do góry
Pobieranie danych...

Wideoakademia Sektor Publiczny

drukuj pomniejsz czcionkę pomniejsz czcionkę powiększ czcionkę

Monitor Prawa Pracy i Ubezpieczeń 15-16/2017, data dodania: 18.07.2017

Artykuł aktualny na dzień 23-07-2018

Jakie obowiązki ma pracodawca w zakresie ochrony danych osobowych pracowników

Jeśli pracodawca żąda od pracowników jedynie danych osobowych, których wymagają przepisy, nie potrzebuje zgody tych osób na ich przetwarzanie. Musi natomiast zabezpieczyć je przed uszkodzeniem lub zniszczeniem oraz dostępem osób nieuprawnionych. Jeżeli nie chce samodzielnie wykonywać wszystkich zadań dotyczących ochrony danych osobowych, może powołać administratora bezpieczeństwa informacji.

 

W czasie rekrutacji i zatrudnienia pracodawca przetwarza dane osobowe kandydatów do pracy oraz pracowników. Przetwarzanie danych osobowych polega na ich zbieraniu, utrwalaniu, przechowywaniu, opracowywaniu, zmienianiu, udostępnianiu i usuwaniu. Dlatego pracodawca ma status administratora danych osobowych i musi stosować się do ustawy o ochronie danych osobowych. Administratorem danych osobowych jest bowiem organ, jednostka organizacyjna, podmiot lub osoba prawna i fizyczna decydująca o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 ustawy o ochronie danych osobowych). Definicja danych osobowych jest bardzo szeroka. Są nimi wszelkie informacje zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, tj. takiej, której tożsamość można określić - bez nadmiernych kosztów, czasu i działań - bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ustawy o ochronie danych osobowych).

Zdaniem Generalnego Inspektora Ochrony Danych Osobowych (GIODO), wyrażonym w decyzji z 29 sierpnia 2013 r. (DIS/DEC-884/13/55242):

GIODO

Danymi osobowymi są zarówno takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak i takie, które nie pozwalają na jej natychmiastową identyfikację, ale są, przy pewnym nakładzie kosztów, czasu i działań, wystarczające do jej ustalenia. Daną osobową będzie taka informacja, która pozwała na ustalenie tożsamości danej osoby, bez nadzwyczajnego wysiłku i nakładów, zwłaszcza przy wykorzystaniu łatwo osiągalnych i powszechnie dostępnych źródeł.

Przetwarzanie danych za zgodą lub bez niej

Zasadniczo pracodawca potrzebuje do przetwarzania danych zgody osoby, której one dotyczą (art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych). Taka zgoda jest niezbędna w przypadku kandydatów do pracy w procesie rekrutacji. Jednak nie dotyczy danych, których pracodawca może od nich żądać na podstawie Kodeksu pracy.

Pracodawca nie musi uzyskiwać zgody:

  1. kandydata do pracy - jeśli żąda podania wyłącznie następujących danych: imię (imiona) i nazwisko, imiona rodziców, data urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie oraz przebieg dotychczasowego zatrudnienia (art. 221 § 1 Kodeksu pracy).
  2. pracownika - gdy oprócz danych wymienionych w pkt 1, poprosi o inne dane osobowe pracownika, w tym nr PESEL, a także imiona i nazwiska oraz daty urodzenia jego dzieci, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.

GIODO zastrzega jednak w decyzji z 23 stycznia 2015 r. (DOLiS/DEC 41/15/5125), że:

GIODO

(...) jeśli osoba ubiegająca się o zatrudnienie podaje w dokumentach rekrutacyjnych więcej informacji, niż wynika to z wymienionych przepisów prawa, wówczas podstawą prawną do ich przetwarzania przez potencjalnego pracodawcę jest zgoda tej osoby (czyli podstawa prawna art. 23 ust. 1 pkt 1 ustawy). Taka zgoda jest także wymagana, jeśli dane miałyby być przetwarzane nie tylko w celu rekrutacji, ale także np. w celach marketingowych.

UWAGA(!)

Pracownik może w każdej chwili wycofać zgodę na przetwarzanie swoich danych.

Zgoda to oświadczenie woli, z którego ma jasno wynikać, że dana osoba przystała na przetwarzanie swoich danych i w jakim celu. Nie można jej domniemywać ani dorozumiewać z oświadczenia o innej treści (art. 7 pkt 5 ustawy o ochronie danych osobowych). GIODO uważa, że przy jej udzielaniu powinna być zagwarantowana opcjonalność, tj. osoba składająca oświadczenie powinna mieć możliwość wyrażenia zgody na określone działania albo jej niewyrażenia. Taki sam pogląd wyraził Naczelny Sąd Administracyjny w wyroku z 4 kwietnia 2003 r. (II SA 2135/02). Z kolei w wyroku z 25 listopada 2008 r. (I OSK 1743/07) sąd ten uznał, że jeżeli zgoda ma być wyrażona na wymaganym formularzu, formularz musi zawierać dokładne pouczenie o skutkach wyrażenia zgody, a ogólnikowe pouczenie przez odesłanie do ustawy o ochronie danych osobowych, takim pouczeniem nie jest.

Przykład:

Kandydat do pracy oprócz wymaganych przez pracodawcę a wymienionych w Kodeksie pracy danych osobowych, tj. imienia (imion) i nazwiska, imion rodziców, daty urodzenia, miejsca zamieszkania (adres do korespondencji), wykształcenia oraz przebiegu dotychczasowego zatrudnienia, postanowił rozszerzyć swoje CV o dodatkowe informacje związane z jego stanem cywilnym, zainteresowaniami i pasjami. Z tego powodu w dokumencie tym zawarł standardową klauzulę: "Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w CV na potrzeby procesu rekrutacji, zgodnie z ustawą z dnia 29 sierpnia 1997 r. (j.t. Dz.U. z 2016 r. poz. 922)". Takie postępowanie jest prawidłowe. Pracodawca może przetwarzać dodatkowe dane podane przez kandydata do pracy.

Pracodawcy wolno przetwarzać dane osobowe pracowników i współpracowników bez ich zgody, gdy jest to niezbędne:

  • dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
  • do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
  • do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
  • dla wypełnienia prawnie usprawiedliwionych celów (zwłaszcza marketing bezpośredni własnych produktów lub usług pracodawcy oraz dochodzenie roszczeń tytułu prowadzonej działalności gospodarczej) realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 2-5 ustawy o ochronie danych osobowych).

W decyzji z 5 lutego 2002 r. (GI-DEC-DS-23/02) GIODO stwierdził, że "każda z przesłanek wymienionych w art. 23 ust. 1 ustawy ma charakter autonomiczny i niezależny, a spełnienie choćby jednej z nich, daje podstawę do przetwarzania danych osobowych".

Niezbędne informacje dla pracowników i współpracowników

Na pracodawcy jako administratorze danych spoczywają obowiązki informacyjne względem pracowników i współpracowników. Podzielone one zostały na dwie grupy w zależności od sposobu pozyskiwania danych. Inne informacje pracodawca przekazuje, gdy zbiera dane bezpośrednio od osoby, której one dotyczą, a inne - gdy robi to w trybie pośrednim.

Spełnienie obowiązków informacyjnych powinno nastąpić w taki sposób, aby pracownik wiedział, że jego dane są przetwarzane i w jakim celu. Ustawa o ochronie danych osobowych nie precyzuje formy w jakiej należy przekazać te informacje. Dlatego należy uznać, że każda forma jest dopuszczalna: ustna, telefoniczna, elektroniczna, pisemna (klauzula w dokumentach i formularzach). Za nie poinformowanie pracowników lub współpracowników o przysługujących im prawach wynikających z ustawy o ochronie danych osobowych grozi grzywna, kara ograniczenia wolności lub jej pozbawienia do roku (art. 54 ustawy o ochronie danych osobowych).

Administratorzy danych osobowych są zwolnieni z obowiązków informacyjnych, gdy przepis innej ustawy niż ustawa o ochronie danych osobowych zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania oraz jeśli osoba, której dane dotyczą otrzymała wcześniej informacje wymagane tą ustawą.

Rodzaj informacji przekazywanych pracownikom w zakresie danych osobowych

Bezpośredni sposób pozyskiwania danych

Pośredni sposób pozyskiwania danych

Adres siedziby pracodawcy i pełna nazwa, a w przypadku gdy administratorem danych jest osoba fizyczna - miejsce zamieszkania oraz imię i nazwisko

Adres siedziby pracodawcy i pełna nazwa, a w przypadku gdy administratorem danych jest osoba fizyczna - miejsce zamieszkania oraz imię i nazwisko

Cel zbierania danych, a w szczególności znani pracodawcy w czasie udzielania informacji lub przewidywani odbiorcy lub kategorie odbiorców danych

Cel i zakres zbierania danych, a w szczególności informacje o odbiorcach lub kategoriach odbiorców danych

Prawo dostępu pracownika do treści danych oraz ich poprawiania

Źródło danych

Dobrowolność albo obowiązek podania danych, a jeżeli taki obowiązek istnieje wskazanie jego podstawy prawnej

Prawo dostępu pracownika do treści danych oraz ich poprawiania

Prawo wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5 ustawy o ochronie danych osobowych, pisemnego, umotywowanego żądania zaprzestania przetwarzania danych ze względu na szczególną sytuację oraz prawo wniesienia sprzeciwu wobec przetwarzania danych w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5 ustawy o ochronie danych osobowych, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania danych osobowych innemu administratorowi danych osobowych

Zadania podstawowe pracodawcy w zakresie ochrony danych osobowych

Pracodawca jako administrator danych osobowych jest zobligowany do dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Przede wszystkim musi zapewnić, aby dane te były zbierane i przetwarzane zgodnie z prawem i celami, a także przechowywane jedynie tak długo, jak to jest konieczne (art. 26 ust. 1 ustawy o ochronie danych osobowych). Powinien także zastosować środki techniczne i organizacyjne, które zablokują do nich dostęp osobom nieupoważnionym (art. 36 ust. 1 ustawy o ochronie danych osobowych). Poza tym musi mieć pełną kontrolę nad procesem przetwarzania danych, czyli jakie dane zostały zgromadzone, przez kogo zostały wprowadzone do zbioru oraz komu są udostępnianie (art. 38 ustawy o ochronie danych osobowych).

Pracodawca, który nie wykonuje tych podstawowych obowiązków, naraża się na odpowiedzialność karną. Za niewłaściwe zabezpieczenie przetwarzanych danych osobowych (nawet nieumyślne) przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, grozi mu grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku. Natomiast za ich udostępnienie lub umożliwienie dostępu do nich osobom nieupoważnionym grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2 lub roku - gdy pracodawca działał nieumyślnie.

Pracownik zawsze może kontrolować przetwarzanie swoich danych. W związku z tym pracodawca musi mu zapewnić wgląd w jego dokumentację, udzielać wyjaśnień i dokonywać korekty (art. 32-35 ustawy o ochronie danych osobowych).

Upoważnienie do przetwarzania danych osobowych

Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych (art. 37 ustawy o ochronie danych osobowych). Ponieważ nie wprowadzono w tym zakresie żadnych wyjątków, pracodawca musi upoważnić wszystkich pracowników, którzy wykonując pracę wykorzystują dane osobowe. Powinien to uczynić na piśmie. Ta forma nie jest wprawdzie zastrzeżona w wymienionej regulacji, jednak na to wskazuje użyte w niej sformułowanie "posiadające upoważnienie".

Wzór upoważnienia do przetwarzania danych

Zielone Wzgórza sp. z o.o. Wielki Dąb, 17 lipca 2017 r.

ul. Sosnowa 17

09-234 Wielki Dąb

Upoważnienie do przetwarzania danych osobowych

  1. Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. (j.t. Dz.U. z 2016 r. poz. 922) upoważniam Pana Jana Nowaka, zatrudnionego na stanowisku specjalisty ds. kadrowo-księgowych, do przetwarzania danych zawartych w aktach osobowych oraz innych zbiorach firmy Zielone Wzgórza sp. z o.o.

  2. Upoważnienie obejmuje dane osobowe kandydatów do pracy przetwarzane w związku z procesem rekrutacji oraz dane osobowe pracowników i byłych pracowników przetwarzane w związku z ich zatrudnianiem.

  3. Upoważnienie wygasa z chwilą rozwiązania/wygaśnięcia umowy o pracę lub zmiany stanowiska pracy.

  4. W związku z dostępem do danych objętych upoważnieniem obowiązuje zachowanie w tajemnicy przetwarzanych danych osobowych oraz sposobu ich zabezpieczenia.

Adam Kowalski

Prezes zarządu

Justyna Wierzba

prokurent

Obowiązkiem pracodawcy jest ponadto prowadzenie ewidencji osób upoważnionych do przetwarzania danych (art. 39 ustawy o ochronie danych osobowych). Ewidencja ta powinna zawierać imiona i nazwiska wszystkich osób upoważnionych przez administratora do wykorzystywania danych osobowych, daty nadania i ustania oraz zakres upoważnień do przetwarzania danych, a także identyfikatory odnośnie do tych osób, które zostały dopuszczone do przetwarzania danych w systemach informatycznych.

Umowy o przetwarzanie danych z podmiotami zewnętrznymi

Pracodawca może powierzyć przetwarzanie danych innemu podmiotowi, w drodze umowy zawartej na piśmie (art. 31 ust. 1 ustawy o ochronie danych osobowych). W jej treści musi umieścić cel i zakres, w jakich dane mogą być przetwarzane przez podmiot, który przejmuje to zadanie od niego. Na ten obowiązek zwraca też szczególną uwagę GIODO. Jego zdaniem działanie to nie wymaga zgody osoby, której dane dotyczą, ani jej informowania (decyzja z 11 września 2015 r., DIS/DEC-749/15/83430). Nie jest ona konieczna, ponieważ pracodawca, korzystając z uprawnienia ustawowego, przeniósł przetwarzanie danych, czego wymagają od niego zarówno przepisy prawa (pracy, podatkowe, ubezpieczeń społecznych i zdrowotnych), jak i umowy zawarte z pracownikami i współpracownikami, do innego podmiotu. Ponadto w myśl art. 7 pkt 6 ustawy o ochronie danych osobowych podmiot, któremu powierzono przetwarzanie danych osobowych, nie jest traktowany jako odrębny "odbiorca" danych.

Przykład:

Ze względu na program oszczędnościowy pracodawca zdecydował się powierzyć obsługę płacowo-księgową swojej spółki firmie rachunkowo-audytorskiej. Oprócz kontraktu na te usługi podpisał oddzielną umowę o przetwarzanie danych osobowych wszystkich pracowników i współpracowników w celu obliczania ich wynagrodzeń i innych świadczeń pieniężnych oraz ich rozliczania pod względem podatkowo-składkowym, do czego nie potrzebował ich zgód. Pracodawca postąpił prawidłowo, ponieważ umowa o powierzenie danych podmiotowi zewnętrznemu nie może stanowić części innej umowy. Ma być odrębnym dokumentem (decyzja GIODO z 23 lipca 2010 r., DIS/DEC-959/29604/10).

Podmiot podejmujący się przetwarzania danych na podstawie umowy musi zabezpieczyć powierzony mu zbiór danych, bo to on ponosi w tym zakresie odpowiedzialność jak administrator danych (art. 31 ust. 3 ustawy o ochronie danych osobowych). Powinien zatem dbać, aby dane te nie dostały się w ręce osób nieupoważnionych, nie zostały uszkodzone lub zniszczone. Może w ogóle mieć status administratora danych, pod warunkiem że to on decyduje - w świetle postanowień umowy - o środkach i celach przetwarzania danych (decyzja GIODO z 15 lipca 2015 r., DIS/DEC 594/15/62961). Jednak zazwyczaj zachowuje go pracodawca, pozostając odpowiedzialnym za zgodność procesu przetwarzania powierzonych danych z ustawą. Podmiot, któremu dane powierzono, odpowiada natomiast za ich przetwarzanie niezgodne z umową (decyzja GIODO z 1 grudnia 2014 r., DOLiS/DEC 1215/14/102796).

Sąd Apelacyjny w Warszawie w wyroku z 23 września 2015 r. (VI ACa 1357/14) stwierdził, że:

SA

(...) w sytuacji, gdy dochodzi do naruszenia dóbr osobistych osób trzecich, w związku z bezprawnym przetwarzaniem danych, to zarówno administrator jak i podmiot, któremu zlecono przetwarzanie danych opowiadają na zasadach ogólnych, przewidzianych w Kodeksie cywilnym.

Administrator bezpieczeństwa informacji

Pracodawca może powołać administratora bezpieczeństwa informacji - ABI (art. 36a ust. 1 ustawy o ochronie danych osobowych). Dzięki temu zwolni się od konieczności zapewniania, aby były przestrzegane przepisy o ochronie danych osobowych, w szczególności przez:

  • sprawdzanie zgodności przetwarzania danych z przepisami o ich ochronie,
  • nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę danych, a także przestrzeganie zasad w niej określonych,
  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Te obowiązki przechodzą bowiem na ABI. On również musi opracować dla pracodawcy sprawozdanie ze zgodności przetwarzania danych z regulacjami o ich ochronie. Na nim ponadto spoczywa prowadzenie rejestru zbiorów danych przetwarzanych przez pracodawcę.

UWAGA(!)

Dzięki powołaniu ABI pracodawca nie musi zgłaszać zbiorów danych do rejestracji w GIODO.

Funkcję ABI pracodawca może powierzyć osobie, która łącznie spełnia następujące warunki:

1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,

2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,

3) nie była karana za umyślne przestępstwo.

Sprawdzenie, czy kandydat spełnia te warunki, leży po stronie pracodawcy. Pracodawca musi także pamiętać, że ABI musi podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych oraz musi mieć zapewnione środki i organizacyjną odrębność niezbędne do niezależnego wykonywania zadań z zakresu ochrony danych osobowych.

Jeśli pracodawca powoła ABI, musi zgłosić ten fakt w terminie 30 dni, aby GIODO wpisał ABI do rejestru ABI (art. 46b ustawy o ochronie danych osobowych). Zgłoszenia powołania (odwołania) dokonuje przy użyciu wzorów zgłoszeń, które stanowią załączniki do rozporządzenia w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji. Wzoru zgłoszenia powołania można także używać do zgłoszenia zmian w tym rejestrze.

Zakres przetwarzania danych

Podstawą do przetwarzania przez pracodawcę danych osobowych kandydatów do pracy i pracowników są przepisy prawa pracy, w tym Kodeksu pracy, oraz wydane na jego podstawie akty wykonawcze, zwłaszcza rozporządzenie w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (dalej rozporządzenie o dokumentacji pracowniczej). W myśl bowiem § 6 tego rozporządzenia celem prowadzenia akt osobowych pracowników jest gromadzenie dokumentów dotyczących ubiegania się o zatrudnienie, nawiązania stosunku pracy i przebiegu zatrudnienia oraz związanych z ustaniem zatrudnienia. GIODO w decyzji z 8 sierpnia 2014 r. (DOLiS/DEC-789/14/61757) przypomina, że po ustaniu stosunku pracy dalsze przetwarzanie danych osobowych pracownika, zgromadzonych w aktach osobowych, odbywa się w celach archiwalnych na podstawie przepisów ustawy z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (j.t. Dz.U. z 2016 r. poz. 1506).

Przykład:

Pracodawca, sprawdzając dokumentację przedstawioną przez nowo zatrudnionego pracownika w celu ustalenia prawa do nagrody jubileuszowej, zwrócił się do poprzedniego pracodawcy o potwierdzenie faktu zatrudnienia oraz wskazanie przyczyn rozwiązania umowy o pracę. Ten spełnił jego prośbę, co zakwestionował pracownik, powołując się na naruszenie ochrony jego danych osobowych. Nie miał jednak racji. Jeżeli udzielenie wyjaśnień jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych osobowych, w tym przypadku przyznania nagrody jubileuszowej, nie narusza praw ani wolności pracownika (decyzja GIODO z 5 lutego 2013 r., DOLiS/DEC-96/13).

GIODO na swojej stronie internetowej podpowiada pracodawcom, kiedy, jakie i w jakich celach dane pracowników mogą przetwarzać. Uważa, że wolno zamieścić na stronie internetowej firmy dane służbowe pracownika, takie jak jego imię i nazwisko, służbowy adres e-mail czy służbowy numer telefonu, które są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych. Ze względu na to dane te mogą być wykorzystywane przez pracodawcę - także bez zgody osoby, której one dotyczą. Potwierdza to wyrok Sądu Najwyższego z 19 listopada 2003 r. (I PK 590/02, OSNP 2004/20/351), w uzasadnieniu którego sąd stwierdził, że;

SN

(...) najistotniejszym składnikiem zakładu pracy (przedsiębiorstwa) są ludzie, a funkcjonowanie zakładu wiąże się nierozłącznie z kontaktami zewnętrznymi - z kontrahentami, klientami (...). Dlatego pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników, zajmujących określone stanowiska w ramach instytucji. Przeciwne stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw pracownika. (...) Imiona i nazwiska pracowników widnieją na drzwiach w zakładach pracy, umieszcza się je na pieczątkach imiennych, pismach sporządzanych w związku z pracą, prezentuje w informatorach o instytucjach i przedsiębiorstwach, co oznacza, że zgodnie z powszechną praktyką są one zasadniczo jawne.

Jeśli pracodawca chce użyć zdjęcia (wizerunku) pracownika, musi otrzymać jego zgodę.

Zdaniem GIODO zdjęcie nie mieści się w katalogu informacji wskazanych w art. 221 Kodeksu pracy, dlatego wymaga zgody. A dodatkowo jest chronione przepisami Kodeksu cywilnego.

GIODO pozwala na ujawnianie danych osobowych pracownika typu imię i nazwisko czy

funkcja w identyfikatorze, jeśli obowiązek ich noszenia wynika z wewnętrznych uregulowań wydanych przez pracodawcę (np. z regulaminu pracy wydanego na podstawie art. 104 § 1 Kodeksu pracy). W jego opinii pracodawca ma także prawo przetwarzać dane osobowe pracownika w celach związanych z przeprowadzeniem obligatoryjnych badań okresowych mających na celu stwierdzenie, czy zachodzą przeciwwskazania zdrowotne do pracy na zajmowanym przez pracownika stanowisku (decyzja z 22 maja 2012 r., DOLiS/DEC-458/12/31754).

Dane pracownika, których nie wolno przetwarzać w świetle decyzji GIODO i orzecznictwa

Rodzaj danych

Uzasadnienie

Dane dotyczące decyzji

Dane biometryczne, typu: linie papilarne, obraz tęczówki oka czy kod DNA

Takie dane nie są niezbędne do rejestracji czasu pracy. Nawet zgoda pracownika na ich użycie nie legitymizuje ich przetwarzania

Decyzja GIODO z 15 grudnia 2009 r.

(DIS/DEC-1261/46988/09)

Wyrok NSA z 6 września 2011 r. (I OSK 1476/10)

Dane pozyskiwane wskutek monitoringu komputerów, o którym pracownik nie wie

Dane mogą być przetwarzane jedynie wtedy, gdy pracownik wie o monitoringu i się na niego godzi, a sam monitoring jest zgodny z przepisami, w tym o ochronie danych osobowych

Wyrok WSA w Warszawie z 6 czerwca 2012 r. (II SA/Wa 453/12) oraz NSA z 13 lutego 2014 r. (I OSK 2436/12)

Przynależność związkowa

Pozyskiwanie informacji o korzystaniu przez pracownika z obrony związkowej jest dopuszczalne jedynie w toku konsultacji ze związkami zawodowymi w razie zamiaru wypowiedzenia/rozwiązania umowy o pracę z konkretnym pracownikiem

Decyzja GIODO z 15 lutego 2013 r.

(DOLiS/DEC-181/13/10107)

Wyrok SN z 24 czerwca 2013 r. (II PK 341/12)

Przyczyny wypowiedzenia umowy o pracę

Naruszenie zasady poufności i nieudostępniania danych osobom nieupoważnionym

Wyrok SA w Gdańsku z 12 czerwca 2013 r. (III APa 16/13)

Dane byłego pracownika umieszczone w miejscu publicznie dostępnym

Naruszenie zakazu udostępniania danych osobom nieupoważnionym

Decyzja GIODO z 5 lutego 2015 r.

(DOLiS/DEC 76/15/8797)

Kontrola GIODO

Ponieważ to GIODO kontroluje sposób przestrzegania przepisów ustawy o ochronie danych osobowych, pracodawca ma obowiązek umożliwić wykonanie tych czynności przez inspektora. Musi zatem:

  • zapewnić wstęp w godzinach od 6.00 do 22.00, po okazaniu imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych - w celu przeprowadzenia niezbędnych badań lub innych czynności kontrolnych,
  • złożyć pisemne lub ustne wyjaśnienia na żądanie inspektora oraz umożliwić każdej osobie stawienie się na wezwanie inspektora na przesłuchanie w zakresie niezbędnym do ustalenia stanu faktycznego,
  • udostępnić do wglądu wszelkie dokumenty i dane mające bezpośredni związek z przedmiotem kontroli oraz sporządzić ich kopie,
  • ułatwić przeprowadzanie oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych.

Gdyby kontrola wykazała naruszenia, wówczas GIODO wydaje decyzję administracyjną nakazującą przywrócenie stanu zgodnego z prawem. A jeśli w jej trakcie okaże się, że doszło do przestępstwa - składa zawiadomienie o jego popełnieniu do organów ścigania.

Zmiana przepisów

Unia Europejska zmieniła zasady ochrony danych osobowych. Zostały one wprowadzone przez:

  • dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW - obowiązuje od 5 maja 2016 r.,
  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) - obowiązuje od 25 maja 2016 r.

Jednak postanowienia rozporządzenia będą stosowane bezpośrednio we wszystkich państwach członkowskich (także w Polsce) dopiero od 25 maja 2018 r. Natomiast na wdrożenie dyrektywy do przepisów krajowych państwa członkowskie mają również 2 lata od jej wprowadzenia.

Najważniejsze zmiany dla pracodawców, jakie przewiduje rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, polegają na:

- zniesieniu obowiązku rejestracji danych osobowych przez GIODO,

- zmianie statusu i roli ABI,

- rozbudowaniu systemu kar za naruszenie przepisów o ochronie danych osobowych.

Podstawa prawna:

  • art. 6-7, art. 14-15, art. 18, art. 23-25, art. 25-26, art. 31-39, art. 46b, art. 51-52, art. 54 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych - j.t. Dz.U. z 2016 r. poz. 922

  • art. 221, art. 104 § 1 ustawy z 26 czerwca 1974 r. - Kodeks pracy - j.t. Dz.U. z 2016 r. poz. 1666; ost.zm. Dz.U. z 2017 r. poz. 962

  • art. 5 ustawy z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach - j.t. Dz.U. z 2016 r. poz. 1506; ost.zm. Dz.U. z 2017 r. poz. 1086

  • § 1 rozporządzenia Ministra Administracji i Cyfryzacji z 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji - Dz.U. z 2014 r. poz. 1934

  • § 6 rozporządzenia Ministra Pracy i Polityki Socjalnej z 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika - j.t. Dz.U. z 2017 r. poz. 894

Jadwiga Sztabińska,

prawnik specjalizujący się w prawie pracy, w tym z zakresu sfery budżetowej