Pracodawcy zbierają i przetwarzają dane osobowe pracowników. Nie ma jednak w tym zakresie dowolności. Przepisy szczegółowo określają, jakie dane mogą być gromadzone i przechowywane, a są przy tym niespójne.
Ostrożnie należy też podejść do przesyłania danych pracowników za granicę, na przykład do spółek z grupy kapitałowej pracodawcy.
Art. 221 kodeksu pracy określa katalog danych, których pracodawca może żądać od kandydata do pracy oraz pracownika. Są to: imię i nazwisko, imiona rodziców, data urodzenia, miejsce zamieszkania, wykształcenie oraz przebieg dotychczasowej kariery zawodowej. W uzasadnionych przypadkach może też zbierać inne informacje dotyczące dzieci, jeśli jest to niezbędne do zapewnienia pracownikowi odpowiednich świadczeń gwarantowanych przez prawo pracy. Wskazany w kodeksie zakres informacji należy traktować jako katalog zamknięty, z wyjątkami, gdy dane osobowe mogą być przetwarzane na podstawie innych ustaw. Oznacza to, że co do zasady pracodawca może żądać od pracowników podania tylko tych danych, do których upoważnia go ustawa i kodeks. Wszystkie inne dane może przetwarzać wyłącznie za zgodą pracownika. Poza katalogiem informacji, które pracodawca może przetwarzać bez zgody pracownika, są tak zwane dane wrażliwe. Dotyczą one np. przekonań religijnych czy orientacji seksualnej.
Wydane na podstawie kodeksu pracy rozporządzenie z 28 maja 1996 roku w sprawie zakresu prowadzenia przez pracodawców dokumentowania w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika wskazuje w sposób szczegółowy, złożenia jakich dokumentów może się domagać pracodawca od pracownika.
Rozporządzenie było ostatnio zmienione, jednak nadal nie wyeliminowało związanych z nim wątpliwości. Załącznik do rozporządzenia zawiera kwestionariusze osobowe pracownika oraz kandydata do pracy. Mają one charakter pomocniczy, jednak są powszechnie wykorzystywane przez pracodawców. Ich zakres jest dość szeroki i wykracza poza zakres określony art. 221 k.p., należy w nich podać m.in. obywatelstwo oraz osobę, którą należy zawiadomić w razie wypadku. Wobec niespójności przepisów, rekomendowane jest nieuzyskiwanie od pracowników informacji, które nie są bezpośrednio wymienione w kodeksie i rozporządzeniu albo też uzyskiwanie zgody pracownika na podanie takich dodatkowych danych.
Praktyka pokazuje, że pracodawcy należący do grup kapitałowych często przesyłają dane osobowe pracowników za granicę, do spółek z grupy. Dane te zazwyczaj są przekazywane dla celów wewnętrznych grupy, a nie na przykład dla celów marketingowych. Mimo to obowiązują w tym zakresie surowe przepisy ustawy o ochronie danych osobowych. Co do zasady przekazywanie danych za granicę jest możliwe do krajów, które gwarantują ochronę przynajmniej na takim samym poziomie jak polska ustawa. Należą do nich kraje europejskiego obszaru gospodarczego, w tym kraje unijne. Jeżeli dany kraj nie gwarantuje adekwatnego poziomu ochrony, pracodawca może przesłać dane za granicę po uzyskaniu na to pisemnej zgody pracownika. Nie znajduję bowiem innych podstaw prawnych przetwarzania danych przez spółki z grupy kapitałowej, ani w przepisach prawa, ani też w usprawiedliwionych celach administratora danych.
Wobec powyższego rekomendowane jest zawieranie już w umowach o pracę bądź równocześnie z ich podpisaniem, klauzul o zgodzie na przekazywanie danych pracownika za granicę. Należałoby wskazać imiennie podmioty, do których będą przesyłane dane, z podaniem ich pełnych nazw, siedzib oraz celu przetwarzania danych. Przy takim zabiegu, pracownik podpisując umowę o pracę wyrazi jednocześnie, lub nie, zgodę na przekazywanie jego danych za granicę. Ponadto, zostanie spełniony ustawowy obowiązek informacyjny podmiotu zagranicznego poprzez podanie wszelkich wymaganych informacji na jego temat oraz celu przetwarzania. Wskazane jest zamieszczanie w takich klauzulach pouczenia o dobrowolności podania danych i jego podstawach.
