Zatrudniając pracowników, pracodawca pozyskuje, a następnie przetwarza ich dane osobowe. Tym samym staje się ich administratorem i musi m.in. tak je chronić, aby nieupoważnione osoby nie miały do nich dostępu.
Nadmiar danych
Częstym błędem popełnianym przez pracodawców jest domaganie się zarówno od kandydatów do pracy, jak i od pracowników nadmiaru informacji. Zgodnie z art. 221 § 1 k.p. od ubiegającego się o etat wolno żądać podania danych osobowych obejmujących:
- imię (imiona),
- nazwisko,
- imiona rodziców,
- datę urodzenia,
- miejsce zamieszkania (adres do korespondencji),
- wykształcenie oraz
- przebieg dotychczasowego zatrudnienia.
Niedopuszczalne, choć bardzo często stosowane, jest kopiowanie dowodu osobistego kandydata na pracownika, gdyż zawiera on więcej informacji, niż prawo zezwala uzyskać.
U osoby już zatrudnionej zakres danych osobowych, które pracodawca może poznać, jest nieco szerszy. Oprócz wskazanych pracownik powinien podać imiona i nazwiska jego dzieci, ich daty urodzenia (dzięki czemu etatowcy mogą skorzystać z przysługujących uprawnień rodzicielskich) oraz numer PESEL.
Zatem ani od pracownika, ani od kandydata na pracownika szef nie może żądać innych danych. Wyjątek dotyczy ich podania, gdy taki wymóg wynika z odrębnych przepisów.
Przyszłym pracodawcom zdarzają się też prośby, aby kandydaci ujawnili np. nazwisko rodowe matki czy swoje zdjęcie. Zgodnie ze stanowiskiem generalnego inspektora ochrony danych osobowych dobrowolne udostępnienie przez pracownika dodatkowych informacji legalizuje przetwarzanie tych danych przez pracodawcę. GIODO wskazał jednak, że firma nie może sugerować kandydatowi zakresu innych danych, które z własnej woli miałby on przekazać.
Na mocy art. 43 ust. 1 pkt 4 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. DzU z 2014 r., poz. 1182 ze zm., dalej ustawa) z rejestracji zbioru danych zwolnieni są administratorzy danych osobowych przetwarzanych w związku z zatrudnieniem u nich. Dotyczy to również przetwarzania danych członków rodziny pracowników. Takie informacje należą do danych osobowych pracownika, a ich przetwarzanie przez szefów łączy się wyłącznie z zatrudnieniem konkretnej osoby.
Zbiór i upoważnienie
Należy jednak pamiętać, że zwolnienie z rejestracji zbioru danych pracowników nie kasuje automatycznie przestrzegania przez pracodawców pozostałych przepisów ustawy i wypełniania innych obowiązków nałożonych na administratorów danych.
Każdy, kto u pracodawcy ma dostęp do danych osobowych, zanim przystąpi do ich przetwarzania, powinien uzyskać od ich administratora odpowiednie upoważnienie. Częsty błąd pracodawców polega na tym, że nie kontrolują pracowników dopuszczonych do przetwarzania danych osobowych. Zgodnie z art. 37 ustawy mogą to robić wyłącznie osoby z upoważnieniem nadanym im przez administratora danych. To na pracodawcy ciąży obowiązek udzielania takich pełnomocnictw oraz prowadzenia ewidencji osób upoważnionych do przetwarzania danych. Lista ta ma zawierać imię i nazwisko osoby upoważnionej, jej stanowisko, datę udzielenia i odwołania upoważnienia oraz jego zakres.
Gdy taki pracownik przetwarza dane osobowe w systemach informatycznych, nadaje mu się indywidualny identyfikator. Obowiązek udzielania upoważnień i prowadzenia ich rejestru obejmuje wszystkich mających dostęp do danych osobowych, w tym również pracowników działu kadr. Ustawa nie przewiduje tu żadnych odstępstw.
Polityka bezpieczeństwa
Nawet gdy pracodawca zatrudnia jedną osobę, jego obowiązkiem jest opracowanie i wdrożenie dokumentacji regulującej zasady i sposób przetwarzania danych osobowych, czyli polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym. Te dokumenty zawierają zestaw reguł i zasad o sposobie przetwarzania danych osobowych u pracodawcy. Politykę powinien tworzyć każdy podmiot, który przetwarza dane osobowe, nawet jeżeli nie podlegają one rejestracji w GIODO.
Błędem jest korzystanie z takich regulacji innych pracodawców i ich wdrażanie we własnej firmie, gdyż sposób przetwarzania tych informacji może się istotnie różnić w każdym zakładzie. Tworząc tzw. politykę bezpieczeństwa, należy się zastanowić, jakie dane są przetwarzane, jak są gwarantowane i w jaki sposób powierza się przetwarzanie osobom trzecim. Ponadto pracodawca powinien aktualizować tę politykę, gdy w firmie wprowadza nowe rozwiązania o przetwarzaniu danych.
Jakie sankcje
Działanie w sposób sprzeczny z ustawą może powodować odpowiedzialność administracyjną, gdy podmiot nie zastosuje się do decyzji GIODO. Ponadto ryzykuje odpowiedzialnością karną, o której mowa w rozdziale 8 ustawy. Przewiduje on karę grzywny, ograniczenia wolności, a nawet pozbawienia wolności.
—Agata Iwanow aplikantka radcowska, Kancelaria Prawna Chajec, Don-Siemion & Żyto
W obecności świadka
Rozwiązując umowę, pracodawca chciałby niekiedy, żeby w trakcie rozmowy oprócz niego i pracownika obecna była także inna osoba. Może to mieć znaczenie w razie ewentualnego procesu sądowego i konieczności wykazania przez szefa, że np. pracownik otrzymał wypowiedzenie, ale go nie przyjął
Świadkiem wręczenia wypowiedzenia nie może być jednak dowolny zatrudniony. Ustawa dopuszcza tu jedynie osobę mającą odpowiednie upoważnienie do przetwarzania danych osobowych. Zgodnie ze stanowiskiem GIODO udostępnienie informacji o wypowiedzeniu nieupoważnionym do tego osobom może naruszać dobra osobiste zwalnianego oraz prawo do ich ochrony.
