Niezabezpieczone e-maile z danymi płacowymi również w Polsce

@RY1@i02/2016/210/i02.2016.210.18300120b.801.jpg@RY2@

Urszula Mirowska-Łoskot urszula.mirowska@infor.pl

Przedsiębiorstwa międzynarodowe niedostatecznie zabezpieczają dane dotyczące płac. Prawie połowa (49 proc.) przyznaje, że do przesyłania wiadomości związanych z danymi płacowymi nadal wykorzystuje pocztę elektroniczną, czyli kanał komunikacji niepewny pod względem zabezpieczeń. Liczba ta wzrasta do prawie dwóch trzecich (61 proc.) w przypadku przedsiębiorstw działających w sześciu lub więcej krajach. Ponadto prawie jedna czwarta (23 proc.) nie modyfikuje swoich procedur komunikacji na potrzeby bezpieczeństwa.

To opublikowane przez Bloomberg BNA wyniki badania Global Payroll Management Survey 2016, przeprowadzonego na zlecenie TMF Group na 165 międzynarodowych przedsiębiorstwach. Jego celem było ustalenie, jak globalne firmy są przygotowane do zarządzania obsługą płacową i jakie procedury stosują, aby ułatwić przepływ poufnych danych.

A jak jest w Polsce? Okazuje się, że podobnie.

- Przesyłanie danych dotyczących wynagrodzeń w niezabezpieczonych plikach jest powszechne - mówi Konrad Gałaj-Emiliańczyk z ODO24, firmy, która zajmuje się ochroną danych osobowych. - Bardzo wielu przedsiębiorców korzysta chociażby z podmiotów zewnętrznych do prowadzenia rozliczeń księgowo-kadrowych. Niejednokrotnie przesyła do nich informacje w zwykłym e-mailu, bez żadnych zabezpieczeń. A to stwarza ryzyko, że dane trafią w niepowołane ręce - wyjaśnia.

Ekspert dodaje, że firmy nie mają w zwyczaju zabezpieczać tych plików, a czasem świadomie z tego rezygnują, bo wprowadzenie dodatkowej procedury utrudnia im życie i jest kosztochłonne.

Uchybienia ze strony pracodawców zdarzają się jednak nie tylko na polu stosowania odpowiednich zabezpieczeń w komunikacji elektronicznej.

- Pracodawcy bardzo często nie zapewniają w dostatecznym stopniu zachowania w tajemnicy wynagrodzeń swoich podwładnych - wskazuje Michał Szuszczyński, radca prawny specjalizujący się w zagadnieniach prawa pracy z Szuszczyński Kancelaria Prawa Pracy.

Dr Magdalena Kuba z Katedry Prawa Pracy Akademii Leona Koźmińskiego w Warszawie zwraca przy tym uwagę, że w praktyce pracodawcy nie zawsze zapewniają wystarczające środki bezpieczeństwa dla ochrony tych danych płacowych, co wynika m.in. z braku wyraźnych uregulowań poświęconych ochronie informacji dotyczących wynagrodzeń za pracę na gruncie prawa pracy.

- Bywają one przykładowo przedmiotem obrotu, także elektronicznego, pomiędzy przedsiębiorstwami należącymi do wspólnej grupy kapitałowej. Tymczasem pracownik nie ma świadomości, że pracodawca ujawnia informacje o wysokości jego wynagrodzenia innym podmiotom. Czasami również takim, które mają siedzibę na terenie innego kraju. Udostępnianie takich danych bez wiedzy pracownika należy uznać na niedopuszczalne, z wyjątkiem sytuacji, w której z wnioskiem o ich ujawnienie zwraca się podmiot upoważniony na podstawie wyraźnej podstawy prawnej, np. komornik prowadzący egzekucję z wynagrodzenia za pracę - wskazuje dr Magdalena Kuba. I dodaje, że zdarza się również, iż informacje o wynagrodzeniach stają się przedmiotem nieuprawnionego obrotu wewnętrznego, są udostępniane pracownikom wprawdzie tej samej organizacji, ale nieupoważnionym do przetwarzania takich konkretnie danych.

Aspekty ochrony

Postępowanie z informacjami o wynagrodzeniach pracowników to kwestia wrażliwa i wymagająca szczególnej ostrożności. Dla danych płacowych prawo przewiduje przy tym wielowymiarową ochronę.

Z jednej strony tajemnica wynagrodzenia (prawo do zachowania w tajemnicy informacji o wysokości wynagrodzenia) jest chroniona w prawie prywatnym jako dobro osobiste, które pracodawca ma obowiązek chronić na podstawie ustawy z 26 czerwca 1974 r. - Kodeks pracy, t.j. Dz.U. z 2016 r. poz. 1666 (dalej także: k.p.) i za jego pośrednictwem ustawy z 23 kwietnia 1964 r. - Kodeks cywilny (t.j. Dz.U. z 2016 r. poz. 380 ze zm.; dalej także: k.c.).

Z drugiej strony informacje o płacach są uznawane za dane osobowe i jako takie podlegają ochronie na podstawie prawa publicznego - zarówno przepisów administracyjnych, jak i karnych.

Dane osobowe i dobra osobiste

Michał Szuszczyński przypomina, że w ocenie generalnego inspektora ochrony danych osobowych (GIODO) informacje o wysokości wynagrodzenia mają charakter danych osobowych w rozumieniu ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922), która zobowiązuje administratora danych m.in. do dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą.

Konrad Gałaj-Emiliańczyk zauważa przy tym, że skoro wysokość płac to dane osobowe, to przesyłając je, firmy powinny stosować dodatkowe zabezpieczenia. O tym, jakie metody ochrony powinny być stosowane, mówi rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024).

- Wskazuje ono, że plik z danymi osobowymi, który ma być przesłany e-mailem, wymaga ochrony kryptograficznej, czyli np. powinien być zabezpieczony hasłem - wyjaśnia Konrad Gałaj-Emiliańczyk.

Michał Szuszczyński zaznacza też, że tajemnica wynagrodzenia jest postrzegana w doktrynie prawa głównie jako dobro osobiste pracownika. Zwraca przy tym uwagę na uchwałę siedmiu sędziów Sądu Najwyższego z 16 lipca 1993 r. (sygn. akt I PZP 28/93), w której wskazano, że "ujawnienie przez pracodawcę bez zgody pracownika wysokości jego wynagrodzenia za pracę może stanowić naruszenie dobra osobistego w rozumieniu art. 23 i 24 kodeksu cywilnego". Wskazuje on również, że zgodnie z art. 11¹ k.p. na pracodawcy ciąży obowiązek poszanowania godności i innych dóbr osobistych pracowników. Z uwagi na to zachowanie pracodawcy polegające na ujawnieniu informacji dotyczących wysokości wynagrodzenia danego pracownika można uznać za naruszenie przepisów zarówno kodeksu cywilnego, jak i kodeksu pracy.

Ograniczony dostęp

Eksperci zwracają uwagę, że przedsiębiorcy powinni starać się maksymalnie zawęzić liczbę osób uprawnionych do wglądu do danych płacowych.

- Krąg osób, które mają dostęp do danych payrollowych powinien być ograniczony do osób niezbędnych. Z reguły są to pracownicy działów kadr oraz finansów. Takie osoby powinny mieć specjalne upoważnienie udzielone przez administratora, czyli pracodawcę, a ten ma obowiązek prowadzić ewidencję osób upoważnionych do przetwarzania danych. Każda osoba, która jest upoważniona do przetwarzania danych, ma obowiązek zachować je w poufności - wyjaśnia Katarzyna Sarek, radca prawny z kancelarii Raczkowski Paruch.

I tu też pojawiają się nieprawidłowości. - Z naszych doświadczeń wynika, że czasami takiej ewidencji się nie prowadzi i nie ma pisemnych dowodów na udzielenie upoważnienia - dodaje Sarek. Przyznaje jednak, że co do zasady ten wymóg jest przestrzegany, a firmy przykładają wagę do tego, by wysokości wynagrodzenia nie ujawniać osobom nieuprawnionym. - Przykładowo dotychczasowe zbiorowe listy płac zastępowane są indywidualnymi paskami, do których dostęp ma wyłącznie pracownik i upoważniona osoba - wskazuje.

Potwierdza to Piotr Wojciechowski, radca prawny, ekspert prawa pracy. - Z moich obserwacji wynika, że firmy coraz lepiej dbają o to, aby nie tworzyć zbiorczych list płac, nie udostępniają tych danych osobom nieupoważnionym - mówi. Przyznaje jednak, że nieprawidłowości występują przede wszystkim w mniejszych przedsiębiorstwach.

Z kolei Przemysław Ciszek z Kancelarii C&C Chakowski i Ciszek podaje przykład przedsiębiorstw, które nie udostępniają danych płacowych nawet w przypadku próśb z banku o weryfikację tego, czy pracownik podał prawdziwą informację o wysokości wynagrodzenia.

Konsekwencje dla pracodawcy

Za upublicznienie informacji o wynagrodzeniach pracodawcom grożą poważne sankcje.

- Ujawnienie takich danych niezgodnie z prawem niesie za sobą nawet ryzyko odpowiedzialności karnej na podstawie ustawy o ochronie danych osobowych. Pracownik może też żądać zaprzestania naruszenia jego dóbr osobistych, przeproszenia, a także zadośćuczynienia bądź odszkodowania, jeżeli poniósłby szkodę materialną - twierdzi Katarzyna Sarek.

Odpowiedzialność za takie naruszenia jeszcze wzrośnie od 25 maja 2018 r. kiedy w życie wejdą nowe przepisy unijne w sprawie ochrony danych osobowych (tj. rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych; Dz.Urz. UE z 2016 r. L 119, s. 1).

- Oznacza to, że firmom na opracowanie lepszych systemów, które pozwolą chronić dane pracowników, np. te, które dotyczą wynagrodzeń, zostało około półtora roku. Potem muszą liczyć się z dotkliwymi karami - mówi Konrad Gałaj-Emiliańczyk.

GIODO będzie mógł m.in. za naruszenie przepisów dotyczących przetwarzania danych osobowych nałożyć karę pieniężną w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa - w wysokości do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku.

Uwaga na outsourcing

Ostrożnie z danymi o wynagrodzeniach pracowników muszą postępować także pracodawcy korzystający z outsourcingu zadań kadrowych, jak również same firmy zewnętrzne, które świadczą dla pracodawców obsługę płacową.

- Środki zabezpieczające stosuje się również do firm świadczących usługi kadrowe, którym pracodawcy zlecają m.in. wyliczanie wynagrodzeń dla pracowników - mówi Katarzyna Sarek.

W tym celu zainteresowane podmioty podpisują specjalne umowy o powierzeniu przetwarzania danych osobowych oraz porozumienia dotyczące zachowania poufności informacji dotyczących takiej współpracy.

- Firmy, które świadczą obsługę księgowo-kadrową, są zobligowane do zachowania w tajemnicy wysokości wynagrodzeń wypłacanych w danym zakładzie pracy. Nakaz ten warto sformułować wprost w przekazanym im na piśmie zakresie zlecenia. Ponadto powierzenie przez pracodawcę danych o płacach zewnętrznemu usługodawcy powinno być poprzedzone zawarciem umowy o powierzeniu przetwarzania danych osobowych podwładnych - wyjaśnia Magdalena Kulińska, młodszy prawnik z Kancelarii Prawnej Pieróg & Partnerzy.

Przesyłanie danych dotyczących wynagrodzeń w niezabezpieczonych plikach jest powszechne

Konrad Gałaj-Emiliańczyk

ODO24

Dane płacowe bywają przedmiotem nieuprawnionego obrotu, także elektronicznego, pomiędzy firmami, co dotyczy zwłaszcza tych należących do jednej grupy kapitałowej. Problemem jest też nieuprawniony obrót wewnętrzny, czyli udostępnianie ich pracownikom tej samej organizacji, ale nieupoważnionym do ich przetwarzania.

OPINIE EKSPERTÓW

Nie zawsze złamanie klauzuli jest naruszeniem obowiązków

@RY1@i02/2016/210/i02.2016.210.18300120b.802.jpg@RY2@

Izabela Zawackaradca prawny w Kancelarii Prawa Pracy "Wojewódka i Wspólnicy"

Ochronę informacji o wysokości wynagrodzenia należy rozpatrywać na dwóch płaszczyznach: pracodawcy (zakaz ujawniania informacji o wysokości indywidualnych wynagrodzeń pracowników bez ich zgody) i pracownika (zakaz ujawniania informacji o wysokości swojego wynagrodzenia). W tym drugim przypadku informacja dotycząca wysokości wynagrodzenia jest traktowana przez pracodawców jako tajemnica przedsiębiorstwa (zgodnie z ustawą z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji; t.j. z 2003 r. nr 153, poz. 1503 ze zm.). Nie jest to co do zasady kwestionowane przez Sąd Najwyższy (np. wyrok SN z 3 października 2000 r., sygn. akt I CKN 304/00, niepubl.). Dlatego w regulaminach pracy, wynagradzania czy w układach zbiorowych pracy pracodawcy wprost wskazują na obowiązek zachowania poufności wynagrodzeń uznanych za tajemnicę przedsiębiorstwa. Naruszenie takiego zakazu jest uznawane przez pracodawców za ciężkie naruszenie podstawowych obowiązków pracowniczych w rozumieniu art. 52 k.p.

Wzmocnieniem tego obowiązku jest częsta praktyka wpisywania przez pracodawców właściwych postanowień do indywidualnych umów o pracę (tzw. klauzula poufności wynagrodzenia). Poza skutkiem prawnym ma to też wymiar psychologiczny, tj. wzbudza w pracowniku przekonanie o szczególnej randze tego obowiązku. Uzupełnieniem ochrony informacji o wysokości wynagrodzenia jest też przeprowadzanie przez pracodawców szkoleń, bardzo często z udziałem wyspecjalizowanych firm zewnętrznych. Są one adresowane zarówno do pracowników mających zawodowy kontakt z danymi osobowymi i dotyczą tego, jak z takimi danymi należy postępować, jak i do wszystkich zatrudnionych w zakresie wskazania, że zachowanie poufności wynagrodzeń jest podstawowym obowiązkiem pracowniczym.

Inną natomiast kwestią jest skuteczność tego zakazu, z czego wielu pracodawców nie zdaje sobie sprawy. Z tytułu podjęcia przez pracownika legalnych działań przeciwstawiających się naruszaniu zasady równego traktowania w zatrudnieniu lub dyskryminacji płacowej pracodawca nie może stosować jakichkolwiek sankcji prawa pracy, które prowadziłyby do niedopuszczalnego pozbawienia skutków bezwzględnie obowiązujących przepisów o równym traktowaniu w zatrudnieniu (art. 18^3a -18^3e k.p.). Oznacza to zakaz nadużywania przez pracodawców klauzul poufności czy tajności wynagrodzeń pracowniczych do innych celów niż ochrona tajemnicy przedsiębiorstwa, której ujawnienie może zagrozić istotnym interesom firmy, np. jej konkurencyjności (wyrok SN z 26 maja 2011 r., sygn. akt II PK 304/10). Nie zawsze więc naruszenie przez pracownika obowiązku zachowania poufności wynagrodzenia będzie stanowiło naruszenie obowiązków pracowniczych.

Ochrona danych o wynagrodzeniu pracownika

@RY1@i02/2016/210/i02.2016.210.18300120b.803.jpg@RY2@

Edyta Jagiełło radca prawny w kancelarii Raczkowski Paruch

@RY1@i02/2016/210/i02.2016.210.18300120b.804.jpg@RY2@

Marta Zalewska prawnik w kancelarii Raczkowski Paruch

Wszelkie działania mające na celu zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych, włącznie z tymi, które wykonuje się w systemach informatycznych, podlegają rygorom wynikającym z ustawy o ochronie danych osobowych. Dotyczy to także obowiązków w zakresie zabezpieczenia danych o wynagrodzeniu przed ich ujawnieniem osobom nieuprawnionym.

Pozycja zatrudniającego

Pracodawca jako podmiot, który decyduje o celach i środkach przetwarzania danych, jest oczywiście administratorem danych osobowych swoich pracowników, w tym także danych dotyczących ich wynagrodzenia. Oznacza to, że jest on podmiotem najszerszego zakresu uprawnień i obowiązków dotyczących przetwarzania danych osobowych zatrudnionych.

Zachowanie w poufności

Przepisy zakazują pracodawcy udostępniania danych osobowych pracownika osobom nieupoważnionym oraz nieuprawnionym. Zgodnie ze stanowiskiem GIODO za przykład działania niezgodnego z prawem należy uznać udostępnianie zbiorczych list płac pracowników pozostałym zatrudnionym w chwili pokwitowania odbioru ich własnych odcinków listy płac. Stanowi to bezpośrednie złamanie rygorów ustanowionych przez ustawę o ochronie danych osobowych z uwagi na to, że taka sytuacja pozwala pracownikowi na uzyskanie informacji dotyczących składników i wysokości wynagrodzeń pozostałych zatrudnionych.

Kwestia zabezpieczenia

W związku z poufnym charakterem danych o wynagrodzeniu ustawa nakłada na pracodawcę wiele obowiązków, które jest on zobowiązany wykonać z należytą starannością, aby zabezpieczyć dane osobowe swoich pracowników. Jednym z nich jest zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych adekwatną do zagrożeń oraz kategorii danych objętych ochroną. W szczególności dotyczy to zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Szczegółowe środki bezpieczeństwa określa rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024). Z praktycznego punktu widzenia chodzi tu o stosowanie takich środków zabezpieczenia, które będą współmiernie odpowiadały konkretnym zagrożeniom oraz chronionym danym osobowym. Z uwagi na to, że dane o wynagrodzeniu mogą być przetwarzane zarówno w tradycyjnej, papierowej formie (paski wynagrodzeń, czy informacje zawarte w umowach o pracę), jak i w systemach informatycznych (np. pliki Excel, programy do naliczania płac itp.), środki techniczne służące zabezpieczeniu danych będą bardzo zróżnicowane.

W przypadku wprowadzenia zabezpieczeń kluczowe staje się ciągłe badanie i monitorowanie ich skuteczności. Z uwagi na coraz częstsze prowadzenie baz danych osobowych w wersji elektronicznej szczególnie trzeba uwzględniać stały postęp technologiczny w informatyce.

Dostęp tylko dla upoważnionych

Administrator danych nie jest zobowiązany do ich przetwarzania osobiście ani do faktycznego ich posiadania. Z praktycznego punktu widzenia w wielu przypadkach byłoby to niemożliwe. Oczywiste jest, że pracodawca prowadzący większą działalność gospodarczą, zatrudniający niejednokrotnie kilkuset pracowników, nie jest w stanie samodzielnie przetwarzać wszystkich ich danych osobowych. W związku z tym przepisy przewidują możliwość udostępnienia pracowniczych baz danych w celu ich przetwarzania innym zatrudnionym na podstawie imiennego upoważnienia wydanego przez pracodawcę. Ustawa nie wskazuje, komu pracodawca ma prawo udzielić takiego upoważnienia. Oznacza to, że do tego grona osób mogą wchodzić m.in. zatrudnieni w działach kadr i płac, pracownicy o długim stażu pracy, informatycy przetwarzający dane osobowe pracowników w sposób regularny, a także pracownicy działów finansowych.

Przepisy nie regulują także formy oraz treści upoważnienia wydanego przez administratora danych osobowych, aczkolwiek w tym zakresie doktryna prawa opowiada się za zachowaniem formy pisemnej ze względów dowodowych. Co do zasady upoważnienie do przetwarzania danych osobowych jest nadawane na okres zatrudnienia u danego pracodawcy. Istotnym elementem każdego upoważnienia może okazać się klauzula, która ma celu przypomnienie osobom, które mają przetwarzać dane, o obowiązku zachowania ich w poufności.

W zakresie wydawania upoważnień na pracodawcę nałożony został obowiązek prowadzenia ich ewidencji. Ustawa nie określa sposobu prowadzenia tych rejestrów. W konsekwencji dozwolone jest prowadzenie spisów w formie pisemnej oraz elektronicznej, jednakże również i w tym przypadku dla celów dowodowych rekomenduje się prowadzenie ewidencji w formie pisemnej.

Wyjście na zewnątrz

Pracodawca ma prawo powierzyć przetwarzanie danych swoich pracowników innym firmom zewnętrznym. W zakresie przetwarzania informacji o wynagrodzeniach są to najczęściej wyspecjalizowane podmioty zajmujące się obsługą kadrowo-płacową. Należy pamiętać, że powierzenie przetwarzania danych nie powoduje przejścia funkcji administratora danych z pracodawcy na podmiot przetwarzający. W takim wypadku odpowiedzialność karną ponoszą wspólnie pracodawca i podmiot zewnętrzny. W zakresie współpracy pomiędzy tymi podmiotami to pracodawca jako administrator danych wykonuje funkcję kontrolną dotyczącą zbadania prawidłowej działalności podmiotu, któremu powierzył do przetwarzania pracownicze dane osobowe.

W świetle art. 31 ustawy o ochronie danych osobowych przetwarzanie danych następuje na podstawie pisemnej umowy o powierzeniu przetwarzania danych osobowych zawartej pomiędzy administratorem danych a podmiotem zewnętrznym. W myśl kodeksu cywilnego umowa taka powinna być zaklasyfikowana jako umowa nienazwana o świadczenie usług. W praktyce może ona stanowić oddzielny dokument bądź być jedynie częścią innej umowy, która oprócz postanowień o przetwarzaniu danych osobowych reguluje także pozostałe prawa i obowiązki stron. Za niewykonanie lub nienależyte wykonanie postanowień umowy podmiot przetwarzający ponosi odpowiedzialność o charakterze kontraktowym.

Dodatkowo warto zauważyć, że podmiot zewnętrzny, który zawiera umowę o powierzenie przetwarzania, jest również zobowiązany upoważnić swoich pracowników do przetwarzania danych osobowych objętych zakresem umowy.

Ciekawym i praktycznym zagadnieniem jest brak wymogu uzyskania zgody od pracowników w zakresie powierzenia przetwarzania danych. Oznacza to, że pracodawca, decydując się na zawarcie umowy z firmą zewnętrzną, nie musi powoływać się na podstawę prawną wynikającą z art. 23 ustawy o ochronie danych osobowych. Dzieje się tak dlatego, że w ramach umowy administrator danych nie przekazuje więcej uprawnień, niż sam posiada.

Przy formułowaniu postanowień umowy o powierzeniu przetwarzania danych należy mieć na uwadze, że dane mogą być przetwarzane przez podmiot zewnętrzny w sposób tradycyjny, tj. w formie papierowej, bądź za pomocą systemów informatycznych.

Informacje o wynagrodzeniu nie mogą się dostać w niepowołane ręce. Pracodawca może ponieść odpowiedzialność karną m.in. za udostępnianie danych osobowych osobom nieupoważnionym oraz naruszenie chociażby nieumyślnie obowiązku zabezpieczenia danych.

Pracodawca musi zadbać o to, aby dostęp do danych płacowych mieli tylko upoważnieni przez niego pracownicy.

RAMKA 1

Administrator a administrujący

Na pracodawcy spoczywa ciężar odpowiedzialności za niezgodne z prawem przetwarzanie danych osobowych pracowników. Ustawa o ochronie danych osobowych w rozdziale 8 przewiduje odpowiedzialność karną m.in. za udostępnianie danych osobowych osobom nieupoważnionym oraz naruszenie chociażby nieumyślnie obowiązku zabezpieczenia danych. Za takie działanie lub zaniechanie wyczerpujące znamiona przestępstwa odpowiedzialność karną ponosi administrujący danymi osobowymi, a zatem nie tylko pracodawca, ale niekiedy również podmiot, któremu pracodawca powierzył przetwarzanie danych o wynagrodzeniu, np. firma kadrowo-płacowa.

W doktrynie prawa oraz orzecznictwie niejednokrotnie sporne było samo pojęcie "administrującego" danymi osobowymi. Zgodnie z wyrokiem Sądu Najwyższego z 11 grudnia 2000 r., sygn. akt II KKN 438/00, należy przyjąć, że administratorem danych osobowych jest podmiot, który decyduje o celach i środkach przetwarzania tych danych (czyli jest to m.in. pracodawca). Natomiast administrującym jest także podmiot, któremu powierzono przetwarzanie danych osobowych na podstawie art. 31 ustawy - z tym zastrzeżeniem, że odpowiedzialność karna administrującego niebędącego administratorem danych wchodzi w rachubę, gdy jego zachowanie wynika z powierzonych mu czynności przetwarzania danych.

RAMKA 2

4 elementy, które powinno zawierać upoważnienie do przetwarzania danych

RAMKA 3

Kontrola to podstawa

Kluczową rolą pracodawcy jako administratora danych osobowych w zakresie zagwarantowania bezpieczeństwa przetwarzanych danych jest kontrola pracowników. Czuwa on, aby przetwarzane dane osobowe nie wpadły w niewłaściwe ręce, a także pilnuje, aby pracownicy, którzy zostali upoważnieni do przetwarzania, działali zgodnie z regułami ochrony danych osobowych. Co do zasady pracodawca, który nie dopełni tych obowiązków, ponosi oprócz odpowiedzialności karnej także odpowiedzialność administracyjną - i to za zachowanie nie tylko za swoje, lecz także osoby upoważnionej do przetwarzania danych w jego imieniu.

@RY1@i02/2016/210/i02.2016.210.18300120b.101(c).gif@RY2@

@RY1@i02/2016/210/i02.2016.210.18300120b.102(c).gif@RY2@

PRZYKŁAD 1

Klauzula poufności

W praktyce najczęściej przybiera ona formę zobowiązania o treści: "Jednocześnie, zgodnie z art. 39 ust. 2 ustawy o ochronie danych osobowych zobowiązuje się osobę upoważnioną do przetwarzania danych osobowych do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia". Przy czym zachowanie danych osobowych w tajemnicy obejmuje zakaz ich ujawniania innym osobom, przekazywania, wykorzystywania i udostępniania. Niedochowanie tego obowiązku może rodzić odpowiedzialność karną przewidzianą w ustawie.

Płace podwładnych, czyli informacje o szczególnym znaczeniu

Wysokość wynagrodzenia, a także wszelkiego rodzaju zasady wynagradzania, stanowią tajemnicę przedsiębiorstwa. Zostało to potwierdzone w orzecznictwie. W myśl art. 11 ust. 4 ustawy o zwalczaniu nieuczciwej konkurencji tajemnicą przedsiębiorstwa są informacje mające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności. A w związku z tym pracodawca ma prawo podjąć i wielokrotnie podejmuje niezbędne działania w celu zachowania poufności danych płacowych.

Narzędzie pracodawcy

Wysokość wynagrodzenia i zasady jego przyznawania mają dla pracodawcy określoną wartość gospodarczą z uwagi na to, że stanowią instrument polityki płacowej. W ten sposób pracodawca wewnętrznie zarządza pracownikami, może ich nagradzać i podnosić motywacje w zespole - płace są cennym narzędziem w rękach pracodawcy. Ponadto dane o wysokości wynagrodzenia stanowią informacje, których ujawnienie mogłoby narazić pracodawcę na szkodę, np. poprzez wywarcie wpływu na zasady bezpośredniej konkurencji w stosunku do innych przedsiębiorstw. Wyciek wysokości wynagrodzenia mógłby zatem wpłynąć na politykę firmy i zachowanie prawidłowych reguł konkurencji na rynku. Dlatego dane te musi cechować określony stopień poufności, czyli powinny być zabezpieczenie przed dostępem osób postronnych.

Odpowiedzialność pracownika

Przekazanie, ujawnienie lub wykorzystanie informacji stanowiących tajemnicę przedsiębiorstwa, jeżeli narusza interes przedsiębiorstwa lub mu zagraża, stanowi czyn nieuczciwej konkurencji, którego dopuścić się może także pracownik. Konsekwencje mogą być różne. Od odpowiedzialności dyscyplinarnej w postaci upomnienia czy nagany aż po rozwiązanie stosunku pracy z osobą, która wyrządziła szkodę swoim czynem i naruszyła przy tym jeden z koronnych obowiązków, tj. dbanie o dobro zakładu pracy. Oddzielnie pracownik ponosić może też odpowiedzialność z ustawy o zwalczaniu nieuczciwej konkurencji, która przewiduje, że pracodawca będzie mógł żądać zaniechania niedozwolonych działań lub usunięcia ich skutków, naprawienia wyrządzonej szkody oraz wydania bezpodstawnie uzyskanych korzyści.

Pracownik może też ponieść odpowiedzialność karną. Zgodnie z brzmieniem przepisu: kto, wbrew ciążącemu na nim obowiązkowi w stosunku do przedsiębiorcy, ujawnia innej osobie lub wykorzystuje we własnej działalności gospodarczej informację stanowiącą tajemnicę przedsiębiorstwa, jeżeli wyrządza to poważną szkodę przedsiębiorcy, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Tej samej karze podlega ten, kto uzyskując bezprawnie informację stanowiącą tajemnicę przedsiębiorstwa, ujawnia ją innej osobie lub wykorzystuje we własnej działalności gospodarczej. Przy czym nie ma znaczenia, czy ujawnienie nastąpiło w formie ustnej czy pisemnej, a także czy w gronie kilku osób lub tylko jednej. Co więcej, w orzecznictwie się wskazuje, że naruszeniem tajemnicy przedsiębiorstwa - tu danych o wynagrodzeniach - będzie też nabycie danych przez pracownika, który mimo że ma świadomość tego, iż nie są one dla niego jawne, próbuje je uzyskać.

Wzmocnienie obowiązku poufności

Aby podkreślić, że konkretna informacja jest tajemnicą przedsiębiorstwa, rekomendowane jest uregulowanie tego na papierze. Warto zatem zawierać również klauzule poufności dotyczące wysokości wynagrodzenia.

Na jak długo można zastrzec taką klauzulę? Strony powinny precyzyjne wyznaczyć termin jej obowiązywania lub przynajmniej związać go z jego przyczyną, czyli trwaniem stosunku pracy. Należy jednak pamiętać, że zobowiązanie takie nie może być bezterminowe. Strony mogą też dowolnie tworzyć treść klauzuli.

Tajemnica wynagrodzenia jest chroniona także z perspektywy interesów pracownika. Orzecznictwo oraz piśmiennictwo potwierdzają, że wysokość wynagrodzenia może stanowić informację związaną ze sferą prywatności pracownika, przez co może być ona zaliczana do katalogu dóbr osobistych podlegających ochronie. Katalog ten nie jest bowiem ograniczony.

Przyjmując w konkretnym przypadku, że tajemnica wynagrodzenia jest dobrem osobistym, warto zwrócić uwagę na regulacje kodeksu pracy. Jego art. 11¹ stanowi, że pracodawca ma obowiązek szanować godność i inne dobra osobiste pracowników. W związku z tym szanując tajemnicę wynagrodzenia, nie powinien ujawniać jego wysokości w sytuacjach, w których nie będzie do tego zobowiązany z mocy prawa. Za naruszenie tajemnicy wynagrodzenia pracodawca może odpowiadać na podstawie art. 24 k.c., czyli m.in. poprzez zapłatę zadośćuczynienia czy naprawienie szkody. Należy mieć na uwadze, że przesłanką konieczną do udzielenia ochrony z art. 24 k.c. jest bezprawność działania pracodawcy. W ramach bezprawności nie będzie się mieściło działanie, które jest dozwolone przez prawo, wchodzi w ramy porządku prawnego, ma na celu obronę uzasadnionego interesu prywatnego lub publicznego. O tym, czy doszło do naruszenia dóbr osobistych, nie decydują subiektywne odczucia, ale kryteria obiektywne, a zwłaszcza całokształt okoliczności w danej sprawie.

Wyjątki od zasady tajności wynagrodzenia

Warto wspomnieć, że informacje o wysokości wynagrodzenia nie zawsze są tajne. Z jawnością swoich zarobków muszą się liczyć m.in.: szefowie jednoosobowych spółek prawa handlowego utworzonych przez Skarb Państwa oraz osoby pełniące funkcję wójta, burmistrza, prezydenta, radnego (czyli określone stanowiska w organach gminy, powiatu i województwa). Swoje zarobki ujawniają przecież w oświadczeniach majątkowych, które podlegają upublicznieniu. Jawność wynagrodzenia dotyczy także członków zarządu spółek giełdowych i publikowane są zwykle w raportach rocznych.

Podobne podejście prezentuje również prawo prasowe, zgodnie z którym nie wolno bez zgody osoby zainteresowanej publikować informacji oraz danych dotyczących prywatnej sfery życia, chyba że wiąże się to bezpośrednio z działalnością publiczną danej osoby.

RAMKA 4

Resort pracy o klauzulach poufności

Zgodnie ze stanowiskiem Ministerstwa Pracy i Polityki Socjalnej (nr DPR I-0712-18/MF/08): "pracodawca nie może zabronić pracownikowi ujawnienia swoich zarobków, a tak zwane klauzule poufności w tym względzie są niedopuszczalne. Taki zakaz jest niekorzystny dla pracownika, może on bowiem uniemożliwić ustalenie, dyskryminacji płacowej".

W doktrynie prawa pojawiają się jednak głosy, że pogląd ten jest zbyt radykalny. Również w orzecznictwie co do zasady nie neguje się wprowadzania klauzul poufności wynagrodzenia do umów o pracę czy regulaminów (tak m.in. wyrok Sądu Najwyższego z 26 maja 2011 r., sygn. akt II PK 304/10). Jednocześnie sądy zastrzegają, że w określonych przypadkach złamanie takiej klauzuli przez pracownika, np. jeżeli pracownik posłużył się dokumentacją dotyczącą wynagrodzenia w celu sądowego dochodzenia swoich praw z tytułu dyskryminacji w wynagradzaniu, nie będzie stanowiło podstawy do wyciągnięcia wobec niego negatywnych konsekwencji za ujawnienie takich danych.

RAMKA 5

GIODO i SN o dobrach osobistych

Również w ocenie GIODO informacje o wynagrodzeniu pracownika należą do kategorii dóbr osobistych. Jednak, jak słusznie zauważył Sąd Najwyższy, jednoznaczna odpowiedź na pytanie, czy określone dobro jest jego dobrem osobistym, zależy od wielu czynników i należy każdą indywidualną sytuację odnosić do określonego poziomu rozwoju cywilizacyjnego, technologicznego, a także przyjętych w społeczeństwie zasad moralnych czy istniejących stosunków społecznych. Zarówno dobro osobiste, jak i jego naruszenie są pojęciami nieostrymi i dynamicznymi w czasie. Inaczej bowiem należy oceniać sytuację jawności wynagrodzenia w dużym przedsiębiorstwie, w którym od wielu lat ukształtowała się praktyka wypłaty wynagrodzenia na podstawie powszechnie znanych list płac, aprobowana przez pracowników, a inaczej np. w nowo powstałych zakładach pracy, gdzie duży nacisk od samego początku kładzie się na zachowanie tajemnicy wynagrodzenia, dodatkowo podkreślając to przez zapisy w regulacjach wewnętrznych czy umowach o pracę.

PRZYKŁAD 2

Dodatkowe zastrzeżenie umowne

Klauzula poufności w umowie o pracę może brzmieć:

"Informacje dotyczące wysokości wynagrodzenia za pracę powinny być traktowane jako poufne i stanowią tajemnicę przedsiębiorstwa Pracodawcy. Informacje te nie mogą być ujawniane osobom trzecim".