Administrator danych powinien zadbać, aby pracownicy kadr i działów personalnych przestrzegali przepisów ustawy. Należy bowiem pamiętać, że dane osobowe mogą być przetwarzane jedynie przez osoby, które posiadają odpowiednie uprawnienia.
Zgodnie z art. 37 ustawy do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Pracownicy kadr oraz działów personalnych nie są wyłączeni spod obowiązywania powyższego przepisu. Oznacza to, iż wszystkie osoby, które przetwarzają (lub potencjalnie mogą przetwarzać) dane osobowe pracowników, powinny posiadać uprzednio wydane przez administratora danych upoważnienie do przetwarzania danych osobowych.
Warto przypomnieć, że poprzez przetwarzanie danych ustawa rozumie jakiekolwiek operacje na danych osobowych, takie jak w szczególności:
a) zbieranie;
b) utrwalanie;
c) przechowywanie;
d) opracowywanie;
e) zmienianie;
f) udostępnianie;
g) usuwanie.
Zatem nawet samo czytanie przez pracownika kadr akt osobowych będzie stanowiło przetwarzanie danych.
Jeżeli administrator danych nie dopełni powyższego obowiązku, wówczas może narazić się na odpowiedzialność karną. Zgodnie bowiem z art. 51 ustawy – kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych, udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do dwóch lat.
Ponadto pracownicy kadr oraz działów personalnych powinni być zamieszczeni w ewidencji osób upoważnionych do przetwarzania danych osobowych, o której mowa w art. 39 ustawy.
Upoważnienie do przetwarzania danych osobowych powinno być nadane tylko tym pracownikom kadr i działów personalnych, którzy faktycznie mogą przetwarzać takie dane. Oznacza to, że owe upoważnienie nie powinno być nadawane niejako „z automatu” wszystkim osobom zatrudnionym w powyższych działach. Przed nadaniem upoważnienia administrator danych powinien dokonać w tym przedmiocie wnikliwej analizy. Należy bowiem zbadać, czy wszyscy pracownicy działu kadr (personalnego) mogą mieć dostęp do danych osobowych, czy też będzie go miała jedynie określona grupa tych pracowników.
Bardzo ważne jest, aby pracownicy kadr i działów personalnych przetwarzali dane osobowe wyłącznie w takim zakresie, w jakim zostali do tego upoważnieni przez administratora danych.
Kilka słów na temat przetwarzania danych osobowych pracowników
Należy zauważyć, że ochronie podlegają zarówno dane osobowe pracowników, jak również kandydatów do pracy.
Przepis art. 221 Kodeksu pracy (dalej: k.p.) normuje, że:
Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:
1) imię (imiona) i nazwisko;
2) imiona rodziców;
3) datę urodzenia;
4) miejsce zamieszkania (adres do korespondencji);
5) wykształcenie;
6) przebieg dotychczasowego zatrudnienia.
Pracodawca ma prawo żądać od pracownika podania, niezależnie od danych osobowych, o których mowa powyżej, także:
1) innych danych osobowych pracownika;
2) imion i nazwisk oraz dat urodzenia dzieci pracownika
– jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;
3) numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).
Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca ma również prawo żądać udokumentowania danych osobowych osób, o których mowa powyżej. Nadto należy zauważyć, że pracodawca może żądać podania także innych danych osobowych, jeżeli obowiązek ich podania wynika z odrębnych przepisów (przykładowo pracodawca może żądać przedstawienia zaświadczenia lekarskiego stwierdzającego brak przeciwwskazań do wykonywania pracy). Poza tym na podstawie art. 6 ust. 1 pkt 10 ustawy o Krajowym Rejestrze Karnym prawo do uzyskania informacji o osobach, których dane osobowe zgromadzone zostały w rejestrze, przysługuje pracodawcom, w zakresie niezbędnym dla zatrudnienia pracownika, co do którego z przepisów ustawy wynika wymóg niekaralności, korzystania z pełni praw publicznych, a także ustalenia uprawnienia do zajmowania określonego stanowiska, wykonywania określonego zawodu lub prowadzenia określonej działalności gospodarczej . W tym miejscu warto podkreślić, że Sąd Najwyższy orzekł, iż polecenie pracodawcy nakładające na pracownika obowiązek udzielenia informacji (danych osobowych) niewymienionych w art. 221 § 1 i 2 k.p. lub w odrębnych przepisach (art. 221 § 4 k.p.) jest niezgodne z prawem (art. 100 § 1 k.p.) i dlatego odmowa jego wykonania nie może stanowić podstawy rozwiązania umowy o pracę w trybie art. 52 § 1 pkt 1 k.p.
Należy również wyraźnie podkreślić, że pracodawca nie może żądać od kandydatki do zatrudnienia danych dotyczących ewentualnej ciąży. Żądanie tego typu informacji może zostać zakwalifikowane jako dyskryminacja osoby starającej się o zatrudnienie (art. 183a – 183e k.p.). Wyjątek stanowią przypadki, gdy kobieta stara się o zatrudnienie przy pracy wzbronionej kobietom w ciąży. W takiej sytuacji pracodawca powinien ustalić, czy kobieta ze względu na stan zdrowia może świadczyć określony rodzaj pracy.
Przepis art. 221 k.p. nie zawiera zatem katalogu zamkniętego, skoro pracodawca może żądać podania innych danych osobowych. Istotne jest natomiast, aby obowiązek podania dodatkowych danych osobowych wynikał wprost z przepisów prawa. Dotyczy to przepisów szczególnych (ustaw, rozporządzeń), które mogą nakładać taki obowiązek na osoby, które dopiero starają się o zatrudnienie.
Ustawodawca wyraźnie wskazał, że w zakresie nieuregulowanym w art. 221 k.p. do danych osobowych stosuje się przepisy ustawy o ochronie danych osobowych.
Warto podkreślić, że samo żądanie przez pracodawcę podania określonych danych osobowych nie stanowi jeszcze przetwarzania danych. W literaturze wskazuje się natomiast, iż na podstawie art. 221 k.p. pracodawca ma prawo przetwarzać uzyskane dane osobowe .
Ponadto art. 1 ust. 1 rozporządzenia Ministra Pracy i Polityki Socjalnej w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika normuje, że pracodawca może żądać od osoby ubiegającej się o zatrudnienie złożenia następujących dokumentów:
1) wypełnionego kwestionariusza osobowego dla osoby ubiegającej się o zatrudnienie;
2) świadectw pracy z poprzednich miejsc pracy lub innych dokumentów potwierdzających okresy zatrudnienia, obejmujących okresy pracy przypadające w roku kalendarzowym, w którym pracownik ubiega się o zatrudnienie;
3) dokumentów potwierdzających kwalifikacje zawodowe, wymagane do wykonywania oferowanej pracy;
4) świadectwa ukończenia gimnazjum – w przypadku osoby ubiegającej się o zatrudnienie w celu przygotowania zawodowego;
5) orzeczenia lekarskiego stwierdzającego brak przeciwwskazań do pracy na określonym stanowisku;
6) innych dokumentów, jeżeli obowiązek ich przedłożenia wynika z odrębnych przepisów.
Osoba ubiegająca się o zatrudnienie może dodatkowo przedłożyć dokumenty potwierdzające jej umiejętności i osiągnięcia zawodowe, świadectwa pracy z poprzednich miejsc pracy lub inne dokumenty potwierdzające okresy zatrudnienia, obejmujące okresy pracy przypadające w innym roku kalendarzowym niż rok, w którym pracownik ubiega się o zatrudnienie, oraz dokumenty stanowiące podstawę do korzystania ze szczególnych uprawnień w zakresie stosunku pracy.
Bez wątpienia pracownicy kadr i działów personalnych powinni dużą uwagę poświęcić odpowiedniemu przechowywaniu oraz zabezpieczaniu akt osobowych. Wskazane jest, aby administrator danych wyznaczył konkretną osobę (posiadającą odpowiednie upoważnienie) do nadzorowania prawidłowości zabezpieczania akt osobowych.
Wojewódzki Sąd Administracyjny w Warszawie orzekł, iż nie można przyjąć, że normy prawa pracy zapewniają dalej idącą ochronę informacji o pracowniku aniżeli ustawa o ochronie danych osobowych, gdyż to właśnie w świetle jej przepisów winna być prowadzona kontrola prawidłowości przetwarzania innych danych niż wymienione w art. 22 1 § 1–4 k.p. Jeśli chodzi o takie dane pracownika, jak linie papilarne czy wzór siatkówki oka, ich pobieranie, gromadzenie, czyli przetwarzanie – co do zasady – nie jest zabronione, lecz musi się odbywać z poszanowaniem przepisów ustawy o ochronie danych osobowych. Zdaniem sądu przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników są ich danymi osobowymi . Należy podkreślić, że dane biometryczne powinny być przetwarzane z dużą rozwagą. Potwierdził to Naczelny Sąd Administracyjny, który orzekł, że uznanie faktu wyrażenia przez pracownika zgody na przetwarzanie jego danych za okoliczność legalizującą pobranie od pracownika innych danych niż wskazane w art. 221 Kodeksu pracy stanowiłoby naruszenie tego przepisu Kodeksu pracy. Natomiast wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników jest nieproporcjonalne do zamierzonego celu ich przetwarzania w rozumieniu art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych .
Zgodnie z art. 37 ustawy do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Pracownicy kadr oraz działów personalnych nie są wyłączeni spod obowiązywania powyższego przepisu. Oznacza to, iż wszystkie osoby, które przetwarzają (lub potencjalnie mogą przetwarzać) dane osobowe pracowników, powinny posiadać uprzednio wydane przez administratora danych upoważnienie do przetwarzania danych osobowych.
Warto przypomnieć, że poprzez przetwarzanie danych ustawa rozumie jakiekolwiek operacje na danych osobowych, takie jak w szczególności:
a) zbieranie;
b) utrwalanie;
c) przechowywanie;
d) opracowywanie;
e) zmienianie;
f) udostępnianie;
g) usuwanie.
Zatem nawet samo czytanie przez pracownika kadr akt osobowych będzie stanowiło przetwarzanie danych.
Jeżeli administrator danych nie dopełni powyższego obowiązku, wówczas może narazić się na odpowiedzialność karną. Zgodnie bowiem z art. 51 ustawy – kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych, udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do dwóch lat.
Ponadto pracownicy kadr oraz działów personalnych powinni być zamieszczeni w ewidencji osób upoważnionych do przetwarzania danych osobowych, o której mowa w art. 39 ustawy.
Upoważnienie do przetwarzania danych osobowych powinno być nadane tylko tym pracownikom kadr i działów personalnych, którzy faktycznie mogą przetwarzać takie dane. Oznacza to, że owe upoważnienie nie powinno być nadawane niejako „z automatu” wszystkim osobom zatrudnionym w powyższych działach. Przed nadaniem upoważnienia administrator danych powinien dokonać w tym przedmiocie wnikliwej analizy. Należy bowiem zbadać, czy wszyscy pracownicy działu kadr (personalnego) mogą mieć dostęp do danych osobowych, czy też będzie go miała jedynie określona grupa tych pracowników.
Bardzo ważne jest, aby pracownicy kadr i działów personalnych przetwarzali dane osobowe wyłącznie w takim zakresie, w jakim zostali do tego upoważnieni przez administratora danych.
Kilka słów na temat przetwarzania danych osobowych pracowników
Należy zauważyć, że ochronie podlegają zarówno dane osobowe pracowników, jak również kandydatów do pracy.
Przepis art. 221 Kodeksu pracy (dalej: k.p.) normuje, że:
Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:
1) imię (imiona) i nazwisko;
2) imiona rodziców;
3) datę urodzenia;
4) miejsce zamieszkania (adres do korespondencji);
5) wykształcenie;
6) przebieg dotychczasowego zatrudnienia.
Pracodawca ma prawo żądać od pracownika podania, niezależnie od danych osobowych, o których mowa powyżej, także:
1) innych danych osobowych pracownika;
2) imion i nazwisk oraz dat urodzenia dzieci pracownika
– jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;
3) numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).
Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca ma również prawo żądać udokumentowania danych osobowych osób, o których mowa powyżej. Nadto należy zauważyć, że pracodawca może żądać podania także innych danych osobowych, jeżeli obowiązek ich podania wynika z odrębnych przepisów (przykładowo pracodawca może żądać przedstawienia zaświadczenia lekarskiego stwierdzającego brak przeciwwskazań do wykonywania pracy). Poza tym na podstawie art. 6 ust. 1 pkt 10 ustawy o Krajowym Rejestrze Karnym prawo do uzyskania informacji o osobach, których dane osobowe zgromadzone zostały w rejestrze, przysługuje pracodawcom, w zakresie niezbędnym dla zatrudnienia pracownika, co do którego z przepisów ustawy wynika wymóg niekaralności, korzystania z pełni praw publicznych, a także ustalenia uprawnienia do zajmowania określonego stanowiska, wykonywania określonego zawodu lub prowadzenia określonej działalności gospodarczej . W tym miejscu warto podkreślić, że Sąd Najwyższy orzekł, iż polecenie pracodawcy nakładające na pracownika obowiązek udzielenia informacji (danych osobowych) niewymienionych w art. 221 § 1 i 2 k.p. lub w odrębnych przepisach (art. 221 § 4 k.p.) jest niezgodne z prawem (art. 100 § 1 k.p.) i dlatego odmowa jego wykonania nie może stanowić podstawy rozwiązania umowy o pracę w trybie art. 52 § 1 pkt 1 k.p.
Należy również wyraźnie podkreślić, że pracodawca nie może żądać od kandydatki do zatrudnienia danych dotyczących ewentualnej ciąży. Żądanie tego typu informacji może zostać zakwalifikowane jako dyskryminacja osoby starającej się o zatrudnienie (art. 183a – 183e k.p.). Wyjątek stanowią przypadki, gdy kobieta stara się o zatrudnienie przy pracy wzbronionej kobietom w ciąży. W takiej sytuacji pracodawca powinien ustalić, czy kobieta ze względu na stan zdrowia może świadczyć określony rodzaj pracy.
Przepis art. 221 k.p. nie zawiera zatem katalogu zamkniętego, skoro pracodawca może żądać podania innych danych osobowych. Istotne jest natomiast, aby obowiązek podania dodatkowych danych osobowych wynikał wprost z przepisów prawa. Dotyczy to przepisów szczególnych (ustaw, rozporządzeń), które mogą nakładać taki obowiązek na osoby, które dopiero starają się o zatrudnienie.
Ustawodawca wyraźnie wskazał, że w zakresie nieuregulowanym w art. 221 k.p. do danych osobowych stosuje się przepisy ustawy o ochronie danych osobowych.
Warto podkreślić, że samo żądanie przez pracodawcę podania określonych danych osobowych nie stanowi jeszcze przetwarzania danych. W literaturze wskazuje się natomiast, iż na podstawie art. 221 k.p. pracodawca ma prawo przetwarzać uzyskane dane osobowe .
Ponadto art. 1 ust. 1 rozporządzenia Ministra Pracy i Polityki Socjalnej w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika normuje, że pracodawca może żądać od osoby ubiegającej się o zatrudnienie złożenia następujących dokumentów:
1) wypełnionego kwestionariusza osobowego dla osoby ubiegającej się o zatrudnienie;
2) świadectw pracy z poprzednich miejsc pracy lub innych dokumentów potwierdzających okresy zatrudnienia, obejmujących okresy pracy przypadające w roku kalendarzowym, w którym pracownik ubiega się o zatrudnienie;
3) dokumentów potwierdzających kwalifikacje zawodowe, wymagane do wykonywania oferowanej pracy;
4) świadectwa ukończenia gimnazjum – w przypadku osoby ubiegającej się o zatrudnienie w celu przygotowania zawodowego;
5) orzeczenia lekarskiego stwierdzającego brak przeciwwskazań do pracy na określonym stanowisku;
6) innych dokumentów, jeżeli obowiązek ich przedłożenia wynika z odrębnych przepisów.
Osoba ubiegająca się o zatrudnienie może dodatkowo przedłożyć dokumenty potwierdzające jej umiejętności i osiągnięcia zawodowe, świadectwa pracy z poprzednich miejsc pracy lub inne dokumenty potwierdzające okresy zatrudnienia, obejmujące okresy pracy przypadające w innym roku kalendarzowym niż rok, w którym pracownik ubiega się o zatrudnienie, oraz dokumenty stanowiące podstawę do korzystania ze szczególnych uprawnień w zakresie stosunku pracy.
Bez wątpienia pracownicy kadr i działów personalnych powinni dużą uwagę poświęcić odpowiedniemu przechowywaniu oraz zabezpieczaniu akt osobowych. Wskazane jest, aby administrator danych wyznaczył konkretną osobę (posiadającą odpowiednie upoważnienie) do nadzorowania prawidłowości zabezpieczania akt osobowych.
Wojewódzki Sąd Administracyjny w Warszawie orzekł, iż nie można przyjąć, że normy prawa pracy zapewniają dalej idącą ochronę informacji o pracowniku aniżeli ustawa o ochronie danych osobowych, gdyż to właśnie w świetle jej przepisów winna być prowadzona kontrola prawidłowości przetwarzania innych danych niż wymienione w art. 22 1 § 1–4 k.p. Jeśli chodzi o takie dane pracownika, jak linie papilarne czy wzór siatkówki oka, ich pobieranie, gromadzenie, czyli przetwarzanie – co do zasady – nie jest zabronione, lecz musi się odbywać z poszanowaniem przepisów ustawy o ochronie danych osobowych. Zdaniem sądu przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników są ich danymi osobowymi . Należy podkreślić, że dane biometryczne powinny być przetwarzane z dużą rozwagą. Potwierdził to Naczelny Sąd Administracyjny, który orzekł, że uznanie faktu wyrażenia przez pracownika zgody na przetwarzanie jego danych za okoliczność legalizującą pobranie od pracownika innych danych niż wskazane w art. 221 Kodeksu pracy stanowiłoby naruszenie tego przepisu Kodeksu pracy. Natomiast wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników jest nieproporcjonalne do zamierzonego celu ich przetwarzania w rozumieniu art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych .
Przypisy
Bibliografia
Lista publikacji dotycząca tematyki artykułu
1) J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, wydanie 4, Wydawnictwo Lex a Wolters Kluwer business, Kraków 2007.
2) A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Wydawnictwo Prawnicze LexisNexis, Warszawa 2008.
3) M. Kluska, G. Wanio, Ochrona danych osobowych w działach kadr. Odpowiedzi na 340 najtrudniejszych pytań, PRESSCOM, Wrocław 2013.
4) T. Cygan, M. Geilke, Polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym, PRESSCOM, Wrocław 2011.
5) ABC zasad kontroli przetwarzania danych osobowych, red. A. Kowalik, Wydawnictwo Sejmowe, Warszawa 2007.
Lista adresów internetowych dotycząca tematyki artykułu, [data odczytu z dnia 11.11.2013 r.]
1) http://www.giodo.gov.pl/ – strona zawiera informacje przydatne dla pracowników kadr i działów personalnych.
2) http://ochronadanychosobowych.info/ – strona zawiera szereg praktycznych porad związanych z ochroną danych osobowych.
3) http://www.giodo.gov.pl/473/id_art/1950/j/pl/ – środki bezpieczeństwa i narzędzia antyspamowe dostawców usług łączności elektronicznej – stan obecny i tendencje.
4) http://www.giodo.gov.pl/473/id_art/1944/j/pl/ – Poradnik dla użytkowników: Jak poszerzyć wiedzę o bezpieczeństwie informacji.
5) http://techinfo.giodo.gov.pl/ – ochrona prywatności w systemach teleinformatycznych.
1) J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, wydanie 4, Wydawnictwo Lex a Wolters Kluwer business, Kraków 2007.
2) A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Wydawnictwo Prawnicze LexisNexis, Warszawa 2008.
3) M. Kluska, G. Wanio, Ochrona danych osobowych w działach kadr. Odpowiedzi na 340 najtrudniejszych pytań, PRESSCOM, Wrocław 2013.
4) T. Cygan, M. Geilke, Polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym, PRESSCOM, Wrocław 2011.
5) ABC zasad kontroli przetwarzania danych osobowych, red. A. Kowalik, Wydawnictwo Sejmowe, Warszawa 2007.
Lista adresów internetowych dotycząca tematyki artykułu, [data odczytu z dnia 11.11.2013 r.]
1) http://www.giodo.gov.pl/ – strona zawiera informacje przydatne dla pracowników kadr i działów personalnych.
2) http://ochronadanychosobowych.info/ – strona zawiera szereg praktycznych porad związanych z ochroną danych osobowych.
3) http://www.giodo.gov.pl/473/id_art/1950/j/pl/ – środki bezpieczeństwa i narzędzia antyspamowe dostawców usług łączności elektronicznej – stan obecny i tendencje.
4) http://www.giodo.gov.pl/473/id_art/1944/j/pl/ – Poradnik dla użytkowników: Jak poszerzyć wiedzę o bezpieczeństwie informacji.
5) http://techinfo.giodo.gov.pl/ – ochrona prywatności w systemach teleinformatycznych.