Jan Kowalski mieszka w Katowicach przy ulicy Pięknej 15. To zdanie zawiera imię, nazwisko i adres zamieszkania – a to już, jak zapewne każdy wie, dane osobowe. Z mocy prawa podlegają one ochronie. Strzeże ich bowiem [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=8BD1ACA7EB3BC54282553B44781BB554?id=166335]ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. DzU z 2002 r. nr 101, poz. 926 ze zm.)[/link].

Czy takie wiadomości są zawsze pod parasolem prawa? Nie. Co zatem wchodzi w zakres pojęcia dane osobowe? Kto ma ich chronić? Kiedy wolno przetwarzać dane?

[srodtytul]NIP i PESEL, kolor oczu[/srodtytul]

Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. A taką możliwą do rozpoznania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny (jak NIP czy PESEL) albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.[b] Przy czym informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.[/b]

Dane osobowe mogą być pożądaną informacją dla różnych firm, które będą usiłowały sprzedać swoje produkty, czy też dla wierzycieli, którzy ścigają ukrywającego się dłużnika. Czasem to żona nie może odnaleźć męża, który zniknął gdzieś i nie chce płacić alimentów. Kopalnią danych może być pracodawca. Przez co staje się źródłem, do którego po informacje zgłaszają się różne podmioty.

Nie ulega bowiem wątpliwości, że ze względów formalnych pracodawca musi wiedzieć, jak nazywa się jego pracownik, gdzie mieszka, kiedy się urodził, a także jaki numer identyfikacji podatkowej posiada. Ma też zgodnie z art. 22[sup]1[/sup] § 1 kodeksu pracy żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:

- imię (imiona) i nazwisko,

- imiona rodziców,

- datę urodzenia,

- miejsce zamieszkania (adres do korespondencji),

- wykształcenie,

- przebieg dotychczasowego zatrudnienia.

Co więcej, gdy kandydat staje się już pracownikiem, to firma ma prawo żądać od niego podania, niezależnie od wymienionych danych osobowych, także:

- innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez zatrudnionego ze szczególnych uprawnień przewidzianych w prawie pracy (np. z urlopu macierzyńskiego czy wychowawczego – tu potrzebne mogą być dane dotyczące dziecka i drugiego rodzica; czy ze świadczeń z zakładowego funduszu socjalnego),

- numeru PESEL.

Pracodawca może żądać podania jeszcze innych danych osobowych, jeżeli obowiązek ich podania wynika z odrębnych przepisów. Tak może być, gdy zatrudniana będzie osoba wykonująca zawód wymagający np. szczególnych uprawnień.

[srodtytul]Wolnomyśliciel z nałogami[/srodtytul]

Szef z reguły pozyskuje tzw. dane zwykłe, czyli np. adres zamieszkania, datę urodzenia. Jednakże pracodawcy mogą wejść w posiadanie także informacji określanych jako wrażliwe, których przetwarzanie co do zasady jest zabronione. Do takich ustawa o ochronie danych osobowych zalicza: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące orzeczeń o ukaraniu i mandatach karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Pracodawca jest administratorem danych. W związku z tym odpowiada przede wszystkim za legalność ich przetwarzania. Zgodnie z art. 23 ust. 1 ustawy o ochronie danych osobowych przetwarzanie danych jest dopuszczalne tylko w razie zaistnienia jednej z poniższych przesłanek:

- osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

- jest to niezbędne dla realizacji uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

- jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

- jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów przez administratorów danych albo odbiorców danych, z zastrzeżeniem, że przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.

[srodtytul]Zgłoszenia do urzędów[/srodtytul]

Pracodawca, będąc w posiadaniu danych osobowych pracowników, musi się nimi dzielić z niektórymi urzędami. Tak będzie z wiadomościami dotyczącymi każdej zatrudnianej osoby. Takie przekazywanie informacji jest niezbędne dla spełnienia obowiązku wynikającego z przepisu prawa, czyli w zgodzie z art. 23 ust. 2 ustawy o ochronie danych osobowych.

[b]Pracodawca jako płatnik składek na ubezpieczenia społeczne oraz zdrowotne ma obowiązek zgłosić swojego nowo zatrudnionego pracownika do ZUS i odprowadzać za niego odpowiednie składki.[/b] Tak wynika z art. 17 ust. 2 i art. 46 [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=EDB8AA6AE4E3616B4BC8B3CA70E59852?id=184677]ustawy z 13 października 1998 r. o systemie ubezpieczeń społecznych (tekst jedn. DzU z 2007 r. nr 11, poz. 74 ze zm.)[/link].

Zgłoszenia dokonuje na formularzu ZUS ZUA w terminie siedmiu dni od daty powstania obowiązku ubezpieczenia, czyli od daty zatrudnienia. Pracownik podlega wszystkim ubezpieczeniom obowiązkowo – od momentu nawiązania stosunku pracy do daty jego ustania. Z tego względu pracodawca powinien zgłosić pracownika do ubezpieczenia emerytalnego, rentowego, chorobowego, wypadkowego oraz do ubezpieczenia zdrowotnego. Pracodawca zobowiązany jest także do opłacania składek na Fundusz Pracy oraz Fundusz Gwarantowanych Świadczeń Pracowniczych.

Do obowiązków pracodawcy należy nie tylko zgłoszenie pracownika do ubezpieczeń, ale także comiesięczne obliczanie, potrącanie, rozliczanie oraz wpłacanie składek na odpowiednie konto w ZUS. Ponadto[b] co miesiąc musi przesłać do ZUS odpowiednią deklarację rozliczeniową wraz z imiennymi raportami miesięcznymi. [/b]Wszystko to ma zrobić w terminie do 15. dnia następnego miesiąca.

W przypadku zmiany bądź korekty danych ubezpieczonego pracodawca powinien również w terminie siedmiu dni od daty zaistnienia tych zmian lub wykrycia błędu dokonać stosownej zmiany czy korekty zgłoszenia. Zmiany lub korekty danych osoby ubezpieczonej zgłasza się na formularzu ZUS ZUA. Natomiast formularz ZUS ZIUA wypełnia się w przypadku, gdy uległy zmianie lub wymagają korekty dane identyfikacyjne ubezpieczonego (tj. PESEL, NIP, seria i numer dowodu osobistego albo paszportu, nazwisko, imię pierwsze, data urodzenia), podane w bloku III formularza ZUS ZUA. W przypadku rozwiązania umowy o pracę, a więc wygaśnięcia tytułu do ubezpieczeń społecznych i zdrowotnych – pracodawca powinien w terminie siedmiu dni od daty zaistnienia tego faktu wyrejestrować byłego pracownika z ZUS. Robi to na formularzu ZUS ZWUA.

Pracodawca to także płatnik podatku dochodowego. Z tego tytułu musi obliczać i pobierać zaliczki na podatek dochodowy od osób fizycznych i wpłacać go we właściwym terminie organowi podatkowemu. Co roku ma w związku z tym m.in. obowiązek składania formularza PIT – 4 R – deklaracji rocznej o pobranych zaliczkach.

[srodtytul]Możliwa kontrola[/srodtytul]

[b]ZUS i skarbówka to urzędy, z którymi każdy pracodawca będzie się kontaktował i przekazywał informacje o przyjętych do firmy pracownikach. Może też spodziewać się z ich strony kontroli. Z wizytą zawitać mogą także Państwowa Inspekcja Pracy czy Państwowa Inspekcja Sanitarna. Te organy są także zawiadamiane o zatrudnianiu osób w firmie. Gdy pracodawca rekrutuje obcokrajowca, musi się liczyć ze spotkaniem z przedstawicielami Straży Granicznej i Służby Celnej.[/b] Oni także, sprawdzając legalność zatrudnienia, żądają informacji zawierających dane osobowe pracowników.

Wszystko jednak zawsze odbywa się w granicach obowiązujących przepisów. Podczas takich wizyt kontrolerzy będą bowiem mogli żądać określonych informacji, w tym i dokumentów zawierających dane osobowe pracowników. Jakich?

Przykładowo, zgodnie z [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=55A12FB2446443933D11D86E1FEFD20D?id=185688]ustawą z 13 kwietnia 2007 r. o Państwowej Inspekcji Pracy (DzU nr 89, poz. 589 ze zm.)[/link] postępowanie kontrolne ma na celu ustalenie stanu faktycznego w zakresie przestrzegania prawa pracy, w szczególności przepisów i zasad BHP, a także przepisów dotyczących legalności zatrudnienia oraz udokumentowanie dokonanych ustaleń.[b] W toku postępowania kontrolnego inspektor pracy ma m.in. prawo:

- żądania przedłożenia akt osobowych i wszelkich dokumentów związanych z wykonywaniem pracy przez pracowników [/b]lub osoby świadczące pracę na innej podstawie niż stosunek pracy;

- sprawdzania tożsamości osób wykonujących pracę lub przebywających na terenie podmiotu kontrolowanego, ich przesłuchiwania i żądania oświadczeń w sprawie legalności zatrudnienia lub prowadzenia innej działalności zarobkowej.

W przypadku kontroli przetwarzanie danych jest także dozwolone w myśl art. 23 ustawy o ochronie danych osobowych. Zgoda pracownika na to, czy inspektor będzie mógł zapoznać się z informacjami na jego temat, nie jest potrzebna.

[srodtytul]Gdy zapuka komornik[/srodtytul]

Czasem zdarza się, że do pracodawcy zgłasza się komornik, żądając informacji niezbędnych do prowadzenia egzekucji od zadłużonego pracownika. Najczęściej pyta o adres dłużnika, zarobki, numery kont bankowych, gdzie znajduje się należąca do dłużnika nieruchomość lub samochód. Pozwala mu na to art. 761 § 1 kodeksu postępowania cywilnego (k.p.c.).

Komornik może pytać pracodawcę o dane osobowe pracownika wtedy, gdy wierzyciel nie zdołał zebrać informacji potrzebnych do wszczęcia lub prowadzenia egzekucji. Nie ma tu znaczenia, czego dotyczy sprawa – alimenty, kredyt czy pożyczka z banku.

Do takich sytuacji dochodzi, gdy komornik nie może liczyć na współpracę dłużnika, a wierzyciel nie jest w stanie wskazać przedmiotów nadających się do egzekucji. Pracodawca nie będzie mógł odmówić udostępnienia żądanych przez komornika informacji, powołując się na ochronę danych osobowych.

Komornik jest bowiem specyficznym odbiorcą danych osobowych. A zgodnie z ustawą o ochronie danych osobowych nim nie jest. Dlaczego? Jest to organ egzekucji sądowej i jako taki ma prawo otrzymać dane osobowe w związku z prowadzonym postępowaniem.

Zgodnie z art. 759 § 1 k.p.c. czynności egzekucyjne są wykonywane przez komorników, z wyjątkiem czynności zastrzeżonych dla sądów.[b] Organ egzekucyjny może żądać od uczestników postępowania złożenia wyjaśnień [/b]oraz zasięgać od organów administracji publicznej, organów wykonujących zadania z zakresu administracji publicznej, organów podatkowych, organów rentowych, banków, spółdzielczych kas oszczędnościowo-kredytowych, przedsiębiorstw maklerskich, organów spółdzielni mieszkaniowych, zarządów wspólnot mieszkaniowych oraz innych podmiotów zarządzających mieszkaniami i lokalami użytkowymi, jak również innych instytucji i osób nieuczestniczących w postępowaniu informacji niezbędnych do prowadzenia egzekucji.

[srodtytul]Zdrowie niepełnosprawnego[/srodtytul]

Zakłady zatrudniające pracowników niepełnosprawnych, którzy korzystają z pomocy indywidualnej czy indywidualnego programu rehabilitacji, mają obowiązek przekazywania szczegółowych danych dotyczących takich osób do Państwowego Funduszu Rehabilitacji Osób Niepełnosprawnych. Aby bowiem niepełnosprawny uzyskał wsparcie, musi złożyć wniosek, który zawiera m.in. oświadczenie o dochodzie i liczbie członków rodziny pozostających we wspólnym gospodarstwie domowym, ale i niejednokrotnie informacje medyczne dotyczące niepełnosprawności i schorzeń.

[b]Podczas kontroli zarówno PFRON, jak i urzędy skarbowe (badające sposób wydatkowania środków z funduszu rehabilitacji) żądają danych pracowników.[/b] Informacje takie, w tym te o zdrowiu, należą co prawda do danych wrażliwych, ale o ile ma to związek z przedmiotem kontroli i jest dla niej niezbędne, jest zgodne z prawem i nie narusza ochrony danych osobowych. [b]Potwierdził to generalny inspektor danych osobowych w piśmie z 5 maja 2008 r. (DOLiS – 035-541/08). [/b]

[ramka][b]Uwaga [/b]

Pracodawca jako administrator danych osobowych przetwarza dane osobowe pracownika lub osoby ubiegającej się o zatrudnienie na podstawie szczególnego przepisu prawa, jakim jest art. 22[sup]1[/sup] k.p., a więc przy spełnieniu przesłanki określonej w art. 23 ust. 1 pkt 2 ustawy ochronie danych osobowych. Wobec tego zgoda pracownika czy kandydata do pracy jest w tym przypadku zbędna.[/ramka]

[ramka][b]Ważne [/b]

Komornik, któremu udostępnia się dane osobowe jako organowi postępowania egzekucyjnego, nie jest odbiorcą danych w rozumieniu ustawy o ochronie danych osobowych (jest organem państwowym), a w związku z tym administrator danych – pracodawca, nie ma obowiązku informowania pracownika (dłużnika) o udostępnieniu danych temu podmiotowi.[/ramka]

[ramka][b]Upoważnienie dla kadrowej[/b]

[b]Art. 37 ustawy o ochronie danych osobowych przewiduje, że do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.[/b]

Przepis ten nie przewiduje żadnych wyłączeń. Dlatego obowiązek nadania specjalnego upoważnienia dotyczy wszystkich grup pracowników, o ile tylko ich praca związana jest z wykorzystywaniem danych osobowych. To samo odnosi się do obowiązku prowadzenia ewidencji osób upoważnionych do przetwarzania danych, która zawiera imiona i nazwiska osób upoważnionych, daty nadania i ustania upoważnienia, zakres upoważnień oraz identyfikatory dotyczące tych osób, które dopuszczone zostały do przetwarzania danych w systemie informatycznym.

Oznacza to, że pracownicy działów kadr muszą posiadać stosowne upoważnienia do przetwarzania danych oraz być uwzględnieni w ewidencji osób upoważnionych prowadzonej przez administratora danych. [/ramka]

[ramka][b]Z orzecznictwa[/b]

Każda z okoliczności usprawiedliwiających przetwarzanie danych wrażliwych ma charakter autonomiczny i niezależny. Jedną z okoliczności legalizujących przetwarzanie wrażliwych danych osobowych stanowi zezwalający odpowiedni przepis szczególny innej ustawy. [b]Potwierdził to wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 11 września 2006 r. (II SA/Wa 9/06)[/b]. [/ramka]

masz pytanie, wyślij e-mail do autorki [mail=s.gortynska@rp.pl]s.gortynska@rp.pl[/mail]