Gromadzone przez firmę dane osobowe muszą być zawsze bezpieczne

O bezpieczeństwie danych osobowych słyszy się wiele. Prawo do ich ochrony ma każdy człowiek. To element prawa do własnej prywatności, czyli do tego, aby móc – w miarę możliwości – pozostać anonimowym, jeśli tego sobie życzymy, oraz aby móc samemu decydować o tym, jakie informacje o nas można udostępnić osobom trzecim. Jednak udostępniania danych pozwalających na naszą identyfikację nie da się uniknąć. Tak też jest w stosunkach pracowniczych.

Pracodawca musi bowiem prowadzić i przechowywać dokumentację związaną ze stosunkiem pracy oraz akta osobowe osób zatrudnionych. Powinien tego dokonywać w warunkach niegrożących uszkodzeniem lub zniszczeniem. Jest to jeden z jego podstawowych obowiązków. Wynika on z art. 94 pkt 9a i 9b [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=B5E347C50E4D2860978BAD3D891C7A48?n=1&id=76037&wid=337521]kodeksu pracy[/link].

Niewywiązanie się z tego obowiązku jest zagrożone karą grzywny, która może wynosić nawet 30 tys. zł. Będzie to zgodne z art. 281 pkt 7 k.p.

[srodtytul]Zbieranie to przetwarzanie[/srodtytul]

Operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, określane są jako ich przetwarzanie.

Zasady i tryb gromadzenia oraz udostępniania informacji określa przede wszystkim [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=F12DD18EDCEB46EB16D33D1DA65DFF5D?id=166335]ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. DzU z 2002 r. nr 101, poz. 926 ze zm.[/link]; dalej ustawa).

Zgodnie z tą regulacją przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą.

W stosunkach pracowniczych administratorem danych osobowych jest pracodawca. To on decyduje o celach i środkach przetwarzania danych. Tym samym wypełnia definicję administratora danych wynikającą z ustawy, zgodnie z którą przez administratora danych rozumie się organ, jednostkę organizacyjną, podmiot lub osobę decydujące o celach i środkach przetwarzania danych osobowych.

Także [b]NSA w wyroku z 30 stycznia 2002 r. (II SA 1098/01)podkreślił, że administratorem danych osobowych nie jest każdy dysponent tych danych[/b] , ale tylko ten, kto decyduje o celach i środkach ich przetwarzania.

[srodtytul]Nie wszystko można[/srodtytul]

Pracodawca jako administrator danych osobowych może zbierać tylko takie informacje, na jakie zezwalają przepisy, i ujawniać je jedynie w przypadkach w przepisach określonych. Zgodnie z art. 22[sup]1[/sup] k.p. pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:

- imię (imiona) i nazwisko,

- imiona rodziców,

- datę urodzenia,

- miejsce zamieszkania (adres do korespondencji),

- wykształcenie,

- przebieg dotychczasowego zatrudnienia.

Natomiast od pracownika może jeszcze żądać (poza wymienionymi) także innych danych osobowych pracownika oraz imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy (np. dni wolnych na opiekę nad dzieckiem, urlopu macierzyńskiego czy wychowawczego); numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).

[srodtytul]Liczne obowiązki[/srodtytul]

Z przetwarzaniem danych wiążą się liczne obowiązki dla ich administratora. Jednym z nich jest konieczność uzyskania zgody na przetwarzanie danych osobowych od osoby, której dane dotyczą (przygotowując formularz danych, jakie pracodawca chce uzyskać od potencjalnego albo swojego obecnego pracownika, musi pamiętać o zamieszczeniu stosownej klauzuli w tym przedmiocie.

Obowiązek uzyskania zgody nie zawsze jest jednak wymagany. Może wynikać wprost z przepisów ustawy, jak ma to miejsce w przypadku wspomnianego art. 22[sup]1[/sup] k.p., stanowiącego przepis szczególny. W tym przypadku od osoby, której dane dotyczą, nie wymaga się dodatkowego oświadczenia o wyrażeniu zgody na przetwarzanie danych osobowych.

Przyjmuje się, że przepis stanowi samodzielną podstawę do przetwarzania danych kandydatów do pracy. Już samo przesłanie dokumentów przez kandydata jest uznawane za zgodę na przetwarzanie dotyczących go danych na potrzeby niezbędne do celów rekrutacji).

W praktyce jednak dla bezpieczeństwa pracodawcy proszą o wyrażenie przez kandydatów pisemnej zgody na przetwarzanie ich danych osobowych. Administrator ma też obowiązek informowania o swoim adresie i siedzibie, o celu zbierania danych, prawie dostępu do treści swoich danych i możliwości ich poprawiania. Na tym nie koniec.

Powinien także zachować szczególną staranność przy przetwarzaniu danych. Chodzi o to, że [b]dane powinny być zbierane zgodnie z zasadą adekwatności[/b], czyli nie mogą być przetwarzane poza zakres, jaki jest niezbędny do ich prawidłowego wykorzystania. Zadaniem administratora jest też zabezpieczenie danych, np. przed udostępnieniem ich osobom nieupoważnionym, zabraniem czy przetwarzaniem z naruszeniem ustawy.

[ramka][b]Nie tylko imię i nazwisko[/b]

Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Osobą możliwą do zidentyfikowania jest ta, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.[/ramka]