Blog Prawo karne

Przetwarzanie danych osobowych pracowników

3 stycznia 2017 / Kategoria: Prawo w biznesie
CEO at 4 IT SECURITY
Dariusz Łydziński

Zgodnie z przepisami ustawy o ochronie danych osobowych we wszystkich organizacjach przetwarzane są dane osobowe pracowników. Każdy pracodawca dysponuje wieloma informacjami dotyczącymi zatrudnionych pracowników. Dane osobowe pracowników, znajdują się pod ochroną prawa. Szczególnie wiele informacji odnoszących się do sfery prywatności zawartych jest w aktach osobowych pracowników. Zawarte w aktach personalnych dane osobowe dotyczące pracowników niezależnie od formy zatrudnienia, stanowią zbiór danych osobowych podlegający ochronie na podstawie ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (dalej uodo). Większość z zawartych w nich danych jest wykorzystywana do różnych celów kadrowych. Przetwarzanie danych osobowych pracowników oraz kandydatów do pracy skutkuje dla pracodawcy posiadaniem statusu administratora danych, co wiąże się z zobowiązaniami, które zostały określone w przepisach ustawy o ochronie danych osobowych.

Podstawowy obowiązek pracodawcy

Podstawowym obowiązkiem administratora danych jest zabezpieczenie ich przed działaniami osób nieupoważnionych do ich przetwarzania. W celu realizacji tego obowiązku pracodawca powinien stosować takie środki, które zapewnią bezpieczeństwo zgromadzonych danych, a w szczególności zabezpieczą je przed udostępnieniem osobom nieuprawnionym. Zgodnie z art. 26 uodo pracodawca musi przestrzegać legalności, celowości, adekwatności i niezbędności przetwarzania danych osobowych zatrudnianych pracowników. Natomiast pracownik na podstawie art. 32 uodo ma prawo do kontroli danych gromadzonych i przetwarzanych przez pracodawcę. Obowiązek dołożenia starań o bezpieczeństwo danych nakłada na administratora art. 36 ustawy o ochronie danych osobowych. Pracodawca jest zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem prawa oraz niezamierzoną zmianą, utratą, uszkodzeniem lub zniszczeniem. Natomiast szczegółowe wymogi w tym zakresie określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. nr 100, poz. 1024).

Pracodawca nie musi zgłaszać zbioru danych osobowych swoich pracowników do rejestracji u Generalnego Inspektora Ochrony Danych Osobowych (GIODO), jeśli przetwarza w nich wyłącznie dane pracowników. Wynika to z art. 43 ust. 1 pkt 4 ustawy o ochronie danych osobowych. Jeśli natomiast w danym zbiorze znajdują się jeszcze inne dane, niż wymienione w art. 43 ust. 1 ustawy, to pracodawca jest zobowiązany zgłosić taki zbiór do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Jednak mimo zwolnienia z obowiązku rejestracji pracodawca, przetwarzając dane osobowe pracowników i kandydatów do pracy musi przestrzegać rygorów związanych z zabezpieczeniem i bezpieczeństwem tych danych.

Dane, których może żądać pracodawca od pracownika

Ustawa o ochronie danych osobowych upoważnia pracodawcę do gromadzenia i przetwarzania informacji o pracownikach, jednak tylko w zakresie wynikającym z obowiązujących przepisów. Zakres ten wyznacza art. 221 Kodeksu pracy (kp), wskazujący, jakie dane mogą być pozyskiwane od kandydata do pracy i osoby już zatrudnionej. Zgodnie z tym przepisem, pracodawca może żądać od starającego się o posadę podania:

 •imienia (imion) i nazwiska,
 •imion rodziców,
 •datę i miejsce urodzenia,
 •miejsca zamieszkania lub adresu do korespondencji,
 •wykształcenia oraz przebiegu dotychczasowego zatrudnienia.

Od pracownika natomiast można dodatkowo wymagać podania numeru PESEL oraz innych danych, w tym imienia i nazwiska dzieci oraz daty ich urodzenia, jeżeli podanie takich informacji jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień pracowniczych. Upoważnienie do odbierania od pracownika danych wykraczających poza art. 221 kp (dotyczących np. niekaralności) może wynikać wyłącznie z przepisów odrębnych.

Można zauważyć, że prawo udzielenia określonych danych leży po stronie osoby ubiegającej się o zatrudnienie. Po zawarciu stosunku pracy pracodawca będzie miał prawo żądania dodatkowych danych osobowych.

Dokumentacja osobowa pracownika

Dane osobowe przetwarzane są przede wszystkim w związku z prowadzeniem dokumentacji pracowniczej.

Pracodawca jest między innymi zobowiązany do:

 •prowadzenia dokumentacji w sprawach związanych ze stosunkiem pracy oraz akt osobowych pracowników,
 •przechowywania dokumentacji w sprawach związanych ze stosunkiem pracy oraz akt osobowych pracowników w warunkach niegrożących uszkodzeniem lub zniszczeniem.

Dane osobowe pracownika są gromadzone przede wszystkim w aktach osobowych. Pracodawca musi te dane gromadzić, aby móc w sposób prawidłowy wykonywać obowiązki ciążące na nim z mocy prawa.

Zastosowanie odpowiednich zabezpieczeń

Na podstawie art 11 kp na pracodawcy ciąży obowiązek poszanowania przysługującego zatrudnianym przez niego pracownikom prawa do prywatności, a w szczególności do ochrony danych osobowych. Przetwarzanie danych osobowych w związku z zatrudnieniem musi być realizowane z zachowaniem wymogów bezpieczeństwa. Oznacza to, że brak dokumentacji organizacyjnej dotyczącej ochrony danych osobowych osłabia poziom ich bezpieczeństwa. Dokumenty, które musi posiadać pracodawca zostały opisane w rozdziale 5 uodo, a niektóre z nich uszczegółowiono w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Odpowiedzialność z tytułu braku lub wadliwości dokumentacji dotyczącej danych osobowych jest rozpatrywana jako naruszenie art. 11 kp., jak i zasad ochrony danych osobowych.

Ochrona prawna

Pracownikowi, którego dane osobowe zostały naruszone przez pracodawcę w związku z niewłaściwym przetwarzaniem lub ujawnieniem tych danych, przysługuje ochrona prawna. Za udostępnienie danych osobowych pracowników osobom nieupoważnionym lub umożliwienie dostępu do nich grozi kara do 2 lat pozbawienia wolności, ograniczenia wolności lub grzywny. Odpowiedzialności karnej podlega każdy, kto administrując danymi, narusza obowiązek zabezpieczenia tych danych. Dane powinny być zabezpieczone, a jeśli gwarant ich bezpieczeństwa nie dopełnił swoich obowiązków, może ponieść odpowiedzialność karną.

Tagi:

biznes prawo w biznesie

Komentarze (0)

Dodaj

Podobał Ci się ten artykuł? Zapisz się do newlettera!

My też nie lubimy spamu dlatego obiecujemy wysyłać Ci tylko wartościowe treści.

Masz pytanie?

Zadaj je autorom