+48 607 60 38 90 / +48 784 624 171 | biuro@4itsecurity.pl

Bezpieczeństwo IT - oficjalny blog 4 IT SECURITY

5 sierpnia 2016

Przetwarzanie danych osobowych pracowników

Każdy pracodawca dysponuje wieloma informacjami dotyczącymi zatrudnionych pracowników. Dane osobowe pracowników, znajdują się pod ochroną prawa. Szczególnie wiele informacji odnoszących się do sfery prywatności zawartych jest w aktach osobowych pracowników.  Zawarte w aktach personalnych dane osobowe dotyczące pracowników niezależnie od formy zatrudnienia, stanowią zbiór danych osobowych podlegający ochronie na podstawie ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r.  (tekst jednolity: Dz. U. 2016 r. poz. 922). Większość z zawartych w nich danych jest wykorzystywana do różnych celów kadrowych. Przetwarzanie danych osobowych pracowników oraz kandydatów do pracy skutkuje dla pracodawcy posiadaniem statusu administratora danych, co wiąże się z zobowiązaniami, które zostały określone w przepisach ustawy o ochronie danych osobowych (uodo).

Podstawowy obowiązek pracodawcy

Podstawowym obowiązkiem administratora danych jest zabezpieczenie ich przed działaniami osób nieupoważnionych do ich przetwarzania. W celu realizacji tego obowiązku pracodawca powinien stosować takie środki, które zapewnią bezpieczeństwo zgromadzonych danych, a w szczególności zabezpieczą je przed udostępnieniem osobom nieuprawnionym. Zgodnie z art. 26 uodo pracodawca musi przestrzegać legalności, celowości, adekwatności i niezbędności przetwarzania danych osobowych zatrudnianych pracowników. Natomiast pracownik na podstawie art. 32 uodo ma prawo do kontroli danych gromadzonych i przetwarzanych przez pracodawcę. Obowiązek dołożenia starań o bezpieczeństwo danych nakłada na administratora art. 36 ustawy o ochronie danych osobowych. Pracodawca jest zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem prawa oraz niezamierzoną zmianą, utratą, uszkodzeniem lub zniszczeniem. Natomiast szczegółowe wymogi w tym zakresie określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. nr 100, poz. 1024).
Pracodawca nie musi zgłaszać zbioru danych osobowych swoich pracowników do rejestracji u Generalnego Inspektora Ochrony Danych Osobowych (GIODO), jeśli przetwarzają w nich wyłącznie dane pracowników. Wynika to z art. 43 ust. 1 pkt 4 ustawy o ochronie danych osobowych. Jeśli natomiast w danym zbiorze znajdują się jeszcze inne dane, niż wymienione w art. 43 ust. 1 ustawy, to pracodawca jest zobowiązany zgłosić taki zbiór do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Jednak mimo zwolnienia z obowiązku rejestracji pracodawca, przetwarzając dane osobowe pracowników i kandydatów do pracy musi przestrzegać rygorów związanych z zabezpieczeniem i bezpieczeństwem tych danych.

Jakich danych może żądać pracodawca od pracownika?

Ustawa o ochronie danych osobowych upoważnia pracodawcę do gromadzenia i przetwarzania informacji o pracownikach, jednak tylko w zakresie wynikającym z obowiązujących przepisów. Zakres ten wyznacza art. 221 K.p., wskazujący, jakie dane mogą być pozyskiwane od kandydata do pracy i osoby już zatrudnionej. Zgodnie z tym przepisem, pracodawca może żądać od starającego się o posadę podania:

  • imienia (imion) i nazwiska,
  • imion rodziców,
  • miejsca zamieszkania lub adresu do korespondencji,
  • wykształcenia oraz przebiegu dotychczasowego zatrudnienia.

Od pracownika natomiast można dodatkowo wymagać podania numeru PESEL oraz innych danych, w tym imienia i nazwiska dzieci oraz daty ich urodzenia, jeżeli podanie takich informacji jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień pracowniczych. Upoważnienie do odbierania od pracownika danych wykraczających poza art. 221 K.p. (dotyczących np. niekaralności) może wynikać wyłącznie z przepisów odrębnych.

Można zauważyć, że prawo udzielenia określonych danych leży po stronie osoby ubiegającej się o zatrudnienie. Po zawarciu stosunku pracy pracodawca będzie miał prawo żądania dodatkowych danych osobowych.

Podstawowa dokumentacja

Dane osobowe przetwarzane są przede wszystkim w związku z prowadzeniem dokumentacji pracowniczej.

Pracodawca jest między innymi zobowiązany do:

  • prowadzenia dokumentacji w sprawach związanych ze stosunkiem pracy oraz akt osobowych pracowników,
  • przechowywania dokumentacji w sprawach związanych ze stosunkiem pracy oraz akt osobowych pracowników w warunkach niegrożących uszkodzeniem lub zniszczeniem.

Na podstawie art 11 kp na pracodawcy ciąży obowiązek poszanowania przysługującego zatrudnianym przez niego pracownikom prawa do prywatności, a w szczególności do ochrony danych osobowych. Przetwarzanie danych osobowych w związku z zatrudnieniem musi być realizowane z zachowaniem wymogów bezpieczeństwa. Oznacza to, że brak dokumentacji organizacyjnej dotyczącej ochrony danych osobowych osłabia poziom ich bezpieczeństwa. Dokumenty, które musi posiadać pracodawca zostały opisane w rozdziale 5 uodo, a niektóre z nich uszczegółowiono w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Odpowiedzialność z tytułu braku lub wadliwości dokumentacji dotyczącej danych osobowych jest rozpatrywana jako naruszenie art. 11 kp., jak i zasad ochrony danych osobowych.

Ochrona prawna

Pracownikowi, którego dane osobowe zostały naruszone przez pracodawcę w związku z niewłaściwym przetwarzaniem lub ujawnieniem tych danych, przysługuje ochrona prawna. Za udostępnienie danych osobowych pracowników osobom nieupoważnionym lub umożliwienie dostępu do nich grozi kara do 2 lat pozbawienia wolności, ograniczenia wolności lub grzywny. Odpowiedzialności karnej podlega każdy, kto administrując danymi, narusza obowiązek zabezpieczenia tych danych. Dane powinny być zabezpieczone, a jeśli gwarant ich bezpieczeństwa nie dopełnił swoich obowiązków, może ponieść odpowiedzialność karną.

Komentarze (0)

Dodaj

Popularne wpisy