Dostęp przełożonych do danych osobowych pracownika

Pracodawca na każdym etapie zatrudnienia pracownika ma prawo żądania, aby ten podał niezbędne do dalszego zatrudnienia dane osobowe. Takie żądanie musi wynikać z obowiązków lub uprawnień przyznanych na podstawie obowiązujących przepisów. Ustawodawca dokładnie sprecyzował, jakich informacji może żądać zatrudniający.

Definicja oraz zakres pojęcia danych osobowych

Definicja legalna danych osobowych znajduje się w art. 6 ust. 1 ustawy o ochronie danych osobowych (zwanej dalej u.o.d.o.). Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Odpowiedzialność pracodawcy za naruszenie ochrony danych osobowych pracownika >>

Ustawa nie zawiera katalogu informacji, które stanowią dane osobowe. Taki charakter mogą posiadać wszelkie informacje, jeśli tylko istnieje możliwość powiązania ich z określoną osobą.

Do danych osobowych można zaliczyć m.in.:

• imię, nazwisko, miejsce i datę urodzenia, adres zamieszkania, płeć, wzrost, znaki szczególne, obywatelstwo, układ linii papilarnych, cechy dokumentu tożsamości, numer PESEL,
• wykształcenie, znajomość języków obcych, posiadane uprawnienia zawodowe i kwalifikacje, przebieg pracy, stan cywilny, sytuację rodzinną,
• przekonania religijne, zainteresowania, upodobania, sposób spędzania wolnego czasu,
• sytuację majątkową, stan posiadania, w tym informacje o posiadanych dobrach, zgromadzonych oszczędnościach, kontach bankowych, o wysokości płaconych podatków i wszelkiego rodzaju zobowiązaniach finansowych.

W wyroku z 1 grudnia 2009 r. Naczelny Sąd Administracyjny zdecydował, że danymi osobowymi są również dane biometryczne pracowników, takie jak np. odciski palców, wzór siatkówki oka. Pracodawca może zbierać takie dane, pod warunkiem że pracownik wyrazi na to zgodę (I OSK 249/09).

Przykład

Pracodawca wprowadził w zakładzie pracy system kontrolujący czas pracy pracowników polegający na rejestrowaniu wejść i wyjść z pomieszczeń pracy za pomocą skanowania odcisków palców, na co pracownicy wyrazili zgodę. Takie postępowanie pracodawcy należy uznać za prawidłowe, mimo że przepis zawarty w art. 22¹ k.p. nie zawiera regulacji pozwalających na zbieranie danych osobowych w postaci rysunków linii papilarnych. Podstawą takiego działania jest art. 22¹ § 5 k.p. w zw. z art. 23 ust. 1 u.o.d.o., z których wynika, że linie papilarne czy wzór siatkówki oka mogą być przetwarzane, lecz musi się to odbywać za zgodą pracownika i z poszanowaniem przepisów ustawy o ochronie danych osobowych.

Uprawnienie bezpośredniego przełożonego

W stosunkach pracy administratorem danych pracownika jest zawsze pracodawca. Ustawa nakłada na administratora szczególne obowiązki. Przede wszystkim jest on zobowiązany do zabezpieczenia zbioru przed dostępem do informacji osób niepowołanych oraz do przetwarzania danych osobowych pracowników zgodnie z celem, w jakim są zbierane.

Nowe uprawnienia dla GIODO - nowelizacja ustawy >>

Pracodawcy muszą pamiętać, że tylko osoby upoważnione przez administratora mogą mieć dostęp do zbiorów danych. Dlatego w sytuacji, gdy struktury firmy są rozbudowane, każda osoba, która ma do czynienia z aktami osobowymi pracowników, musi mieć stosowne upoważnienie. W takiej sytuacji pojawia się pytanie, czy każdy przełożony pracownika powinien mieć nieograniczony dostęp do wszystkich danych osobowych swoich podwładnych.

Zadaniem administratora danych osobowych jest zarządzanie zbiorem danych oraz przetwarzanie danych w nim zawartych. Przez przetwarzanie danych należy rozumieć jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, zmienianie, udostępnianie i usuwanie (art. 7 u.o.d.o.). Administrator jest ponadto zobowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostają do zbioru wprowadzone oraz komu są przekazywane.

WAŻNE!

W strukturach znacznie rozbudowanych oprócz specjalistów z działu kadr dostęp do danych osobowych pracowników powinni mieć np. menedżerowie zarządzający firmą czy kierownicy nadzorujący pracę podległych im pracowników.

Poza wymienionymi wyżej osobami zatrudnionymi w przedsiębiorstwie dostęp do danych osobowych powinni mieć m.in. informatycy, pełnomocnicy ds. informacji niejawnych, a także inne osoby stale lub od czasu do czasu zajmujące się przetwarzaniem danych osobowych pracowników.

Jak zabezpieczyć dokumentację pracowniczą >>

Przykład

Pracownik codziennie spóźnia się do pracy. W poniedziałek zaraz po przyjściu do pracy pracodawca na korytarzu w obecności innych pracowników postanowił nałożyć na spóźniającego się pracownika karę porządkową. Takie postępowanie pracodawcy należy uznać za nieprawidłowe ze względu na to, że dane osobowe pracownika to także informacje dotyczące np. przyczyn rozwiązania umowy o pracę czy nałożonej kary porządkowej. W tej sytuacji pracodawca zachował się niewłaściwie, gdyż przekazał dane osobowe pracownika osobom nieupoważnionym do ich przetwarzania.

Upoważnienie tylko na piśmie

Od zasady, że trzeba mieć upoważnienie do przetwarzania danych w firmie zatrudniającej pracowników, nie ma żadnych wyjątków. Dlatego upoważnienie muszą mieć wszystkie grupy pracowników, jeśli tylko w ramach swoich zadań służbowych wykorzystują dane osobowe. Oznacza to, że bez upoważnienia nie wolno nikogo dopuścić do danych osobowych pracowników (art. 37 u.o.d.o.).

Komu pracodawca może udostępnić dokumentację płacową pracownika >>

Przepisy nie określają jednoznacznie formy udzielenia upoważnienia. Do celów dowodowych najlepiej jest je sporządzić na piśmie. Nie ma też nigdzie oficjalnego wzoru upoważnienia. Nie ulega jednak wątpliwości, że powinno ono określać nazwę i adres administratora danych, osobę, która uzyskuje upoważnienie do przetwarzania danych, datę nadania jej takich uprawnień (gdy upoważnienie nadane jest na czas określony), a także zakres upoważnienia do przetwarzania danych osobowych.

Upoważnienie należy napisać w minimum dwóch kopiach: jedna (na wypadek np. kontroli urzędników GIODO) powinna być w dyspozycji osoby upoważnionej, druga – w jej aktach osobowych.

Podstawa prawna:

• art. 22¹ Kodeksu pracy,
• art. 6, 7, 23, 37 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.).

Orzecznictwo:

• wyrok NSA z 1 grudnia 2009 r. (I OSK 249/09, niepubl.).