Pracodawca nie może przetwarzać dowolnych danych o pracowniku

Prawo internetu i ochrony danych

18 kwietnia 2013

Ten tekst przeczytasz w 93 minuty

Każdy zakład pracy, który zatrudnia choć jedną osobę, przetwarza dane osobowe. Przez zatrudnienie, na potrzeby niniejszego artykułu, należy rozumieć zarówno etat (umowa o pracę, powołanie, mianowanie etc.), jak i współpracę na podstawie umowy cywilnoprawnej (zlecenie, umowa o dzieło). Osobną kategorią będą również pracownicy tymczasowi.

Kwestie związane z przetwarzaniem danych osobowych reguluje przede wszystkim ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (dalej u.o.d.o.), przy czym pojawiają się w niej odnośniki do innych przepisów szczególnych, którymi są m.in. przepisy prawa pracy.

Zgodnie z art. 6 u.o.d.o. przez dane osobowe należy rozumieć wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Podstawa prawna

Generalną podstawę prawną przetwarzania danych osobowych pracowników można znaleźć w art. 22¹ par. 1 i 2 ustawy z 26 czerwca 1974 r. - Kodeks pracy (dalej k.p.), który wskazuje, jakich danych może żądać pracodawca. [ramka]

Warto w tym miejscu wspomnieć, że dane te mogą być przetwarzane przez zatrudniającego bez konieczności uzyskiwania od pracownika zgody, co niestety dość często się zdarza, a jest zbędne i niepotrzebnie wprowadza w błąd. W takich przypadkach przesłanką do ich przetwarzania jest art. 23 ust. 1 pkt 2 u.o.d.o., gdzie mowa jest o przepisie prawa (czyli właśnie kodeksie pracy), który może zezwalać na przetwarzanie danych osobowych lub wręcz je nakazywać.

Należy też odnotować, że art. 22¹ par. 4 k.p. przewiduje odwołanie do innych ustaw, które mogą poszerzyć katalog danych, których pracodawca może żądać od pracownika. Przykładowo wskazać tu można art. 6 ust. 1 pkt 10 ustawy z 24 maja 2000 r. o Krajowym Rejestrze Karnym (t.j. Dz.U. z 2012 r. poz. 654 z późn. zm.), w myśl którego prawo do uzyskania informacji o osobach, których dane osobowe są zgromadzone w rejestrze, przysługuje pracodawcom w zakresie niezbędnym dla zatrudnienia kandydata, co do którego z przepisów ustawy wynika wymóg niekaralności, korzystania z praw publicznych, a także ustalenia uprawnień do zajmowania danego stanowiska (dotyczy to np. niektórych nauczycieli, pracowników ochrony).

Na osobną uwagę zasługuje rozporządzenie ministra pracy i polityki socjalnej z 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (Dz.U. nr 62, poz. 286 z późn. zm.), które w swych załącznikach (wzory kwestionariuszy osobowych - dla kandydata do pracy i dla pracownika) wskazuje szerszy zakres danych niż ten, który wskazano w kodeksie pracy. We wspomnianych wzorach pojawiają się przykładowo takie informacje jak obywatelstwo czy wykształcenie.

Oświadczenie woli

Jeśli mówimy o ochronie danych osobowych pracownika, to bardzo często pojawia się problem, czy możliwe jest skuteczne stosowanie zgody zatrudnionego na przetwarzanie jego danych przez pracodawcę. Zgodnie z art. 7 pkt 5 u.o.d.o. przez zgodę na przetwarzanie danych należy rozumieć oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Nie może ona być domniemana lub dorozumiana z oświadczenia woli o innej treści (np. nie może to być część regulaminu o pracę) i może być odwołana w każdym czasie.

W literaturze prawniczej podkreśla się, że takie oświadczenie woli należy interpretować przez pryzmat przepisów ustawy z 23 kwietnia 1964 r. - Kodeks cywilny (Dz.U. nr 16, poz. 93 z późn. zm., dalej k.c.). A zatem jest to wola osoby dokonującej czynności prawnej, wyrażona przez każde zachowanie się tej osoby, które ujawnia jej wolę w sposób dostateczny. Ustalając znaczenie tego oświadczenia, należy uwzględniać m.in. okoliczności, w których zostało złożone, zasady współżycia społecznego oraz ustalone zwyczaje (zob. wyrok NSA z 19 listopada 2001 r., sygn. akt II SA. 2748/00, Lex nr 78797).

Skoro do interpretowania zgody na przetwarzanie danych stosować będziemy przepisy kodeksu cywilnego, to należy zwrócić uwagę, że istotne mogą być wskazane w nim przesłanki przesądzające o wadach oświadczenia woli, w tym zwłaszcza te, które odnoszą się do braku świadomości albo groźby.

Wydaje się, że największym problemem w odniesieniu do zgody pracownika na przetwarzanie danych osobowych przez pracodawcę jest to, że relacje między nimi oparte są na podległości służbowej, co może przejawiać się przede wszystkim w możliwości formułowania przez pracodawcę poleceń służbowych np. nakaz wypełnienia jakiegoś druku, na którym pojawiają się dane osobowe. To z kolei może prowadzić do sytuacji, w której składający oświadczenie woli działać będzie w okolicznościach, które pozbawiają go możliwości swobodnego wyrażania woli. Czyli zgodnie z przepisami kodeksu cywilnego mielibyśmy tu do czynienia z wadą oświadczenia woli, która mogłaby skutkować nieważnością oświadczenia, a więc nie przedstawiałoby ono dla pracodawcy żadnej wartości dowodowej przy ewentualnym sporze z zatrudnionym albo podczas kontroli ze strony generalnego inspektora ochrony danych osobowych (GIODO).

Więcej od kandydata

Problem zgody w dużej mierze dotyczy kandydatów do pracy, ponieważ osoby takie bez żadnego przymusu i bez zawartego w ogłoszeniu o pracę żądania przekazują potencjalnemu pracodawcy większy zakres danych niż ten, którego zgodnie z przepisami kodeksu pracy może się on domagać. W doktrynie podkreśla się, że w opisanej wyżej sytuacji należałoby - w przypadku dalszego przechowywania takich aplikacji o pracę - usunąć z nich (lub poddać anonimizacji) te dane, które nie mieszczą się w zakresie przedmiotowym art. 22¹ k.p. W tym miejscu chciałbym też przestrzec pracowników działów HR przed dokładaniem CV do teczek osobowych. Zakres dokumentów składających się na teczkę osobową zatrudnionego precyzyjnie wskazany jest we wskazanym wyżej rozporządzeniu. Uwaga ta może mieć istotne znaczenie zwłaszcza w kontekście niedawno zawartego porozumienia w sprawie pomocy przy kontrolach pomiędzy GIODO a Państwową Inspekcją Pracy.

Ostrożnie w sieci

Spośród zagadnień dotyczących ochrony danych osobowych pracowników, które stwarzają najwięcej problemów dla pracodawców, wymienić można następujące:

wprzetwarzanie danych pracowników tymczasowych i współpraca z agencjami pracy tymczasowej,

wpublikowanie danych np. na firmowych stronach internetowych, w ogłoszeniach o zamówienia publiczne etc.,

wudostępnienie danych komornikowi,

wudostępnianie do banku (zaświadczenia o zarobkach etc.),

wmonitoring (monitoring wizyjny, kontrola poczty elektronicznej, sprawdzanie sposobu korzystania z internetu etc.),

wmonitoring wypowiedzi zatrudnionego w internecie.

Część z tych zagadnień została omówiona w , w tym miejscu zaś chciałbym odnieść się do ostatniego punktu, ponieważ temat sprawdzania wypowiedzi pracownika o swoim pracodawcy jest wyjątkowo na czasie. Nie od dziś wiadomo, że internet, a zwłaszcza portale społecznościowe to kopalnia wiedzy dla rekruterów, i można spokojnie zaryzykować stwierdzenie, że jest to jedno z bardziej wartościowych źródeł wiedzy na temat potencjalnego kandydata do pracy. Jak się okazuje, aktywność pracowników w tych portalach również ma znaczenie, ponieważ zdarzają się przypadki, że wpisy obraźliwe o pracodawcy mogą się zakończyć dla tych pierwszych rozwiązaniem umowy o pracę. Świeży przykład z końca marca tego roku to rozwiązanie umowy z pracownikiem działu call center jednego z operatorów telewizji cyfrowej. Pracownik tej firmy, korzystając z portalu Facebook, w jednym z komentarzy odniósł się do trudnej sytuacji swojego pracodawcy w kontekście abonentów, co zostało odebrane jako element braku lojalności w stosunku do firmy, która go zatrudnia. W tym miejscu można przytoczyć opinię dr. Wojciecha Wiewiórowskiego (GIODO), który w jednym z wywiadów wyraźnie podkreślał, że polskie przepisy w zakresie prawa pracy zobowiązują pracowników do dbania o dobro pracodawcy i do zachowania lojalności wobec niego. W innym miejscu wspomniał zaś, że przełożeni powinni określić zasady ujawniania informacji o miejscu pracy, np. w regulaminie pracy, tak by uniknąć wszelkich nieporozumień w omawianym kontekście. Dodam tylko od siebie, że zalecenie to nie ma oparcia w istniejących przepisach, należy zatem potraktować je jako dobrą praktykę, którą warto jednak stosować, ponieważ prędzej czy później zmiany w prawie się pojawią.

Odpowiedzialność karna

Przyjęło się, że odpowiedzialność karną w związku z naruszeniem przepisów u.o.d.o. przypisuje się wyłącznie zarządowi (w przypadku spółek) albo właścicielowi firmy (w przypadku osoby fizycznej prowadzącej działalność gospodarczą). Takie stanowisko często głoszą sami pracownicy. Należy wskazać, że jest ono błędne. Otóż odpowiedzialność karną ponoszą zawsze oznaczone osoby fizyczne, którym może zostać ona przypisana, zgodnie z zasadami prawa karnego materialnego i procesowego. W tej części artykułu chciałbym się skupić na dwóch, moim zdaniem, najważniejszych przepisach karnych, których naruszenie jest wysoce prawdopodobne i które - jak pokazują badania zamieszczone w komentarzu P. Barty i P. Litwińskiego (Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2009) - kończą się wyrokiem skazującym. Przepisy te zostały zamieszczone odpowiednio w art. 51 i 52 u.o.d.o.

Na początek może warto przytoczyć treść art. 51 u.o.d.o. Otóż "Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2". W ust. 2 do tego przepisu dodano, że przestępstwo to może zostać popełnione również nieumyślnie i wówczas sankcja w postaci pozbawienia wolności została skrócona do roku. Wskazane tu przestępstwo może zostać popełnione tak przez osobę administrującą danymi osobowymi (zgodnie z wykładnią Sądu Najwyższego taką osobą będzie ten, kto zarządza, zawiaduje zbiorem danych lub danymi w procesie ich przetwarzania), jak i przez osobę zobowiązaną do ochrony danych osobowych (zdaniem ww. autorów komentarza takimi osobami będą osoby fizyczne przetwarzające dane osobowe na podstawie upoważnienia nadanego przez administratora danych zgodnie z art. 37 u.o.d.o.). Przestępstwo z opisywanego przepisu można popełnić na dwa sposoby - poprzez udostępnienie danych osobowych (np. innemu podmiotowi z grupy kapitałowej) albo poprzez umożliwienie dostępu do nich. Udostępnić dane można np. innemu administratorowi danych (tu: bez spełnienia którejś z przesłanek wskazanych w art. 23 ust. 1 u.o.d.o.). Przestępstwo będzie popełnione także wówczas, gdy nie wystąpiła szkoda po stronie osoby, której dane dotyczą, ani też gdy ten, który nielegalnie otrzymał dane, nie zapoznał się z nimi.

Jeśli chodzi o art. 52, to przewidziana w nim sankcja wygląda następująco: "Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku". Przestępstwo, o którym tu mowa, może zostać popełnione przez każdą osobę, która zarządza, zawiaduje danymi osobowymi w procesie ich przetwarzania. Krótko mówiąc - sankcja ta nie musi dotyczyć wyłącznie administratora danych czy też podmiotu, któremu powierzono dane do przetwarzania w trybie art. 31 u.o.d.o.

Uwaga

Pracownik w każdym czasie może odwołać zgodę na przetwarzanie jego danych osobowych

Na co zezwala kodeks pracy

Można gromadzić i przetwarzać następujące dane:

● imię (imiona) i nazwisko,

● imiona rodziców,

● data urodzenia,

● miejsce zamieszkania (adres do korespondencji),

● wykształcenie,

● przebieg dotychczasowego zatrudnienia,

● nr PESEL,

● inne dane osobowe pracownika, a także imiona i nazwiska oraz daty urodzenia jego dzieci, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez zatrudnionego ze szczególnych uprawnień przewidzianych w prawie pracy.


	Większość z metod nadzoru stosowanych przez pracodawców w celu monitorowania pracowników należy uznać za legalne pod jednym warunkiem. Jest nim poinformowanie pracowników o tym, że taka konkretna forma monitoringu jest stosowana.	Opinia GIODO nie budzi żadnych wątpliwości i w pełni się z nią zgadzam. Jako że temat jest bardzo ciekawy (jego aktualność, a zarazem brak konkretnych przepisów, które by regulowały omawiane zagadnienie), warto zwrócić uwagę na to, co jest powszechnie akceptowalne i nie budzi wątpliwości (także ze strony GIODO): ● Pracownicy powinni być co do zasady uprzednio poinformowani o wprowadzeniu monitoringu przy użyciu kamer oraz powinni znać cel tego działania, a także o istnieniu monitoringu powinny przypominać znaki ostrzegawcze przy wejściu do pomieszczeń monitorowanych. ● Ukryte monitorowanie jest dopuszczalne jedynie wyjątkowo, gdy służy realizacji celu niemożliwego do osiągnięcia przy zastosowaniu innych metod. ● Wykluczone jest co do zasady umieszczanie kamer w single rooms. Pod tym pojęciem można rozumieć np. toalety, szatnie czy pojedyncze biura, w których to pracownicy w sposób naturalny powinni czuć się swobodnie. Incydentalny monitoring w tych pomieszczeniach w przypadku podejrzenia popełniania przestępstwa np. handel narkotykami, molestowanie seksualne, wymaga zaangażowania policji. ● Nie jest dopuszczalny monitoring systematyczny. ● Zapisy nagrań powinny być przechowywane przez okres nie dłuższy niż ściśle wyznaczony celem tego działania.
	Temat ten okazał się na tyle istotny, że wypowiadał się w tej sprawie Sąd Najwyższy. W wyroku z 19 listopada 2003 r. (sygn. akt I PK 590/02, OSNP 2004/20/351) znalazło się stwierdzenie, że najistotniejszym składnikiem zakładu pracy są ludzie, a jego funkcjonowanie wiąże się nierozłącznie z kontaktami zewnętrznymi - z kontrahentami, klientami. Dlatego pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników, zajmujących określone stanowiska. Przeciwne stanowisko prowadzi do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw pracownika. GIODO w pełni przychyla się do tej opinii i wyraźnie podkreśla, że w takich przypadkach nie jest potrzebna zgoda pracownika.	Podzielam opinię zarówno Sądu Najwyższego, jak i GIODO. Mimo wszystko należy jednak dodać pewne zastrzeżenie. Otóż wyrok sądu odnosił się do pracownika zatrudnionego na podstawie umowy o pracę. Jak doskonale wiemy, w obecnie bardzo powszechną formą zatrudnienia jest umowa cywilnoprawna i tutaj wydaje się, że ani wspomniany wcześniej wyrok, ani opinia GIODO nie uwzględniają tego problemu. W moim przekonaniu, jeśli pracodawca chciałby publikować na swojej stronie internetowej dane osobowe osoby współpracującej z nim na podstawie np. umowy-zlecenia, powinien pozyskać wpierw zgodę na takie działania.
	GIODO wyraźnie podkreśla, że na każdym pracodawcy ciąży obowiązek zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.	Poza ogólnymi brak jest jakiegoś praktycznego poradnika, który rozwiałby wszelkie wątpliwości w tym zakresie. Moim zdaniem najlepszym rozwiązaniem jest poniższy mechanizm: ● Każde wydane przez dział HR zaświadczenie o zarobkach/zatrudnieniu powinno posiadać odrębny numer, tak by podczas rozmowy telefonicznej z pracownikiem banku, rola działu HR ograniczała się wyłącznie do potwierdzenia wydania zaświadczenia o numerze X, który to numer podawałby pracownik banku. ● Powinien być prowadzony rejestr wydanych zaświadczeń, by istniała możliwość ich szybkiej weryfikacji. Numery powinny być nadawane zarówno na drukach pracodawcy, jak i na drukach bankowych, które do wypełnienia przedstawiają pracownicy. ● Bardzo często pracownik składa w banku tylko oświadczenie o tym, że pracuje na etat i np. deklaruje swoje zarobki. W takim przypadku dział HR powinien uzyskiwać zgodę od zatrudnionego na udzielanie o nim pewnych informacji (np. możliwości potwierdzenia wynagrodzenia/zatrudnienia) przez telefon w odpowiedzi na zapytanie z banku. Dla celów dowodowych zgoda taka powinna być zbierana w formie pisemnej
	Pracodawca nie może przetwarzać takich danych, ponieważ zgodnie z art. 22 ¹ k.p.) wykraczają one poza zakres informacji wymaganych od pracownika.	Jak wskazano wcześniej, pracodawca nie może przetwarzać dowolnych danych osobowych dotyczących pracownika, a tylko te, na które zezwalają mu przepisy prawa, w szczególności zaś kodeks pracy. Problemem może być zalegalizowanie przetwarzania wykraczających poza dopuszczalny zakres danych poprzez zebranie zgód od pracowników, ponieważ możemy mieć wówczas do czynienia z wadą oświadczenia woli. Moim zdaniem są też takie sytuacje, gdzie zebranie zgody nie powinno budzić wątpliwości. Można tu zaliczyć m.in. następujące przypadki: ● Udostępnienie danych do firmy szkoleniowej w celu wzięcia udziału przez pracownika w organizowanym przez taką firmę szkoleniu. ● Udostępnienie danych pracownika w celu uzyskania dla niego karnetu na zajęcia sportowe (jeżeli zdecyduje się on skorzystać z takiego benefitu zapewnianego przez pracodawcę). ● Udostępnienie danych w celu uzyskania dla zatrudnionego karnetu prywatnej opieki medycznej (analogicznie jak sytuacja opisana powyżej). ● Zgoda pracownika na potwierdzenie przez pracodawcę jego danych o zatrudnieniu w przypadku zapytania z banku (ustalenie zdolności kredytowej pracownika). Jednak wątpliwa wydaje się sytuacja, w której pracownik na podstawie zgody daje możliwość przetwarzania przez pracodawcę jego prywatny numer telefonu (nie przewidują tego ani przepisy kodeksu pracy, ani podanego wcześniej rozporządzenia).
	Na mocy art. 43 ust. 1 pkt 4 u.o.d.o. z obowiązku zgłoszenia zbioru danych do rejestracji zwolnieni zostali m.in. administratorzy danych przetwarzanych w związku z zatrudnieniem u nich. Oznacza to, że zbiór danych pracowników nie wymaga rejestracji w Biurze GIODO. Wyjątek, o którym mowa powyżej, ma zastosowanie również do kandydatów do pracy oraz byłych pracowników, a także członków rodzin, jeśli dane te przetwarzane były w związku z zatrudnieniem u pracodawcy.	Właściwie ciężko dodać coś więcej do stanowiska prezentowanego przez GIODO. Ten aspekt nie budzi w nauce prawa żadnych wątpliwości, dlatego chciałbym podkreślić za GIODO, że taki zbiór nie wymaga zgłoszenia. To, co warto zaakcentować, to konieczność stosowania do danych osobowych pracowników wszystkich innych wymogów ustawy, w tym obowiązek pozyskiwania ich zgodnie z prawem, konieczność ich zabezpieczenia etc. Z praktyki wynika, że brak przymusu rejestracji w GIODO zbioru pracowników często interpretowany jest przez pracodawców jako ogólne wyłączenie przepisów ustawy do tej kategorii danych, co jest oczywistym błędem i nadinterpretacją.
	Z wyjaśnień GIODO wynika wprost, że komornik jest organem egzekucyjnym egzekucji sądowej, ponieważ zgodnie z art. 758 ustawy z 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz.U. nr 43, poz. 296 z późn. zm., dalej k.p.c.) sprawy egzekucyjne należą do właściwości sądów rejonowych i działających przy tych sądach komorników. Zgodnie z art. 759 par. 1 k.p.c. czynności egzekucyjne są wykonywane przez komorników z wyjątkiem tych zastrzeżonych dla sądów. Ponadto GIODO wskazuje, iż organ egzekucyjny może żądać od uczestników postępowania złożenia wyjaśnień oraz zasięgać od organów administracji publicznej, organów wykonujących zadania z zakresu administracji publicznej, organów podatkowych, organów rentowych, banków, spółdzielczych kas oszczędnościowo-kredytowych, przedsiębiorstw maklerskich, organów spółdzielni mieszkaniowych, zarządów wspólnot mieszkaniowych oraz innych podmiotów zarządzających mieszkaniami i lokalami użytkowymi, jak również innych instytucji i osób nieuczestniczących w postępowaniu informacji niezbędnych do prowadzenia egzekucji (art. 761 par. 1 k.p.c.).	Tego typu zapytania bardzo często pojawiają się w rozmowach z pracownikami i odpowiedź może być tylko jedna - jest dokładnie tak, jak wskazuje GIODO. Warto dodać, że pracodawca może zostać ukarany przez komornika grzywną, jeśli nie będzie z nim współpracował, co wynika z art. 761 k.p.c.
	Pracodawca nie ma prawa do tego, żeby przeżyciu takiej technologii rejestrować czas pracy zatrudnionego, w tym sprawdzania jego przyjścia i wyjścia z zakładu pracy, nawet jeśli wyraziłby on na takie postępowanie zgodę. Opinię tę podzielił również sąd administracyjny	To stanowisko koresponduje z moimi wcześniejszymi uwagami odnośnie wad oświadczenia woli w odniesieniu do zgód wyrażanych przez pracowników (patrz: wyjątki wskazane przy zagadnieniu o przetwarzaniu danych dotyczących nazwiska rodowego matki pracownika).
	Na stronie GIODO znaleźć można pytanie dotyczące konieczności zawarcia umowy powierzenia przetwarzania danych osobowych z biurem rachunkowym. W odpowiedzi GIODO w sposób jednoznaczny wskazało, że taka umowa, na podstawie art. 31 u.o.d.o. powinna zostać sporządzona.	Temat wydaje się oczywisty, jednak w praktyce wynika, że biura te cały czas w dużej mierze nie mają świadomości istnienia ustawy. Tym samym w umowach, jakie pracodawcy zawierają z nimi, prawie w ogóle nie ma żadnych zapisów wymaganych przez art. 31 u.o.d.o., czyli: ● Nie ma określonego celu powierzenia przetwarzania danych. ● Brak wskazania zakresu danych, jaki został powierzony do przetwarzania. ● Brak wzmianki na temat zabezpieczenia danych czy choćby oświadczenia o spełnianiu wymogów odnoszących się do tego zagadnienia. W tym miejscu należy podkreślić, że obowiązek zawarcia takiej umowy ciąży na pracodawcy zlecającym obsługę kadrowo-płacową firmie księgowej i to on powinien wystąpić z taką inicjatywą.
	Takie działanie pracodawcy jest dopuszczalne, pod warunkiem że pracownik wyrazi na to zgodę	Kolejny przykład skutecznej zgody, którą pracodawca może odebrać od pracownika. Stanowisko GIODO w pełni koresponduje z przepisami ustawy z 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (t.j. Dz.U. z 2006 r. nr 90, poz. 631 z późn. zm.), gdzie w art. 81, który odnosi się do wizerunku, jest mowa o tym, że jego rozpowszechnianie wymaga zezwolenia osoby na nim przedstawionej. Moim zdaniem analogiczna zgoda będzie potrzebna, jeśli pracodawca chciałby zamieścić zdjęcie pracownika na firmowej stronie www czy w intranecie.
	Co do zasady administratorem danych dla pracownika tymczasowego jest agencja pracy tymczasowej. Pracodawca, który korzysta z pracowników tymczasowych, będzie występował tu jako procesor, czyli podmiot, któremu agencja pracy tymczasowej powierzyła przetwarzanie danych osobowych w trybie art. 31 u.o.d.o.	Temat w zasadzie nie budzi żadnych wątpliwości. Oczywiście można sobie wyobrazić sytuację, w której pracodawca jako podmiot, który podpisał umowę z agencją pracy tymczasowej na korzystanie z pracowników tymczasowych, w jakimś zakresie i w stosunku do jakiś danych może pełnić funkcję administratora danych, np. w odniesieniu do danych z ewidencji czasu pracy.
	GIODO stoi na stanowisku, że nie ma wątpliwości, iż taki obowiązek ciąży również na pracodawcy.	Zgodnie z brzmieniem art. 24 ust. 1 u.o.d.o. na obowiązek informacyjny składają się następujące elementy: ● adres siedziby i pełna nazwa administratora danych, a w przypadku gdy administratorem danych jest osoba fizyczna - miejsce jego zamieszkania oraz imię i nazwisko, ● cel zbierania danych, a także (w szczególności) informacje o przewidywanych odbiorcach lub kategoriach odbiorców danych, ● prawo dostępu do treści swoich danych oraz ich poprawiania, ● dobrowolność albo obowiązek podania danych, a jeżeli taki obowiązek istnieje, to wskazanie jego podstawy prawnej. Pierwszy z ww. elementów jest oczywisty i nie wymaga komentarza. Drugi nakazuje podanie przez administratora danych celu przetwarzania danych. W przypadku kandydata do pracy cel ten moglibyśmy określić np. jako udział w procesie rekrutacyjnym (aktualnym i przyszłych), a w odniesieniu do pracowników można opisać go na co najmniej kilka sposobów np. dopełnienie wymogów zawartych w przepisach prawa pracy i ubezpieczeń społecznych, w celu realizacji umowy o pracę etc. Trzeci element obowiązku informacyjnego jest ważny, ponieważ zawiera informacje umożliwiające skorzystanie z ustawowych uprawnień do kontroli przetwarzania danych przez administratora danych. Uprawnienia te zostały wskazane w art. 32 u.o.d.o. Ostatni z elementów doprecyzowuje, czy podanie danych pracodawcy (potencjalnemu pracodawcy) ma charakter obowiązkowy czy dobrowolny. W tym pierwszym przypadku konieczne jest wskazanie w obowiązku informacyjnym konkretnego przepisu prawa, z którego taki przymus podania danych wynika. Poniżej przykładowy obowiązek informacyjny dla pracownika, który pracodawca może zamieścić np. w umowie o pracę lub kwestionariuszu osobowym: "Administratorem danych osobowych jest XYZ S.A. z siedzibą w Warszawie przy ul. Kwiecistej 10. Dane osobowe zamieszczane w dokumentach kadrowych (umowa o pracę, kwestionariusz osobowy, oświadczenia wynikające z przepisów prawa) przetwarzane są w celu nawiązania stosunku pracy. Pracownik ma prawo dostępu do treści swoich danych oraz możliwość ich poprawiania. Obowiązek podania danych osobowych wynika z art. 22 ¹ kodeksu pracy".

@RY1@i02/2013/076/i02.2013.076.217000600.804.jpg@RY2@

Michał Sztąberek specjalista z zakresu bezpieczeństwa informacji

Michał Sztąberek

specjalista z zakresu bezpieczeństwa informacji

Podstawa prawna

Art. 6, 7 pkt 5 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm.).

Art. 22¹ par. 1 i 2 ustawy z 26 czerwca 1974 r. - Kodeks pracy (t.j. Dz.U. z 1998 r. nr 21, poz. 94 z późn. zm.).

Dziękujemy za przeczytanie artykułu!

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.

Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.

premium komentarze ekspertów

Zgłoś błąd