Nie można żądać od zatrudnionego ujawnienia informacji o przebytych chorobach

Szczegółowe zasady prowadzenia dokumentacji i akt osobowych określa rozporządzenie ministra pracy i polityki socjalnej z 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika.

Pracownicze akta osobowe zawierają dane osobowe, te zaś korzystają z ochrony prawnej, zagwarantowanej konstytucyjnie i szczegółowo uregulowanej w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych (dalej ustawa).

Danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej ( art. 6 ust. 1 ustawy). Przetwarzaniem zaś danych osobowych jest każdego rodzaju operacja wykonana na danych osobowych, taka jak ich zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie (art. 7 pkt 2 ustawy).

Pracodawca gromadzi dane osobowe pracownika, a następnie zarządza nimi i ma możliwość decydowania o ich przetwarzaniu, a tym samym jest administratorem tych danych.

Pracodawca pozyskuje dane osobowe już na etapie rekrutacji pracowników. Poszukiwanie odpowiedniego pracownika i zatrudnianie go wiąże się bowiem z koniecznością pozyskiwania danych osobowych dotyczących tej osoby fizycznej.

Zgodnie z art. 22¹ par. 1 k.p. pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących imię i nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie, przebieg dotychczasowego zatrudnienia.

Z własnej inicjatywy kandydat może przedłożyć inne dokumenty związane z kwalifikacjami czy umiejętnościami, które mogą wpłynąć pozytywnie na decyzję pracodawcy co do zatrudnienia, a także dokumenty, które wpłyną na zakres uprawnień u potencjalnego pracodawcy.

Pracodawca, przechowując pracownicze akta osobowe, jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych ( art. 36 ust. 1 ustawy). Przede wszystkim zobowiązany jest zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Ustawodawca nie podaje, jakie konkretnie obowiązki wynikają z postawionych mu zadań, które ujęte zostały bardzo szeroko: administrator ma zapewnić ochronę przetwarzanych danych osobowych. Swój obowiązek pracodawca ma realizować przez zastosowanie odpowiednich, a więc skutecznych, środków technicznych i organizacyjnych.

W stosunku do różnych danych osobowych zachodzą różne stopnie zagrożenia naruszenia, w związku z czym środki ochrony muszą być dostosowane do konkretnych okoliczności i warunków przetwarzania. Ustawodawca wprowadził ogólną zasadę proporcjonalności, zgodnie z którą środki, jakie należy zastosować, powinny zapewniać ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych.

Podejmując decyzję w sprawie zabezpieczenia danych, pracodawca powinien wziąć pod uwagę w szczególności koszt zainstalowania zabezpieczeń, charakter chronionych danych oraz zagrożeń, jakie wiążą się z ich przetwarzaniem.

Ogólną zasadą wynikającą z ustawy jest zakaz przetwarzania danych wrażliwych, a więc ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Od zasady tej ustawa wprowadza wiele wyjątków.

Zasadniczym, z punktu widzenia pracowniczych danych osobowych, odstępstwem od powyższego zakazu jest upoważnienie do przetwarzania danych związane z zatrudnieniem. Na jego podstawie pracodawca może przetwarzać takie dane wrażliwe, które są mu niezbędne do wykonywania zadań odnoszących się do zatrudnienia.

Przez wykonywanie zadań związanych z zatrudnieniem rozumieć można w niektórych przypadkach nawet zbieranie danych dotyczących stanu zdrowia, jeśli jest to istotne dla zatrudnienia na określonym stanowisku.

Zasadniczo jednak pracodawca nie ma podstaw do domagania się udzielenia mu informacji o stanie zdrowia pracownika, o przebytych chorobach czy prowadzonym aktualnie leczeniu.

Pracodawca zobowiązany jest zapewnić pracownikowi dostęp do jego akt osobowych.

W przypadku gdy dane pracownika są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, pracodawca ma obowiązek uzupełnienia, uaktualnienia, sprostowania danych lub ich usunięcia ze zbioru (art. 35 ust. 1 ustawy).

W razie niedopełnienia przez pracodawcę obowiązku, o którym mowa powyżej, osoba, której dane dotyczą, ma prawo zwrócić się do generalnego inspektora ochrony danych osobowych z wnioskiem o nakazanie dopełnienia tej powinności (art. 35 ust. 2 ustawy), sama nie ma jednakże uprawnień w tym zakresie. Oznacza to, że pracownik nie może samodzielnie usuwać danych ze swoich akt osobowych.

Ze względu na rodzaj wykonywanych obowiązków służbowych prawo wglądu w dokumentację pracowniczą mogą mieć również niektórzy z zatrudnionych w zakładzie pracy pracowników.

W myśl art. 37 ustawy przewidziano, iż do przetwarzania danych mogą być dopuszczone wyłącznie osoby mające upoważnienie nadane przez administratora.

By zyskać dostęp do danych i móc je przetwarzać, pracownicy muszą uzyskać od pracodawcy stosowne upoważnienie.

Upoważnienie muszą mieć wszystkie grupy pracowników, jeśli w ramach swoich zadań służbowych wykorzystują dane osobowe i mają do nich wgląd. Oprócz specjalistów z działu kadr powinni je więc mieć np. menedżerowie zarządzający firmą, kierownicy, informatycy, pełnomocnicy ds. informacji niejawnych, a także inne osoby zajmujące się przetwarzaniem danych osobowych pracowników. Przepisy nie określają jednoznacznie formy udzielenia upoważnienia. Dla celów dowodowych najlepiej jest je sporządzić na piśmie. Artykuł 39 ustawy nakłada dodatkowo na pracodawcę obowiązek stworzenia ewidencji osób, które mają upoważnienia do przetwarzania danych osobowych.

Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

Musi on też prowadzić ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:

● imię i nazwisko osoby upoważnionej,

● datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,

● identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

Pracodawca przeprowadzający rekrutację pracowników przygotował ankietę personalną, zawierającą pytania o wysokość wynagrodzenia w poprzednim miejscu pracy. Jeden z kandydatów stwierdził, iż pracodawca nie ma prawa do żądania informacji o wysokości wynagrodzenia, jakie wcześniej uzyskiwał. Jednakże kandydat do pracy, jeśli uzna, że informacja ta pomoże mu w procesie rekrutacji, polepszy jego sytuację w negocjacjach z potencjalnym pracodawcą, może takiej informacji udzielić. Wówczas pracodawca będzie dane te przetwarzał za zgodą tej osoby.

W styczniu 2010 roku pracodawca nałożył na pracownika karę porządkową, a odpis zawiadomienia o ukaraniu złożył do akt osobowych pracownika. W lipcu 2011 roku pracownik, po przeglądnięciu swoich akt, wystąpił do pracodawcy z żądaniem usunięcia informacji o ukaraniu. Zgodnie bowiem z art. 113 par. 1 k.p., po roku nienagannej pracy, karę uważa się za niebyłą, a odpis zawiadomienia o ukaraniu usuwa z akt osobowych pracownika. Pracodawca nie wypełnił więc swojego obowiązku, a pracownik może żądać usunięcia tych danych.

Małgorzata Kalisz-Pawluk

radca prawny z Kancelarii Schampera, Dubis, Zając i Wspólnicy

Art. 22¹ par. 1, art. 94 pkt 9a, art. 281 pkt 6, pkt 7 ustawy z 26 czerwca 1974 r. - Kodeks pracy (t.j. Dz.U. z 1998 r. nr 21, poz. 94 z późn. zm.).

Art. 6, art. 7, art. 35, art. 37, art. 39 ustawy z 29 sierpnia 1997 o ochronie danych osobowych (t.j. Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm.).

Rozporządzenie ministra pracy i polityki socjalnej z 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika ( Dz. U. nr 62, poz. 286 z późn. zm.).