do góry
Pobieranie danych...

Wideoakademia Sektor Publiczny

drukuj pomniejsz czcionkę pomniejsz czcionkę powiększ czcionkę

Serwis Prawno-Pracowniczy 30/2014, data dodania: 05.08.2014

Artykuł aktualny na dzień 21-09-2017*

*Zmieniła się podstawa prawna ale zmiana nie wpływa na aktualność porady.

Zasady przetwarzania danych osobowych kandydatów do pracy i pracowników

Pracodawca przetwarza dane osobowe pracowników na podstawie art. 221 ustawy z 26 czerwca 1974 r. – Kodeks pracy (j.t. Dz.U. z 1998 r. Nr 21, poz. 94; ost. zm. Dz.U. z 2014 r. poz. 208, dalej: k.p.). Zgodnie z tym przepisem pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:

● imię (imiona) i nazwisko,

● imiona rodziców,

● datę urodzenia,

● miejsce zamieszkania (adres do korespondencji),

● wykształcenie,

● przebieg dotychczasowego zatrudnienia.

Katalog danych osobowych, jakich pracodawca ma prawo żądać od pracownika, jest szerszy i niezależnie od powyższych danych obejmuje on prawo żądania:

● innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy,

● numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).

Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca ma prawo żądać udokumentowania danych osobowych od osób ubiegających się o zatrudnienie i od pracowników.

Pracodawca może żądać podania innych danych osobowych, jeżeli obowiązek ich podania wynika z odrębnych przepisów. Takim przepisem jest np. art. 8 ust. 1 ustawy z 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych (j.t. Dz.U. z 2012 r. poz. 592; ost. zm. Dz.U. z 2013 r. poz. 1645), który pośrednio zezwala na przetwarzanie danych osobowych niezbędnych do ustalenia prawa do świadczeń socjalnych przydzielanych ze środków funduszu (wyrok SN z 8 maja 2002 r., I PKN 267/01, OSNP 2004/6/99, patrz: www.ekspert3.inforlex.pl).

Prawo żądania takich informacji przewidują też niektóre pragmatyki służbowe (np. dotyczące korpusu służby cywilnej).

Za takie odrębne przepisy należy także uznać rozporządzenie Ministra Pracy i Polityki Socjalnej z 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (Dz.U. Nr 62, poz. 286; ost. zm. Dz.U. z 2009 r. Nr 115, poz. 971, dalej: rozporządzenie w sprawie zakresu prowadzenia przez pracodawców dokumentacji pracowniczej), wydane z upoważnienia zawartego w art. 2981 k.p. w zakresie, w jakim przewiduje ono możliwość przetwarzania danych osobowych niewskazanych w art. 221 k.p.

Z przepisów nakładających na pracodawcę obowiązek przetwarzania danych pracownika pośrednio wynika obowiązek ich podania, jeżeli nie zostało wskazane inne źródło ich pozyskania (por. art. 36 ust. 2 ustawy z 13 października 1998 r. o systemie ubezpieczeń społecznych – Dz.U. z 2013 r. poz. 1442; ost. zm. Dz.U. z 2014 r. poz. 598 – dotyczący obowiązku zgłoszenia pracownika do ubezpieczenia społecznego).

Pracodawca może też pozyskiwać dane osobowe pracownika w inny sposób niż przez „żądanie” (realizację obowiązku pracowniczego), np. za zgodą pracownika, nawet z jego inicjatywy. Zawsze jednak podstawa przetwarzania danych musi mieć charakter wyraźny i stosować się winna do niej wykładnia ścieśniająca (wyrok NSA z 29 stycznia 2003 r., II SA 3085/01, niepubl., patrz: www.ekspert3.inforlex.pl).

Na mocy odesłania zawartego w art. 221 § 5 k.p. w zakresie nieuregulowanym w tym przepisie, określającym zakres przedmiotowy danych, jakie mogą być przez pracodawcę przetwarzane w związku z zatrudnieniem, do przetwarzania danych osobowych pracowników przez pracodawców znajdują zastosowanie przepisy ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (j.t. Dz.U. z 2002 r. Nr 101, poz. 926; ost. zm. Dz.U. z 2011 r. Nr 230, poz. 1371, dalej: ustawa o ochronie danych osobowych).

Ustawa o ochronie danych osobowych wprowadza generalny zakaz przetwarzania danych osobowych. Przez pojęcie „przetwarzanie” rozumiane są wszelkie operacje na tych danych, a w szczególności ich udostępnianie. Przewidziane zostały jednak warunki i mechanizmy uchylające ten ogólny zakaz przetwarzania.

Przetwarzanie danych (zwykłych) jest dopuszczalne tylko wtedy, gdy:

● osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

● jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

● jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

● jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

● jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 ustawy o ochronie danych osobowych).

Ustawa o ochronie danych osobowych zakazuje przetwarzania danych szczególnie wrażliwych, tzn. ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym (art. 27 ust. 1 ustawy o ochronie danych osobowych).

Pracodawcy nie wolno przetwarzać danych pracowników szczególnie wrażliwych, np. ujawniających ich poglądy polityczne, stan zdrowia, życie seksualne.

Przetwarzanie powyższych danych jest dopuszczalne, m.in. wówczas, gdy przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie (art. 27 ust. 1 pkt 6 ustawy o ochronie danych osobowych). Jeżeli przyjąć, że z art. 221 k.p. wynika zakaz żądania od pracownika (kandydata na pracownika) innych informacji niż określone w tym przepisie, to należy uznać, że ochrona ustanowiona w nim jest szersza niż w ustawie o ochronie danych osobowych.

Przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje (przeprowadzane także w formie elektronicznej) wykonywane na danych osobowych, takie jak:

● zbieranie,

● utrwalanie,

● przechowywanie,

● opracowywanie,

● zmienianie,

● udostępnianie,

● usuwanie

– art. 7 pkt 2 ustawy o ochronie danych osobowych.

Wśród obowiązków związanych z ochroną danych osobowych należy wskazać w pierwszej kolejności uregulowany w art. 37 ustawy o ochronie danych osobowych obowiązek, zgodnie z którym do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Powinny to być upoważnienia imienne i uwidocznione w dokumencie określanym mianem ewidencji osób upoważnionych do ich przetwarzania (art. 39 ustawy o ochronie danych osobowych).

Ponadto administrator danych osobowych jest zobowiązany zapewnić kontrolę m.in. nad tym, komu są przekazywane te dane (art. 38 ustawy o ochronie danych osobowych).

Pracownicy działów kadr i płac przetwarzający dane osobowe powinni być wyposażeni przez pracodawcę w imienne upoważnienia oraz uwzględnieni w ewidencji osób upoważnionych.

Generalny Inspektor Ochrony Danych Osobowych (GIODO) prezentuje stanowisko, że pracodawca nie ma co do zasady prawa w obecności innych pracowników wręczyć zatrudnionej osobie kary porządkowej lub oświadczenia o rozwiązaniu umowy o pracę (opinia z 23 września 2010 r.). Wyjątek dotyczy sytuacji, w której osoba biorąca udział w tych czynnościach zajmuje się w imieniu pracodawcy sprawami kadrowymi lub jest nią przedstawiciel organizacji związkowej, do której należy pracownik karany lub zwalniany.

W uzasadnieniu wymienionego stanowiska GIODO wskazał, że dokumentacja pracownicza – zgodnie z rozporządzeniem w sprawie zakresu prowadzenia przez pracodawców dokumentacji pracowniczej – jest prowadzona w formie akt osobowych. Zawiera ona m.in. dokumenty dotyczące przebiegu zatrudnienia i związane z jego ustaniem.

Dokumentację taką należy uznać za zbiór danych osobowych, gdyż jest on zestawem posiadającym strukturę danych o charakterze osobowym, dostępnych według określonych kryteriów. A zatem przy przetwarzaniu (czyli np. zbieraniu czy udostępnianiu) należących do tego zbioru danych informacji o pracowniku trzeba stosować zasady określone w przepisach ustawy o ochronie danych osobowych. Zgodnie z nimi przetwarzanie danych jest dopuszczalne m.in. wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę lub zezwala na to szczególny przepis prawa (art. 23 ust. 1 ustawy o ochronie danych osobowych). Każda osoba, która jest dopuszczona do przetwarzania danych osobowych, powinna mieć do tego upoważnienie wydane przez administratora danych (w tym przypadku pracodawcę). Natomiast każdy, kto przetwarza dane osobowe, ma obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą (art. 26 ust. 1 ustawy o ochronie danych osobowych).

Skoro zatem udostępnianie innym pracownikom informacji o karach porządkowych nałożonych na osobę zatrudnioną czy o rozwiązaniu z nią umowy o pracę odbywa się bez zgody tej osoby i nie znajduje uzasadnienia w przepisach prawa, m.in. w żadnym przepisie Kodeksu pracy, to jest działaniem bez podstaw prawnych. Jest naruszeniem prawa do ochrony danych osobowych pracownika oraz może narażać pracodawcę na zarzut naruszenia dóbr osobistych zatrudnionego.

Nieuzasadnione jest więc udostępnienie przedstawicielowi związków zawodowych informacji o przyczynach rozwiązania z pracownikiem umowy o pracę w przypadku, gdy nie jest on zrzeszony w tym związku, a związek ten – pomimo braku przynależności do niego – nie chroni jego praw pracowniczych. Na pracodawcy nie ciążą wówczas wskazane w przepisach prawa pracy obowiązki konsultowania się z organizacją związkową.

Pracodawca nie może udostępniać związkowi zawodowemu informacji o przyczynach rozwiązania umowy o pracę, jeżeli zwalniany pracownik nie jest członkiem związku.

Niezgodne z prawem jest też wręczenie pracownikowi informacji o nałożeniu na niego kary porządkowej w obecności innych pracowników, do których obowiązków nie należy zajmowanie się z upoważnienia pracodawcy sprawami kadrowymi. Osoby obecne w charakterze świadków dokonywania określonych czynności (w tym przypadku wręczenia pisma z informacją o nałożeniu kary porządkowej) nabywają bowiem o nich wiedzę. A zatem nie powinni być to pracownicy, których upoważnienie do przetwarzania danych nie obejmuje dostępu do informacji, których czynności dotyczą.

W orzecznictwie sądowym w sprawie odnoszącej się do wymierzenia kary porządkowej uznano wprawdzie, że zgodne zeznania osób obecnych ze strony pracodawcy przy tej czynności, potwierdzone notatką sporządzoną przez jedną z tych osób, świadczą o prawidłowym zawiadomieniu o nałożeniu kary nagany, mimo że pracownik nie przyjął pisma, o którym wiedział, że zawiera informację o ukaraniu (wyrok SN z 29 czerwca 2000 r., I PKN 716/99, OSNP 2002/1/10, patrz: www.ekspert3.inforlex.pl), ale w podobnych sytuacjach pracodawca powinien pamiętać, że przepisy ustawy o ochronie danych osobowych nakładają na niego jako administratora danych obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, oraz dopuszczenia do przetwarzania danych wyłącznie osób posiadających stosowne upoważnienie (art. 26 ust. 1 i art. 37 ustawy o ochronie danych osobowych).

Możliwości pozyskiwania dodatkowych informacji o pracownikach lub kandydatach do pracy

W praktyce występują często sytuacje, w których pracodawca w celu zapewnienia zatrudnienia czy też utrzymania w zatrudnieniu osoby dającej gwarancję uczciwości i profesjonalizmu będzie zmuszony do pozyskania innych jeszcze danych osobowych niż te, które zostały wymienione w art. 221 k.p., niejednokrotnie nie legitymując się szczególnym przepisem prawa, dającym mu ku temu podstawy, a wyłącznie prawnie usprawiedliwionym celem.

Danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 1 i 2 ustawy o ochronie danych osobowych).

Danymi osobowymi są nie tylko takie dane, które od razu ze względu na swoją specyfikę i treść dają podstawy do bezpośredniego określenia tożsamości konkretnej osoby, ale również takie, które choć bezpośrednio nie wskazują, że mogą pochodzić od tej i tylko tej osoby, to jednak na ich podstawie podanie tożsamości osoby zainteresowanej jest możliwe. Tego rodzaju „pośrednie” dane osobowe zwykle wymagają odpowiednich nakładów i środków, sprzętu, specjalistycznej wiedzy itp., potrzebnych do ustalenia tożsamości osoby, przy czym sam fakt korzystania z różnego rodzaju metod identyfikacji w żaden sposób nie wpływa na ich osobisty walor i nie odbiera im przymiotu danych osobowych, pod jednym warunkiem, że określenie tożsamości osoby nie wymaga nadmiernych nakładów (kosztów, czasu lub działań), co wynika z art. 6 ust. 3 ustawy o ochronie danych osobowych.

Numerami identyfikującymi osobę są:

● numer powszechnego elektronicznego systemu ewidencji ludności (PESEL),

● numer dowodu osobistego czy paszportu.

Z kolei czynnikami określającymi cechy osoby mogą być m.in.:

● elementy tworzące cechy fizjologiczne:

– wygląd zewnętrzny (zaliczany do kategorii cech fizycznych),

– struktura DNA i zapis kodu genetycznego,

– grupa krwi;

● status majątkowy (cechy ekonomiczne);

● cechy zaliczane do umysłowych, kulturowych lub społecznych, np.:

– pochodzenie,

– poglądy polityczne,

– przekonania religijne, wyznaniowe lub filozoficzne,

– przynależność organizacyjna lub związkowa.

Informacje o osobie, aby mogły zostać uznane za dane osobowe, muszą bezpośrednio lub pośrednio ją identyfikować.

Dane biometryczne

Linie papilarne z uwagi na swoją niepowtarzalność stanowią cechę fizyczną osoby, umożliwiającą jej identyfikację i jako takie tworzą szerszą grupę danych biometrycznych, mających walor danych osobowych, w rozumieniu art. 6 ustawy o ochronie danych osobowych (podobnie jest w przypadku wzoru siatkówki oka). Choć bezpośrednio nie wskazują, że mogą pochodzić od tej i tylko tej osoby, to jednak na ich podstawie podanie tożsamości osoby zainteresowanej jest możliwe przy zastosowaniu odpowiedniej metody identyfikacji.

Zdaniem Naczelnego Sądu Administracyjnego (wyrok z 1 grudnia 2009 r., I OSK 249/09, patrz: www.ekspert3.inforlex.pl), wyrażona na prośbę pracodawcy pisemna zgoda pracownika na pobranie i przetworzenie jego danych osobowych (linii papilarnych), narusza prawa pracownika i swobodę wyrażenia przez niego woli. Za tak sformułowanym stanowiskiem przemawia zależność pracownika od pracodawcy. (...) Brak równowagi w relacji pracodawca – pracownik stawia pod znakiem zapytania dobrowolność wyrażenia zgody na pobieranie i przetworzenie danych osobowych (biometrycznych). Uznanie faktu wyrażenia zgody przez pracownika, jako okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 221 k.p., stanowiłoby obejście tego przepisu. Dlatego nie jest dopuszczalne żądanie od pracownika danych biometrycznych.

Informacje o niekaralności

Na podstawie ustawy z 24 maja 2000 r. o Krajowym Rejestrze Karnym (j.t. Dz.U. z 2012 r. poz. 654; ost. zm. Dz.U. z 2012 r. poz. 1514) został utworzony Krajowy Rejestr Karny (KRK). Dane osobowe, wynikające z prowadzonych postępowań karnych, karnych skarbowych, w sprawach o wykroczenia oraz w sprawach nieletnich, zgromadzone zostały w tym rejestrze. Do prowadzenia takiego rejestru powołano podległą Ministrowi Sprawiedliwości państwową jednostkę organizacyjną pod nazwą „Biuro Informacyjne Krajowego Rejestru Karnego”.

W Krajowym Rejestrze Karnym gromadzi się m.in. dane o osobach:

● prawomocnie skazanych za przestępstwa lub przestępstwa skarbowe,

● przeciwko którym prawomocnie warunkowo umorzono postępowanie karne w sprawach o przestępstwa lub przestępstwa skarbowe,

● przeciwko którym prawomocnie umorzono postępowanie karne w sprawach o przestępstwa lub przestępstwa skarbowe na podstawie amnestii,

● będących obywatelami polskimi prawomocnie skazanymi przez sądy państw obcych,

● wobec których prawomocnie orzeczono środki zabezpieczające w sprawach o przestępstwa lub przestępstwa skarbowe,

● prawomocnie skazanych za wykroczenia na karę aresztu,

● poszukiwanych listem gończym,

● tymczasowo aresztowanych.

Poza organami państwowymi, takimi jak np.: Prezydent RP, Marszałek Sejmu, Marszałek Senatu, sądy, prokuratorzy, prawo do uzyskania informacji o osobach, których dane osobowe zostały zgromadzone w KRK, przysługuje m.in. pracodawcom. Mogą oni uzyskiwać informacje wyłącznie w zakresie niezbędnym do zatrudnienia pracownika, co do którego z przepisów ustawy wynika wymóg niekaralności, korzystania z pełni praw publicznych, a także ustalenia uprawnienia do zajmowania określonego stanowiska, wykonywania określonego zawodu lub prowadzenia określonej działalności gospodarczej.

W pozostałych przypadkach, w których brak jest podstawy ustawowej dla wymogu niekaralności pracowników, pracodawca nie może samodzielnie wystąpić do KRK o uzyskanie informacji o pracownikach lub kandydatach do pracy.

Z uwagi jednak na to, że każdemu przysługuje prawo do uzyskania informacji, czy jego dane osobowe zgromadzone są w KRK, a – co za tym idzie – osobie, której dane osobowe znajdują się w zbiorach danych zgromadzonych w KRK, na jej wniosek, udostępnia się informację o treści wszystkich zapisów dotyczących tej osoby. Z powyższego wynika, że o takie informacje mogą wystąpić sami pracownicy (kandydaci).

Jeżeli dane osobowe osoby, której dotyczy zapytanie lub wniosek, nie są zgromadzone w KRK, zapytanie lub wniosek zwraca się wnioskodawcy lub podmiotowi zapytującemu w jego imieniu ze stwierdzeniem, że osoba nie figuruje w rejestrze.

Jeżeli natomiast dane osobowe osoby, której dotyczy zapytanie lub wniosek, są zgromadzone w KRK, informacji o osobie udziela się po uzyskaniu szczegółowych danych z Biura Informacyjnego Krajowego Rejestru Karnego.

W informacji o osobie z KRK, poza danymi personalnymi, zamieszcza się m.in. następujące informacje:

● nazwę organu orzekającego,

● datę wydania oraz uprawomocnienia się orzeczenia,

● sygnaturę akt sprawy,

● kwalifikację prawną czynu zabronionego oraz podstawę prawną orzeczonych kar, środków karnych, środków zabezpieczających, dozoru kuratora, nałożonych obowiązków, warunkowego umorzenia postępowania karnego,

● orzeczone kary, środki karne, środki zabezpieczające, dozór kuratora, obowiązki, warunkowe umorzenie postępowania z podaniem okresu próby.

Należy pamiętać, że pracodawca nie może wprost zażądać tych danych od kandydatów (pracowników).

W wyjątkowych i szczególnie uzasadnionych przypadkach, w których pracownicy będą mogli mieć dostęp np. do kont bankowych kontrahentów, do szczególnie ważnych tajemnic przedsiębiorstwa, których ujawnienie mogłoby dla pracodawcy oznaczać bardzo poważne straty finansowe, pracodawcy wolno akcentować charakter pracy i zakres odpowiedzialności, a osoby aplikujące o zatrudnienie czy też już zatrudnione mogą z własnej inicjatywy dostarczyć stosowne dokumenty potwierdzające ich przydatność na dane stanowisko pracy.

Sąd Najwyższy w wyroku z 5 sierpnia 2008 r. (I PK 37/08, OSNP 2010/1–2/4, patrz: www.ekspert3.inforlex.pl) wykluczył natomiast prawną możliwość wydania pracownikowi polecenia służbowego nakładającego na pracownika obowiązek udzielenia innych informacji (danych osobowych) niewymienionych w art. 221 § 1 i 2 k.p. lub w odrębnych przepisach (art. 221 § 4 k.p.).

Zdaniem Sądu Najwyższego odmowa udzielenia przez pracownika informacji przewidzianych w art. 221 k.p. jest naruszeniem jego obowiązków pracowniczych i – w zależności od okoliczności – uzasadnia zastosowanie sankcji przewidzianych prawem pracy. Dotyczy to jednak tylko sytuacji, gdy pracownik bezzasadnie odmawia podania informacji, mimo że zobowiązuje go do tego ten przepis ustawowy. Nie może więc dla pracownika wywoływać negatywnych konsekwencji jego zachowanie polegające na odmowie udzielenia informacji, których nie wymaga od niego ustawa.

Dane służbowe jako szczególna kategoria danych osobowych

Bardzo często pracodawcy zamieszczają na stronach internetowych nazwiska pracowników, ich stanowiska pracy, służbowe adresy e-mailowe, telefony służbowe i komórkowe. Działania takie nie są zabronione.

W ocenie GIODO informacje o pracowniku, takie jak np. jego imię i nazwisko czy służbowy adres e-mailowy, są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych.

Dane te mogą być wykorzystywane (udostępniane) przez pracodawcę nawet bez zgody pracownika, którego one dotyczą. Wskazuje na to również stanowisko w tej kwestii zawarte w wyroku Sądu Najwyższego z 19 listopada 2003 r. (I PK 590/02, OSNP 2004/20/351, patrz: www.ekspert3.inforlex.pl), że nazwisko i imię jest skierowanym na zewnątrz znakiem rozpoznawczym osoby fizycznej i ujawnienie go w celu jej identyfikacji nie może być zasadniczo uznane za bezprawne, o ile nie łączy się z naruszeniem innego dobra osobistego, np. czci, prywatności lub godności osobistej. Ujawnienie przez pracodawcę nazwiska (imienia) pracownika bez jego zgody nie stanowi bezprawnego naruszenia dobra osobistego, jeżeli jest usprawiedliwione zadaniami i obowiązkami pracodawcy związanymi z prowadzeniem zakładu, jest niezbędne i nie narusza praw oraz wolności pracownika. Sąd Najwyższy w wyroku tym wskazał także, że najistotniejszym składnikiem zakładu pracy (przedsiębiorstwa) są ludzie, a funkcjonowanie zakładu wiąże się nierozłącznie z kontaktami zewnętrznymi – kontrahentami, klientami (...). Dlatego pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników, zajmujących określone stanowiska w ramach instytucji. Przeciwne stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw pracownika. (...) Imiona i nazwiska pracowników widnieją na drzwiach w zakładach pracy, umieszcza się je na pieczątkach imiennych, pismach sporządzanych w związku z pracą, prezentuje w informatorach o instytucjach i przedsiębiorstwach, co oznacza, że zgodnie z powszechną praktyką są one zasadniczo jawne.

Pracodawca nie potrzebuje zgody pracownika na ujawnienie jego imienia i nazwiska czy służbowego e-maila lub telefonu, gdyż są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych.

Kwestia udostępnienia służbowego adresu e-mailowego w związku z pełnionymi funkcjami służbowymi nie może zatem być uznana za naruszenie obowiązujących zasad ochrony danych osobowych zawartych w ustawie.

Udostępnianie danych pracowników podmiotowi zewnętrznemu

W ramach przedsiębiorstw międzynarodowych mających swoje przedstawicielstwa w Polsce wprowadzane są globalne systemy kadrowe, w których zostają uwidocznione dane osobowe wszystkich pracowników danego pracodawcy pracujących na świecie. Taka praktyka jest jak najbardziej dopuszczalna, ale wymaga postępowania zgodnego z ustawą o ochronie danych osobowych.

Ustawa o ochronie danych osobowych nie zawiera szczególnych przepisów regulujących przekazywanie danych osobowych do państw należących do Europejskiego Obszaru Gospodarczego (EOG), a więc Unii Europejskiej, Norwegii i Islandii. Tak więc przekazywanie danych osobowych z Polski do państwa należącego do EOG traktowane jest tak jak przekazywanie danych na terytorium Polski, czyli na zasadach i w formach przewidzianych przez ustawę o ochronie danych osobowych między podmiotami działającymi na obszarze naszego kraju. Podlega więc ogólnym zasadom przetwarzania danych osobowych ustalonych przez ustawę o ochronie danych osobowych.

Przekazywanie danych do państwa trzeciego, nienależącego do EOG, może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych (art. 47 ustawy o ochronie danych osobowych).

Umowa powierzenia przetwarzania danych osobowych

Legalną drogą udostępnienia danych osobowych pracowników jest możliwość zawarcia przez administratora danych osobowych umowy o powierzenie przetwarzania danych osobowych (art. 31 ustawy o ochronie danych osobowych).

Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Mamy wówczas do czynienia ze zleceniem „na zewnątrz” przetwarzania danych, którego przedmiotem nie muszą być wszystkie procedury składające się na pojęcie „przetwarzanie”. Zlecić można np. samo tylko utrwalanie danych i ich przechowywanie w systemie elektronicznym.

Należy pamiętać, że umowa taka powinna być zawarta w każdym przypadku powierzania danych osobowych pracowników do przetwarzania na zewnątrz. Ma to szczególne znaczenie w przypadku tzw. zewnętrznej obsługi kadrowo-płacowej.

Umowa o przetwarzanie danych osobowych powinna określać co najmniej zakres i cel przetwarzania danych osobowych. Przetwarzający (podmiot zewnętrzny) jest zobowiązany przed rozpoczęciem przetwarzania danych osobowych podjąć środki zabezpieczające zbiór danych.

Pracodawca przekazujący innemu podmiotowi dane osobowe pracowników do przetwarzania powinien zawrzeć z nim umowę o powierzenie przetwarzania danych osobowych.

Mając na względzie zakres obowiązków wynikających z powyższych przepisów, można wyznaczyć następujący katalog obowiązków przetwarzającego w związku z powierzeniem przetwarzania danych osobowych. Przetwarzający zobowiązany jest do:

● stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzania danych osobowych odpowiednią do zagrożeń oraz kategorii danych będących przedmiotem przetwarzania,

● sporządzenia dokumentacji opisującej sposób przetwarzania danych oraz środki zabezpieczające,

● wyznaczenia administratora bezpieczeństwa informacji nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności.

W zakresie przestrzegania przepisów dotyczących zabezpieczenia zbiorów danych odpowiedzialność przetwarzającego jest taka sama jak administratora danych osobowych. Zakres odpowiedzialności administratora danych i przetwarzającego w zakresie zabezpieczenia zbiorów danych został zrównany.

Udostępnianie danych osobowych odbiorcy w państwie trzecim

W przypadku przekazywania danych osobowych do państwa trzeciego, nienależącego do EOG, należy wypełnić obowiązki nałożone przepisami rozdziału 7 ustawy o ochronie danych osobowych.

Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych (art. 47 ustawy o ochronie danych osobowych).

Administrator danych może przekazać dane osobowe do państwa trzeciego, jeżeli:

● osoba, której dane dotyczą, udzieliła na to zgody na piśmie,

● przekazanie jest niezbędne do wykonania umowy między administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie,

● przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem,

● przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych,

● przekazanie jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą,

● dane są ogólnie dostępne.

Jeżeli jednak żadna ze wskazanych przesłanek nie jest lub ze względów techniczno-organizacyjnych nie może zostać spełniona, przekazanie danych może mieć miejsce tylko po uzyskaniu zgody GIODO, pod warunkiem że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą (art. 48 ustawy o ochronie danych osobowych).

Przekazanie danych osobowych do państwa trzeciego, które nie zapewnia odpowiednich gwarancji ochrony danych osobowych, jest możliwe tylko za zgodą GIODO.

Zgoda GIODO nie legalizuje wcześniejszego przekazywania danych osobowych. GIODO, rozpatrując wniosek o wyrażenie zgody na przekazywanie danych, musi ocenić, czy administrator danych zapewnia odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.

DOMINIKA DÖRRE-NOWAK

ALEKSANDER P. KUŹNIAR

PODSTAWA PRAWNA:

● art. 3, art. 13, art. 183a–183d, art. 22, art. 221, art. 231, art. 30, art. 38 § 1, art. 52 § 2 i 3, art. 55, art. 775 § 1, art. 94, art. 943, art. 97 § 11–13, art. 112, art. 128 § 1 i § 3 pkt 2, art. 1519, art. 15112, art. 2373 § 3, art. 24119 § 1, art. 24129 § 1, art. 291, art. 2981, art. 300 ustawy z 26 czerwca 1974 r. – Kodeks pracy (j.t. Dz.U. z 1998 r. Nr 21, poz. 94 ost. zm. Dz.U. z 2014 r. poz. 208),

● art. 6, art. 7, art. 23, art. 26, art. 27, art. 31, art. 36, art. 37, art. 38, art. 39, art. 47, art. 48 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (j.t. Dz.U. z 2002 r. Nr 101, poz. 926; ost. zm. Dz.U. z 2011 r. Nr 230, poz. 1371),

● art. 6, art. 23, art. 24, art. 366, art. 444, art. 445, art. 448, art. 471, art. 742 ustawy z 23 kwietnia 1964 r. – Kodeks cywilny (j.t. Dz.U. z 2014 r. poz. 121),

● art. 189 ustawy z 17 listopada 1964 r. – Kodeks postępowania cywilnego (j.t. Dz.U. z 2014 r. poz. 101; ost. zm. Dz.U. z 2014 r. poz. 945),

● art. 8 ust. 1 ustawy z 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych (j.t. Dz.U. z 2012 r. poz. 592; ost. zm. Dz.U. z 2013 r. poz. 1645),

● art. 36 ust. 2 ustawy z 13 października 1998 r. o systemie ubezpieczeń społecznych (j.t. Dz.U. z 2013 r. poz. 1442; ost. zm. Dz.U. z 2014 r. poz. 598),

● art. 3 ust. 1 i 2 ustawy z 30 października 2002 r. o ubezpieczeniu społecznym z tytułu wypadków przy pracy i chorób zawodowych (j.t. Dz.U. z 2009 r. Nr 167, poz. 1322; ost. zm. Dz.U. z 2012 r. poz. 637),

● art. 1, art. 2, art. 6, art. 7, art. 19 ustawy z 24 maja 2000 r. o Krajowym Rejestrze Karnym (j.t. Dz.U. z 2012 r. poz. 654; ost. zm. Dz.U. z 2012 r. poz. 1514),

● art. 5 ustawy z 10 października 2002 r. o minimalnym wynagrodzeniu za pracę (Dz.U. Nr 200, poz. 1679; ost. zm. Dz.U. z 2005 r. Nr 157, poz. 1314),

● art. 9 , art. 13 pkt 12, art. 17 ust. 1 pkt 1, art. 23 ust. 1, art. 251, art. 26 pkt 3, art. 28, art. 31 ust. 1, art. 33, art. 331, art. 34, art. 35 ust. 1 pkt 2 ustawy z 23 maja 1991 r. o związkach zawodowych (j.t. Dz.U. z 2014 r. poz. 167),

● art. 1 ustawy z 23 maja 1991 r. o rozwiązywaniu sporów zbiorowych (Dz.U. Nr 55, poz. 236; ost. zm. Dz.U. z 2006 r. Nr 104, poz. 711),

● § 1, § 6, § 7, § 8 rozporządzenia Ministra Pracy i Polityki Socjalnej z 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (Dz.U. Nr 62, poz. 286; ost. zm. Dz.U. z 2009 r. Nr 115, poz. 971),

● § 3 pkt 5 rozporządzenia Ministra Pracy i Polityki Socjalnej z 15 maja 1996 r. w sprawie sposobu usprawiedliwiania nieobecności w pracy oraz udzielania pracownikom zwolnień od pracy (Dz.U. Nr 60, poz. 281; ost. zm. Dz.U. z 2013 r. poz. 1359),

● § 4, § 5 rozporządzenia Rady Ministrów z 11 czerwca 1996 r. w sprawie trybu udzielania urlopu bezpłatnego i zwolnień od pracy pracownikom pełniącym z wyboru funkcje w związkach zawodowych oraz zakresu uprawnień przysługujących pracownikom w czasie urlopu bezpłatnego i zwolnień od pracy (Dz.U. Nr 71, poz. 336),

● § 2 ust. 2 rozporządzenia Ministra Pracy i Polityki Socjalnej z 15 maja 1996 r. w sprawie szczegółowej treści świadectwa pracy oraz sposobu i trybu jego wydawania i prostowania (Dz.U. Nr 60, poz. 282; ost. zm. Dz.U. z 2011 r. Nr 251, poz. 1509).

 

SPIS TREŚCI

  • NIETYPOWE SYTUACJE W PRAWIE PRACY – PRZEWODNIK
  • Nietypowe sytuacje w prawie pracy – przewodnik
  • Zasady przetwarzania danych osobowych kandydatów do pracy i pracowników
  • Mobbing i jego skutki
  • Odszkodowanie za naruszenie zasady równego traktowania w zatrudnieniu
  • Rozliczanie czasu pracy
  • Pracodawca a zakładowa organizacja związkowa – wybrane prawa i obowiązki
  • Wydawanie świadectw pracy
  • Orzecznictwo sądowe