Obowiązki pracodawcy w związku z przetwarzaniem danych osobowych pracowników

Co do zasady, administrator danych, aby przetwarzać dane osobowe zgodnie z przepisami ustawy o ochronie danych osobowych, musi spełnić  warunki decydujące o tym, że takie działanie jest legalne. Ponadto musi dopełnić obowiązku zgłoszenia zbioru do rejestracji w prowadzonym przez GIODO ogólnokrajowym, jawnym rejestrze zbiorów danych osobowych i obowiązku informacyjnego, a ponadto we właściwy sposób zabezpieczać zgromadzone dane, dbać o interesy osób, których dane dotyczą i respektować ich prawa gwarantowane ustawą o ochronie danych osobowych.

Czy obowiązki te dotyczą także pracodawcy w związku z zatrudnianiem u niego pracowników ? Pracodawca prowadzi przecież kampanie rekrutacyjne,  zakłada akta osobowe, prowadzi  ewidencję czasu pracy, sporządza listę płac albo plan urlopów.

W myśl art. 7 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przetwarzanie danych osobowych to wykonywanie jakichkolwiek operacji na danych osobowych, takich jak np. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

A to znaczy, że pracodawca jest administratorem danych osobowych, przetwarza dane osobowe swoich pracowników, pracuje na zbiorach danych i jest objęty reżimem ustawy.

Z tej okoliczności nie wynika na szczęście obowiązek rejestracji bazy danych u Generalnego Inspektora Ochrony Danych Osobowych, gdyż zgodnie z art. 43 ust. 1 ustawy o ochronie danych osobowych, z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się.

Pracodawca jest upoważniony ustawowo do przetwarzania następujących danych osobowych swoich pracowników (bez potrzeby uzyskiwania ich zgody):

– imię (imiona) i nazwisko

− imiona rodziców

− data urodzenia

− miejsce zamieszkania (adres do korespondencji)

− wykształcenie

− przebieg dotychczasowego zatrudnienia

W czasie rekrutacji pozyskuje się jednak jeszcze inne dane, określone w Rozporządzeniu Ministra Pracy i Polityki Socjalnej  z 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika.

Pracodawca nie może gromadzić innych niż określone w przepisach danych osobowych pracowników, np. danych o przynależności partyjnej, relacjach rodzinnych i osobistych łączących zatrudnione u niego osoby, nazwiska panieńskiego matki pracownika. Zgoda pracownika nie powoduje, że przetwarzanie tych innych danych będzie legalne. Zgodnie z wyrokiem NSA z dnia 1 grudnia 2009 r., sygn. akt I OSK 249/09.  „Pracodawca nie może przetwarzać innych danych osobowych pracowników nawet wtedy, gdy wyrażą oni na to zgodę”.

Na pracodawcy ciążą też następujące obowiązki:

–  zastosowanie odpowiednich zabezpieczeń, o których stanowią przepisy rozdziału 5 ustawy o ochronie danych osobowych oraz rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych – administrator jest bowiem zobowiązany zastosować środki techniczne i organizacyjne zapewniające przetwarzanym danym odpowiednią ochronę, a przede wszystkim zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zebraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz utratą, uszkodzeniem lub zniszczeniem (art. 36 ust. 1 ustawy o ochronie danych osobowych); W tym celu Pracodawca powinien opracować szereg dokumentów, w tym Politykę Bezpieczeństwa Danych, Instrukcję Zarządzania Systemami Informatycznymi (trudno sobie wyobrazić jakąkolwiek firmę nie stosującą żadnych systemów informatycznych i nie korzystającą nawet z e-maila);

–  w odniesieniu do kandydatów do pracy w ramach procesu rekrutacyjnego – dopełnienie obowiązku informacyjnego ustanowionego w art. 24 ust. 1 oraz art. 25 ust. 1 ustawy o ochronie danych osobowych Pracodawca zatrudniając zbiera dane bezpośrednio od osób, których dane dotyczą, a zatem pracodawca – ADO (administrator danych osobowych) musi poinformować kandydatów na pracowników o swojej nazwie i adresie, celu zbierania, odbiorcach danych (także tych przewidywanych), prawie dostępu do danych i prawie ich poprawiania, a także o dobrowolności albo obowiązku ich podania (a gdy obowiązek ten istnieje – o jego podstawie prawnej).

Niewykorzystane CV kandydatów którzy nie zostali zatrudnieni należy zniszczyć.

Oczywiście pytań i problemów związanych z przetwarzaniem danych przez pracodawcę jest dużo więcej, np. czy dozwolone są rekrutacje ukryte; czy  zawsze należy wyznaczyć Administratora Bezpieczeństwa Informacji, czy wolno ujawniać dane pracowników a jeżeli tak to pod jakimi warunkami etc. Postaram się na te pytanie odpowiedzieć w kolejnych wpisach.

 

Adwokat Andrzej Zacharzewski

Ten wpis został opublikowany w kategorii Bez kategorii. Dodaj zakładkę do bezpośredniego odnośnika.

2 odpowiedzi na „Obowiązki pracodawcy w związku z przetwarzaniem danych osobowych pracowników

  1. Batłomiej pisze:

    Jest to bardzo ważny aspekt, bo trzeba być niestety bardzo ostrożnym, aby takie dane osobowe nie wyciekły i aby nie można było ich przechwycić. Jak taki wyciek danych osobowych się kończy, każdy doskonale wie, prawie nigdy dobrze, a zawsze są jakieś nieprzyjemne konsekwencje. http://emediatorlegal.pl/

  2. Elizabet pisze:

    Jak się ma ochrona danych gdy pracodawca nakazuje pracownikowi przy odbieraniu telefonu przedstawiać się z imienia i nazwiska nie wiedząc z kim rozmawia.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *


× 4 = szesnaście