Gazeta Prawna
Zamów Zaloguj

Logowanie do serwisu

login:

hasło:

Jeśli zapomniałeś hasła Przypomnij hasło

  • Obraz
  • Obraz
  • Poprzednia strona

TEMAT TYGODNIA

Jak chronić dane osobowe

Ustawa o ochronie danych osobowych weszła w życie 30 kwietnia 1998 r. Jednak mimo stosunkowo długiego okresu jej obowiązywania, co roku wzrasta liczba skarg związanych z przetwarzaniem danych osobowych w dziedzinie zatrudnienia. Najczęstszym zarzutem stawianym pracodawcom jest udostępnianie danych osobowych pracowników osobom nieupoważnionym oraz nieprawidłowe zabezpieczanie tych danych.
Ochronę danych osobowych w stosunkach pracy reguluje nie tylko ustawa o ochronie danych osobowych, ale również przepisy kodeksu pracy i ustaw szczególnych, głównie określające zasady składania oświadczeń majątkowych. W konsekwencji ocena prawna przetwarzania danych osobowych jest skomplikowana i należy jej dokonywać nie tylko w świetle przepisów ustawy o ochronie danych osobowych, ale również innych aktów prawnych.
Pracodawca nie może żądać od pracownika (kandydata na pracownika) innych danych osobowych niż wymienione (choćby pośrednio) w art. 221 k.p. Za „żądanie” w rozumieniu tego przepisu uznać należy stawianie określonych pytań oraz stosowanie przez pracodawcę ankiet (kwestionariuszy) wskazujących na konieczność udzielenia określonych danych osobowych, w tym także w formie elektronicznej. Ponadto „żądaniem” w rozumieniu art. 221 k.p. jest wyrażanie przez pracodawcę „życzeń” co do udzielenia określonych danych osobowych. Z uwagi bowiem na sytuację, w jakiej znajduje się osoba ubiegająca się o zatrudnienie (pracownik), takie „życzenia” będą dla niej (niego) równoznaczne z wymaganiem, od spełnienia którego pracodawca uzależnia np. nawiązanie stosunku pracy. Podobnie należy kwalifikować wymagania ustalane np. w ogłoszeniu prasowym.
Zakaz wynikający z art. 221 k.p. nie obejmuje przetwarzania danych osobowych uzyskanych przez podmiot zatrudniający w wyniku przekazania ich z własnej inicjatywy przez pracownika (osobę ubiegającą się o zatrudnienie). Jednak nawet w razie przekazania danych osobowych z własnej inicjatywy pracownika (kandydata na pracownika) stosować należy ustawę o ochronie danych osobowych. W konsekwencji przetwarzanie pewnych danych osobowych może być w jej świetle nielegalne, szczególnie gdy pracodawca zbiera je w zbyt szerokim zakresie.
Ograniczenia żądania, a także przetwarzania przez pracodawcę danych osobowych przekazywanych dobrowolnie przez osobę ubiegającą się o zatrudnienie (pracownika), wynikają również z przepisów kodeksu cywilnego o ochronie dóbr osobistych oraz przepisów kodeksu pracy ustanawiających nakaz równego traktowania w zatrudnieniu.
Ustanowiony w art. 221 k.p. zakaz żądania danych osobowych ma zastosowanie niezależnie od tego, czy pracodawca następnie zamieści te dane w zbiorze ewidencyjnym lub zbiorze danych. Natomiast przepis ten nie reguluje możliwości pozyskiwania informacji o kandydacie na pracownika (pracowniku) od innych podmiotów niż kandydat na pracownika i pracownik, np. żądania danych osobowych pracownika (kandydata) z Krajowego Rejestru Karnego.
Jednak Generalny Inspektor Ochrony Danych Osobowych zakaz wynikający z art. 221 k.p. ujmuje szerzej, wskazując, że przepis ten znajduje zastosowanie także względem agencji doradztwa personalnego (Sprawozdanie GIODO za 2004 rok, s. 171).
Ochrona danych osobowych kandydata na pracownika
Zakres informacji, których przedstawienia pracodawca może żądać od osoby ubiegającej się o zatrudnienie, określają nie tylko przepisy kodeksu pracy i innych ustaw, ale może on również wynikać z postanowień układu zbiorowego.
Zgodnie z art. 221 par. 1 k.p., pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie wyczerpująco wymienionych w tym przepisie danych osobowych, obejmujących:
imię (imiona) i nazwisko,
imiona rodziców,
datę urodzenia,
miejsce zamieszkania (adres do korespondencji),
wykształcenie,
przebieg dotychczasowego zatrudnienia.
Szczególną uwagę należy zwrócić na informacje dotyczące przebiegu dotychczasowego zatrudnienia. Informacje wymienione w art. 221 par. 1 pkt 1-5 k.p. mają bowiem ścisły zakres (najczęściej wyznaczony także przepisami obowiązującego prawa). Natomiast „przebieg dotychczasowego zatrudnienia” to zwrot niedookreślony i wymaga doprecyzowania. „Przebieg” to tyle co „odbywanie się czegoś, rozwijanie się w czasie, rozwój, tok, proces”. W związku z tym można przyjąć, że danymi osobowymi dotyczącymi „przebiegu dotychczasowego zatrudnienia” są wszelkie informacje rzeczowo związane z wykonywaniem poprzednich stosunków pracy, a także wykonywaniem pracy w ramach innych stosunków zatrudnienia, np. cywilnoprawnych.
Inne dane osobowe
Pracodawca może żądać od osoby poszukującej pracy podania innych danych osobowych niż określone w art. 221 par. 1 i 2 k.p., jeżeli obowiązek ich podania wynika z odrębnych przepisów. Przepisami odrębnymi, nakładającymi obowiązek podania danych osobowych mogą być z pewnością przepisy ustaw. Teoretycznie możliwe jest również powołanie się na przepisy rozporządzeń. Jednak ze względu na unormowania konstytucyjne obowiązek ten nie może obejmować danych osobowych objętych sferą życia prywatnego. W konsekwencji możliwość powoływania się na przepisy rozporządzeń jest wykluczona, ponieważ dane osobowe nieobjęte sferą życia prywatnego wskazane zostały wprost w art. 221 par. 1 k.p.
Obowiązek podania danych osobowych przez kandydata na pracownika może wynikać z autonomicznych źródeł prawa pracy, np. układów zbiorowych. Postanowienia takich aktów nakładające na takie osoby obowiązek podania danych osobowych nie mogą być bowiem traktowane jako nieznajdujące zastosowania w myśl art. 9 k.p. Ten przepis kodeksu pracy stosuje się bowiem względem pracowników, a nie osób jeszcze nieposiadających statusu pracownika. W konsekwencji uznać należy, że obowiązek udzielania danych osobowych może być nakładany postanowieniami źródeł autonomicznego prawa pracy, pod warunkiem że są one uzgadniane między pracodawcą (organizacją pracodawców) a związkami zawodowymi (innym przedstawicielstwem pracowniczym). Jednak nie każdy akt autonomicznego prawa pracy może nakładać obowiązek udzielania danych osobowych przez kandydata na pracownika, np. niedopuszczalne byłoby nałożenie takiego obowiązku postanowieniem regulaminu pracy. Zgodnie z art. 104 par. 1 k.p., regulamin ustala organizację i porządek w procesie pracy oraz związane z tym prawa i obowiązki pracodawcy i pracowników. Nie może więc nakładać obowiązków niezwiązanych z organizacją i porządkiem w procesie pracy. Obowiązek udzielania danych osobowych może wynikać przede wszystkim z postanowień układów zbiorowych pracy (art. 240 par. 2 k.p.).
Żądanie fotografii
Ze względu na treść art. 221 k.p. pojawia się wątpliwość, czy pracodawca może żądać od kandydata na pracownika złożenia odpowiedniej liczby fotografii. Przepis ten nie wymienia bowiem fotografii. Jednocześnie jednak w myśl par. 1 ust. 1 pkt 1 rozporządzenia ministra pracy i polityki socjalnej z 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (Dz.U. nr 62, poz. 286 ze zm. dalej rozporządzenia w sprawie akt osobowych), pracodawca może żądać od osoby ubiegającej się o zatrudnienie złożenia wypełnionego kwestionariusza osobowego wraz z niezbędną liczbą fotografii. Ten przepis rozporządzenia w sprawie akt osobowych jest niezgodny z art. 221 k.p. Ponadto materia w nim uregulowana wykracza poza zakres upoważnienia zawartego w art. 2981 k.p. Dlatego też powinien zostać wyeliminowany z obrotu prawnego.
Należy jednak pamiętać, że zgodnie z art. 221 k.p. kandydat na pracownika może złożyć zdjęcia z własnej inicjatywy. Ponadto pracodawca będzie mógł żądać złożenia odpowiedniej liczby fotografii po nawiązaniu stosunku pracy, jeżeli będzie miał w tym usprawiedliwiony interes, np. z uwagi na konieczność sporządzenia dla pracownika legitymacji ze zdjęciem umożliwiającej wstęp na teren zakładu pracy.
Informacje o stanie zdrowia
Artykuł 221 par. 1 k.p. nie wskazuje informacji o stanie zdrowia osoby ubiegającej się o zatrudnienie. Natomiast zgodnie z par. 1 ust. 1 pkt 5 rozporządzenia w sprawie akt osobowych, pracodawca może żądać od osoby ubiegającej się o zatrudnienie złożenia orzeczenia lekarskiego stwierdzającego brak przeciwwskazań do pracy na określonym stanowisku.
Jednak jest to sytuacja inna niż w przypadku fotografii. Chociaż art. 221 k.p. nie wymienia wprost informacji o stanie zdrowia, to zgodnie z jego par. 4 pracodawca może żądać podania innych danych osobowych, jeżeli obowiązek ich podania wynika z odrębnych przepisów. Takim przepisem jest art. 229 par. 1 pkt 1 k p. Zgodnie bowiem z art. 229 par. 1 pkt 1 k.p., badaniom wstępnym podlegają osoby przyjmowane do pracy.
Osoba przyjmowana do pracy ma obowiązek poddania się badaniom lekarskim, a więc ciąży na niej również obowiązek przekazania pracodawcy zaświadczenia lekarskiego stwierdzającego brak przeciwwskazań do pracy na określonym stanowisku. Dlatego też pracodawca może żądać danych osobowych zawartych w takim zaświadczeniu.
Dane osobowe zawarte w zaświadczeniu lekarskim stwierdzającym brak przeciwwskazań do pracy na określonym stanowisku są danymi wrażliwymi w rozumieniu art. 27 ust. 1 ustawy o ochronie danych osobowych. Dlatego legalność ich przetwarzania musi być oceniana także w świetle art. 27 ust. 2 pkt 6 ustawy o ochronie danych osobowych. Zgodnie z tym przepisem przetwarzanie danych wrażliwych jest dopuszczalne, jeżeli jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie. Zakres danych osobowych zawartych w zaświadczeniu lekarskim jest jednak określony rozporządzeniem ministra zdrowia i opieki społecznej z 30 maja 1996 r. w sprawie przeprowadzania badań lekarskich pracowników, zakresu profilaktycznej opieki zdrowotnej nad pracownikami oraz orzeczeń lekarskich wydawanych do celów przewidzianych w kodeksie pracy (Dz.U. nr 69, poz. 332 z późn. zm.). Dlatego też w obecnym stanie prawnym, pracodawca powinien uzyskać zgodę kandydata na pracownika (pracownika) na przetwarzanie danych osobowych zawartych w zaświadczeniu lekarskim stwierdzającym brak przeciwwskazań do pracy na określonym stanowisku.
Ochrona danych osobowych pracownika
Z nawiązaniem stosunku pracy zwiększa się zakres danych osobowych, których może żądać pracodawca. Ponadto obowiązek udzielania danych osobowych może być elementem treści stosunku pracy, mimo że nie wynika wprost z żadnego przepisu czy postanowienia umowy o pracę.
Pracodawca od zatrudnionej osoby może żądać nie tylko danych osobowych wyraźnie określonych w art. 221 par. 1 k.p. (czyli imienia (imion) i nazwiska, imion rodziców, daty urodzenia, miejsca zamieszkania, adresu do korespondencji, wykształcenia, przebiegu dotychczasowego zatrudnienia) oraz danych osobowych, których obowiązek podania wynika z odrębnych przepisów, ale również innych danych osobowych. W myśl art. 221 par. 2 k.p., pracodawca ma prawo żądać od pracownika podania, niezależnie od ww. danych osobowych, także:
innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy,
numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).
Żądanie innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia jego dzieci jest legalne, tylko gdy podanie takich informacji jest konieczne do skorzystania przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy. Dlatego pracownik może być zobowiązany do udzielenia informacji, np. o zgonie małżonka lub ślubie, jeżeli zamierza korzystać z tzw. urlopu okolicznościowego przysługującego na podstawie przepisów rozporządzenia ministra pracy i polityki socjalnej z dnia 15 maja 1996 r. w sprawie sposobu usprawiedliwiania nieobecności w pracy oraz udzielania pracownikom zwolnień od pracy (Dz.U. nr 60, poz. 281).
Ponadto w myśl art. 221 par. 3 k.p., pracodawca ma prawo żądać udokumentowania danych osobowych. Może żądać, np. przedłożenia odpisu skróconego aktu zgonu w związku z wnioskiem pracownika o udzielenie zwolnienia od pracy z powodu zgonu małżonka. Jednak żądanie udokumentowania danych osobowych nie może uniemożliwiać pracownikowi korzystania z uprawnień przewidzianych w prawie pracy. Dlatego pracodawca nie może uzależniać udzielenia zwolnienia od przedłożenia określonego dokumentu, jeżeli jest on sporządzany przez właściwy organ, np. w trakcie lub po skorzystaniu ze zwolnienia przez pracownika.
RADZIMY
W układzie zbiorowym pracy można określić zakres danych osobowych wymaganych od kandydatów do pracy. Układ zbiorowy pracy nie może jednak legalizować przetwarzania tzw. danych wrażliwych i dlatego do zgodnego z prawem ich przetwarzania zasadniczo konieczne jest uzyskanie zgody kandydata na pracownika. Zgoda nie jest konieczna, jeżeli zakres przetwarzanych danych jest określony w ustawie.
Pracodawca powinien uzyskać pisemną zgodę kandydata na pracownika (pracownika) na przetwarzanie danych osobowych zawartych w zaświadczeniu lekarskim stwierdzającym brak przeciwwskazań do pracy na określonym stanowisku.
Podstawa żądania informacji
Inaczej niż w przypadku kandydata na pracownika, nakładanie obowiązków na pracownika musi być zgodne z art. 9 k.p. Oznacza to, że np. postanowienia układu zbiorowego pracy nakładające na pracownika obowiązek podania danych osobowych nie mogą być dla niego mniej korzystne. Postanowienia tego rodzaju należałoby z reguły oceniać jako mniej korzystne i dlatego nie znajdowałyby one zastosowania względem pracownika.
Jednak obowiązek udzielania danych osobowych może być elementem treści stosunku pracy, mimo że nie wynika wprost z żadnego przepisu czy postanowienia umowy o pracę. Treść stosunku pracy zależy bowiem nie tylko od wyraźnych postanowień umowy o pracę czy przepisów, ale również od zasad współżycia społecznego i ustalonych zwyczajów (art. 56 k.c. oraz art. 354 k.c. w zw. z art. 300 k.p.). W związku z tym legalne może być żądanie udzielenia danych osobowych, których nie wskazuje wyraźnie żaden przepis.
Informacja o karalności
Artykuł 221 k.p. wskazując zakres danych osobowych, których przedstawienia może żądać pracodawca, nie wymienia informacji o karalności pracownika. Niedopuszczalne jest zatem żądanie przedstawienia takiej informacji, jeżeli przepis ustawy szczególnej (np. art. 4 pkt 3 ustawy z dnia 18 grudnia 1998 r. o służbie cywilnej, Dz.U. z 1999 r. nr 49, poz. 483 z późn. zm.) nie ustanawia wymogu niekaralności pracownika.
W myśl art. 221 k.p. zakazane jest więc, co do zasady, żądanie informacji o karalności bezpośrednio od pracownika. Natomiast takie żądanie nie narusza zakazu ustanowionego w art. 221 k.p., jeżeli pracownik zobowiązany jest do podania takich danych osobowych na podstawie odrębnych przepisów (art. 221 par. 4 k.p.). Można uznać, że jest tak również wówczas, gdy z zatrudnieniem na danym stanowisku łączy się powszechne społeczne oczekiwanie niekaralności (np. nauczyciel, kasjer). Od momentu powstania stosunku pracy pracownika obciąża bowiem obowiązek współdziałania z pracodawcą (wierzycielem) przy wykonywaniu zobowiązania (art. 354 k.c. w zw. z art. 300 k.p.). Pracownik powinien więc postępować w sposób odpowiadający celowi społeczno-gospodarczemu zobowiązania oraz zasadom współżycia społecznego. W związku z tym można przyjąć, że gdy z zatrudnieniem na danym stanowisku łączy się powszechne społeczne oczekiwanie niekaralności (np. nauczyciel, kasjer), to pracownik ma obowiązek udzielenia informacji dotyczących niekaralności, a pracodawca może ich żądać, chociaż ustawa nie ustanawia wymogu niekaralności.
Natomiast obowiązek współdziałania nie ciąży na osobie ubiegającej się o zatrudnienie (kandydacie na pracownika), tj. przed nawiązaniem stosunku pracy. Dlatego za niedopuszczalne należy uznać żądanie od takiej osoby informacji o niekaralności, jeżeli ustawa nie wyznacza takiego wymagania, np. przy poszukiwaniu kandydata na stanowisko kasjera.
Jednak nawet gdy żądanie udzielenia przez pracownika danych osobowych jest legalne w świetle art. 221 k.p., to do zalegalizowania ich przetwarzania zgodnie z ustawą o ochronie danych osobowych może być konieczne spełnienie innych warunków. Dotyczy to zwłaszcza tzw. danych wrażliwych, których zamknięty katalog określa art. 27 ust. 1 ustawy o ochronie danych osobowych.
Jeżeli bowiem pracodawca żąda od pracownika podania danych osobowych dotyczących karalności, mimo że ustawa nie zawiera takiego wymogu, nie może powołać się na art. 27 ust. 2 pkt 6 ustawy o ochronie danych osobowych. Przepis ten uchyla zakaz przetwarzania wrażliwych danych osobowych, gdy zezwalają na to przepisy innej ustawy. W omawianym przypadku żadna ustawa nie wymaga od pracownika spełnienia warunku nielaralności, a więc w myśl art. 27 ust. 2 pkt 6 ustawy o ochronie danych osobowych nie jest możliwe zalegalizowanie przetwarzania takich danych osobowych. Dlatego w takiej sytuacji do zgodnego z prawem przetwarzania wrażliwych danych osobowych konieczne jest uzyskanie przez pracodawcę zgody pracownika wyrażonej na piśmie.
Pisemna zgoda pracownika na przetwarzanie danych osobowych dotyczących karalności konieczna jest także, gdy pracownik przekazuje je z własnej inicjatywy, czyli w przypadku nieobjętym zakresem zastosowania art. 221 k.p., a przepisy ustawowe nie ustanawiają wymagania kwalifikacyjnego niekaralności. W razie przetwarzania danych osobowych na podstawie zgody pracownika pracodawca obowiązany jest jeszcze przed jej wyrażeniem spełnić obowiązek powiadomienia wynikający z art. 24 ustawy o ochronie danych osobowych. Jego należyte wykonanie jest bowiem warunkiem skuteczności zgody pracownika na przetwarzanie wrażliwych danych osobowych. Jednak podkreślić należy, że zgoda na przetwarzanie danych o karalności pracownika, wyrażona pomimo braku usprawiedliwionego interesu pracodawcy w przetwarzaniu tych danych, jest nieskuteczna i nie czyni przetwarzania legalnym.
RADZIMY
Do zgodnego z prawem przetwarzania wrażliwych danych osobowych, konieczne jest uzyskanie przez pracodawcę zgody pracownika wyrażonej na piśmie, jeżeli taka możliwość nie wynika wprost z przepisów ustawy.
Pracodawca nie może zbierać wrażliwych danych osobowych z powołaniem się na ustawę o zakładowym funduszu świadczeń socjalnych, jeżeli nie tworzy funduszu i wypłaca tyko świadczenie urlopowe.
Ochrona danych a ZFŚS
Szczególne znaczenie w związku z ochroną danych osobowych odgrywają postanowienia regulaminu zakładowego funduszu świadczeń socjalnych. Zgodnie z art. 8 ust. 1 ustawy z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych (t.j. Dz.U. z 1996 r. nr 70, poz. 335 z późn. zm.), przyznawanie ulgowych usług i świadczeń oraz ustalanie wysokości dopłat z funduszu należy uzależnić od sytuacji życiowej, rodzinnej i materialnej pracownika. Dlatego też pracodawca udzielając świadczeń z zakładowego funduszu świadczeń socjalnych musi pozyskiwać dane osobowe konieczne do ustalenia sytuacji życiowej, rodzinnej i materialnej nie tylko pracownika, ale także członków jego rodziny. Zasady wykonywania tego obowiązku powinny być sprecyzowane w regulaminie funduszu (wyrok SN z 20 sierpnia 2001 r., I PKN 579/00; OSNAPiUS z 2003 r. nr 14, poz. 331).
W regulaminie funduszu świadczeń socjalnych ustalić należy (przynajmniej pośrednio przez wskazanie określonych dokumentów lub kategorii dokumentów) dane osobowe, które pracownik obowiązany jest podać w związku z ubieganiem się o świadczenia. Takie postanowienia uchylają wynikający z art. 221 k.p. zakaz żądania danych osobowych, a ponadto zakaz naruszania (zagrażania) dóbr osobistych pracownika (por. wyrok SN z 8 maja 2002 r., I PKN 267/01, OSNAPiUS z 2004 r. nr 6, poz. 99). Jednocześnie umożliwiają przetwarzanie danych osobowych na podstawie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Dlatego też pracodawca nie musi uzyskiwać zgody na przetwarzanie danych osobowych, które zostały wskazane (przynajmniej przez wyliczenie wymaganych dokumentów) w regulaminie funduszu świadczeń socjalnych.
Jednak postanowienia regulaminu funduszu nie mogą uchylać zakazu przetwarzania wrażliwych danych osobowych, czyli m.in. danych o stanie zdrowia pracownika. Zgodnie z art. 27 ust. 2 pkt 6 ustawy o ochronie danych osobowych, przetwarzanie wrażliwych danych osobowych jest zgodne z prawem, jeżeli jest niezbędne do wykonania zadań administratora danych (pracodawcy) odnoszących się do zatrudnienia pracowników i innych osób. Ponadto zakres przetwarzanych danych musi być określony w ustawie. Regulamin funduszu świadczeń socjalnych nie mieści się w pojęciu „ustawa” występującym w tym przepisie, dlatego określenie w nim zakresu przetwarzanych wrażliwych danych osobowych nie uchyla zakazu ich przetwarzania wynikającego z ustawy o ochronie danych osobowych. W rezultacie należy przyjąć, że pracodawca może przetwarzać wrażliwe dane osobowe (np. o stanie zdrowia) w związku z ubieganiem się przez pracownika o świadczenia socjalne, tylko gdy wyrazi on na to zgodę na piśmie. Uchyli to zakaz przetwarzania wrażliwych danych osobowych (art. 27 ust. 2 pkt 1 ustawy o ochronie danych osobowych).
Natomiast w razie braku zgody pracownika na przetwarzanie wrażliwych danych osobowych, pracodawca może jedynie żądać przedłożenia dokumentów zawierających takie dane osobowe wyłącznie do wglądu (np. recept lekarskich w związku z udzielaniem zapomogi na leki). Takie zachowanie pracodawcy (osoby go reprezentującej) nie jest bowiem przetwarzaniem w rozumieniu ustawy o ochronie danych osobowych. Jednocześnie jest zgodne z art. 221 par. 4 k.p. dopuszczającym żądanie przedstawienia danych osobowych, gdy np. regulamin zakładowego funduszu świadczeń socjalnych zawiera postanowienia pozwalające na określenie danych osobowych, które obowiązany jest podać pracownik w związku z ubieganiem się o świadczenia socjalne. Jednak jakiekolwiek adnotacje pracodawcy dotyczące udzielonej zapomogi, które ujawniałyby informacje o stanie zdrowia (np. udzielono zapomogi w związku z leczeniem onkologicznym), należy kwalifikować jako przetwarzanie wrażliwych danych osobowych.
Natomiast pracodawca nie może zbierać wrażliwych danych osobowych z powołaniem się na ustawę o zakładowym funduszu świadczeń socjalnych, jeżeli nie tworzy takiego fundusz i wypłaca jedynie świadczenie urlopowe. Ustalając wysokość świadczenia urlopowego, pracodawca uwzględnia bowiem inne kryteria niż ww. kryteria socjalne (art. 3 ust. 4 ustawy o zakładowym funduszu świadczeń socjalnych).
SŁOWNICZEK
WRAŻLIWE DANE OSOBOWE dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym (art. 27 ust. 1 ustawy o ochronie danych osobowych).
Odpowiedzialność pracodawcy
Pracodawca, który nieprawidłowo gromadzi i przetwarza dane osobowe swoich pracowników i osób ubiegajacych się o zatrudnienie, naraża się na odpowiedzialność cywilną i karną. Może również zostać zostać zobowiązany przez Generalnego Inspektora Ochrony Danych Osobowych do przywrócenia stanu zgodnego z prawem.
Artykuł 221 k.p. nie reguluje kwestii odpowiedzialności pracodawcy z tytułu naruszenia wynikającego z niego zakazu żądania danych osobowych. Nie oznacza to jednak, że pracodawca nie może ponosić z tego tytułu odpowiedzialności. Pracownik może bowiem dochodzić roszczeń z tytułu naruszenia zakazu ustanowionego art. 221 k.p., jeżeli żądanie pracodawcy narusza jednocześnie inne przepisy w szczególności będą to przepisy kodeksu pracy ustanowiające roszczenia z tytułu naruszenia zakazu dyskryminacji, mobbingu oraz przepisy kodeksu cywilnego dotyczące ochrony dóbr osobistych.
Na podstawie art. 183d k.p. pracownik (kandydat) może dochodzić odszkodowania w wysokości nie niższej niż minimalne wynagrodzenie za pracę w razie naruszenia wobec niego zasady równego traktowania w zatrudnianiu. Wystąpienie z takim roszczeniem jest możliwe, np. gdy pracodawca żądał od osoby ubiegającej się o zatrudnienie informacji dotyczących ciąży.
Nie można także wykluczyć dochodzenia przez pracownika roszczeń przysługujących mu z tytułu zachowań kwalifikowanych jako mobbing. Żądanie od pracownika udzielenia danych osobowych może mieć bowiem charakter długotrwały i uporczywy, a w konsekwencji powodujący powstanie roszczeń z tytułu mobbingu, zwłaszcza roszczenia o odszkodowanie przysługującego na podstawie art. 943 par. 4 k.p., gdy pracownik rozwiązał umowę o pracę wskutek mobbingu.
Natomiast na podstawie art. 32 ust. 1 pkt 6 ustawy o ochronie danych osobowych pracownikowi (kandydatowi) przysługuje prawo do żądania:
uzupełnienia,
uaktualnienia,
sprostowania danych osobowych,
czasowego lub stałego wstrzymania przetwarzania danych,
usunięcia danych, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane.
Jeżeli pracodawca odmawia spełnienia któregokolwiek z tych żądań pracownika (kandydata), może się on zwrócić do Generalnego Inspektora Ochrony Danych Osobowych z wnioskiem o nakazanie wykonania tego żądania (art. 35 par. 2 ustawy o ochronie danych osobowych). Warunkiem wszczęcia postępowania przed Generalnego Inspektora Ochrony Danych Osobowych jest skorzystanie przez pracownika (kandydata) z uprawnień przewidzianych w art. 32 ust. 1 pkt 6 ustawy o ochronie danych osobowych. Jeżeli jednak osoba, której dane dotyczą, złoży wniosek bezpośrednio do Generalnego Inspektora Ochrony Danych Osobowych, powinien on przeprowadzić postępowanie kontrolne na podstawie art. 14 ustawy o ochronie danych osobowych i gdy ustali występowanie nieprawidłowości, wszcząć z urzędu postępowanie w sprawie usunięcia stanu niezgodnego z prawem.
Jeżeli Generalny Inspektor stwierdzi naruszenie przepisów o ochronie danych osobowych, z urzędu lub na wniosek osoby zainteresowanej (pracownika lub kandydata na pracownika), w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:
usunięcie uchybień,
uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,
zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
wstrzymanie przekazywania danych osobowych do państwa trzeciego,
zabezpieczenie danych lub przekazanie ich innym podmiotom,
usunięcie danych osobowych.
W myśl art. 18 ust. 3 ustawy o ochronie danych osobowych, jeżeli przepisy innych ustaw regulują odrębnie wykonywanie tych czynności, stosuje się przepisy tych ustaw. Dlatego też Generalny Inspektor nie wydaje decyzji administracyjnych, gdy zagadnienie przetwarzania danych osobowych jest regulowane przepisami prawa pracy, np. pracownik nie może żądać sprostowania świadectwa pracy na podstawie ustawy o ochronie danych osobowych, gdyż sprostowanie tego dokumentu reguluje przepis innej ustawy art. 97 par. 21 k.p.
Administrator danych (pracodawca) ponosi także odpowiedzialność karną za naruszenie obowiązków w zakresie przetwarzania danych osobowych. Zgodnie z art. 49 ustawy o ochronie danych osobowych, kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli natomiast ww. czyn dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.
RADZIMY
Pracownik (kandydat na pracownika) od którego pracodawca zażądał ujawnienia danych osobowych ponad zakres wynikający z obowiązujących przepisów lub przetwarza je w nieprawidłowy sposób może:
wystąpić z roszczeniem o odszkodowanie na podstawie art. 183d k.p. lub art. 943 par. 4 k.p.,
zażądać od pracodawcy umieszczenia w zbiorze prawidłowych danych osobowych, czasowego powstrzymania się od ich przetwarzania lub nawet ich usunięcia,
wystąpić do Generalnego Inspektora Ochrony Danych Osobowych z wnioskiem o nakazanie wykonania swojego żądania.
Andrzej Drozd
PODSTAWA PRAWNA
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm.).
Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100, poz. 1024).
Rozporządzenie ministra pracy i polityki socjalnej z 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (Dz.U. nr 62, poz. 286 z późn. zm.).
CZYTELNICY PYTAJĄ
Czy kandydat na pracownika może skłamać
Czy kandydatka pytana w trakcie rozmowy kwalifikacyjnej o to, czy jest w ciąży, może odpowiedzieć niezgodnie z prawdą?
TAK. Odpowiedź na takie pytanie potencjalnego pracodawcy może być niezgodna z prawdą, bowiem pytanie jest bezprawne i z tego powodu kandydatce przysługuje tzw. prawo do kłamstwa.
Pytanie dotyczące ciąży kandydatki do pracy było zgodne z prawem przed przystąpieniem Polski do UE, jeżeli ubiegała się ona o zatrudnienie przy pracy wzbronionej kobietom w ciąży (por. rozporządzenie Rady Ministrów z dnia 10 września 1996 r. w sprawie wykazu prac szczególnie uciążliwych lub szkodliwych dla zdrowia kobiet, Dz.U. nr 114, poz. 545 z późn. zm.). Po 1 maja 2004 r. ocena tego zagadnienia musi być dokonywana z uwzględnieniem prawa wspólnotowego.
W sprawie Mahlburg (C-207/98) ETS uznał, iż art. 2 ust. 2 i 3 dyrektywy Rady nr 76/207/EWG zakazuje odmowy zatrudnienia kobiety ciężarnej z tego powodu, że w okresie ciąży nie może zostać od początku zatrudniona na stanowisku, którego umowa o pracę na czas nieokreślony dotyczy, ze względu na ustawowy zakaz zatrudnienia kobiet w ciąży. Zdaniem ETS ustawowe zakazy zatrudnienia służą ochronie kobiety w okresie ciąży i macierzyństwa i nie mogą utrudniać jej dostępu do zatrudnienia, gdyż to ograniczałoby skuteczność dyrektywy 76/207/EWG. ETS podtrzymał powyższe zapatrywanie również w odniesieniu do umów o pracę na czas określony. W sprawie Tele Danmark (C-109/00) Trybunał uznał zwolnienie pracownicy z tego powodu, że nie poinformowała pracodawcy o ciąży przy zawieraniu umowy o pracę na czas określony, za sprzeczne z prawem wspólnotowym. Zdaniem ETS powyższe zapatrywanie dotyczy sytuacji, w których pracownica wiedziała o ciąży w chwili zawierania umowy, a wykonywanie przez nią pracy nie jest możliwe w znacznym okresie trwania umowy o pracę.
W świetle tych orzeczeń uzasadnione jest stanowisko, że po przystąpieniu Polski do UE pytanie dotyczące ciąży kandydatki jest niezgodne z prawem, tj. art. 183a-183b k.p. interpretowanymi zgodnie z prawem wspólnotowym nawet wtedy, gdy ubiega się ona o zatrudnienie przy pracy wzbronionej kobietom w ciąży.
Czy pracodawca musi chronić dane osobowe
Zatrudniam 14 pracowników. Czy jestem zobowiązany do wprowadzenia zabezpieczeń wynikających z przepisów o ochronie danych osobowych?
TAK. W myśl art. 43 ust. 1 pkt 4 ustawy o ochronie danych osobowych, na pracodawcy występującym w roli administratora danych nie ciąży obowiązek rejestracji zbioru danych osobowych przetwarzanych w związku z zatrudnieniem. Pracodawca nie musi sporządzać i składać zgłoszenia rejestracyjnego, np. akt osobowych. Nie oznacza to, że pracodawca zwolniony jest z obowiązku zabezpieczenia danych osobowych, w tym zawartych w aktach osobowych oraz innej dokumentacji. Artykuł 36 ust. 1 ustawy o ochronie danych osobowych zobowiązuje administratora danych (pracodawcę) do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Administrator danych (pracodawca) nie musi wykorzystywać najnowszego oprogramowania. Jednak niedopuszczalne jest odstąpienie od stosowania środków technicznych i organizacyjnych w celu zabezpieczenia danych osobowych, ze względu na przyczyny natury organizacyjno-finansowej (por. wyrok NSA z 4 marca 2002 r., II SA 3144/01, Monitor Prawniczy z 2002 r. nr 8, s. 340).
Administrator danych zobowiązany jest wdrożyć politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (par. 3 ust. 1 rozporządzenia ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, Dz.U. nr 100, poz. 1024). Przez „wdrożenie” należy rozumieć ich opublikowanie i zapoznanie z dokumentami osób upoważnionych do przetwarzania danych osobowych, zatrudnionych, wolontariuszy, itp., których zachowania mogą mieć wpływ na zabezpieczenie danych osobowych. Celowe jest przekazanie kopii tych dokumentów przynajmniej do wglądu.
W razie stosowania przez pracodawcę programów kadrowo-płacowych czy przekazywania danych z pomocą programu Płatnik, system informatyczny służący do przetwarzania danych osobowych powinien spełniać wszystkie wymogi, o których mowa w rozporządzeniu z dnia 29 kwietnia 2004 r. System informatyczny powinien m.in. zapewniać odnotowanie dla każdej osoby: daty pierwszego wprowadzenia danych do systemu, identyfikatora użytkownika wprowadzającego dane oraz informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy o ochronie danych osobowych, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia.
Ponadto pracodawca ma obowiązek prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych i nadawać im upoważnienia oraz wyznaczyć Administratora Bezpieczeństwa Informacji.
Omówione obowiązki obciążają każdego pracodawcę, niezależnie od liczby zatrudnionych. Pracodawca musi dostosować system informatyczny do wskazanych wymagań, jeżeli wykorzystuje taki system do przetwarzania danych osobowych.
Czy udzielić informacji przez telefon
Pracownik banku zadzwonił do mojego pracodawcy z prośbą o potwierdzenie wysokości moich zarobków w związku z ubieganiem się przeze mnie o kredyt mieszkaniowy. Pracodawca udzielił takich informacji nie informując mnie o tym. Czy działał zgodnie z ustawą o ochronie danych osobowych?
NIE. Przepisy prawa bankowego i ustawy o ochronie danych osobowych nie wskazują wyraźnie telefonicznej formy pozyskiwania informacji o potencjalnym kredytobiorcy od jego pracodawcy. Jednocześnie pracodawca nie ma możliwości jednoznacznego ustalenia tożsamości osoby, która zwraca się telefonicznie z wnioskiem o potwierdzenie faktu zatrudnienia i wysokości wynagrodzenia pracownika. W konsekwencji potwierdzanie informacji zawartych w wydanym przez pracodawcę zaświadczeniu, jeżeli nie ma on możliwości jednoznacznej weryfikacji tożsamości rozmówcy, stanowić będzie naruszenie ciążącego na pracodawcy (występującym w roli administratora danych) obowiązku zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym (art. 36 ust. 1 ustawy o ochronie danych osobowych). Naruszenie tego obowiązku może stanowić jednocześnie naruszenie przepisów karnych ustawy o ochronie danych osobowych. Zgodnie z art. 51 ust. l ustawy o ochronie danych osobowych, kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Przestępstwo to może być również popełnione z winy nieumyślnej i jest wówczas zagrożone grzywną, karą ograniczenia wolności lub pozbawienia wolności do roku.
Dlatego też nawet, gdy pracownik wyrazi zgodę na telefoniczne potwierdzenie danych i jest to niezbędne do zawarcia umowy kredytu, legalność takiego potwierdzania danych zawartych w zaświadczeniu o zatrudnieniu i zarobkach może być kwestionowana. Udzielanie przez pracodawcę danych co do zasady osobowych pracownika bankom i podmiotom je reprezentującym powinno następować zgodnie co do zasady z art. 29 ustawy o ochronie danych osobowych, czyli po złożeniu przez te podmioty pisemnego, umotywowanego wniosku. Wniosek powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie. Ponadto powinien w sposób wiarygodny wskazywać na potrzebę posiadania tych danych, a ich udostępnienie nie może naruszać praw i wolności osoby, której dane dotyczą, tzn. że pracownik powinien zgodzić się na udzielenie danych osobowych wskazanych we wniosku.
AD