Jak bezpiecznie przetwarzać dane pracowników po wdrożeniu RODO – praktyczny przewodnik dla firm

Przez
Krzysztof Piotrowski
-
0
5
Rate this post

Table of Contents

Po co firmie bezpieczne przetwarzanie danych pracowników – kontekst i ryzyka

Dane pracowników jako „krwiobieg” firmy

Dane osobowe pracowników to fundament funkcjonowania każdej organizacji. Bez imienia, nazwiska, adresu, numeru PESEL, informacji o wynagrodzeniu, historii zatrudnienia czy danych zdrowotnych nie da się legalnie zatrudnić, rozliczyć i zarządzać personelem. Jednocześnie są to informacje wyjątkowo wrażliwe, bo dotyczą pracy, pieniędzy, zdrowia i życia prywatnego konkretnej osoby.

W praktyce oznacza to, że dział kadr i księgowość trzymają w rękach „krwiobieg informacyjny” firmy. Jeśli wyciekną listy płac, skany dowodów osobistych czy dokumentacja medyczna, skutki uderzają nie tylko w pracowników, ale także w reputację pracodawcy i zaufanie klientów. Nawet pojedynczy incydent potrafi zniszczyć relacje budowane latami.

Bezpieczne przetwarzanie danych pracowników nie polega więc tylko na podpisaniu kilku dokumentów pod RODO. To całościowy sposób organizacji pracy: od rekrutacji, przez obieg dokumentów, po zakończenie współpracy i niszczenie akt. Firmy, które traktują dane osobowe tak samo poważnie jak pieniądze w kasie, znacznie rzadziej mierzą się z kryzysami.

Co zmieniło RODO w ochronie danych kadrowych

Przed RODO ochrona danych często była utożsamiana z „papierologią”: trzeba było mieć politykę bezpieczeństwa, instrukcję zarządzania systemem informatycznym, kilka rejestrów i podpisy. Po wejściu RODO ciężar przesunął się z formalnej dokumentacji na realną odpowiedzialność za skutki przetwarzania.

RODO wprowadziło podejście oparte na ryzyku. To firma – jako administrator danych – ma rozumieć, z jakimi zagrożeniami wiąże się przetwarzanie danych pracowników i dobrać adekwatne środki bezpieczeństwa. Nie ma sztywnej listy zabezpieczeń „dla wszystkich”. Są za to ogólne zasady, takie jak rozliczalność, minimalizacja czy integralność, które trzeba przełożyć na praktykę: procedury, konfigurację systemów, szkolenia.

Zmienił się też status pracownika. Nie jest już tylko „podmiotem zatrudnienia”, ale osobą, której dane dotyczą, z szerokim katalogiem praw: dostępu, sprostowania, ograniczenia przetwarzania, sprzeciwu, przenoszenia danych, skargi do organu nadzorczego. Firma musi liczyć się z tym, że pracownik może z tych praw aktywnie korzystać.

Najważniejsze ryzyka dla firm

Niebezpieczeństwa związane z nieprawidłowym przetwarzaniem danych pracowników można ująć w kilku kategoriach. Każda z nich uderza w organizację z innej strony.

  • Kary finansowe – Urząd Ochrony Danych Osobowych może nałożyć administracyjną karę pieniężną sięgającą milionów złotych, zwłaszcza przy poważnych, powtarzających się naruszeniach lub lekceważeniu obowiązków (np. brak reakcji na żądania pracowników).
  • Roszczenia pracowników – pracownik, którego dane wyciekły, może żądać odszkodowania za poniesioną szkodę majątkową lub niemajątkową, np. za naruszenie dobrego imienia, ujawnienie wysokości pensji czy danych zdrowotnych.
  • Utrata reputacji – informacja o błędnym wysłaniu list płac, wycieku akt osobowych czy nagrań z monitoringu błyskawicznie rozchodzi się wewnątrz firmy, a nierzadko trafia do mediów. Taki kryzys bardzo trudno odkręcić.
  • Paraliż organizacyjny – poważne naruszenie danych często wymaga natychmiastowej reakcji: przeglądu systemów, zawieszenia części usług, zaangażowania działu IT, prawników, zarządu. W efekcie firma traci czas, energię i pieniądze.

Ryzyko nie kończy się na grzywnie czy pozwie. Dochodzą koszty audytów, wdrożenia nowych zabezpieczeń, a czasem konieczność renegocjacji umów z partnerami lub ubezpieczycielem. Przy powtarzających się incydentach może ucierpieć też zdolność firmy do pozyskiwania dobrych specjalistów – ludzie niechętnie wiążą się z pracodawcą, który nie potrafi zadbać o dane kadrowe.

Dlaczego RODO to temat dla całej organizacji

Błędem jest przekonanie, że RODO w HR to sprawa wyłącznie działu kadr lub kancelarii prawnej obsługującej firmę. Dane pracowników „dotykają” niemal wszystkie kluczowe role w organizacji:

  • Zarząd – odpowiada za wyznaczenie kierunku, budżetu i kultury ochrony danych. To od zarządu zależy, czy bezpieczeństwo informacji będzie realnym priorytetem, czy tylko punktem na liście „do odhaczenia”.
  • Menedżerowie liniowi – decydują o zakresie dostępu do danych, przekazują listy nagród i kar, opiniują awanse, korzystają ze służbowych systemów HR – mają dostęp do wrażliwych informacji o swoich zespołach.
  • IT i bezpieczeństwo – projektują i utrzymują systemy, w których przechowywane są dane kadrowe. To oni wdrażają logowanie, szyfrowanie, kopie zapasowe, segmentację dostępu.
  • HR i kadry – są „operatorem” procesów, ale również doradcą dla reszty firmy: podpowiadają, jakie dane można zbierać, jak formułować ogłoszenia, jak odpowiedzieć pracownikowi korzystającemu z praw RODO.

Bez wspólnej odpowiedzialności łatwo o sytuację, w której dział kadr przygotowuje dobre procedury, a potem ktoś z działu sprzedaży wysyła masowy mail z załączoną listą wynagrodzeń „przez przypadek”. Spójne podejście i praktyczne szkolenia robią tutaj większą różnicę niż najbardziej dopracowana dokumentacja.

Podstawy prawne przetwarzania danych pracowników po wdrożeniu RODO

Skąd biorą się obowiązki – RODO, kodeks pracy i ustawy branżowe

Bezpieczne przetwarzanie danych pracowników opiera się na kilku równoległych źródłach prawa. Najczęściej mówi się o RODO, ale to dopiero początek. Podstawowe znaczenie mają:

  • RODO – ogólne rozporządzenie o ochronie danych osobowych, które określa zasady, prawa osób, obowiązki administratorów i podmiotów przetwarzających oraz ogólne wymogi bezpieczeństwa.
  • Kodeks pracy – precyzuje, jakie dane osobowe pracodawca może żądać od kandydata i pracownika, a jakich pytać nie wolno. Zawiera także szczegółowe regulacje dotyczące dokumentacji pracowniczej.
  • Ustawa o pracowniczych planach kapitałowych (PPK) – określa zakres danych niezbędnych do prowadzenia PPK.
  • Ustawa o systemie ubezpieczeń społecznych – wskazuje dane wymagane do rozliczeń z ZUS.
  • Inne ustawy branżowe – np. przepisy dotyczące służby zdrowia, finansów publicznych, sektora bankowego mogą nakładać dodatkowe obowiązki w zakresie przechowywania danych kadrowych.

Te regulacje wzajemnie się uzupełniają. RODO mówi, że dane osobowe należy zbierać w oparciu o jedną z legalnych podstaw i tylko w niezbędnym zakresie. Kodeks pracy doprecyzowuje, co jest „niezbędne” na gruncie prawa pracy. Ustawy branżowe dodają swoją „warstwę”, np. wymagając dodatkowych informacji o pracownikach objętych szczególnymi procedurami lub przywilejami.

Rola firmy jako administratora danych pracowników

Pracodawca jest administratorem danych osobowych swoich pracowników i kandydatów. W praktyce oznacza to, że to on decyduje o:

  • celach przetwarzania (np. zatrudnienie, rozliczenie wynagrodzeń, organizacja szkoleń, ocena pracy),
  • środkach przetwarzania (jakie systemy informatyczne, jakie formularze papierowe, jak zorganizowane są akta osobowe),
  • okresach przechowywania (jak długo przechowuje określone dokumenty),
  • podmiotach, którym powierza przetwarzanie danych (np. biuro rachunkowe, dostawca systemu kadrowego, firma BHP).

Rola administratora to nie tylko przywilej decydowania, ale również obowiązek rozliczenia się z podjętych decyzji. Jeśli dojdzie do naruszenia, firma musi być w stanie wykazać, że:

  • posiadała podstawę prawną do przetwarzania,
  • dobrała adekwatne środki techniczne i organizacyjne,
  • szkoliła pracowników mających dostęp do danych,
  • dbała o aktualność i minimalizację danych.

W praktyce sprowadza się to do stworzenia realnych procedur, przeglądu umów z podmiotami zewnętrznymi, prowadzenia rejestru czynności przetwarzania oraz dokumentowania naruszeń i reakcji na nie.

Legalne podstawy przetwarzania w HR – kiedy co stosować

RODO wymienia kilka podstaw przetwarzania danych osobowych. W obszarze HR kluczowe są cztery z nich:

  • Wykonanie obowiązku prawnego – np. obowiązek prowadzenia dokumentacji pracowniczej, zgłaszania pracowników do ZUS, odprowadzania podatków. Tu firma nie potrzebuje zgody – działa, bo musi.
  • Wykonanie umowy lub działania zmierzające do jej zawarcia – np. gromadzenie danych niezbędnych do przygotowania umowy o pracę, zlecenia, kontraktu menedżerskiego.
  • Prawnie uzasadniony interes administratora – np. ochrona mienia poprzez monitoring, dochodzenie roszczeń, organizacja systemu ocen pracowniczych; wymaga analizy, czy interes firmy nie narusza nadmiernie praw pracowników.
  • Zgoda osoby – stosowana ostrożnie, głównie w sytuacjach dodatkowych, gdy brak innej podstawy, np. publikacja wizerunku pracownika na stronie firmowej w celach promocyjnych.

W relacji pracodawca–pracownik zgoda jest szczególnie problematyczna. Ze względu na nierównowagę sił może być uznana za niewolną, jeśli od jej wyrażenia de facto zależą warunki zatrudnienia. Dlatego przepisy i wytyczne podkreślają, że w HR zgoda powinna być wyjątkiem, a nie regułą.

Dane zwykłe i szczególne kategorie – dane wrażliwe w HR

RODO wyróżnia tzw. szczególne kategorie danych osobowych, między innymi informacje o zdrowiu, poglądach politycznych, przynależności związkowej czy przekonaniach religijnych. W HR takie dane pojawiają się częściej, niż mogłoby się wydawać:

  • zaświadczenia lekarskie z badań wstępnych i okresowych,
  • informacje o niepełnosprawności uprawniające do ulg lub preferencji,
  • dane o przynależności do związku zawodowego (np. w związku ze składkami),
  • informacje o urlopach związanych z rodzicielstwem, opieką nad dzieckiem z niepełnosprawnością.

Przetwarzanie takich danych wymaga dodatkowej podstawy (np. szczególnego przepisu prawa pracy lub wyraźnej zgody) i wyższego poziomu zabezpieczeń. Przykładowo: dokumenty medyczne powinny być przechowywane w odseparowanej części akt, z ograniczonym dostępem, a informacje o niepełnosprawności przekazywane tylko tym osobom, które realnie muszą je znać, np. w celu organizacji stanowiska pracy.

Przykłady zastosowania podstaw prawnych w praktyce

Najłatwiej zrozumieć podstawy przetwarzania na konkretnych sytuacjach:

  • Badania wstępne – pracodawca kieruje kandydata na badania i przetwarza wydane zaświadczenie na podstawie obowiązku prawnego wynikającego z kodeksu pracy. Nie pyta o zgodę na przekazanie orzeczenia.
  • Monitoring wizyjny – może być oparty na prawnie uzasadnionym interesie (ochrona mienia, bezpieczeństwo ludzi), ale wymaga analizy, czy zakres i lokalizacja kamer nie wkraczają nadmiernie w prywatność.
  • Dane do ZUS – przetwarzanie numeru PESEL, adresu zamieszkania, informacji o zatrudnieniu odbywa się na podstawie obowiązku prawnego wynikającego z przepisów o ubezpieczeniach społecznych.
  • Opieka medyczna i pakiety sportowe – tu możliwe są różne podstawy, najczęściej wykonanie umowy (świadczenie dodatkowego benefitu) lub uzasadniony interes (budowanie zaangażowania). Niezależnie od podstawy należy zadbać o minimalizację danych przekazywanych dostawcom benefitów.

Dobór właściwej podstawy to klucz do legalności całego procesu. Próba „podparcia się” zgodą tam, gdzie istnieje obowiązek prawny, albo odwrotnie – pomijanie zgody w sytuacjach fakultatywnych – to prosta droga do konfliktu z RODO.

Jakie dane pracowników wolno zbierać i przetwarzać, a jakich unikać

Katalog danych, o które można prosić kandydata i pracownika

Kodeks pracy wskazuje wprost, jakie dane osobowe może żądać pracodawca od kandydata do pracy i od pracownika. Ten katalog został uaktualniony po wdrożeniu RODO, tak aby lepiej odpowiadał zasadzie minimalizacji.

Od kandydata można żądać między innymi:

  • imienia (imion) i nazwiska,
  • daty urodzenia,
  • danych kontaktowych wskazanych przez kandydata,
  • informacji o wykształceniu,

    • Dane, których można żądać na etapie zatrudnienia

    Od pracownika pracodawca może żądać szerszego zestawu informacji, ale nadal ograniczonego do tego, co potrzebne do zatrudnienia i rozliczeń. W szczególności są to:

  • adres zamieszkania (potrzebny np. do celów podatkowych i ubezpieczeniowych),
  • numer PESEL, a gdy go brak – rodzaj i numer dokumentu tożsamości,
  • inne dane osobowe pracownika, a także jego dzieci i członków najbliższej rodziny, jeśli są potrzebne do korzystania ze szczególnych uprawnień (np. urlopy, zasiłki),
  • dane wymagane przez inne przepisy (np. w zakresie badań lekarskich, kwalifikacji zawodowych),
  • numer rachunku bankowego, jeśli wypłata wynagrodzenia następuje przelewem, lub informacja o wyborze wypłaty gotówką.

Jeśli pojawia się nowy obowiązek wynikający z przepisów (np. obsługa PPK), katalog danych może zostać uzupełniony o te, które są niezbędne do jego realizacji. Wciąż jednak nie otwiera to furtki do zbierania informacji „przy okazji”.

Dane dodatkowe – tylko za zgodą i z głową

Czasem firma chciałaby posiadać dodatkowe informacje o pracowniku, na przykład:

  • prywatny numer telefonu i adres e‑mail,
  • zdjęcie do wewnętrznego komunikatora lub na stronę internetową,
  • informacje o zainteresowaniach w celach integracyjnych.

Tutaj punktem wyjścia jest pytanie: czy naprawdę jest to niezbędne do zatrudnienia i realizacji obowiązków prawnych? Jeśli nie – można się oprzeć na dobrowolnej zgodzie, ale tylko wtedy, gdy brak zgody nie pogorszy sytuacji pracownika. Przykład: zgoda na publikację wizerunku na stronie firmowej – jej brak nie może skutkować pominięciem przy awansach czy gorszym traktowaniem.

Taka zgoda musi być:

  • konkretna – dotyczyć jasno opisanego celu (np. „publikacja zdjęcia na stronie www w zakładce zespół”),
  • dobrowolna – bez negatywnych konsekwencji za jej brak lub cofnięcie,
  • odwoływalna – pracownik może ją wycofać w każdym momencie, a firma reaguje w rozsądnym czasie (np. usuwa zdjęcie z serwisu).

Jakich danych nie powinno być w dokumentach kadrowych

Istnieje grupa informacji, które kuszą pracodawców, ale zwykle są poza granicą legalnego przetwarzania. Najczęstsze „grzechy” to:

Dla wielu firm pomocne bywa oparcie się na zewnętrznych źródłach, które tłumaczą zmiany i interpretacje, takich jak praktyczne wskazówki: prawo, gdzie prawo, biznes i bezpieczeństwo danych są omawiane w przystępny sposób.

  • pytania o plany rodzicielskie (ciąża, zamiar posiadania dzieci),
  • poglądy polityczne, religijne, przynależność do stowarzyszeń niezwiązanych z pracą,
  • informacje o nałogach, życiu prywatnym, orientacji seksualnej,
  • szczegółowe dane o stanie zdrowia, wykraczające poza niezbędne zaświadczenia lekarskie,
  • zaświadczenia o niekaralności, jeśli brak wyraźnego przepisu, który ich wymaga dla danego stanowiska.

Takie informacje nie tylko są zbędne w świetle kodeksu pracy, ale bardzo często stanowią szczególne kategorie danych, których przetwarzanie jest zasadniczo zakazane. Pojawiają się czasem „przy okazji”, na przykład w korespondencji mailowej czy notatkach ze spotkań – wtedy kluczowe jest, by nie trafiały do akt osobowych i nie były dalej przetwarzane.

Dokumenty „prywatne” w aktach pracowniczych – co z nimi zrobić

W praktyce dział kadr otrzymuje rozmaite dokumenty od pracowników: skany aktów urodzenia dzieci, zaświadczenia ze szkół, wydruki potwierdzeń przelewów alimentów, a nawet odręczne notatki dotyczące sytuacji rodzinnej. Nie wszystko musi i powinno trafić do akt osobowych.

Rozsądne podejście to:

  • umieszczać w aktach wyłącznie dokumenty przewidziane przepisami (np. rozporządzeniem w sprawie dokumentacji pracowniczej),
  • pozostałe materiały przechowywać w odrębnych, technicznych teczkach lub – jeśli nie są niezbędne – niszczyć po wykorzystaniu (np. po weryfikacji prawa do świadczenia),
  • unikać utrwalania „na wszelki wypadek” opisów sytuacji prywatnej pracownika, jeśli nie jest to konieczne z punktu widzenia prawa pracy.

Minimalizacja w praktyce – jak nie zbierać za dużo

Zasada minimalizacji sprowadza się do trzech prostych pytań zadawanych przy każdej nowej informacji:

  1. Czy bez tych danych mogę legalnie zatrudnić i rozliczyć pracownika?
  2. Czy wymagają ich konkretne przepisy, umowa lub uzasadniony interes (dobrze udokumentowany)?
  3. Czy za rok lub dwa nadal będę potrzebować tych danych, czy to tylko ciekawostka dla firmy?

Jeżeli choć na jedno z tych pytań odpowiedź brzmi „nie” – lepiej odpuścić. Dla działu HR oznacza to między innymi ograniczanie pól w formularzach, wyłączanie zbędnych modułów w systemach kadrowych czy przegląd starszych dokumentów pod kątem usunięcia nadmiarowych informacji.

Dane z rekrutacji, które „nie przeszły” – co dalej

Po każdej większej rekrutacji w firmie zostaje zestaw CV, notatek ze spotkań, wyników zadań rekrutacyjnych. To także dane osobowe, które nie mogą być trzymane bez końca „na wszelki wypadek”.

Bez zgody kandydata można je przetwarzać tylko przez czas niezbędny do:

  • zakończenia bieżącego procesu rekrutacji,
  • obrony przed ewentualnymi roszczeniami (np. zarzutem dyskryminacji) – zwykle przez kilka, a nie kilkanaście lat, zgodnie z terminami przedawnienia.

Jeżeli firma ma ochotę zatrzymać CV „na przyszłość”, potrzebuje wyraźnej, odrębnej zgody kandydata. Wówczas należy wskazać okres przechowywania (np. 12 miesięcy) oraz umożliwić odwołanie zgody – np. poprzez kontakt mailowy. Po upływie deklarowanego czasu dokumenty powinny być systemowo usuwane lub bezpiecznie niszczone.

Laptop z ikoną kłódki na biurku obok zegara i doniczki
Źródło: Pexels | Autor: Dan Nelson

Organizacja procesu przetwarzania danych pracowników w firmie – krok po kroku

Mapowanie procesów HR – od pierwszego kontaktu do zakończenia współpracy

Bez spojrzenia z góry trudno ocenić, gdzie dane „wypływają” i gdzie są szczególnie narażone. Dlatego dobrym startem jest prosta mapa procesów HR, obejmująca kolejno:

  • pozyskiwanie kandydatów (ogłoszenia, polecenia, agencje rekrutacyjne),
  • selekcję i rekrutację (CV, rozmowy, testy),
  • zatrudnienie (umowa, badania lekarskie, szkolenia BHP),
  • obsługę bieżącego zatrudnienia (czas pracy, wynagrodzenia, szkolenia, oceny),
  • świadczenia dodatkowe (benefity, ubezpieczenia grupowe, PPK),
  • rozwiązanie współpracy i okres po jej zakończeniu (świadectwo pracy, archiwizacja akt, ewentualne spory).

Przy każdym z tych etapów warto wypisać: jakie dane są zbierane, na jakiej podstawie, w jakich systemach, komu są przekazywane i jak długo pozostają w firmie. Taka mapa staje się potem szkieletem dla rejestru czynności przetwarzania i polityk wewnętrznych.

Rejestr czynności przetwarzania dla obszaru HR

Rejestr czynności przetwarzania to nic innego jak usystematyzowany opis, co firma robi z danymi. Dla HR typowe „czynności” to między innymi:

  • prowadzenie akt osobowych pracowników,
  • obsługa rekrutacji,
  • rozliczanie czasu pracy i wynagrodzeń,
  • organizacja szkoleń i rozwoju pracowników,
  • prowadzenie dokumentacji BHP,
  • prowadzenie PPK i innych benefitów.

Do każdej czynności przyporządkowuje się: kategorie osób, zakres danych, podstawy prawne, kategorie odbiorców (np. ZUS, urząd skarbowy, bank), okresy przechowywania oraz stosowane zabezpieczenia. Dobrze zrobiony rejestr ułatwia odpowiedzi na pytania pracowników o ich dane oraz przygotowanie się do ewentualnej kontroli organu nadzorczego.

Polityka ochrony danych w HR – dokument, który ma pokrycie w praktyce

Polityka ochrony danych to wewnętrzny „plan gry”. W części dotyczącej HR powinna odpowiadać między innymi na pytania:

  • kto może wprowadzać i modyfikować dane w systemach kadrowo‑płacowych,
  • jak wygląda obieg dokumentów papierowych (np. kto przyjmuje zwolnienia lekarskie i gdzie je odkłada),
  • jak zabezpieczone są akta osobowe (fizycznie i w systemach),
  • jak reagować na naruszenia (np. zgubiony pendrive z listą obecności),
  • jak wygląda udostępnianie danych podmiotom zewnętrznym (biuro rachunkowe, BHP, lekarz medycyny pracy).

Największym błędem jest skopiowanie „szablonu z internetu”, który nie ma nic wspólnego z realnymi procesami. Zespół HR powinien współtworzyć ten dokument – wtedy łatwiej go wdrożyć i egzekwować.

Okresy przechowywania – jak ustalić i egzekwować terminy

Jednym z trudniejszych elementów organizacji przetwarzania jest ustalenie, jak długo konkretne dokumenty mają być przechowywane. W obszarze HR część terminów wynika wprost z przepisów (np. 10‑letni okres przechowywania akt osobowych dla nowszych zatrudnień), a część trzeba określić samodzielnie.

Praktyczne kroki:

  • sporządzić tabelę, w której dla każdej kategorii dokumentów (np. wnioski urlopowe, listy obecności, notatki z rozmów oceniających) wskaże się okres przechowywania i podstawę,
  • zapewnić, by systemy kadrowe wspierały kasowanie lub anonimizację danych po upływie terminu,
  • zaplanować cykliczne „sprzątanie” dokumentacji papierowej – np. raz w roku przegląd teczek i brakowanie (niszczenie) dokumentów, które przekroczyły okres przechowywania.

Bez takiej dyscypliny z biegiem lat firma gromadzi coraz większe zbiory danych, których nie powinna już mieć. To zwiększa ryzyko naruszeń i odpowiedzialności.

Bezpieczeństwo techniczne – minimum, które powinno działać codziennie

Nawet najlepsze procedury nie pomogą, jeśli dane można wyczytać z monitora z końca korytarza albo każdy ma hasło do wszystkiego. W HR – gdzie znajdują się jedne z najbardziej wrażliwych danych w firmie – rozsądne minimum to:

  • dostęp do systemów kadrowo‑płacowych tylko przez indywidualne konta użytkowników,
  • silne hasła i dwuskładnikowe uwierzytelnianie (np. kod SMS lub aplikacja),
  • szyfrowanie komputerów przenośnych i nośników, na których mogą znajdować się dane pracowników,
  • regularne kopie zapasowe danych kadrowych, przechowywane w bezpiecznej lokalizacji,
  • ograniczenie możliwości kopiowania danych na zewnętrzne nośniki (pendrive, dysk zewnętrzny) bez zgody administratora.

Do tego dochodzi zwykła fizyczna ostrożność: zamykane szafy z aktami, niszczarki do dokumentów, niepozostawianie list płac na biurku, gdy w pokoju przyjmowani są inni pracownicy.

Szkolenia dla osób przetwarzających dane – nie tylko „odfajkowanie”

Każdy, kto ma dostęp do danych pracowników – nie tylko kadry, ale także przełożeni, IT, księgowość – powinien przejść proste, praktyczne szkolenie. Skuteczna forma to krótkie sesje z przykładami z życia firmy: co robić, gdy:

W tym miejscu przyda się jeszcze jeden praktyczny punkt odniesienia: Zgoda na wyjazd szkolny a RODO: jakie dane są niezbędne, a jakie nadmiarowe.

  • pracownik prosi o przesłanie paska płacowego na prywatny e‑mail,
  • ktoś z innego działu dzwoni „po znajomości”, prosząc o numer telefonu kolegi,
  • kierownik chce „na szybko” listę osób na L4.

Chodzi o wyrobienie nawyku zadawania dwóch pytań: „Czy mam prawo to zrobić?” oraz „Czy robię to wystarczająco bezpiecznie?”. Dopiero potem wchodzą w grę bardziej rozbudowane procedury i dokumenty.

Współpraca z podmiotami zewnętrznymi – umowy powierzenia w HR

Dane pracowników bardzo często „wychodzą” poza firmę – do biur rachunkowych, firm BHP, dostawców benefitów, operatorów PPK, dostawców systemów kadrowych w modelu chmurowym. Z każdym z tych podmiotów, jeżeli przetwarza dane w imieniu firmy, powinna być zawarta umowa powierzenia przetwarzania danych.

Taka umowa powinna jasno określać:

  • zakres danych (np. imię, nazwisko, PESEL, wynagrodzenie),
  • cele przetwarzania (np. obsługa list płac, obsługa medycyny pracy),
  • środki bezpieczeństwa po stronie podmiotu przetwarzającego,
  • zasady dalszego powierzania (podwykonawcy),
  • postępowanie w razie naruszeń (kto, kogo i w jakim czasie informuje).

W praktyce dobrze działa zasada: zanim wyślę jakiekolwiek dane pracowników na zewnątrz, sprawdzam, czy mam do tego umowę oraz czy zakres przekazywanych informacji nie jest szerszy niż to, co rzeczywiście potrzebne.

Obowiązek informacyjny wobec pracowników i kandydatów – jak go wypełnić sensownie

Co dokładnie trzeba powiedzieć pracownikowi i kandydatowi

RODO nie zakłada, że pracownik ma „domyślać się”, co się dzieje z jego danymi. Administrator – czyli pracodawca – musi przekazać zestaw konkretnych informacji w chwili, gdy dane są zbierane (np. przy rekrutacji, przy zatrudnieniu) lub najpóźniej w rozsądnym terminie po ich pozyskaniu z innych źródeł.

Minimalny zakres informacji obejmuje między innymi:

  • dane administratora (nazwa firmy, dane kontaktowe),
  • dane kontaktowe inspektora ochrony danych (jeśli jest wyznaczony),
  • cele przetwarzania (np. rekrutacja, zawarcie i wykonanie umowy o pracę, realizacja obowiązków z prawa pracy, obrona przed roszczeniami),
  • podstawy prawne (np. Kodeks pracy, obowiązki podatkowe, zgoda – jeśli jest niezbędna),
  • kategorie odbiorców danych (np. ZUS, urząd skarbowy, bank, dostawcy benefitów, biuro rachunkowe),
  • informację o zamiarze przekazywania danych poza EOG (jeśli ma to miejsce) i stosowanych zabezpieczeniach,
  • okres przechowywania lub kryteria jego ustalania,
  • przysługujące prawa (dostęp do danych, sprostowanie, ograniczenie, sprzeciw, usunięcie – w granicach prawa pracy),
  • prawo wniesienia skargi do Prezesa UODO,
  • informację, czy podanie danych jest obowiązkowe, oraz co się stanie w razie ich niepodania (np. brak możliwości zatrudnienia),
  • informację o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu – jeżeli występuje.

Nie trzeba cytować pełnych podstaw prawnych. W praktyce wystarczy wskazanie rodzaju przepisu (np. „przepisy prawa pracy”, „przepisy podatkowe i ubezpieczeniowe”) i przywołanie najważniejszych ustaw.

Przejrzysta klauzula informacyjna – jak nie zrobić z niej ściany tekstu

Przeciętna osoba z HR widząc 3‑stronicową klauzulę z drobnym drukiem, sama nie ma ochoty jej czytać. Pracownik tym bardziej. Dlatego zamiast kopiować zawiłe wzory, lepiej zaplanować ją jak prostą ulotkę informacyjną.

Pomagają między innymi:

  • krótkie, rzeczowe akapity z pogrubionymi hasłami („Kto jest administratorem danych”, „W jakim celu przetwarzamy dane”, „Komu przekazujemy dane”),
  • unikanie żargonu prawniczego („na mocy art. 6 ust. 1 lit. b RODO”) w głównej treści – szczegóły można umieścić w przypisie lub tabeli na końcu,
  • wyraźne rozdzielenie sytuacji: rekrutacja, zatrudnienie, monitoring wizyjny, benefity – zamiast jednego, gigantycznego bloku tekstu,
  • stosowanie prostych przykładów – np. przy odbiorcach danych: „bank – w celu realizacji przelewów wynagrodzeń”,
  • język kierowany do konkretnego odbiorcy („Twoje dane”, „Twoje prawa”), a nie abstrakcyjne formuły („Podmiot danych ma prawo…”).

U wielu pracodawców dobrze sprawdzają się dwie osobne klauzule: jedna dla kandydatów (rekrutacja), druga dla pracowników (zatrudnienie i sprawy pracownicze). Zmniejsza to ryzyko pomieszania celów i podstaw prawnych.

Kiedy i w jakiej formie przekazywać informacje

Obowiązek informacyjny nie musi oznaczać podpisywania dodatkowej sterty papierów. Liczy się, by informacje były przekazane w sposób zrozumiały, łatwo dostępny i utrwalony (tak, aby dało się wykazać, że obowiązek został zrealizowany).

Przy rekrutacji najczęstsze praktyczne rozwiązania to:

  • link do klauzuli informacyjnej w treści ogłoszenia o pracę (np. na końcu ogłoszenia lub w stopce),
  • klauzula informacyjna na stronie „Kariera” – z jasnym odwołaniem w ogłoszeniu („Informacje o tym, jak przetwarzamy Twoje dane, znajdziesz na stronie…”),
  • automatyczna odpowiedź e‑mail z linkiem do klauzuli, jeśli kandydaci przesyłają dokumenty na skrzynkę rekrutacyjną.

Przy zatrudnianiu nowych pracowników stosuje się najczęściej:

  • wręczenie klauzuli informacyjnej razem z umową o pracę lub zakresem obowiązków,
  • udostępnienie jej w portalu pracowniczym (intranet, HR‑system) z potwierdzeniem zapoznania,
  • omówienie najważniejszych elementów klauzuli na krótkim spotkaniu onboardingowym.

Istotne jest, by w razie zmiany celu lub zakresu przetwarzania (np. wdrożenie nowego systemu monitoringu, włączenie danych do nowego programu benefitowego) odświeżyć informacje i poinformować o tym pracowników w sposób, który do nich realnie dotrze – e‑mail, komunikat w intranecie, spotkanie zespołowe.

Jak odróżnić obowiązkową informację od zgody

Klauzula informacyjna nie jest zgodą. To jednostronny komunikat, który administrator musi przekazać, aby osoba wiedziała, co się dzieje z jej danymi. Próba „przemycenia” zgody w treści obowiązku informacyjnego kończy się zwykle bałaganem w dokumentacji i wątpliwą ważnością zgody.

Bezpieczny układ dokumentów jest taki, że:

  • najpierw przekazuje się klauzulę informacyjną – jasno, że to informacja,
  • jeśli w danym aspekcie faktycznie potrzebna jest zgoda (np. przechowywanie CV na przyszłe rekrutacje, profilowanie w systemie benefitowym) – przygotowuje się osobny formularz zgody,
  • zgoda jest dobrowolna – pracownik wie, że odmowa lub wycofanie zgody nie pogorszy jego sytuacji np. w zakresie samego zatrudnienia.

Przykład: prośba o zgodę na przetwarzanie danych dotyczących zainteresowań w celu dobrania benefitów jest co do zasady dopuszczalna, ale nie można od niej uzależniać premii lub samego zatrudnienia.

Obowiązek informacyjny przy danych z innych źródeł

Czasem pracodawca pozyskuje dane pracownika nie od niego samego, lecz z innych miejsc: od agencji pracy tymczasowej, z portalu rekrutacyjnego, od byłego pracodawcy (np. referencje), z polecenia kolegi z firmy. W takich przypadkach również aktualizuje się obowiązek informacyjny.

RODO zakłada, że jeśli dane pochodzą z innego źródła, informacja powinna trafić do osoby, której dane dotyczą, najpóźniej w rozsądnym terminie – zwykle do 1 miesiąca, a jeśli dane są używane do kontaktu z osobą, to najpóźniej przy pierwszym takim kontakcie. W praktyce oznacza to na przykład:

  • dołączenie klauzuli informacyjnej do pierwszej wiadomości e‑mail wysyłanej do kandydata, którego CV przekazała agencja,
  • przekazanie informacji na początku rozmowy rekrutacyjnej – jeśli kandydat został pozyskany z polecenia i nie wysyłał wcześniej swojego CV firmie.

Są wyjątki, gdy nie trzeba powtarzać informacji (np. jeśli osoba już ją otrzymała wcześniej wprost od administratora danych), ale w przypadku HR lepiej przyjąć konserwatywne podejście i nie zakładać milczącej „świadomości” pracownika.

Upoważnienia, zakres dostępu i poufność – kto co widzi w dokumentacji kadrowej

Dlaczego zasada „wszyscy mają dostęp do wszystkiego” jest z góry przegrana

W wielu firmach dokumentacja kadrowa przez lata była traktowana jak wspólna szafa: kto potrzebował, ten brał. RODO odwraca tę logikę – dostęp nie wynika z ciekawości czy wygody, ale z konkretnych, służbowych zadań. Im mniej osób ma dostęp do pełnego pakietu danych, tym mniejsze ryzyko naruszenia i mniejsza skala ewentualnych szkód.

Dotyczy to zarówno fizycznych akt osobowych, jak i systemów kadrowo‑płacowych oraz mniej oczywistych miejsc, takich jak arkusze w Excelu prowadzone przez kierowników czy skrzynki e‑mail, na które trafiają wnioski urlopowe.

Upoważnienia do przetwarzania danych – kto i na jakich zasadach

Każda osoba, która ma w firmie realny dostęp do danych pracowników, powinna mieć nadane imienne upoważnienie. Nie chodzi o biurokrację dla samej biurokracji, lecz o jasność: kto, w jakim zakresie i dlaczego przetwarza dane.

Praktyczne podejście do upoważnień obejmuje:

  • powiązanie upoważnień z rolą w organizacji (np. specjalista ds. kadr, kierownik działu sprzedaży, członek zarządu), a nie wyłącznie z imieniem i nazwiskiem,
  • opis zakresu danych, do których dana osoba ma dostęp (np. pełne akta osobowe, dane płacowe tylko swojego działu, informacje o obecności),
  • wskazanie czynności, jakie może wykonywać (podgląd, wprowadzanie danych, modyfikacja, generowanie raportów),
  • czas obowiązywania upoważnienia – np. do końca zatrudnienia na danym stanowisku lub do odwołania.

Dobrą praktyką jest prowadzenie rejestru upoważnień, dzięki któremu łatwo sprawdzić, kto ma dostęp do jakiego rodzaju informacji. Przy każdej zmianie stanowiska, awansie czy odejściu z pracy ten rejestr trzeba aktualizować – oraz niezwłocznie blokować loginy i dostęp do systemów.

Modelowanie ról i dostępów w systemach kadrowo‑płacowych

Nowoczesne systemy HR oferują rozbudowane zarządzanie rolami i uprawnieniami. Problem polega na tym, że często pozostają one w konfiguracji „fabrycznej” – z szerokimi dostępami, które nie odzwierciedlają faktycznych potrzeb firmy. W efekcie specjalista ds. szkoleń może zobaczyć listę płac, a administrator systemu IT – szczegóły zwolnień lekarskich.

Do kompletu polecam jeszcze: Smog akustyczny w biurze: skutki zdrowotne — znajdziesz tam dodatkowe wskazówki.

Przy wdrażaniu lub porządkowaniu systemu warto krok po kroku zdefiniować role, takie jak:

  • specjalista ds. kadr – pełen dostęp do akt osobowych, ale bez możliwości modyfikacji danych płacowych,
  • specjalista ds. płac – szczegółowe dane wynagrodzeniowe, ale brak wglądu w notatki z ocen okresowych,
  • kierownik działu – wgląd w dane swoich podwładnych w ograniczonym zakresie (np. plan urlopów, informacje o szkoleniach, wyniki ocen, ale nie pełne akta osobowe),
  • pracownik – dostęp do własnych danych, pasków płacowych, historii urlopów, możliwości aktualizacji części danych (np. numer rachunku bankowego, adres).

System powinien także rejestrować tzw. logi – historię działań użytkowników: kto, kiedy i w jakim zakresie przeglądał lub zmieniał dane. Taki dziennik jest bezcenny przy analizie incydentów lub skarg.

Podział dokumentacji kadrowej – informacje poufne i bardziej „operacyjne”

Nie wszystkie dokumenty kadrowe wymagają takiego samego poziomu zabezpieczeń. Z praktycznego punktu widzenia warto wyodrębnić:

  • dokumenty szczególnie wrażliwe – np. informacje o stanie zdrowia (orzeczenia lekarskie, zaświadczenia o niepełnosprawności), dokumenty dotyczące zasiłków chorobowych, dane o karach porządkowych,
  • dokumenty finansowe – listy płac, informacje o zajęciach komorniczych, dokumenty podatkowe,
  • dokumenty „podstawowe” – umowy o pracę, aneksy, zaświadczenia o zatrudnieniu, zakresy obowiązków,
  • dokumenty dotyczące organizacji pracy – grafiki, plany urlopowe, listy obecności.

Każda z tych kategorii może mieć inny krąg osób uprawnionych do wglądu. Przykładowo orzeczenia lekarskie czy szczegóły zwolnień powinny być dostępne jedynie dla wąskiego zespołu (kadry, BHP, upoważniony lekarz), podczas gdy listy obecności – dla przełożonych, którzy planują pracę zespołu.

Klauzule poufności i praktyczne zasady zachowania tajemnicy

Upoważnienie do przetwarzania danych osobowych powinno iść w parze z zobowiązaniem do zachowania poufności. Część firm włącza taką klauzulę do umowy o pracę, inne stosują osobne oświadczenia. Kluczowe jest, by pracownik wiedział, że:

  • nie wolno mu wykorzystywać informacji o innych osobach do celów prywatnych (np. sprawdzanie wysokości pensji kolegów z ciekawości),
  • nie może ujawniać danych pracowników na zewnątrz, chyba że wynika to z jego obowiązków służbowych,
  • niewłaściwe obchodzenie się z danymi może skutkować odpowiedzialnością służbową, a w skrajnych przypadkach także prawną.

Sama klauzula to jednak za mało. Na szkoleniach i w codziennej pracy warto przejść z zespołem przez najczęstsze sytuacje „z pogranicza”, które w praktyce prowadzą do naruszeń, takie jak:

  • rozmowy o wynagrodzeniach konkretnych osób w przestrzeni wspólnej,
  • pozostawianie wydrukowanych list płac na drukarce sieciowej,
  • przekazywanie danych pracowników mailem do domu, „żeby dokończyć robotę wieczorem”.

Najczęściej zadawane pytania (FAQ)

Jakie dane pracowników pracodawca może zgodnie z RODO i kodeksem pracy zbierać?

Podstawowy katalog danych wynika z kodeksu pracy. U kandydata pracodawca może żądać m.in. imienia i nazwiska, daty urodzenia, danych kontaktowych, informacji o wykształceniu i doświadczeniu zawodowym – ale tylko w zakresie potrzebnym do rekrutacji. U pracownika dochodzi m.in. adres zamieszkania, numer PESEL (lub inny identyfikator), dane do rozliczeń podatkowych i ZUS, informacje o kwalifikacjach oraz przebiegu zatrudnienia.

Dane wykraczające poza ten katalog (np. prywatny stan zdrowia, plany rodzicielskie, preferencje polityczne czy religijne) co do zasady są „poza zasięgiem” pracodawcy. Wyjątki wynikają z przepisów szczególnych – np. badań medycyny pracy czy obowiązkowych szkoleń BHP. Jeśli pracodawca chce pozyskać coś więcej, musi mieć wyraźną podstawę prawną inną niż „zgoda z formularza”.

Czy do przetwarzania danych pracowników zawsze potrzebna jest zgoda pracownika?

Nie. W relacji pracodawca–pracownik zgoda jest użyteczna zaskakująco rzadko. Podstawą przetwarzania danych kadrowych jest najczęściej obowiązek prawny (np. z kodeksu pracy, ustawy o ZUS, PPK) lub niezbędność do wykonania umowy o pracę. Dlatego nie trzeba (i nie powinno się) „podpierać” każdego działania osobną zgodą.

Zgoda może mieć sens przy działaniach naprawdę dobrowolnych, np. publikacji wizerunku pracownika na stronie WWW, udziału w firmowym newsletterze prywatnym mailem czy programach benefitowych wykraczających poza prawo pracy. Warunek: pracownik musi móc nie wyrazić zgody lub ją cofnąć bez negatywnych konsekwencji dla zatrudnienia.

Jakie są najczęstsze naruszenia ochrony danych pracowników w firmach?

W praktyce problemem nie są wyrafinowane cyberataki, ale prozaiczne błędy ludzi. Klasyka to wysłanie listy płac do całej firmy zamiast do jednego adresata, pozostawienie teczek z aktami osobowymi w ogólnodostępnym miejscu, brak haseł na komputerze służbowym czy przesyłanie skanów dowodów osobistych prywatnym mailem.

Często spotykane są też zbyt szerokie uprawnienia w systemach HR (np. każdy menedżer widzi pensje wszystkich), brak szyfrowania laptopów i telefonów, przechowywanie dokumentów kadrowych „wiecznie” zamiast ich terminowego niszczenia oraz nieuporządkowany monitoring (np. kamery w szatni). Te sytuacje mogą prowadzić zarówno do skarg pracowników, jak i poważnych kar UODO.

Jak w praktyce zabezpieczyć dane pracowników przed wyciekiem?

Skuteczny model łączy trzy elementy: technologię, organizację i ludzi. Od strony technicznej chodzi m.in. o silne hasła i uwierzytelnianie dwuskładnikowe, szyfrowanie laptopów i nośników, regularne kopie zapasowe, ograniczanie dostępów do zasady „tylko tyle, ile konieczne” oraz aktualne oprogramowanie. Nawet prosta zmiana typu „osobne konto dla każdego użytkownika” daje ogromny efekt.

Druga warstwa to procedury: jasne zasady obiegu dokumentów, wydawania zaświadczeń, korzystania z poczty służbowej, wynoszenia dokumentów poza biuro, niszczenia akt. Trzecia, często zaniedbywana, to regularne krótkie szkolenia i przypomnienia dla pracowników – tak, aby każdy wiedział, czego nie wolno robić z listą płac czy skanami dowodów osobistych.

Kto w firmie odpowiada za RODO w zakresie danych pracowników?

Formalnie administratorem danych jest pracodawca (firma lub przedsiębiorca), a nie dział kadr czy konkretny specjalista. To zarząd odpowiada za to, by istniała sensowna polityka ochrony danych, były na nią środki i by nie była ona tylko „na papierze”. W większych firmach rolę koordynującą pełni często inspektor ochrony danych (IOD), jeśli został powołany.

Ochrona danych kadrowych to jednak praca zespołowa. HR i kadry znają procesy i dbają o zgodność z prawem pracy, IT i bezpieczeństwo – o technologię, menedżerowie liniowi – o to, jak na co dzień obchodzą się z informacjami o swoich zespołach. Jeśli którykolwiek z tych elementów zawodzi, wzrasta ryzyko wycieku lub skargi.

Jak długo można przechowywać akta osobowe i inne dane pracownika po zakończeniu współpracy?

Okresy przechowywania wynikają przede wszystkim z przepisów prawa pracy i ubezpieczeń społecznych. Akta osobowe trzeba standardowo przechowywać przez wiele lat (obecnie najczęściej 10 lub 50 lat w zależności od daty zatrudnienia i przesłania raportu ZUS RIA). Dane do rozliczeń podatkowych przechowuje się zazwyczaj przez 5 lat licząc od końca roku podatkowego.

To, co nie jest potrzebne ani z punktu widzenia prawa, ani ewentualnych roszczeń (np. nadmiarowe notatki, stare kopie dokumentów, zbędne maile z danymi pracownika), powinno być usuwane lub anonimizowane. „Na wszelki wypadek” nie jest legalną podstawą przechowywania danych osobowych – w razie kontroli trzeba umieć wytłumaczyć, dlaczego coś jeszcze leży w archiwum.

Co zrobić, gdy dojdzie do naruszenia danych pracownika (np. wyciek, zgubiony laptop)?

Najpierw trzeba opanować sytuację – ograniczyć skutki naruszenia. W praktyce może to oznaczać m.in. zablokowanie konta w systemie, zdalne wyczyszczenie zgubionego telefonu, zmianę haseł, odzyskanie omyłkowo wysłanych dokumentów. Równolegle warto zebrać informacje: co się stało, jakie dane i ilu osób dotyczy incydent, czy dane były szyfrowane.

Kolejny krok to ocena ryzyka naruszenia praw lub wolności osób, których dane dotyczą. Jeśli ryzyko jest wysokie, trzeba zgłosić naruszenie do UODO w ciągu 72 godzin od jego stwierdzenia i – w określonych przypadkach – poinformować samych pracowników. Dobrą praktyką jest też przeanalizowanie przyczyn zdarzenia i wprowadzenie zmian (np. dodatkowe szkolenie, modyfikacja uprawnień, nowe zabezpieczenie techniczne), żeby podobny incydent się nie powtórzył.

Najważniejsze punkty

  • Dane pracowników są kluczowym zasobem firmy – na nich opiera się całe zatrudnianie, rozliczanie i zarządzanie personelem, dlatego ich ochrona powinna być traktowana tak samo poważnie jak bezpieczeństwo pieniędzy czy majątku.
  • RODO przesunęło akcent z „papierologii” na realne bezpieczeństwo: firma musi rozumieć własne ryzyka, samodzielnie dobrać środki ochrony (techniczne, organizacyjne, szkoleniowe) i umieć się z nich rozliczyć.
  • Pracownik zyskał silniejszą pozycję – ma szereg praw wobec swoich danych (dostęp, sprostowanie, ograniczenie, sprzeciw itp.), a pracodawca musi być przygotowany, by szybko i rzeczowo na te żądania reagować.
  • Główne ryzyka to nie tylko kary od UODO, ale też roszczenia pracowników, utrata reputacji i paraliż organizacyjny po incydencie, który potrafi zatrzymać pracę działów i pochłonąć znaczne zasoby.
  • Ochrona danych pracowników nie jest zadaniem wyłącznie działu kadr – angażuje zarząd, menedżerów liniowych, IT i bezpieczeństwo; jeden błąd „poza kadrami” (np. wysłanie listy płac do złego adresata) może zniweczyć dobre procedury.
  • Skuteczne wdrożenie RODO w obszarze HR wymaga spójnych, praktycznych zasad działania – od rekrutacji, przez codzienny obieg dokumentów i systemy informatyczne, aż po archiwizację i niszczenie akt.
  • Obowiązki pracodawcy wynikają nie tylko z RODO, ale też z kodeksu pracy i przepisów branżowych, więc polityka ochrony danych kadrowych musi łączyć te źródła prawa w jedną, zrozumiałą dla pracowników praktykę.

Bibliografia

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO). Dziennik Urzędowy Unii Europejskiej (2016) – Podstawowe zasady, obowiązki i prawa w ochronie danych osobowych
  • Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych. Dziennik Ustaw Rzeczypospolitej Polskiej (2018) – Krajowe przepisy wykonujące RODO w Polsce
  • Wytyczne dotyczące przetwarzania danych osobowych w miejscu pracy. Europejska Rada Ochrony Danych – Interpretacja RODO w kontekście zatrudnienia i relacji pracodawca–pracownik
  • Ochrona danych osobowych w miejscu pracy – poradnik dla pracodawców. Urząd Ochrony Danych Osobowych – Praktyczne wskazówki dla pracodawców w zakresie danych kadrowych
  • ISO/IEC 27001 – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji. International Organization for Standardization – Norma zarządzania bezpieczeństwem informacji w organizacji

Kontynuuj zgłębianie tematu:

Poprzedni artykułJak rozpoznać prawdziwy szafir w domu?
Następny artykułKlejnoty w filmach noir: kiedy biżuteria staje się tropem w śledztwie
Krzysztof Piotrowski
Krzysztof Piotrowski
Krzysztof Piotrowski zajmuje się tematami technicznymi: konstrukcją opraw, trwałością zapięć, doborem stopów i naprawami. W poradnikach pokazuje, jak ocenić solidność wykonania i jak dbać o biżuterię, by służyła latami. Opiera się na doświadczeniu z pracowni oraz na dokumentacji producentów narzędzi i materiałów, a wskazówki weryfikuje w praktyce, testując m.in. czyszczenie, polerowanie i zabezpieczanie powierzchni. Pisze odpowiedzialnie, jasno zaznaczając, które czynności są bezpieczne w domu, a które wymagają jubilera.