zamknij to okno
Portale internetowe Wydawcnictwa Trendy sp. z o.o. korzystają z ciasteczek COOKIES w celu poprawnego działania statystyk GOOGLE oraz BIZON MEDIA dostarczających reklamy. Jeśli nie zgadzają się Państwo na zostawianie ciasteczek przez GOOGLE ANALYTICS prosimy o wyłączenie obsługi ciasteczek w konfiguracji Państwa przeglądarki stron internetowych i dalszą wizytę na stronie.

MENU   START WYDAWCA REDAKCJA ARCHIWUM  
Szukaj

WYSZUKIWARKA



BAZY PRAWA
PRAWO KRAJOWE
PRAWO UE

Pracodawca jako administrator danych osobowych

Przepisy kodeksu pracy oraz akty wykonawcze wydane na jego podstawie nakładają na pracodawcę obowiązek prowadzenia dokumentacji w sprawach związanych ze stosunkiem pracy oraz akt osobowych pracowników. Obowiązek prowadzenia akt osobowych jest szczególnie ważny ze względu na dowodowe znaczenie znajdujących się w nich dokumentów w ewentualnych sprawach o roszczenia ze stosunku pracy, a także w razie kontroli, np. przez Państwową Inspekcję Pracy, prawidłowości wykonywania zobowiązań przez pracodawcę.

Obowiązek prowadzenia akt osobowych dotyczy również dokumentów zgromadzonych w związku z ubieganiem się o zatrudnienie, bowiem pracodawca wchodzi w posiadanie danych osobowych już na etapie weryfikacji kandydatów ubiegających się o pracę. Zakres danych osobowych, które może pozyskać pracodawca od pracownika oraz osoby ubiegającej się o zatrudnienie reguluje art. 221 k.p.

Zgodnie z § 1 tego artykułu pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: imię (imiona) i nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie, przebieg dotychczasowego zatrudnienia. Zakres danych osobowych, których pracodawca może żądać od pracownika jest nieco szerszy. Przepis upoważnia pracodawcę do żądania innych danych osobowych pracownika poza wymienionymi powyżej, a także imion i nazwisk oraz dat urodzenia dzieci, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy, jak również numeru PESEL pracownika.

Ponadto pracodawca jest uprawniony do uzyskania innych danych osobowych, jeżeli obowiązek ich podania wynika z odrębnych przepisów. Stosownie do art. 221 § 3 k.p. udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą, przy czym pracodawca ma prawo żądać udokumentowania udostępnionych danych osobowych pracownika i osoby ubiegającej się o pracę. Realizacja tego prawa powinna nastąpić w pierwszej kolejności przez wgląd do oryginałów dokumentów, a dopiero, gdy nie będzie to wystarczające, przez ich gromadzenie. Obowiązek prowadzenia dokumentacji związanej ze stosunkiem pracy dotyczy również dokumentów związanych z ustaniem zatrudnienia.

Ochrona danych osobowych

Zawarte w aktach kadrowych dane osobowe dotyczące pracowników podlegają ochronie na podstawie ustawy o ochronie danych osobowych. Ustawa ta weszła w życie 30 kwietnia 1998 r. i stanowi rozwinięcie przepisów Konstytucji gwarantujących, że:
  1. nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby,
  2. każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych; ograniczenie tego prawa może określić ustawa,
  3. każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.
Należy podkreślić, że ustawa o ochronie danych osobowych nie uchyliła regulacji szczególnych odnoszących się do ochrony danych osobowych. Przepisy takie, jak chociażby przytoczony wyżej art. 221 k.p., jeżeli regulują pewne zagadnienie odmiennie niż ustawa, mają pierwszeństwo w zastosowaniu przed przepisami ustawy.

Kogo dotyczy ustawa o ochronie danych osobowych

Zakres podmiotowy ustawy określony został w jej art. 3, zgodnie z którym ma ona zastosowanie do organów państwowych, samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, a także osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych i dodatkowo mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczpospolitej Polskiej.

W świetle powołanego przepisu każdy pracodawca mający siedzibę na terytorium Polski albo w państwie nienależącym do Europejskiego Obszaru Gospodarczego (EWG) jest administratorem danych zobowiązanym do wypełniania wymogów ustawy. Należy podkreślić, że administratorem danych nie jest osoba lub osoby pełniące funkcje kierownicze, np. dyrektor czy zarząd, podobnie jak oznaczony pracownik, któremu powierzono wykonywanie obowiązków związanych z ochroną i operacjami na danych osobowych. Administratora danych nie można powołać, ustanowić czy też powierzyć jakiejś osobie pełnienia tej funkcji.

WAŻNE
Pracodawca uzyskuje status administratora danych osobowych z mocy samej ustawy o ochronie danych osobowych, przetwarzając dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.

Pozycja administratora jest zdeterminowana faktem, że wskazane w art. 3 ustawy podmioty zajmujące się przetwarzaniem danych, samodzielnie decydują o celach i środkach ich przetwarzania. Dla uzyskania statusu administratora danych pozostaje również bez znaczenia, czy przetwarzanie danych jest głównym, czy też ubocznym przedmiotem działalności wskazanych wyżej podmiotów. Co więcej administratorem danych może być podmiot jedynie pozyskujący dane lub też zajmujący się wyłącznie ich opracowywaniem lub udostępnianiem.

Obowiązki pracodawcy jako administratora danych osobowych

W rozumieniu ustawy o ochronie danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, a więc takiej, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Z pewnością dane gromadzone przez pracodawcę o pracownikach wchodzą w zakres powyższej definicji. Wymaga podkreślenia, że pracodawca z reguły pozyskuje tzw. dane zwykłe, czyli adres zamieszkania, datę urodzenia itp.

Jednakże pracodawcy mogą wejść w posiadanie także informacji tzw. wrażliwych, których przetwarzanie co do zasady jest zabronione.
Do danych takich ustawa zalicza: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące orzeczeń o ukaraniu i mandatach karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Pracodawca jako administrator danych odpowiada przede wszystkim za legalność przetwarzania danych osobowych pracowników.
Zgodnie z art. 23 ust. 1 ustawy przetwarzanie danych jest dopuszczalne tylko w razie zaistnienia jednej z poniższych przesłanek:
  1. osoba, której dane dotyczą wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
  2. jest to niezbędne dla realizacji uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
  3. jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
  4. jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
  5. jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów przez administratorów danych albo odbiorców danych, z zastrzeżeniem, że przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.
Pracodawca jako administrator danych osobowych przetwarza dane osobowe pracownika lub osoby ubiegającej się o zatrudnienie na podstawie szczególnego przepisu prawa (art. 221 k.p.), a więc przy spełnieniu przesłanki określonej w art. 23 ust. 1 pkt 2 ustawy ochronie danych osobowych. Wobec tego zgoda pracownika czy kandydata do pracy jest w tym przypadku zbędna.

Upoważnienie do przetwarzania danych osobowych

Art. 37 ustawy o ochronie danych osobowych przewiduje, że do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Przepis ten nie przewiduje żadnych wyłączeń, dlatego też obowiązek nadania specjalnego upoważnienia dotyczy wszystkich grup pracowników, o ile tylko ich praca związana jest z wykorzystywaniem danych osobowych. To samo dotyczy obowiązku prowadzenia ewidencji osób upoważnionych do przetwarzania danych, o której mowa w art. 39 ustawy. Ewidencja ta powinna zawierać imiona i nazwiska osób upoważnionych, daty nadania i ustania upoważnienia, zakres upoważnień oraz identyfikatory odnośnie tych osób, które dopuszczone zostały do przetwarzania danych w systemie informatycznym.

WAŻNE
Pracownicy działów kadr muszą posiadać stosowne upoważnienia do przetwarzania danych oraz być uwzględnieni w ewidencji osób upoważnionych prowadzonej przez administratora danych.

Ustawa nie określa ani treści, ani formy przedmiotowego upoważnienia, jednak ze względów dowodowych powinno ono mieć formę pisemną oraz charakter imienny, a także określać dozwolony zakres przetwarzania danych. Obowiązek prowadzenia ewidencji dotyczy pracodawców przetwarzających dane metodami informatycznymi i tradycyjnymi.

Zgodnie z art. 36 ustawy pracodawca jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. W szczególności powinien zabezpieczyć dane przed ich udostępnianiem osobom nieupoważnionym, utratą, uszkodzeniem lub zniszczeniem. Pracodawca jest również zobowiązany do opracowania i wdrożenia polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (jeżeli taki stosuje).

Czy pracodawca musi zgłosić zbiór danych Generalnemu Inspektorowi do rejestracji

Treść art. 43 ust. 1 pkt 4 ustawy o ochronie danych osobowych nie pozostawia wątpliwości, że pracodawca przetwarzający dane osobowe w związku z zatrudnieniem zwolniony jest z obowiązku rejestracji zbiorów danych osobowych.

Zwolnienie obejmuje wszystkie tworzone w zakładach pracy zbiory danych dotyczących pracowników, zarówno obecnych jak i byłych, a także kandydatów do pracy i osób świadczących usługi na podstawie umów cywilnoprawnych. Należy wspomnieć, że zwolnienie z obowiązku zgłoszenia zbioru danych do rejestracji nie oznacza automatycznie zwolnienia ich administratora z konieczności przestrzegania przepisów o ochronie danych osobowych i dopełnienia innych, określonych w nich obowiązków.

WAŻNE
Pracodawca przed zatrudnieniem osób pracujących przy przetwarzaniu danych osobowych powinien powiadomić je o obowiązku zachowania w tajemnicy pozyskanych danych oraz o sposobach ich przetwarzania. Wskazane jest również, żeby pracownicy poświadczyli na piśmie przyjęcie tego obowiązku do wiadomości.

Sebastian Papaj
specjalista ds.prawa pracy w kancelarii adwokackiej "Next"

Podstawa prawna
  • art. 3, art. 6, art. 7 pkt 7, art. 23, art. 27, art. 37, art. 39, art. 43 ust. 1 pkt 4 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (j.t. Dz.U. z 2002 r. nr 101, poz. 926 ze zm.)
  • art. 221 ustawy z 26 czerwca 1974 r. - Kodeks pracy (j.t. Dz.U. z 1998 r. nr 21, poz. 94)


To Warto Wiedzieć...
Od kiedy przysługuje ochrona danych osobowych
  1. Dane osobowe korzystają z ochrony przewidzianej ustawą z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. nr 133, poz. 883 ze zm.) już wówczas, jeżeli tylko mogą znaleźć się w zbiorze danych osobowych, bez względu na to, czy się w nim ostatecznie znalazły, a ustawa w odniesieniu do różnych etapów i rodzajów przetwarzania danych określa jeszcze dodatkowe uprawnienia osób, których dane te dotyczą (rozdz. 4 ustawy o ochronie danych osobowych). Każdy ma prawo do ochrony dotyczących go danych osobowych (art. 1 ust. 1 ustawy o ochronie danych osobowych), a nie jedynie ten, czyje dane znalazły się już w zbiorze.
  2. Na gruncie ustawy o ochronie danych osobowych administratorem danych osobowych jest jedynie ten podmiot, który decyduje o celach i środkach przetwarzania tych danych (art. 7 pkt 4 ustawy o ochronie danych osobowych), natomiast administrującym - także taki podmiot, który zarządza, zawiaduje zbiorem danych (art. 50, 51, 54 cytowanej ustawy) lub danymi (art. 52 cytowanej ustawy) w procesie ich przetwarzania, w tym i powierzonego mu w trybie wskazanym w art. 31 ustawy o ochronie danych osobowych, przy czym odpowiedzialność karna administrującego niebędącego administratorem danych wchodzi w rachubę wówczas, gdy jego zachowanie - uznane za karalne przez ustawę - wynika z powierzonych mu czynności przetwarzania danych.
(Postanowienie Sądu Najwyższego - Izba Karna z 11 grudnia 2000 r., sygn. akt II KKN 438/2000, OSNKW 2001/3-4 poz. 33)

Treść artykułu dotyczy stanu prawnego obowiązującego w czasie opublikowania go w piśmie.
S2pXSLTransformator::missingFileError :: Plik z szablonem XSL /htdocs/e-podatnik.pl/epodatnik/xml/spisy_tresci_czasopism/doradca_podatnika/633.xml NIE ISTNIEJE !!!
Hotelarz    Rynek Turystyczny     Restauracja    Polski Jubiler
Wydawnictwo TRENDY | Polskie Wydawnictwa Specjalistyczne ProMedia



Zapoznaj się z naszym portalem pisma branżowego Rynek Turystyczny