Jak przekazywać dane osobowe pracowników

W sytuacji gdy do pracodawcy dzwoni pracownik banku z prośbą o podanie lub potwierdzenie danych pracownika, pracodawca powinien pamiętać, iż przechowywane przez niego dane zebrane w związku z zatrudnieniem pracownika stanowią dane osobowe tego pracownika. A zgodnie z ustawą o ochronie danych osobowych (Dz.U. z 2002 nr 101, poz. 926 z późn. zm.) pracodawca, jako administrator danych, jest zobowiązany do dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą (w tym przypadku pracowników), między innymi, poprzez zabezpieczenie danych oraz nieudostępnianie ich osobom trzecim (z zastrzeżeniem wyjątków przewidzianych w ustawie i innych przepisach).

W przypadku telefonu, o którym tutaj mówimy, pojawiają się dwie istotne kwestie. Po pierwsze, pracodawca nie ma możliwości sprawdzenia, kto tak naprawdę do niego dzwoni. Być może osoba dzwoniąca wcale nie jest pracownikiem banku albo jest pracownikiem banku, ale nie została przez bank upoważniona do zbierania żądanych danych. Nie jest też możliwe zbadanie, na jakiej podstawie osoba dzwoniąca prosi o podanie lub potwierdzenie danych pracownika ani z czyjego upoważnienia to czyni. Wobec powyższego istnieje ryzyko, że pracodawca, podając lub potwierdzając dane osobowe pracownika, w rzeczywistości udostępnia je osobie nieupoważnionej.

Po drugie, udostępnienie danych osobowych przez administratora danych może nastąpić tylko w ściśle określonych w ustawie przypadkach, tj. z upoważnienia ustawowego (np. Policji, Służbie Celnej, ABW) lub w trybie pisemnego, umotywowanego wniosku. Ponieważ banki nie mieszczą się w pierwszej grupie, zatem udostępnienie im danych powinno nastąpić na pisemny, umotywowany wniosek. Taki wniosek powinien zawierać informacje umożliwiające wyszukanie żądanych danych, wskazywać ich zakres i przeznaczenie oraz powinien wiarygodnie uzasadniać potrzebę posiadania tych danych przez bank. Rozmowy telefonicznej nie można uznać za spełniającą powyższe wymagania. Zatem w omawianej sytuacji pracodawca powinien zachować szczególną ostrożność, bowiem udostępnianie danych osobie dzwoniącej może stanowić naruszenie ustawy.

Wiemy jednak, że pracownicy banku dzwonią często do pracodawców w celu potwierdzenia danych zawartych np. we wnioskach kredytowych pracowników. Niepotwierdzenie przez pracodawcę danych, o które prosi bank, może skutecznie zablokować lub opóźnić rozpatrzenie wniosku. Należy wobec tego w przypadku otrzymania przez pracodawcę takiego telefonu zwrócić się do osoby dzwoniącej z prośbą o przesłanie pisemnego, umotywowanego wniosku o udostępnienie lub potwierdzenie danych konkretnego pracownika. Pracodawca będzie miał wtedy możliwość potwierdzić go z konkretnym pracownikiem, uzyskując w ten sposób pewność, że telefon z banku nie jest np. próbą wyłudzenia danych.

W przypadku korporacji, w których kontakt z bankiem jest częstszy, można rozważyć zawarcie z bankiem stałego pisemnego porozumienia upoważniającego jedną osobę z banku do kontaktów z pracodawcą w powyższym zakresie (np. w formie mailowej).

Agata Ambroziewicz

prawnik kancelarii Baker & McKenzie

Art. 36 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 nr 101, poz. 926 z późn. zm.).