Dane osobowe pracowników: jakich informacji żądać i jak je chronić

Nie wszystkie informacje o członkach załogi są dostępne dla szefa. O te, które są jemu przeznaczone i powierzone, musi dbać i czuwać nad ich bezpieczeństwem. Gdy chce mieć świadka wręczenia np. nagany, musi go odpowiednio umocować

Publikacja: 22.06.2012 07:00

Dane osobowe pracowników: jakich informacji żądać i jak je chronić

Foto: ROL

Anna Abramowska

Kodeks pracy precyzuje, że do danych osobowych, jakich pracodawca może żądać od pracownika na podstawie art. 22

§ 1 i 2

kodeksu pracy

, w zakresie nieuregulowanym w kodeksie, stosuje się przepisy o ochronie danych osobowych. Zatem znajomość

ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. DzU z 2002 r. nr 101

, poz. 926 ze zm., dalej ustawa) w codziennej pracy w kadrach to konieczność.

Dziś przypominamy, jakie działania szefa czy jego działów kadrowych wiążą się ze szczególnym ryzykiem naruszenia ustawy o ochronie danych osobowych.

O co wolno spytać

Zbieranie danych osobowych to pierwszy etap ich przetwarzania. To już podlega reglamentacji ustawowej. O ochronie danych osobowych na gruncie pracowniczym stanowi art. 22

§ 1 i 2

kodeksu pracy

. Określa on podstawowy obszar informacji, o jakie może ubiegać się szef. Zgodnie z nim ma prawo żądać od pracownika czy kandydata do pracy podania tego, co obejmuje:

- imię (imiona) i nazwisko,

- imiona rodziców,

- datę urodzenia,

- miejsce zamieszkania (adres do korespondencji),

- wykształcenie,

- przebieg dotychczasowego zatrudnienia.

Od pracownika wolno wymagać dodatkowo ujawnienia:

- innych danych osobowych, a także imion i nazwisk oraz dat urodzenia jego dzieci, jeżeli ich podanie jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy,

- numeru PESEL nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).

To jednak nie wszystkie informacje, które pozwolą firmie poznać osobę ubiegającą się o etat. Pracodawca może żądać innych danych jedynie wtedy, jeżeli obowiązek ich ujawnienia wynika z odrębnych przepisów.

Świadectwa i certyfikaty

Na podstawie rozporządzenia ministra pracy i polityki socjalnej z 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (DzU nr 62, poz. 286 ze zm.) przyszły szef ma prawo poprosić także o przedstawienie:

- wypełnionego kwestionariusza osobowego,

- świadectw pracy z poprzednich miejsc pracy lub innych dokumentów potwierdzających okresy zatrudnienia w danym roku kalendarzowym,

- dokumentów potwierdzających kwalifikacje zawodowe wymagane do wykonywania oferowanej pracy (np. dokumenty potwierdzające ukończenie danego kierunku studiów i uzyskanie stopnia magistra),

- od osoby niepełnoletniej świadectwa ukończenia gimnazjum,

- orzeczenia lekarskiego o przeciwwskazaniach do wykonywania pracy na danym stanowisku,

- innych dokumentów, jeżeli obowiązek ich przedłożenia wynika z odrębnych przepisów, np. zaświadczenia o niekaralności.

Kandydat może też ujawnić inne papiery potwierdzające jego umiejętności i osiągnięcia zawodowe, np. certyfikaty językowe, projekty racjonalizatorskie, świadectwa pracy z innego roku kalendarzowego niż ten, w którym ubiega się o etat.

Wolno mu także okazać dokumenty, z których wynika, że może korzystać ze szczególnych uprawnień w stosunku pracy. W żadnym razie firma nie może domagać się, aby kandydata, np. dołączył swoją fotografię do życiorysu. Nie do zaakceptowania jest również żądanie przedstawienia referencji w procesie rekrutacji.

Zdarza się, że podczas naboru szefowie pozyskują więcej informacji o kandydacie, niż na to zezwalają przepisy. Często powołują się przy tym na zgodę samego ubiegającego się o stanowisko na ich ujawnienie.

To tzw. przesłanka zgody z art. 23 ust. 1 pkt 1 ustawy, stanowiąca podstawę legalizacji takich praktyk. Aby jednak zgodę zainteresowanego uznać za podstawę prawną, musi on ją wyrazić w sposób dobrowolny. A zatem żądanie przez pracodawcę podania przez kandydata innych danych osobowych, niż wymienia art. 22

§ 1 k.p., np. referencji, narusza prawo, w tym ustawę o ochronie danych osobowych.

Wstępna selekcja

Wielu szefów zastanawia się, czy po zakończonej rekrutacji muszą zniszczyć dossier niewybranych po to, aby dostarczone dane nie dostały się w niepowołane ręce. Odpowiedź zależy od tego, czy kandydat zamieścił w swoich papierach klauzulę umożliwiającą zachowanie informacji do celów rekrutacyjnych, czy nie. Jeżeli zastrzeżenie jest poprawnie skonstruowane, to można przechować dane do momentu zmiany podstawy przetwarzania (jeżeli kandydat lub pracownik udziela zgody na cele rekrutacyjne, to pracodawca nie może wykorzystać danych do celów marketingowych).

Generalnie prawo nie nakazuje niszczenia CV po zakończeniu rekrutacji. Mówi natomiast, co należy robić z danymi osobowymi i jak je chronić podczas ich przetwarzania. Wszystkie informacje o pracowniku, nawet kandydacie do firmy podlegają ustawowym gwarancjom ograniczającym ich przetwarzanie. Chodzi o jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Potrzebna akceptacja

W praktyce pracodawca dość często przekazuje dane pracownika różnym organom administracji publicznej – choćby ZUS, w razie potrzeby inspekcji pracy itp. To jego obowiązek. Zgodnie z art. 23 ust. 1 pkt 2 ustawy przetwarzanie danych, przez co rozumie się też ich udostępnianie, jest dopuszczalne, gdy jest niezbędne, aby zrealizować uprawnienia lub spełnić obowiązki wynikające z przepisów >patrz ramka.

W korporacjach i większych firmach pracownicy często poddawani są ocenom związanym z bieżącą realizacją służbowych zadań, ich rozwojem zawodowym i predyspozycjami do zajmowania danego stanowiska. Aby ocena była obiektywna, takie badania przeprowadzają wysoko wyspecjalizowane firmy zewnętrzne.

Trzeba jednak pamiętać, że udział w projekcie realizowanym właśnie przez podmiot zewnętrzny powinien zależeć od uprzedniej akceptacji pracownika na przetwarzanie jego danych osobowych przez tego usługodawcę. Dlatego taką zgodę należy uzyskać i ma to uczynić pracodawca lub podmiot przeprowadzający badanie, oczywiście zanim je rozpocznie. Brak takiej zgody pracownika powinien skutkować anonimowym charakterem badania, tj. żadne dane o podwładnym nie mogą trafić na zewnątrz.

Zgoda zatrudnionego na wgląd w jego dossier konieczna jest również, gdyby do skonfliktowanego środowiska pracy miałby wejść mediator. Aby pomóc w rozwikłaniu fir-

mowych nieporozumień, wszystkie strony muszą zgodzić się na taką formę rozwiązania problemów. Siłą rzeczy mediator poznaje dane osobowe poróżnionego personelu. Jeśli szef nie wystąpi o zgodę przed podjęciem tego kroku, to złamie ustawę o ochronie danych osobowych. I być może narazi się na nieprzyjemności ze strony Generalnego Inspektora Ochrony Danych Osobowych, który zaalarmowany przez rozgoryczoną załogę wkroczy do akcji.

Zgoda nie jest absolutna

Warto przy tym pamiętać, że podwładny wyraża zgodę na przetwarzanie jego danych w konkretnych okolicznościach i w konkretnym celu. A to oznacza, że akceptacja musi być wyraźna, a jej wszystkie aspekty mają być jasne dla podpisującego w momencie jej wyrażania. Jest to zgoda osoby poinformowanej. Tak uznał Naczelny Sąd Administracyjny w wyroku z 4 kwietnia 2003 r. (II SA 2135/02).

Wymóg ten rozciąga się także na udostępnianie danych osobowych. Osoba, której dane dotyczą, musi zostać poinformowana o znanych w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych (art. 24 ust. 1 pkt 2 i art. 25 ust. 1 pkt 2 ustawy). To oznacza, że zarówno aplikujący do firmy, jak i jej pracownik, przekazując szefowi dane osobowe zgodnie z art. 22

k.p., muszą być poinformowani, kto w imieniu szefa będzie miał wgląd w jego teczkę z dokumentami.

Nie jest możliwe, aby jednorazowo i całościowo uzyskać zgodę zatrudnionego, obejmującą (dowolne) eksploatowanie jego danych osobowych w przyszłości, np. na całe jego pracownicze zatrudnienie. Nie wystarczy też zgoda dorozumiana. Takie oświadczenie nie korzysta z ochrony prawnej, ponieważ jest wbrew wymogom ustawy o ochronie danych osobowych.

Ta wyjaśnia, że przez zgodę osoby, której dane dotyczą (na ich przetwarzanie), rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Jednak zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści (art. 23 ustawy).

Przykład

Firma prowadziła dwa równorzędne sposoby ewidencjonowania czasu pracy zatrudnionych – poprzez wykorzystanie czytnika linii papilarnych (odcisków palców) lub przy użyciu karty z nadrukowanym kodem kreskowym.

Podwładni sami deklarowali, jaką metodę wybierają. Ci, którzy zdecydowali się na udostępnienie pracodawcy swoich danych biometrycznych podpisywali oświadczenie o dobrowolnej zgodzie na taką ewidencję.

Mimo zadeklarowanej zgody pracownika na cyfrowe przetwarzanie jego odcisków palców zachowanie pracodawcy jest niezgodne z prawem. Zgodnie bowiem z art. 22

§ 1 i § 2 k.p., pracodawca może żądać od pracownika danych tylko w takim zakresie, jaki został wskazany w tym przepisie. Pozostałe informacje są dla szefa niedostępne i nie może ich ani gromadzić, ani ich przetwarzać.

Jedynym wyjątkiem jest § 4 art. 22

k.p., który pozwala pracodawcy żądać przekazania innych danych osobowych, jeżeli ich obowiązek podania wynika z innych przepisów. W tej sytuacji nie ma takiego obowiązku, zatem zbieranie danych biometrycznych jest zabronione.

Artykuł. 22

k.p. stanowi szczególną regulację nie tylko co do zakresu danych osobowych pracownika (i jego rodziny), które mogą być przetwarzane przez pracodawcę, lecz także co do podstawy prawnej przetwarzania danych osobowych w relacjach pracodawca – pracownik.

Dlatego też wyłącza on (ze względu na dalej idącą ochronę) możliwość odwołania się przez pracodawcę do innych podstaw prawnych przetwarzania danych pracownika, w tym m.in. jego zgody. Potwierdza to decyzja GIODO z 15 grudnia 2009 r., DIS/DEC-1261/46988/09, a także wyrok NSA z 1 grudnia 2009 r., I OSK 249/09.

Trzeba też pamiętać, że raz wyrażona zgoda na przetwarzanie danych osobowych może zostać cofnięta przez tego, kto jej udzielił. Może być to również oświadczenie warunkowe, terminowe, ograniczone terytorialnie, podmiotowo i przedmiotowo (tak Paweł Barta, Paweł Litwiński [w:] Ustawa o ochronie danych osobowych. Komentarz, C.H.Beck, Warszawa 2009). Dopuszczalne jest, aby zgoda na przetwarzanie danych osobowych dotyczyła również przyszłości, jeżeli nie zmienia się cel przetwarzania danych. Tak będzie np. przy kolejnej rekrutacji w firmie, jeśli aplikujący na stanowisko zgodził się na przetwarzanie jego danych osobowych na potrzeby rekrutacyjne.

Zasada ta nie budzi wątpliwości. Przyjmuje się, że oświadczenie jest wyraźne, a wszystkie aspekty przetwarzania danych są jasne dla udzielającego zgody.

Przetwarzanie na specjalnych warunkach

Aby szef mógł przekazać personalia na podstawie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, muszą być spełnione łącznie dwie przesłanki:

- musi istnieć odpowiedni przepis prawa, który przyznaje mu takie uprawnienie lub nakłada na niego ten obowiązek,

- przetwarzanie danych dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z tego przepisu musi być niezbędne.

Chodzi tutaj jednak o przepisy rangi ustawowej, a nie niższego rzędu, np. rozporządzenie czy przepisy prawa miejscowego. Nie może być również samą w sobie podstawą legalizującą przetwarzanie danych osobowych na podstawie art. 23 ust. 1 pkt 2 ww. ustawy, postanowienie decyzji administracyjnej.