Pracodawca odpowiada za ujawnienie informacji o kandydacie do pracy
W prowadzonej przeze mnie firmie był zorganizowany nabór pracowników do nowo otwartego oddziału. Czy jako pracodawca ponoszę odpowiedzialność za to, że mój pracownik ujawnił informacje o osobie starającej się o pracę, które pozyskał z dokumentów rekrutacyjnych?
@RY1@i02/2010/196/i02.2010.196.168.002b.001.jpg@RY2@
Wojciech Wiewiórowski, generalny inspektor ochrony danych osobowych
Zdaniem generalnego inspektora ochrony danych osobowych tak, gdyż jako administrator danych ma obowiązek dbania o to, aby dane osobowe były odpowiednio zabezpieczone.
Nadrzędnym obowiązkiem administratora danych osobowych, zgodnie z art. 26 ust. 1 pkt 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (dalej ustawy), jest dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Ta generalna zasada znajduje swoje rozwinięcie w innych przepisach ustawy, określającej m.in. wymogi, jakie powinien spełniać administrator danych w celu zapewnienia bezpieczeństwa danych w procesie ich przetwarzania. Jednym z podstawowych obowiązków spoczywających na administratorze jest, wynikający z art. 36 ust. 1 omawianej ustawy, obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, a w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym.
W sytuacji gdy pracownik uzyskał dostęp do danych osobowych innych osób, np. w związku z postępowaniem rekrutacyjnym, ma on bezwzględny obowiązek zachowania poufności przetwarzanych danych, a ich udostępnienie osobom nieupoważnionym obciąża nie tylko pracownika, lecz także administratora danych, który ponosi pełną odpowiedzialność za ich przetwarzanie. Niedopuszczalne jest zatem udostępnienie przez pracownika osobie nieupoważnionej danych osobowych pozyskanych w ramach pełnionych przez niego obowiązków służbowych.
Z ustawy o ochronie danych osobowych wynika, że administrator musi mieć pełną kontrolę nad procesem przetwarzania danych, tak aby zapobiec powstawaniu zdarzeń narażających dane na udostępnienie osobom nieupoważnionym. Musi też mieć pełną wiedzę na temat całości procesu przetwarzania oraz weryfikować zachowanie pracowników pod kątem przestrzegania przez nich zasad ochrony danych osobowych. Odpowiada bowiem także za ich działanie, co potwierdza nie tylko doktryna, ale też utrwalone orzecznictwo administracyjne (wyrok Naczelnego Sądu Administracyjnego z 4 kwietnia 2003 r., sygn. II SA 2935/02, LEX nr 149895).
Zdaniem generalnego inspektora ochrony danych osobowych za nieprzestrzeganie wskazanych obowiązków ustawa przewiduje odpowiedzialność karną. Przewidziana jest kara grzywny, ograniczenia wolności albo pozbawienia wolności do lat dwóch wobec tego, kto administrując zbiorem danych lub będąc obowiązanym do ochrony danych osobowych, udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym (art. 51 ust. 1 ustawy). Karane jest także nieumyślne naruszenie obowiązku zabezpieczenia danych przed ich zabraniem przez osobę nieupoważnioną, uszkodzeniem lub zniszczeniem (art. 52 ustawy).
Art. 26, art. 36, art. 51, art. 52 ustawy z 29 sierpnia 1997 o ochronie danych osobowych (t.j. Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm.).
opracował Maciej Kasperowicz
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.
Wpisz adres e-mail wybranej osoby, a my wyślemy jej bezpłatny dostęp do tego artykułu