Za ochronę danych odpowiada pracodawca

Czwartek, 31 marca 2011 (08:38)



Zatrudnianie pracowników w ramach stosunku pracy rodzi po stronie pracodawcy szereg obowiązków formalnych. Ich wykonanie potwierdzane jest zazwyczaj w licznej dokumentacji, która zawiera wiele danych o pracowniku. Znajdują się one pod ochroną, a odpowiedzialnym za jej zapewnienie jest pracodawca.

Każdy zakład pracy posiada pokaźny zbiór danych osobowych zatrudnianych osób. Z tego tytułu pracodawca musi przestrzegać określonych obowiązków, ciążących na nim jako na administratorze tych danych. Najważniejszym z nich jest dbałość o ochronę interesów osób, których dane dotyczą, poprzez dołożenie należytej staranności przy ich zabezpieczaniu. Przejawem realizacji tego obowiązku jest stosowanie przez pracodawcę takich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo zgromadzonych danych, a w szczególności zabezpieczą je przed udostępnieniem osobom nieuprawnionym. Przepisem, który nakłada na pracodawcę powyższą powinność, jest art. 36 ustawy o ochronie danych osobowych. Sposób wykonania obowiązków w niej przewidzianych precyzuje rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych... (Dz. U. z 2004 r. nr 100, poz. 1024).

Z wymogu ochrony danych osobowych przed dostępem do nich osób postronnych wynika konieczność ustalenia kręgu osób, które w imieniu pracodawcy będą uprawnione do przetwarzania danych osobowych pracowników. Na ogół są to pracownicy działu kadr i księgowości. Nie wystarczy jednak faktyczne wykonywanie przez nich zadań służbowych, wymagających dostępu do akt osobowych.

Niezbędne jest także formalne upoważnienie tych osób do takich czynności. Potwierdzeniem tego, że pracodawca powinien wydać takie upoważnienie jest art. 39 ustawy o ochronie danych osobowych, zgodnie z którym pracodawca jest zobowiązany prowadzić ewidencję osób zobowiązanych do ich przetwarzania. Ponadto, jeżeli sam nie wykonuje nadzoru nad przestrzeganiem zasad ochrony danych, powinien wyznaczyć odpowiedzialną za to osobę - administratora bezpieczeństwa informacji (art. 36 ustawy). Następnym obowiązkiem, który obciąża pracodawcę, jest prowadzenie dokumentacji opisującej sposób przetwarzania danych i środki podejmowane w celu ich zabezpieczenia.


Dane pod opieką administratora

Pracodawca jako administrator danych pracowniczych odpowiada za całość spraw związanych z ich ochroną. Nie może zwolnić się z tej odpowiedzialności poprzez "przerzucenie" jej na osoby, które upoważnił do przetwarzania tych danych.

Fakt udostępnienia przez pracownika danych osobowych osobie nieuprawnionej, np. w trakcie rozmowy telefonicznej mającej na celu sprawdzenie informacji o zatrudnionym, będzie więc obciążał pracodawcę (patrz wyrok Naczelnego Sądu Administracyjnego z dnia 4 kwietnia 2003 r., sygn. akt II SA 2935/02). Ewentualne roszczenia z tego tytułu mogą więc zostać skierowane do niego, a nie do bezpośrednio winnego pracownika. Ten ostatni może się spodziewać sankcji typu dyscyplinarnego lub nawet rozwiązania umowy o pracę. Pracodawca natomiast - pozwu o odszkodowanie za naruszenie dóbr osobistych lub za konkretną szkodę, jaką poniosła osoba, której dane zostały w sposób nieuprawniony ujawnione.

Odpowiedzialność materialna pracownika z tytułu ewentualnej szkody będzie ograniczona (do wysokości maksymalnie 3-miesięcznego wynagrodzenia), chyba że bezprawne udostępnienie danych zostało przez niego dokonane celowo. Umyślne wyrządzenie szkody przez pracownika uprawnia bowiem pracodawcę do dochodzenia całości powstałej z tego powodu straty. W omawianym przypadku może nią być odszkodowanie, jakie musiałby zapłacić pracodawca.


Tylko te dane, które są potrzebne

Pracodawca z mocy ustawy ma prawo gromadzić i przetwarzać dane osobowe pracowników, jednak tylko w takim zakresie, w jakim wynika to z obowiązujących przepisów. Podstawową regulacją jest tutaj art. 221 K.p., który wskazuje, jakie informacje mogą być pozyskiwane od kandydata na pracownika i już zatrudnionego. Ponadto upoważnienie do odbierania od pracownika określonych danych (np. o niekaralności) może wynikać z przepisów odrębnych.

Oznacza to, że pracodawca ma prawo do uzyskiwania i przetwarzania tylko takich danych o pracowniku, które są niezbędne do realizacji uprawnień i obowiązków wynikających z zatrudnienia. Poziom uszczegółowienia tych danych musi być adekwatny do celu, w jakim je pozyskano.


Udostępnienie danych osobowych pracowników osobom nieupoważnionym lub umożliwienie takiego dostępu zagrożone jest karą do 2 lat pozbawienia wolności, ograniczenia wolności lub grzywny.


W świetle wskazanych zasad ochrony danych wątpliwa może być np. praktyka wymagania od pracowników przedłożenia zeznania podatkowego (zwłaszcza, jeżeli jest rozliczane wspólnie ze współmałżonkiem), dla potrzeb przyznania świadczenia z ZFŚS. Dla tych celów złożenie przez pracownika oświadczenia o uzyskiwanych przez niego dochodach co do zasady powinno być wystarczające. Na ryzyko zarzutu naruszenia ustawy o ochronie danych osobowych naraża się również pracodawca, który np. wymaga od pracownika udostępnienia wyników konkretnych badań przeprowadzonych w ramach badań wstępnych czy okresowych. Pracodawcy powinna bowiem wystarczyć tylko wiedza co do tego, czy pracownik jest zdolny do pracy na danym stanowisku. Szczegółowe informacje odnośnie stanu jego zdrowia mogą zaś być udostępnione tylko wtedy, gdy pozwala na to przepis odrębny.

Podstawa prawna

Ustawa z dnia 26.06.1974 r. - Kodeks pracy (Dz. U. z 1998 r. nr 21, poz. 94 ze zm.)

Ustawa z dnia 29.08.1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. nr 101, poz. 926 ze zm.)

autor: Agata Barczewska
Gazeta Podatkowa nr 26 (754) z dnia 2011-03-31

GOFIN podpowiada

Artykuł pochodzi z kategorii: Kategoria główna

POLECANE zwiń