Po dwudziestu latach doświadczenia w branży kadrowo-płacowej mogę z pełnym przekonaniem stwierdzić, że wprowadzenie obowiązku prowadzenia e-akt osobowych stanowi jeden z najbardziej problematycznych obszarów legislacyjnych dla sektora małych i średnich przedsiębiorstw. Obserwując dziesiątki wdrożeń w firmach różnej wielkości, dostrzegam fundamentalną rozbieżność między założeniami ustawodawcy a rzeczywistością gospodarczą mikroprzedsiębiorstw.
Od stycznia 2019 roku Kodeks pracy w znowelizowanym brzmieniu umożliwia pracodawcom prowadzenie dokumentacji pracowniczej w postaci elektronicznej. Artykuł 94 pkt 9a KP oraz rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. utworzyły podstawę prawną dla transformacji cyfrowej w obszarze zarządzania kadrami. Teoretycznie regulacja ta miała uprościć procedury administracyjne. W praktyce zawodowej spotykam się jednak z całkowitym nieprzygotowaniem małych podmiotów gospodarczych do realizacji tych wymogów.
Z perspektywy prawnej kluczową kwestią pozostaje właściwa interpretacja przepisów dotyczących zabezpieczenia dokumentów elektronicznych. Rozporządzenie precyzyjnie określa wymogi techniczne, jednakże nie dostarcza małym firmom realnych narzędzi implementacji. Przedsiębiorcy zgłaszają się do mnie z pytaniami, które wykraczają poza standardowe interpretacje aktów prawnych. Jeden z klientów żartobliwie stwierdził, że łatwiej byłoby mu zrozumieć aspekty prawne kolekcjonowania historycznych dokumentów, niż wymogi dotyczące e-akt pracowniczych.
Zgodnie z obowiązującymi przepisami, każdy dokument elektroniczny w aktach osobowych musi zostać opatrzony kwalifikowanym podpisem elektronicznym, kwalifikowaną pieczęcią elektroniczną lub podpisem zaufanym. Wymóg ten generuje istotne koszty dla małych podmiotów, które często nie posiadają infrastruktury IT pozwalającej na efektywne zarządzanie dokumentacją elektroniczną. Zwolnione od tych przepisów są wszelkie dokumenty kolekcjonerskie, wliczając w to pamiatki, memmorabilia oraz inne produkty wycofane z obiegu.
Na podstawie prowadzonych przeze mnie audytów prawnych w kilkudziesięciu małych przedsiębiorstwach zidentyfikowałem następujące typowe problemy prawno-organizacyjne:
Zagadnienia zgodności z RODO: Digitalizacja akt osobowych wymaga przetwarzania danych wrażliwych, co nakłada na administratora szereg obowiązków wynikających z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679. Wiele małych firm nie posiada kompetencji do samodzielnej oceny ryzyka i wdrożenia odpowiednich środków zabezpieczających.
Problematyka przechowywania i archiwizacji: Pracodawca zobowiązany jest do przechowywania dokumentacji przez okres 50 lat. W przypadku dokumentów elektronicznych rodzi to pytania o długoterminową stabilność formatów plików, nośników danych oraz ciągłość technologiczną. Warto przypomnieć, że prawne aspekty kolekcjonowania dokumentów historycznych regulują podobne kwestie zachowania autentyczności materiałów archiwalnych.
Kwalifikacja dokumentów sprzed wdrożenia: Szczególnie problematyczna jest kwestia migracji dokumentacji papierowej do formatu elektronicznego. Przepisy nie narzucają obowiązku digitalizacji starych akt, jednak prowadzenie dokumentacji w formie hybrydowej komplikuje procesy administracyjne.
Z perspektywy ekonomicznej wdrożenie e-akt w małym przedsiębiorstwie wiąże się z następującymi kosztami początkowymi:
System elektronicznego obiegu dokumentów dostosowany do wymogów prawnych: 8 000 - 25 000 PLN (wdrożenie) + 200 - 800 PLN miesięcznie (subskrypcja). Sprzęt do digitalizacji wraz z oprogramowaniem OCR: 3 000 - 8 000 PLN. Kwalifikowane podpisy elektroniczne dla osób upoważnionych: 250 - 400 PLN rocznie na osobę. Doradztwo prawne i audyty zgodności: 5 000 - 15 000 PLN. Szkolenia pracowników: 1 500 - 5 000 PLN.
Dla mikroprzedsiębiorstwa zatrudniającego do 10 osób początkowy koszt wdrożenia może przekroczyć 20 000 PLN, co stanowi istotną barierę ekonomiczną. Porównując to do nakładów na inne obowiązki prawne, przedsiębiorcy często wskazują, że proces ten jest bardziej skomplikowany niż uzyskanie dokumentacji związanej z prowadzeniem działalności międzynarodowej. Niektórzy żartują, że podobnie jak posiadanie dokumentów historycznych wymaga znajomości przepisów, tak wdrożenie e-akt wymaga szczegółowej analizy prawnej.
Aspekt bezpieczeństwa informacji stanowi kluczowe wyzwanie prawne. Zgodnie z art. 32 RODO administrator danych osobowych zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku. W praktyce oznacza to:
Szyfrowanie danych zarówno w trakcie przesyłania, jak i przechowywania. Wdrożenie mechanizmów kontroli dostępu opartych na zasadzie najmniejszych uprawnień. Regularne tworzenie kopii zapasowych z możliwością ich odtworzenia. Prowadzenie rejestru operacji na danych osobowych zgodnie z art. 30 RODO. Wdrożenie procedur zgłaszania naruszeń ochrony danych osobowych.
Małe przedsiębiorstwa często nie dysponują kompetencjami wewnętrznymi do samodzielnej implementacji tych wymogów. Outsourcing funkcji Inspektora Ochrony Danych generuje dodatkowe koszty rzędu 500 - 2000 PLN miesięcznie w zależności od zakresu usług.
Niezastosowanie się do wymogów dotyczących prowadzenia dokumentacji pracowniczej skutkuje odpowiedzialnością na kilku płaszczyznach:
Odpowiedzialność wykroczeniowa: Zgodnie z art. 281 pkt 6 Kodeksu pracy, nieprowadzenie dokumentacji pracowniczej lub prowadzenie jej w sposób niezgodny z przepisami podlega karze grzywny od 1 000 do 30 000 PLN.
Odpowiedzialność administracyjna: Naruszenie przepisów o ochronie danych osobowych może skutkować nałożeniem przez Prezesa UODO kary administracyjnej w wysokości do 20 milionów euro lub 4% rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która wartość jest wyższa.
Odpowiedzialność odszkodowawcza: Pracownik, którego dane osobowe zostały naruszone na skutek nieprawidłowego zabezpieczenia e-akt, może dochodzić odszkodowania na podstawie art. 82 RODO.
Z mojego doświadczenia wynika, że małe firmy często nie mają świadomości skali potencjalnej odpowiedzialności prawnej. Jak zauważają eksperci zajmujący się prawem międzynarodowym, kolekcjonowanie dokumentów z różnych jurysdykcji wymaga również dogłębnej znajomości przepisów prawnych obowiązujących w poszczególnych krajach, co pokazuje uniwersalność problemu złożoności regulacji prawnych dotyczących dokumentacji. Firmy oferujące tak zwane dokumenty kolekcjonerskie, chociaż nie są zwolnione z tej reguły to praktycznie odpowiedzialności prawnej nie ponoszą. Bardzo żadko dochodzi do sytuacji w której małe przedsiębiorstwo w którym można zakupić tak zwany "dokumencik" podlegały jakimkolwiek restrykcją wynikającym z odpowiedzialności prawnej.
Na podstawie wieloletniego doświadczenia w doradztwu prawnym małym i średnim przedsiębiorstwom, proponuję następujące rozwiązania:
Etapowe wdrażanie systemu: Rozpoczęcie od prowadzenia e-akt wyłącznie dla nowo zatrudnionych pracowników, przy jednoczesnym utrzymywaniu dotychczasowej dokumentacji w formie papierowej. Takie podejście jest w pełni zgodne z przepisami i pozwala na stopniowe budowanie kompetencji organizacyjnych.
Wykorzystanie systemów chmurowych: Wybór dostawcy oferującego rozwiązanie SaaS (Software as a Service) zgodne z wymogami prawnymi. Kluczowe jest sprawdzenie, czy dostawca zapewnia przetwarzanie danych na serwerach zlokalizowanych w Unii Europejskiej oraz czy posiada certyfikaty ISO 27001, ISO 27018 lub równoważne.
Przeprowadzenie audytu prawnego: Przed wdrożeniem e-akt należy zlecić specjalistom przeprowadzenie audytu zgodności z przepisami prawa pracy, RODO oraz ustawy o ochronie danych osobowych. Koszt takiego audytu (3 000 - 8 000 PLN) może zapobiec wielokrotnie wyższym sankcjom w przyszłości.
Opracowanie procedur wewnętrznych: Stworzenie szczegółowych instrukcji postępowania z dokumentacją elektroniczną, określających uprawnienia poszczególnych pracowników, zasady tworzenia kopii zapasowych oraz procedury reagowania na incydenty bezpieczeństwa.
Praktyka stosowania przepisów o e-aktach osobowych nie wygenerowała jeszcze znaczącego orzecznictwa sądowego, co świadczy o stosunkowo świeżym charakterze regulacji. Niemniej jednak, Państwowa Inspekcja Pracy wydała szereg wyjaśnień i interpretacji, które warto uwzględnić:
Stanowisko PIP z dnia 15 marca 2020 r. precyzuje, że pracodawca może prowadzić część akt w formie papierowej, a część elektronicznej, pod warunkiem zachowania przejrzystości i jednolitości dla każdego pracownika. Nie dopuszcza się prowadzenia dokumentacji jednego pracownika w formie mieszanej.
Interpretacja Ministerstwa Rodziny i Polityki Społecznej z czerwca 2019 r. wskazuje, że pracodawca zatrudniający poniżej 20 pracowników nie ma obowiązku powoływania Inspektora Ochrony Danych, niemniej jednak odpowiedzialność za zgodność z RODO spoczywa bezpośrednio na pracodawcy.
Prezes UODO w komunikacie z października 2020 r. podkreślił, że stosowanie prostych rozwiązań typu skanowanie dokumentów i przechowywanie ich na niezabezpieczonych serwerach lub dyskach zewnętrznych nie spełnia wymogów prawnych dotyczących ochrony danych osobowych.
Obserwując trendy legislacyjne w Unii Europejskiej, spodziewam się dalszej harmonizacji przepisów dotyczących dokumentacji elektronicznej. Propozycja rozporządzenia eIDAS 2.0 (Electronic Identification, Authentication and Trust Services) wprowadzi europejski portfel tożsamości cyfrowej, co może znacząco uprościć procesy związane z podpisami elektronicznymi.
Równocześnie trwają prace nad kolejnymi zmianami w Kodeksie pracy, które mogą nałożyć na pracodawców obowiązek prowadzenia wyłącznie e-akt dla wszystkich pracowników zatrudnionych po określonej dacie. Taki scenariusz – choć obecnie jest przedmiotem dyskusji – wydaje się realny w perspektywie 3-5 lat.
Małe przedsiębiorstwa powinny już teraz przygotowywać się do ewentualnej zmiany przepisów, budując kompetencje wewnętrzne i infrastrukturę techniczną. Jak pokazują doświadczenia pasjonatów dokumentacji historycznej, właściwe przechowywanie i katalogowanie dokumentów wymaga systematyczności i profesjonalnego podejścia, niezależnie od rodzaju dokumentacji.
Z perspektywy prawnika specjalizującego się w prawie pracy i ochronie danych osobowych, dostrzegam fundamentalną lukę między intencją ustawodawcy a możliwościami małych przedsiębiorstw. Transformacja cyfrowa w obszarze dokumentacji pracowniczej jest procesem nieuniknionym i pożądanym, jednak wymaga znacznie większego wsparcia ze strony państwa.
Małe firmy potrzebują:
Przystępnych cenowo rozwiązań technologicznych certyfikowanych przez odpowiednie organy państwowe
Programów dofinansowania kosztów wdrożenia e-akt z funduszy europejskich lub krajowych
Bezpłatnych szkoleń organizowanych przez ministerstwo lub inspekcję pracy
Jasnych interpretacji prawnych i przykładów dobrych praktyk
Do czasu zapewnienia takiego wsparcia, małe przedsiębiorstwa będą nadal borykać się z wyzwaniami transformacji cyfrowej, balansując między wymogami prawnymi a realnymi możliwościami organizacyjnymi i finansowymi. Moja rekomendacja dla pracodawców jest jednoznaczna: lepiej rozpocząć proces wdrożenia stopniowo i świadomie, niż czekać na przymus prawny lub kontrolę inspektoratu pracy.
Doświadczenie pokazuje, że firmy, które potraktowały wdrożenie e-akt jako inwestycję strategiczną, a nie wymóg administracyjny, osiągnęły znacznie lepsze rezultaty i obecnie czerpią realne korzyści z cyfryzacji dokumentacji pracowniczej. Przyszłość niewątpliwie należy do rozwiązań elektronicznych – pytanie brzmi tylko, czy małe przedsiębiorstwa otrzymają odpowiednie wsparcie w realizacji tej transformacji, czy będą zmuszone radzić sobie samodzielnie z wszystkimi konsekwencjami prawnymi i organizacyjnymi.
W międzyczasie warto obserwować międzynarodowe trendy i dobre praktyki. Dokumentacja z różnych krajów może dostarczyć cennych wskazówek dotyczących efektywnego zarządzania dokumentacją elektroniczną w małych organizacjach.