W stosunkach pracy najczęściej spotykane nieprawidłowości związane z przetwarzaniem danych osobowych dotyczą przetwarzania zbyt szerokiego zakresu danych (naruszenie zasady adekwatności danych do celu) lub niezabezpieczenia lub nienależytego zabezpieczenia danych osobowych pracowników przed dostępem osób nieuprawnionych.
Problem testów psychologicznych
Odpowiedzialności karnej podlega ten, kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne, albo do których przetwarzania nie jest uprawniony. Postępowanie takie zagrożone jest sankcją grzywny, karą ograniczenia wolności albo pozbawienia wolności do lat 2. Ponadto, jeżeli powyższy czyn dotyczy tzw. danych wrażliwych, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3 (art. 49 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych – DzU z 2002 r. nr 101, poz. 926 ze zm.). Przestępstw powyższych można dopuścić się wówczas, gdy dane są przetwarzane, choć nie występują przesłanki dopuszczalności ich przetwarzania określone w ustawie o ochronie danych osobowych lub też w sytuacji, gdy co prawda przetwarzanie danych jest dopuszczalne, lecz dokonuje tego podmiot nieuprawniony.
W stosunkach zatrudnienia znaczenie będzie miało przetwarzanie danych wrażliwych, przetwarzanych za zgodą pracownika. Dane takie mogą być zbierane w procesie realizacji polityki zarządzania zasobami ludzkimi, gdy pracodawcy stosują różnego rodzaju środki oceniania pracowników i określania ich przydatności do pracy na danym stanowisku. Dość popularne stają się testy psychologiczne stosowane w trakcie procedur rekrutacyjnych. Wśród technik selekcji dostępnych tylko dla psychologów znajdują się narzędzia diagnozujące zdolności umysłowe, tj. ogólne lub specyficzne możliwości funkcjonowania intelektualnego, lub kwestionariusze i inwentarze psychologiczne, które służą do badania cech osobowości, temperamentu czy funkcjonowania emocjonalnego. Niewątpliwie pracownik poddający się w fazie rekrutacji i selekcji (przyjęcia do pracy bądź awansu na określone stanowisko) diagnozie psychologicznej ujawnia pracodawcy wiele informacji z zakresu prywatności (np. dojrzałości społecznej i emocjonalnej). Uzyskane przez pracodawcę, nawet za zgodą pracownika, dane osobowe w trakcie tego typu testów mogą stanowić zbyt szeroki zakres informacji do celu przetwarzania, jakim jest wybór kandydata na określone stanowisko pracy (dane nie będą adekwatne), a tym samym może powstać sytuacja, w której dane przetwarzane będą przez podmiot nieuprawniony.
Choć pracownicy lub kandydaci do pracy poddawani są określonym testom za swoją zgodą, jednak często nie mają pełnej świadomości tego, jakie informacje o sobie przekażą pracodawcy, poddając się badaniu.
Nieprawidłowości w przechowywaniu danych
Odpowiedzialności karnej podlega ten, kto przechowuje w zbiorze dane osobowe niezgodnie z celem utworzenia zbioru (art. 50 ustawy o ochronie danych osobowych).
Jedną z zasadniczych kwestii w tym przypadku będzie ustalenie celu przetwarzania danych w kontekście stosunków pracy. Cel danych osobowych to m.in. zidentyfikowanie tożsamości pracownika oraz poznanie informacji, które charakteryzują osobę od strony przydatności zawodowej, tj. wykształcenia, przebiegu pracy zawodowej, oraz stwierdzenie przeciwwskazań lekarskich do wykonywania określonej pracy. Zakres informacji zgromadzonych w poszczególnych zbiorach powinien odpowiadać wyżej wskazanemu celowi.
Odpowiedzialność karną będzie ponosił także ten, kto, administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych, udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym (art. 51 ustawy o ochronie danych osobowych). W tym przypadku odpowiedzialność może ponosić nie tylko pracodawca lub osoba go reprezentująca, ale także pracownicy przetwarzający dane osobowe.
Naruszenie obowiązujących przepisów polega na:
- udostępnieniu danych osobowych osobom nieuprawnionym, tj. jeżeli osoba nieupoważniona zapoznała się z treścią danych lub dysponuje ich nośnikiem lub
- umożliwieniu dostępu do tych danych, tj. stworzona zostaje sytuacja, w której dane są dostępne i możliwe jest zapoznanie się z ich treścią (np. pracownik kadr, wychodząc z pokoju, nie zamyka go na klucz).
Kto, administrując danymi, narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku (art. 52 ustawy o ochronie danych osobowych).
Pracodawcy jako administratorzy danych osobowych zwolnieni są z obowiązku rejestracji zbioru danych dotyczących kandydatów do pracy, pracowników lub osób zatrudnionych na podstawie umów cywilnoprawnych. Stąd nie ponoszą oni odpowiedzialności za niezgłoszenie zbiorów danych dotyczących pracowników, gdyż nie muszą tego robić.
Kontrole GIODO
Instytucjonalną formą ochrony danych osobowych jest powołanie Generalnego Inspektora Danych Osobowych (GIODO). Do zadań GIODO należy m.in. kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych oraz wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów w ustawie o ochronie danych osobowych.
W celu wykonania ustawowych zadań Generalny Inspektor, zastępca Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura GIODO mają prawo:
- wstępu w godz. od 6.00 do 22.00, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczeń, w których jest zlokalizowany zbiór danych oraz do pomieszczeń, w których przetwarzane są dane poza zbiorem danych,
- żądania pisemnych i ustnych wyjaśnień,
- wzywania i przesłuchiwania osoby w zakresie niezbędnym do ustalenia stanu faktycznego,
- wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli,
- sporządzania ich kopii, przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych,
- zlecania przeprowadzania ekspertyz.
W przypadku stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej lub jej pracownika wyczerpuje znamiona przestępstw określonego w ustawie, Generalny Inspektor kieruje do organu powołanego do ścigania przestępstw zawiadomienia o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie.
Podstawa prawna: