Agencje pracy operują wyjątkowo wrażliwymi danymi osobowymi — numerami PESEL, kopiami dowodów osobistych, praw jazdy, kart ubezpieczenia zdrowotnego i formularzy A1. RODO (Ogólne rozporządzenie o ochronie danych) nakłada na przetwarzanie tych danych surowe wymogi, które wiele agencji niedocenia.
Jakie dane agencji pracy podlegają RODO
- Dane identyfikacyjne — imię, nazwisko, PESEL, data urodzenia, adres
- Kopie dokumentów — dowód osobisty, prawo jazdy, karta ubezpieczenia
- Dokumenty pracy — formularze A1, umowy o pracę, karty pracy
- Dane finansowe — IBAN, NIP, stawka godzinowa
- Dane kontaktowe — numer telefonu, e-mail
Wszystkie te dane są danymi osobowymi w rozumieniu RODO. Kopie dokumentów ze zdjęciem są nawet uznawane za bardziej wrażliwą kategorię.
Podstawowe obowiązki agencji
1. Podstawa prawna przetwarzania
Musisz mieć jasną podstawę prawną przetwarzania każdego rodzaju danych. W agencjach pracy zwykle jest to wykonanie umowy (umowa o pracę) i obowiązek prawny (ubezpieczenie społeczne, formularze A1).
2. Bezpieczeństwo przechowywania
Kopie dokumentów nie mogą leżeć w udostępnionym folderze na Google Drive, do którego ma dostęp cała firma. RODO wymaga odpowiednich środków technicznych i organizacyjnych — szyfrowania, kontroli dostępu, kopii zapasowych i przechowywania na terenie UE.
3. Kontrola dostępu
Nie każdy pracownik agencji musi widzieć PESEL lub kopię dowodu osobistego pracownika. Dostęp do wrażliwych danych powinien być ograniczony do osób, które tego niezbędnie potrzebują — zwykle HR manager i office manager.
4. Ścieżka audytu
RODO wymaga, abyś mógł wykazać, kto i kiedy uzyskał dostęp do danych osobowych. Jeśli przyjdzie kontrola z urzędu ochrony danych osobowych, musisz móc pokazać logi dostępu.
5. Prawo do usunięcia i eksportu
Każdy pracownik ma prawo zażądać całkowitego usunięcia swoich danych lub eksportu wszystkich danych, które ewidencjonujesz. Musisz móc to zrealizować w ustawowym terminie 30 dni.
Co grozi za niespełnienie
Kary za naruszenie RODO mogą sięgnąć nawet 20 milionów EUR lub 4% rocznego obrotu firmy. W praktyce kary dla mniejszych firm są niższe, ale nawet kara 5 000–50 000 € jest dla agencji odczuwalna. Ponadto wyciek danych osobowych szkodzi reputacji firmy.
Jak rozwiązać to prawidłowo
Idealnym rozwiązaniem jest system, który ma RODO wbudowane od podstaw:
- Dane przechowywane w UE na zaszyfrowanych serwerach
- Row-level security — każda organizacja widzi tylko swoje dane
- Automatyczny log audytu każdego dostępu do dokumentów
- Funkcja pełnego eksportu danych pracownika (JSON)
- Funkcja trwałego usuwania wraz z kopiami dokumentów
- Role z różnymi poziomami dostępu (admin, lider zespołu, pracownik)
Gdy masz te funkcje w systemie, zgodność z RODO nie jest obciążeniem — to tylko kwestia poprawnej konfiguracji.