Sformalizowane zasady przetwarzania danych osobowych, a w szczególności wynikające z nich ograniczenia i zakazy adresowane do administratorów, w stosunkach pracy dodatkowo ograniczone przedmiotowo (art. 221 k.p.), mogą stwarzać wrażenie, że administratorem zbioru danych pracowników jest, a przynajmniej powinna być komórka kadrowa pracodawcy, a nie on sam. Tak jednak nie jest – administratorem jest pracodawca.
Wgląd w sprawach służbowych
Wprawdzie dla wielu będzie to nazbyt oczywiste stwierdzenie, ale praktyka wskazuje, że jest inaczej. Do takiego wniosku doszedłem, gdy w pewnej firmie dostęp do określonych danych pracowników uzyskały zarówno osoby tradycyjnie prowadzące dokumentację w dziale HR, naliczające wynagrodzenia i świadczenia, jak i inne komórki organizacyjne oraz osoby, którym pewne informacje były po prostu potrzebne do decydowania czy wykonywania innych obowiązków związanych z zatrudnieniem. Zakres udostępnienia nie obejmował oczywiście pełnego katalogu danych z akt osobowych czy z innej dokumentacji pracowniczej. Dotyczył tylko wybranych zagadnień, np. poziomu wynagrodzenia czy dokonań zawodowych pracownika z przeszłości.
Jeden z pracowników ostro sprzeciwił się takiej praktyce. Stwierdził, że „jego dane osobowe powinny znajdować się w specjalnej szafie, do której dostęp mają tylko osoby pracujące w dziale HR, a nowemu szefowi nic do tego, jak np. ocenił go poprzedni kierownik".
Pracodawcy mają wątpliwości, czy taka praktyka nie narusza zasad udostępniania danych. Nie. I to z jednego podstawowego powodu. Nie jest to udostępnianie danych.
Wprawdzie słowniczek pojęć ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. DzU z 2014 r., poz. 1182, dalej: ustawa) nie określa „udostępniania danych", ale według powszechnie przyjętej w orzecznictwie i doktrynie wykładni przyjmuje się, że będziemy mieli z nim do czynienia wyłącznie wtedy, gdy odbiorcą danych jest inny ich administrator, a więc podmiot decydujący o celach i środkach przetwarzania danych osobowych.
Wniosek stąd płynący jest oczywisty. Przekazywanie danych osobowych pracowników w strukturze organizacyjnej pracodawcy nie stanowi ich udostępniania. To, że szef ma wejście do określonego katalogu informacji osobowych podwładnego, niezbędnych do prawidłowego zarządzania (np. o doświadczeniach zawodowych pracownika w związku z zamiarem powierzenia mu nowych obowiązków itp.), nie oznacza udostępnienia mu danych w rozumieniu ustawy. Szef nie jest bowiem administratorem danych osobowych pracownika.
Ważny cel przetwarzania
Przekazywanie różnych danych osobowych etatowca w strukturze organizacyjnej firmy nie pozwala na dowolność takich działań. Administrator, czyli pracodawca, w dalszym ciągu jest związany celem przetwarzania danych osobowych, którego zmiana jest dopuszczalna tylko na zasadach określonych w art. 26 ust. 2 ustawy. Dla zachowania własnego bezpieczeństwa roztropny administrator danych osobowych, jakim jest pracodawca, powinien przestrzegać zasady, aby dane pracowników, do których ma dostęp, w żadnym przypadku nie były wykorzystywane w innych celach niż ściśle związane z zatrudnieniem. To z kolei oznacza, że nie powinno mieć miejsca użycie ich do innych celów czy udostępnianie osobom trzecim, które nie mają uprawnień do wglądu. Czasami chodzi o zachowania z pozoru banalne, np. postępowanie z wiadomościami zawartymi w ewidencji czasu pracy etatowca. Z natury rzeczy ma do nich dostęp przełożony, z mocy prawa – pracownik, państwowy inspektor pracy i inne organy ochrony prawnej (sądy, prokuratura). Wszystkie inne podmioty mogą mieć tam wejście tylko za zgodą pracownika (oczywiście wyłączywszy tych, którzy z ramienia pracodawcy prowadzą taką ewidencję, naliczają wynagrodzenia itd.).
W dobie silnej ochrony danych osobowych, wzrastającej „wrażliwości" prawa na naruszanie dóbr osobistych pracowników (w szczególności prawa do prywatności) niedocenianie wagi tych z pozoru błahych problemów może zaowocować konfliktem o nieprzewidywalnych skutkach.
Zdaniem autora
Grzegorz Orłowski, radca prawny w spółce z o.o. Orłowski, Patulski, Walczak
Jeżeli pracodawca zgromadził określony zbiór danych osobowych swojej załogi, to jako jego administrator powinien zadbać o to, aby poza osobami prowadzącymi dokumentację pracowniczą (akta osobowe, ewidencje itd.) dostęp innych osób był ograniczony. Mogą one zajrzeć tylko do określonych kategorii informacji i to w takim zakresie, w jakim jest to niezbędne do prawidłowego wykonywania określonych obowiązków lub uprawnień pracodawcy.
