Akta osobowe i inne dokumenty pracownicze, którymi na co dzień zajmuje się pracownik działu kadr, stanowią zbiór danych osobowych. Według ustawy o ochronie danych osobowych (tekst jednolity DzU z 2002 r. nr 101, poz. 926 ze zm., dalej ustawa) ich administratorem jest pracodawca, a praca specjalisty ds. personalnych polega na przetwarzaniu tych danych. Są to jakiekolwiek operacje wykonywane na danych, jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Pracodawca nie musi zgłaszać zbioru danych do rejestracji generalnemu inspektorowi ochrony danych osobowych (art. 43 ust. 1 pkt 4 ustawy), ale ciąży na nim obowiązek wydania pracownikowi działu kadr upoważnienia i wpisania go do odpowiedniej ewidencji. Co prawda właściciel firmy będący pracodawcą został zwolniony z wymogu zgłoszenia zbioru danych osobowych swoich pracowników do rejestru GIODO, ma jednak zapewnić ich prawidłowe przetwarzanie i zagwarantować bezpieczeństwo.
W tym celu powinien zapoznać się z rozporządzeniem ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU nr 100, poz. 1024) wraz z załącznikiem opisującym poziomy bezpieczeństwa w firmie.
Rozporządzenie przewiduje obowiązek sporządzenia i prowadzenia określonej dokumentacji. Znajduje się tam też upoważnienie do przetwarzania danych. Ma być tam również ewidencja osób upoważnionych do przetwarzania danych osobowych, a więc wykaz osób dopuszczonych przez pracodawcę do przetwarzania danych osobowych pracowników.
Administrator danych, czyli pracodawca, powinien wskazać w tym dokumencie imię i nazwisko kadrowej, która zajmuje się sprawami pracowniczymi w firmie. Przetwarza ona dane osobowe pracowników w imieniu pracodawcy. Pamiętajmy, aby koniecznie wskazać dzień – datę nadania upoważnienia oraz wygaśnięcia uprawnienia do przetwarzania danych osobowych. Ponadto ewidencję musi podpisać administrator danych osobowych.
Dane pracowników przetwarzane są zazwyczaj w systemie informatycznym, dlatego w ewidencji wskazuje się również login – nazwę użytkownika, pod jaką figuruje w systemie, w którym przetwarza się dane.
Pani Joanna jako specjalistka działu kadr spółki z ograniczoną odpowiedzialnością codziennie sporządza dokumentację zawierającą dane osobowe pracowników spółki. To na niej ciąży obowiązek prowadzenia akt osobowych załogi oraz wstępnego analizowania CV kandydatów na pracowników. Przygotowuje też formularze umów o pracę oraz inne dokumenty dla pracowników, wystawia zaświadczenia o zarobkach oraz świadectwa pracy, a te dokumenty przedstawia zarządowi spółki. Większość danych osobowych pracowników firmy jest zapisanych w systemie informatycznym, do którego dostęp ma pani Joanna oraz członkowie zarządu. Do tego systemu kadrowa loguje się własnym loginem zabezpieczonym hasłem.
Kadrowa musi więc mieć pisemne i imienne upoważnienie do przetwarzania danych osobowych pracowników. Ponadto pracodawca powinien przygotować tzw. indywidualny zakres obowiązków osób uprawnionych do przetwarzania danych osobowych. W dokumencie tym opisuje się, jakie obowiązki i uprawnienia będzie miała osoba upoważniona do przetwarzania danych osobowych załogi, a więc w naszym przykładzie pani Joanna.
Autor jest aplikantem adwokackim w Kancelarii Adwokata Czesława Tica w Tychach
