Co grozi za bezprawne przetwarzanie danych osobowych podczas rekrutacji

Na podstawie art. 221 § 1 k.p. szef ma prawo żądać od osoby ubiegającej się o etat podania danych osobowych obejmujących:

1) imię (imiona) i nazwisko,

2) imiona rodziców,

3) datę urodzenia,

4) ?miejsce zamieszkania (adres do korespondencji),

5) wykształcenie,

6) ?przebieg dotychczasowego zatrudnienia.

Po zawarciu umowy o pracę ten katalog rozszerza się o inne dane osobowe pracownika, ?a także imiona i nazwiska oraz daty urodzenia jego dzieci, jeżeli podanie takich informacji jest konieczne, aby etatowiec korzystał ze szczególnych uprawnień przewidzianych w prawie pracy, oraz numer PESEL.

Nic ponad kodeks

Pracodawcy nie wolno domagać się podania innych danych niż wynika z przepisów. Pracownik nie może więc ponosić negatywnych konsekwencji odmowy przekazania dalszych informacji. Potwierdził to Sąd Najwyższy w wyroku ?z 5 sierpnia 2008 r. (I PK 37/08). Wskazał, że polecenie szefa nakładające na pracownika obowiązek udzielenia informacji (danych osobowych) niewymienionych w art. 221 § 1 i 2 k.p. lub w odrębnych przepisach (art. 221 § 4 k.p.) jest niezgodne z prawem (art. 100 § 1 k.p.). Dlatego odmowa jego wykonania nie może stanowić podstawy rozwiązania angażu w trybie art. 52 § 1 pkt 1 k.p.

Uzasadniona potrzeba

Niekiedy podanie innych danych niż te wskazane ?w art. 221 k.p. może wynikać ze szczególnych potrzeb pracodawcy, np. w zakresie bezpieczeństwa. Ważne jest, aby potrafił uzasadnić, dlaczego chce przetwarzać więcej takich informacji. W wyroku z 1 grudnia 2009 r. (I OSK 249/09) Naczelny Sąd Administracyjny wskazał, że wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników jest nieproporcjonalne do zamierzonego celu ich przetwarzania ?w rozumieniu art. 26 ust. 1 pkt 3 ustawy z 29 sierpnia 1997 r. ?o ochronie danych osobowych (tekst jedn. DzU z 2002 r. nr 101, poz. 926 ze zm., dalej ustawa). Ponadto uznanie faktu wyrażenia przez pracownika zgody na przetwarzanie jego danych (art. 23 ust. 1 pkt 1 ustawy) za okoliczność legalizującą pobranie od niego innych niż wskazane w art. 221 k.p. naruszałoby ten przepis kodeksowy.

Tu należy wyjaśnić, że większość administratorów danych osobowych musi rejestrować zbiory danych. Na podstawie art. 43 ust. 1 pkt 4 ustawy pracodawcy są zwolnieni z tego wymogu. Nie zmienia to faktu, że pracownicy (najczęściej ?z działu kadr czy księgowości) powinni dysponować odpowiednim upoważnieniem wydanym przez pracodawcę. Zgodnie bowiem z art. 37 ustawy do przetwarzania danych wolno dopuścić wyłącznie osoby mające upoważnienie nadane przez administratora danych, którym jest pracodawca. Dodatkowo musi on prowadzić ewidencję osób upoważnionych do przetwarzania danych, która powinna zawierać:

- ?imię i nazwisko osoby upoważnionej,

- ?datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,

- ?identyfikator, jeżeli dane przetwarza się w systemie informatycznym.

W teczkach

Pracownik udostępnia swoje dane osobowe w formie własnego oświadczenia. Szef ma prawo żądać ich udokumentowania. Na mocy ?§ 1 ust. 3 rozporządzenia ministra pracy i polityki socjalnej z 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (DzU nr 62, poz. 286 ze zm.) zatrudniający przechowuje w aktach osobowych etatowca odpisy lub kopie składanych dokumentów. Pracodawcy wolno domagać się od podwładnego przedłożenia oryginałów tych dokumentów tylko do wglądu lub sporządzenia ich odpisów albo kopii. Gdy zgubi papiery, etatowiec może żądać odszkodowania. Roszczenie o naprawienie szkody wyrządzonej przez zakład wskutek niezwrócenia pracownikowi dokumentów złożonych przez niego w związku ze stosunkiem pracy nie powinno być wyższe niż takie samo roszczenie związane z niewydaniem świadectwa pracy albo opinii. Nie przekroczy zatem wynagrodzenia za czas pozostawania bez pracy dłuższy niż 6 tygodni (art. 99 § 2 k.p.). Tak uznał SN w wyroku z 22 listopada 1990 r. ?(I PR 362/90).

Autor jest adwokatem

Surowe sankcje

Zgodnie z art. 49 ust. 1 ustawy ten, kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia albo pozbawienia wolności do lat dwóch. Surowsza odpowiedzialność, tj. kara grzywny, ograniczenia albo pozbawienia wolności do lat trzech, grozi pracodawcy, który bez uprawnienia będzie przetwarzał dane wrażliwe, czyli ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym. Przestępstwo to ma charakter formalny, nie jest więc konieczne, aby wystąpił negatywny skutek (szkoda) w związku z przekroczeniem uprawnień przez pracodawcę. Ponadto pracodawca, zarówno na etapie rekrutacji, jak i w czasie zatrudnienia, zbierając dane, do których nie ma uprawnienia, może zostać posądzony o naruszenie zasady równego traktowania w zatrudnieniu. Osoba, wobec której złamał tę zasadę, ma prawo do odszkodowania nie niższego niż minimalne wynagrodzenie za pracę (art. 183d k.p.).