Projektując zabezpieczenia systemu informatycznego lub jego części (np. poczty mailowej) pracodawca może zechcieć zastosować uwierzytelnianie dwuskładnikowe (2FA), aby zmniejszyć ryzyko nieuprawnionego dostępu do kont pracowników. Drugim składnikiem (stopniem) uwierzytelniania zazwyczaj jest kod wysyłany SMS-em na numer telefonu posiadacza konta – takie rozwiązanie jest wymagane prawnie przy bankowości internetowej. Z tego powodu powstaje pytanie, czy pracodawca może swobodnie wykorzystać prywatne numery telefonu pracowników dla zabezpieczenia swojego systemu informatycznego.
Zasadniczo Kodeks pracy (dalej: k.p.) określa jakie dane osobowe może pozyskiwać od pracownika pracodawca. Zgodnie z art. 221 § 1 pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię i nazwisko; 2) datę urodzenia; 3) dane kontaktowe wskazane przez taką osobę; 4) wykształcenie; 5) kwalifikacje zawodowe; 6) przebieg dotychczasowego zatrudnienia. Przy czym pracodawca żąda podania danych osobowych, o których mowa w § 1 pkt 4-6, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku (§ 2).
Ponadto, zgodnie z § 3, pracodawca żąda od pracownika podania dodatkowo danych osobowych obejmujących: 1) adres zamieszkania; 2) numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość; 3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy; 4) wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie; 5) numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.
Oprócz tego pracodawca żąda podania innych danych osobowych niż określone w § 1 i 3, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (§ 4).
W tym wyliczeniu nie pojawia się numer prywatnego telefonu pracownika. Może on zostać udostępniony pracodawcy w ramach art. 221 § 1 pkt 3, czyli w charakterze danych kontaktowych, jednak należy pamiętać, że zgodnie z zasadą ograniczenia celu przetwarzania (art. 5 ust. 1 pkt b RODO), dane osobowe – w tym wypadku prywatny numer telefonu – mają być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Oznacza to, że prywatny numer telefonu, przetwarzany w związku z samym faktem zatrudnienia pracownika, może zostać wykorzystany jedynie do celów kontaktowania się z pracownikiem, a nie może być użyty w celu zwiększenia bezpieczeństwa systemu informatycznego.
Jednakowoż, zgodnie z art. 221a § 1 k.p. zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione w art. 221 § 1 i 3. Aby więc zgodnie z prawem używać prywatnego numeru telefonu pracownika do uwierzytelniania dwuskładnikowego konieczne byłoby wyrażenie przez niego wyraźnej zgody na takie działanie. Oznacza to, że podstawą przetwarzania danych byłby art. 6 ust. 1 lit a RODO i miałyby zastosowanie wszystkie normy dotyczące zgody, o których mowa w art. 7 RODO – czyli, m.in. że musi być ona wyrażona świadomie i dobrowolnie, pracodawca musi być w stanie wykazać, że została udzielona, a do tego może być w każdej chwili wycofana przez pracownika.
Na koniec warto przypomnieć, iż art. 221a § 2 k.p. stanowi, że brak zgody, o której mowa w § 1, lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.
Podstawa prawna:
– Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (t.j. Dz. U. z 2023 r. poz. 1465).
– Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).