Zasady pozyskiwania danych od aplikujących do firmy i pracowników określa art. 22[sup]1[/sup] [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=B5E347C50E4D2860978BAD3D891C7A48?n=1&id=76037&wid=337521]kodeksu pracy[/link], a prowadzenie dokumentacji pracowniczej reguluje [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=78517B32C30CDCF1ADFAB769EF8DDC62?id=73963]rozporządzenie ministra pracy i polityki socjalnej z 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (DzU nr 62, poz. 286 ze zm.)[/link].
Zgodnie z art. 22[sup]1[/sup] § 1 k.p. pracodawca może żądać od kandydata podania jedynie imienia (imion) i nazwiska, imion rodziców, daty urodzenia, miejsca zamieszkania, informacji o wykształceniu i przebiegu dotychczasowego zatrudnienia.
Z pewnością nie może dopominać się od aplikującego o jego fotografię. Gdyby przyszły szef jej żądał, można zarzucić mu dyskryminację (art. 11[sup]3[/sup] k.p. oraz 32 ust. 2 [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=750DA9AA6A9D871BFDD2C15C51E1CFAB?n=1&id=71646&wid=192618]konstytucji[/link]), a także nierówne traktowanie w zatrudnieniu. Zdjęcie ujawnia bowiem cechy, które mogłyby przesądzić o dyskryminacji, np. ze względu na rasę czy niepełnosprawność.
[srodtytul]Pod osłoną[/srodtytul]
Dla kandydata pracodawca zakłada teczkę, w której przechowuje jego kwestionariusz i inne informacje. Stanowią one zresztą pierwsze dokumenty w późniejszych aktach pracownika. Są to również dane osobowe, bo jest to każda informacja dotycząca osoby fizycznej pozwalająca na określenie jej tożsamości.
Konstytucja chroni prawo do prywatności, cześć i dobre imię każdego, a [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=D0A01CAAD48F45B128B94C7ADC84C14A?id=166335]ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. DzU z 2002 r. nr 101, poz. 926 ze zm.[/link]; ustawa) rozwija te zasady. Zgodnie z nią każdy ma prawo do ochrony dotyczących go danych, a przetwarzanie ich może odbywać się wyłącznie ze względu na dobro publiczne, dobro osób, której dane dotyczą, lub dobro osób trzecich, i to tylko w zakresie i trybie wskazanym w ustawie.
[srodtytul]Wgląd do akt[/srodtytul]
W związku z tym na pracodawcy ciążą szczególne obowiązki. Jest on bowiem administratorem danych osobowych. Jeśli szef je zbiera, na ogół musi poinformować o tym zainteresowanych. Gdy pozyskuje je bezpośrednio od pracownika, przekazuje mu nie tylko podstawowe wiadomości teleadresowe o sobie, ale także powiadamia o celu zbierania danych, prawie wglądu do nich, a gdy istnieje obowiązek ich ujawnienia – wskazuje podstawę prawną.
Szef może przetwarzać dane, czyli dokonywać na nich różnych operacji, np. utrwalać, przechowywać, opracowywać, ale tylko w określonych sytuacjach. Ma to być zgodne ze wskazanym celem gospodarczym i trwać nie dłużej niż jest to niezbędne dla jego osiągnięcia. Lepiej od razu – przy przyjęciu do firmy – od pracownika odebrać oświadczenie o teraźniejszym i przyszłym przetwarzaniu jego danych.
Zgodnie ze stanowiskiem generalnego inspektora ochrony danych osobowych z 17 lipca 2009 r. zgoda podwładnego na takie działanie nie może budzić wątpliwości. Podwładny ma wiedzieć, w jakim celu, w jakim zakresie i przez kogo te informacje będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego, na co się godzi.
Na poparcie tej tezy GIODO przytacza [b]wyrok Naczelnego Sądu Administracyjnego z 4 kwietnia 2003 r. (II SA 2135/02).Zgodnie z nim „zgoda na przekazywanie danych musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania. [/b] Czynności takiej nie uzdrawia późniejsze poinformowanie o treści regulaminu ani możliwość zgłoszenia zastrzeżeń wobec pewnych form przetwarzania danych”.
Szef musi też pamiętać, że nie wszystkie dane przetworzy. Ustawa szczególną ochroną obejmuje te ujawniające m.in. pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne czy informacje o stanie zdrowia lub życiu seksualnym.
[b]Pracownik ma też prawo kontroli przetwarzanych danych. Dotyczy to m.in. ich uzupełniania, uaktualniania czy prostowania. [/b]Wolno mu też wnieść pisemne, umotywowane żądanie zaprzestania przetwarzania danych ze względu na szczególną swoją sytuację. Uprawnienie takie nie przysługuje jednak pracownikom w związku z ich zgłaszaniem do ZUS.
[srodtytul]Co grozi za naruszenie[/srodtytul]
Administrator danych musi stosować takie środki techniczne i organizacyjne, aby chronić przetwarzane informacje. Chodzi tu głównie o takie ich zabezpieczenie, aby nie dostały się w ręce osób nieupoważnionych, nie zostały skradzione, zmienione, uszkodzone lub zniszczone. Taki obowiązek nakłada na pracodawcę art. 36 ustawy. Operacjami na danych mają zajmować się tylko osoby upoważnione przez administratora (art. 37 ustawy), a ten musi zgłosić zbiór danych do GIODO (art. 40 ustawy).
Dlatego ustawa zawiera pokaźną listę przestępstw, których można się dopuścić, naruszając te przepisy. Najsurowsza kara, nawet trzech lata więzienia, grozi temu, kto przetwarza w zbiorze dane osobowe, choć nie jest to dopuszczalne, a dotyczy danych o pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych, przynależności wyznaniowej, partyjnej lub związkowej, stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym (art. 49 ust. 2 ustawy).
Jeśli administrator zbioru lub ten, kto musi go chronić, udostępnia dane lub umożliwia dostęp do nich osobom nieupoważnionym, może spędzić za kratkami nawet dwa lata (art. 51 ust. 1 ustawy). Rok takiej kary grozi temu, kto administrując zbiorem, przechowuje w nim dane osobowe niezgodnie z celem jego utworzenia (art. 50).
Tak samo wolno potraktować tego pracodawcę, który choćby nieumyślnie naruszy obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem (art. 52). Podobnie odpowiada ten, kto nie zgłosi do rejestracji zbioru danych (art. 53) lub nie poinformuje osoby, której dane dotyczą, o jej prawach (art. 54 ustawy).
[ramka][b]Kiedy do przetworzenia[/b]
Dane osobowe można przetwarzać w następujących sytuacjach (art. 23 ustawy):
- osoba, której dane dotyczą, zgodzi się na to, chyba że chodzi o usunięcie tych danych,
- jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu,
- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
- jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
- jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.[/ramka]
