GIODO za naruszenie przepisów będzie mógł wymierzyć karę do 1 mln euro

Coraz częściej przy rekrutacji pracowników wykorzystywane są testy psychologiczne, mające na celu poznanie cech osobowościowych kandydata. Czy takie działanie jest zgodne z ustawą z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm.)?

Nie można jednoznacznie odpowiedzieć na postawione pytanie. Testy, by nie zostały uznane za niedozwolone, muszą być adekwatne do celu ich użycia, nie mogą zbyt ingerować w prywatność, a intensywność badania i użyte środki muszą pozostawać w proporcji do oczekiwań osoby, która ma być zatrudniona na danym stanowisku. Oczywiście osoba badana ma prawo dostępu do wyników takich testów, a samo badanie musi być zabezpieczone przed dostępem osób trzecich. Takimi samymi zasadami powinny kierować się też podmioty zewnętrzne prowadzące rekrutację na zlecenie pracodawcy (czyli administratora danych).

Jakich danych osobowych może żądać pracodawca od osoby ubiegającej się o zatrudnienie (kandydata do pracy)?

Katalog takich informacji został określony m.in. w art. 22¹ kodeksu pracy. Zgodnie z nim - pracodawca ma prawo żądać podania danych osobowych obejmujących: imię i nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie, przebieg dotychczasowego zatrudnienia, a także innych danych, jeśli jest to konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy. Ustawodawca daje prawo do żądania innych danych, ale musi to jasno wynikać z przepisów prawa.

Czy pracodawca musi mieć zgodę pracownika, jeśli przetwarza wrażliwe dane osobowe na potrzeby związane z regulaminem zakładowego funduszu świadczeń socjalnych?

Na warunkach określonych w ustawie z 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych (Dz.U. z 1996 r. nr 70, poz. 335 z późn.zm.) pracodawca może, a w pewnych sytuacjach ma nawet obowiązek opracować regulamin zakładowego funduszu świadczeń socjalnych (ZFŚS). Udzielanie pomocy uwarunkowane jest zazwyczaj określoną procedurą, na którą nakłada się m.in. złożenie wniosku o udzielenie pomocy z funduszu świadczeń socjalnych. Bardzo często zdarza się, że we wnioskach pracownicy podają dane dotyczące np. stanu zdrowia, prowadzonych postępowań sądowych itp.

Przyjmuje się, że w tym przypadku zastosowanie może znaleźć tylko i wyłącznie art. 27 ust. 2 pkt 1 ustawy o ochronie danych osobowych. Oznacza to, że jeżeli w związku z przyznaniem środków z ZFŚS korzystający podaje dotyczące go wrażliwe dane osobowe, o których mowa w art. 27 ust. 1 ustawie o ochronie danych osobowych (m.in. dane o stanie zdrowia), pracodawca powinien uzyskać od niego pisemną zgodę do posiadania tego typu danych.

W styczniu 2012 r. został upubliczniony projekt rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych, który jak się przypuszcza za 2 - 3 lata zastąpi dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. regulująca kwestie ochrony danych osobowych. Rozporządzenie to stanie się częścią porządku prawnego obowiązującego w m.in. w Polsce. Czy całkowicie zastąpi ono regulację krajową i kiedy powinniśmy zacząć przygotowywać się do czekających nas zmian?

Rozporządzenie nie wyczerpie całkowicie tematu ochrony danych osobowych. Podstawowa regulacja dotycząca ochrony danych osobowych zostanie ujęta w ramy rozporządzenia, ale część przepisów, w tym odnoszących się do tak istotnych obszarów, jak zatrudnienie, służba zdrowia, czy samo umocowanie GIODO i jego kompetencje pozostanie w gestii przepisów krajowych. Zgodnie z projektem rozporządzenia w gestii ustawodawcy krajowego pozostaną m.in. następujące kwestie:

● uprawnienie do przyjmowania przepisów szczególnych dotyczących przetwarzania danych osobowych w kontekście zatrudnienia (art. 82 rozporządzenia),

● dostęp organów nadzorczych do danych osobowych i pomieszczeń, w których administratorzy podlegają obowiązkowi zachowania tajemnicy (art. 84 rozporządzenia),

● zapewnienie konkretnych gwarancji przy przetwarzaniu danych na potrzeby świadczenia opieki zdrowotnej (art. 82 rozporządzenia),

● ustanowienie przepisów dotyczących nakładania kar za naruszenia rozporządzenia oraz zapewnienia wdrożenia jego przepisów (art. 78 rozporządzenia).

Rozporządzenie, jak się przypuszcza, wejdzie w życie za 2 - 3 lata. Jednak zmiany są na tyle znaczące i głębokie, że przygotowania do dostosowania procesów ochrony danych osobowych należy rozpocząć wcześniej. Zapewne za mniej więcej rok możemy spodziewać się uchwalenia rozporządzenia i wtedy należałoby natychmiast rozpocząć proces przebudowy systemów ochrony danych osobowych (procedur, dokumentów itd.).

Czy nowe rozporządzenie ułatwi pracę administratorom danych osobowych, czy będą mieli więcej obowiązków?

Rozporządzenie przewiduje wiele ułatwień dotyczących administrowania danymi osobowymi, np. dotyczących sposobu wyrażania zgody. Po zmianach zgodą na przetwarzanie danych będzie nie tylko oświadczenie woli, będzie nią także "wyraźne działanie". Należy przyjąć, że zgoda na przetwarzanie danych osobowych w pewnym zakresie będzie mogła być domniemana z innych czynności (działań) osoby fizycznej. Wzmocniona zostanie także pozycja administratora bezpieczeństwa informacji. Obecnie obowiązujące przepisy poza tym, że przewidują możliwość powołania administratora bezpieczeństwa informacji (ABI), nie określają w sposób szczegółowy jego zadań i kompetencji. Wraz z wejściem w życie rozporządzenia to się zmieni. Przewiduje ono m.in. w pewnych sytuacjach obowiązek powołania ABI, zwanego w projekcie inspektorem ochrony danych, kadencyjność funkcji i surowe rygory dotyczące możliwości jego odwołania. To wszystko ma zapewnić, że inspektor ochrony danych będzie stał na straży ochrony danych osobowych, a swoją funkcję pełnił w warunkach zapewniającym mu większą niezależność. Obecnie ABI w swoich decyzjach musi bardzo mocno liczyć się ze stanowiskiem administratora danych, co nie zawsze jest korzystne z punktu widzenia ochrony danych.

Z drugiej strony administratorzy obarczeni zostaną nowymi obowiązkami, z których niewywiązanie się będzie obostrzone surowymi karami. Podstawowe obowiązki administratora to m.in.: zapewnienie procedur i mechanizmów ułatwiających podmiotowi danych (osobie fizycznej, której dane są przetwarzane) wykonywanie przysługujących mu praw, tj. zgłoszenie sprzeciwu, żądanie usunięcia danych osobowych, czy uzyskanie informacji o sposobie przetwarzania danych osobowych. Administrator będzie musiał przekazywać podmiotowi, którego dane są przetwarzane, dodatkowe informacje - w tym na temat okresu przechowywania danych i prawa do składania skarg. Ważny obowiązek administratora danych będzie dotyczyć realizacji "prawa do bycia zapomnianym" przez podmiot przetwarzający dane. Uprawnienie to umożliwiać będzie usunięcie danych osobowych oraz zaprzestanie ich dalszego rozpowszechniania. Administrator danych, wykorzystując dostępne mu środki techniczne i organizacyjne, będzie również zobowiązany do usunięcia danych osobowych podanych do publicznej wiadomości, jeśli odpowiada za ich rozpowszechnienie.

Nowe uprawnienia otrzymają także organy nadzoru nad przetwarzaniem danych w poszczególnych krajach, w tym GIODO. Będzie mógł m.in. nałożyć czasowy lub ostateczny zakaz przetwarzania danych; oraz sankcje administracyjne za naruszenie przepisów prawa w wysokości do 1 000 000 euro, a w przypadku przedsiębiorstwa, alternatywnie także do 2 proc. rocznego światowego obrotu.

Ważny obowiązek administratora danych będzie dotyczyć realizacji "prawa do bycia zapomnianym". Uprawnienie to umożliwi usunięcie danych osobowych oraz zaprzestanie ich dalszego rozpowszechniania

SZKOLIĆ SIĘ WARTO

● O co pytają uczestnicy kursów

● Byłeś na szkoleniu i chcesz mieć resume najważniejszych prawnych problemów

● Z jakich tematów warto pogłębiać wiedzę

To wszystko na specjalnej kolumnie szkoleniowej. Umieszczamy na niej podsumowanie kursów już odbytych oraz zapowiadamy merytorycznie te, które w niedługim czasie się odbędą.

@RY1@i02/2012/063/i02.2012.063.21700090b.806.jpg@RY2@

wojciech górski

Tomasz Osiej - radca prawny, rzecznik patentowy - specjalista z zakresu ochrony danych osobowych, obrotu informacją oraz prawa własności przemysłowej. W latach 1998-2000 pracownik departamentu prawnego biura generalnego inspektora ochrony danych osobowych - asystent generalnego inspektora ochrony danych osobowych

Współpraca Piotr Janiszewski