Jednym z obowiązków pracodawcy jest ochrona danych osobowych dotyczących pracowników. Dotyczy to informacji zgromadzonych zarówno przed nawiązaniem umowy o pracę, jak i w trakcie jej trwania. Ochrona ta polega m.in. na uprawnieniu pracodawcy do żądania tylko tych informacji, których zakres określony został przepisami Kodeksu pracy, i przetwarzaniu innych danych tylko za zgodą pracownika. Przepisy prawne jednak nie tylko wytyczają zakres informacji, których może żądać pracodawca, ale i nakładają na pracodawcę obowiązek określonego postępowania ze zgromadzonymi danymi. Zasady przetwarzania danych osobowych określa ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm., zwana dalej uodo) oraz przepisy wykonawcze wydane na jej podstawie.
Co to są dane osobowe
Dane osobowe należy rozumieć jako wszelkie informacje, które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 uodo). A zatem do danych osobowych zaliczymy nie tylko informacje, które są przypisane konkretnej osobie (np. dokumenty znajdujące się w aktach osobowych pracownika, lista płac), ale również takie informacje, które pośrednio będą umożliwiały zidentyfikowanie pracownika.
Przykład
W firmie przyznano nagrody. Wykaz wypłaconych nagród (bez wskazywania imion i nazwisk) przekazano przedstawicielom pracowników. Lista jednak sporządzona została na podstawie programu płacowego i oprócz wypłaconej nagrody zawierała informacje o wynagrodzeniu zasadniczym i dodatku stażowym. Ponieważ tylko jedna osoba legitymowała się 30-letnim stażem (otrzymywała najwyższy dodatek stażowy), bez trudu można było ją zidentyfikować i ustalić jej wynagrodzenie zasadnicze oraz wysokość przyznanej jej nagrody. Takie zestawienie danych umożliwiło więc identyfikację pracownika.
Przetwarzanie danych osobowych
Jakiekolwiek działania na danych osobowych pracowników, w tym: zbieranie danych, ich utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie oraz usuwanie, szczególnie wówczas, gdy wyżej wymienione operacje wykonywane są w zbiorach informatycznych (tj. w zespołach współpracujących ze sobą urządzeń, programów, procedur i narzędzi programowych stosowanych w celu przetwarzania danych) można nazwać ich przetwarzaniem. A zatem przyjęta przez pracodawcę polityka dotycząca ochrony danych osobowych powinna uwzględniać również te przypadki przetwarzania danych i przewidywać odpowiednie ich zabezpieczenie przed zniszczeniem, zabraniem lub możliwością zapoznania się z tymi dokumentami przez nieuprawnione do tego osoby.
Podstawowe zasady pracy z danymi osobowymi
Zasadniczym obowiązkiem pracodawcy, jako administratora danych, jest zachowanie szczególnej staranności w procesie przetwarzania danych, tak aby zapewnić pełną ich ochronę.
Przede wszystkim należy dbać o to, aby dane osobowe były m.in.:
• przetwarzane zgodnie z prawem,
• zbierane do określonych celów i nie były poddawane dalszemu przetwarzaniu, które z tymi celami byłoby niezgodne, przy czym wytyczone przez pracodawcę cele przetwarzania muszą pozostawać w zgodzie z prawem,
• poprawne pod względem merytorycznym, a ich zakres adekwatny do celu, który chce osiągnąć pracodawca (art. 26 uodo).
Ponadto obowiązkiem pracodawcy w zakresie ochrony danych osobowych pracowników jest zastosowanie środków technicznych i organizacyjnych, które zapewnią ochronę tych danych. Ochrona ta musi być odpowiednia zarówno do zagrożeń, jakie mogą się pojawić w procesie przetwarzania danych, jak i do kategorii danych, które posiada pracodawca.
Ochrona przetwarzanych danych polega przede wszystkim na zabezpieczeniu tych danych przed:
• ich udostępnieniem osobom nieupoważnionym,
• zabraniem przez osobę, która nie jest do tego uprawniona,
• utratą,
• uszkodzeniem,
• zniszczeniem.
Przepisy ustawy o ochronie danych osobowych duży nacisk kładą na ochronę danych przetwarzanych w systemach informatycznych. Nie można jednak pomijać zbiorów ręcznych. Pomieszczenia, w których gromadzone są ręczne zbiory danych osobowych, powinny być odpowiednio zabezpieczone przed dostępem osób nieupoważnionych (np. plombowane lub zamykane na klucz, do którego dostęp mają tylko osoby upoważnione), zaś osoby trzecie (np. inni pracownicy) nie powinni być pozostawiani w tych pomieszczeniach sami.
Upoważnienie do przetwarzania danych
Osoby przetwarzające dane osobowe, w tym również pracownicy działów kadr, powinni posiadać upoważnienie do przetwarzania tych danych wydane przez administratora danych, czyli przez pracodawcę.
Na pracodawcy ciąży również obowiązek prowadzenia ewidencji wydanych upoważnień zawierającej:
• imię i nazwisko osoby upoważnionej,
• datę nadania i ustania upoważnienia do przetwarzania danych osobowych,
• a w przypadku, gdy dane przetwarzane są w systemie informatycznym - identyfikator.
Osoby, które zostały upoważnione do przetwarzania danych osobowych, mają obowiązek zachowania pozyskanych w procesie przetwarzania informacji w tajemnicy.
Ujawnienie informacji pozyskanych w czasie wykonywania obowiązków pracowniczych może skutkować odpowiedzialnością dyscyplinarną (np. nałożeniem kary regulaminowej), a nawet rozwiązaniem umowy o pracę bez zachowania okresu wypowiedzenia z winy pracownika.
Ustalając krąg osób upoważnionych do przetwarzania danych, nie można jednak ograniczać się tylko do pracowników wykonujących prace typowo administracyjne. Trudno sobie wyobrazić sytuację, w której przełożony nie zna kwalifikacji czy wynagrodzenia podwładnych. Bez tego typu podstawowych informacji kierownicy komórek lub dyrektorzy pionów nie będą mogli prowadzić racjonalnej polityki wynagrodzeń pracowników ani w pełni wykorzystać umiejętności i wiedzy pracowników.
Administrator bezpieczeństwa informacji
Osobą, która w imieniu pracodawcy nadzoruje przestrzeganie zasad ochrony danych osobowych, jest administrator bezpieczeństwa informacji (art. 36 ust. 3 uodo).
Szczegółowe warunki, w jakich powinno odbywać się przetwarzanie danych osobowych, określone zostały w rozporządzeniu MSWiA z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU nr 100, poz. 1024).