemy konkretne rekomendacje i pomagamy wdrożyć skuteczne procedury ochrony danych, dostosowane do specyfiki danej organizacji. Dzięki temu nasi klienci mają pewność, że ich praktyki są zgodne z przepisami i że chronią dane przed nieuprawnionym dostępem czy niezamierzonym ujawnieniem.
Oferujemy także szkolenia RODO dla zespołów HR i pracowników odpowiedzialnych za przetwarzanie danych. Zwiększenie ich świadomości i wiedzy to kluczowy element zapobiegania błędom i naruszeniom, które mogą wiązać się z poważnymi konsekwencjami prawnymi.
Korzystając z naszego wsparcia, przedsiębiorstwa zyskują nie tylko bezpieczeństwo prawne i eliminację ryzyka kar, ale również poprawiają wizerunek jako odpowiedzialne i transparentne organizacje. Pomagamy także realizować prawo osób, których dane dotyczą, w tym zarządzać zgłoszeniami dotyczącymi dostępu, usunięcia czy sprostowania danych byłych pracowników w sposób profesjonalny i zgodny z RODO. Nasze doświadczenie i indywidualne podejście do klienta sprawiają, że wdrożenie efektywnych i bezpiecznych mechanizmów ochrony danych staje się procesem prostym i skutecznym.
Zapraszamy do kontaktu i współpracy z Biurem Porad Prawnych Zacharski – jesteśmy tu, by pomóc w kompleksowej ochronie danych osobowych i zapewnić spokój w zakresie zgodności z RODO. Dzięki nam Twoja firma będzie mogła bezpiecznie zarządzać danymi byłych pracowników, minimalizując ryzyko oraz skupiając się na rozwoju biznesu.
