Ochrona danych osobowych w stosunkach pracy

W stosunkach pracy podstawę przetwarzania danych osobowych przede wszystkim stanowi Kodeks pracy, który różnicuje zakres informacji, których pracodawca będzie mógł żądać od kandydata do pracy i od pracownika.

Powyższy podział wiąże się z zasadą adekwatności danych do celu, jaki chce osiągnąć podmiot przetwarzający dane osobowe, dlatego też zakres informacji, których pracodawca może zażądać od pracownika, jest szerszy niż zakres informacji pozyskiwany od kandydata do pracy (art. 22¹ § 1 i 2 k.p.).

Udostępnienie danych osobowych, o których mowa wyżej, następuje w formie oświadczenia odpowiednio kandydata do pracy lub pracownika (np. w kwestionariuszu osobowym). Pracodawca ma jednak prawo żądać udokumentowania tych danych (art. 22¹ § 3 k.p.).

Określenie przez pracodawcę minimalnego zakresu danych osobowych może nastąpić na podstawie rozporządzenia MPiPS w sprawie prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych, w którym zawarte zostały wzory kwestionariuszy osobowych.

Zastosowanie kwestionariuszy osobowych, stanowiących załącznik do wyżej wymienionego rozporządzenia, nie stwarza dla pracodawcy zagrożenia, że pozyska zbyt szeroki zakres danych, do których przetwarzania nie będzie uprawniony. Pracodawcy, którzy opracowują własne kwestionariusze, a pytania w nich zawarte wykraczają poza ramy ustawowe, powinni wyraźnie zaznaczyć, które dane są obowiązkowe (na podstawie ustawy), a które odpowiedzi podawane są przez pracownika na zasadzie dobrowolności.

Dane wrażliwe

Pozyskując dane osobowe kandydatów i pracowników, pracodawca musi pamiętać, że przetwarzanie niektórych danych, tzw. wrażliwych, co do zasady jest zabronione przez ustawę o ochronie danych osobowych. Do danych tych należą dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące karania wyrokami sadowymi, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym (art. 27 ustawy).

W niektórych przypadkach pracodawca ma prawo żądać przedłożenia zaświadczenia dotyczącego karalności. Prawo to dotyczy tylko tych przypadków, które wprost przewidziane są w ustawach (art. 22¹ § 4 k.p. i art. 27 ust. 2 pkt 2 ustawy).

Na przykład pracodawca będzie mógł żądać od kierowców zatrudnianych w transporcie drogowym zaświadczenia o niekaralności za przestępstwa:

• karne skarbowe,

• przeciwko bezpieczeństwu w komunikacji,

• mieniu,

• obrotowi gospodarczemu,

• wiarygodności dokumentów,

• ochronie środowiska,

• warunkom pracy i płacy,

• innym przepisom dotyczącym wykonywania zawodu,

• przestępstwa przeciwko życiu i zdrowiu,

• przeciwko wolności seksualnej i obyczajności.

Pozostałe dane niewymienione w Kodeksie pracy i innych ustawach pracodawca pozyskuje za zgodą pracownika, która powinna być wyrażona na piśmie.

Zasady przetwarzania i ochrony danych osobowych

Przetwarzając dane osobowe, pracodawca ma obowiązek stosowania zasad określonych w ustawie o ochronie danych osobowych, którą stosuje się do przetwarzania danych osobowych w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych oraz w systemach informatycznych, także w przypadku gdy dane osobowe przetwarzane są poza zbiorem (art. 2 ust. 1 ustawy). Przepis ten odnosi się zarówno do danych osobowych przetwarzanych ręcznie (np. akta osobowe pracowników), jak i automatycznie (w systemach komputerowych).

Pracodawca, będąc podmiotem przetwarzającym dane osobowe pracowników, staje się administratorem tych danych, czyli podmiotem decydującym o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 ustawy).

Podstawowym obowiązkiem pracodawcy jako administratora danych jest stosowne zabezpieczenie przetwarzanych danych, czyli m.in. obowiązek stosowania środków technicznych i organizacyjnych, które zapewnią ochronę przetwarzanych danych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną.

Szczególną uwagę należy zwrócić na zabezpieczenie danych przed:

• udostępnieniem ich osobom nieupoważnionym,

• zabraniem przez osobę nieuprawnioną,

• przetwarzaniem z naruszeniem ustawy oraz

• zmianą, utratą, uszkodzeniem lub zniszczeniem danych (art. 36 ust. 1 ustawy).

Administrator bezpieczeństwa informacji

Pracodawca ma również obowiązek prowadzić dokumentację, w której opisany zostanie sposób przetwarzania danych osobowych oraz zastosowane środki techniczne i organizacyjne do ich zabezpieczenia.

Ponadto pracodawca zobowiązany jest do wyznaczenia administratora bezpieczeństwa informacji, którego zadaniem jest nadzór nad przestrzeganiem zasad ochrony danych osobowych w przedsiębiorstwie (w tym danych osobowych pracowników). Pracodawca nie będzie miał obowiązku wyznaczania administratora bezpieczeństwa informacji wówczas, gdy sam zdecyduje się wykonywać jego czynności (art. 36 ust. 2 ustawy).

Nie wolno zapominać, że do przetwarzania danych osobowych pracowników mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez pracodawcę. Upoważnienie to należy zarejestrować w prowadzonej w tym celu ewidencji (art. 37 i 39 ustawy).

Beata Naróg 

Podstawa prawna:

• ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.),

• rozporządzenie MPiPS z 28 maja 1996 r. w sprawie prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych, w którym zawarte zostały wzory kwestionariuszy osobowych (DzU nr 62, poz. 286 ze zm.).