Jakie obowiązki nakłada UODO na pracodawcę?

Documents with binder clips close up
Na pracodawcy ciążą różnego rodzaju obowiązki wynikające z przepisów prawa. Jednym z takich aktów prawnych do postanowień którego pracodawca zobowiązany jest się zastosować jest ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. nr 101 poz. 926 ze zm. ), zwaną dalej „ustawą”. Dzieje się tak, dlatego że w związku z zatrudnieniem pracodawca niejednokrotnie i w różnych celach przetwarza dane osobowe swoich pracowników. Jako firma doradcza z zakresu ochrony danych osobowych widzimy doniosłość problemu. W trakcie audytów i szkoleń zetknęliśmy się z wieloma problemami i wątpliwości jak postępować z danymi pracowników. Temat stał się istotny i nieszablonowy także ze względu na rozwój środków technicznych i możliwości jakimi dysponuje pracodawca (gromadząc informacje i je transferując) jak i pracownik (dzieląc się swoimi spostrzeżeniami np. na portalach). To odkryło zupełnie nowe horyzonty i wygenerowało nowe wyzwania przed prawnikami. Oczywiście, artykuł ten nie wyczerpie tematu, ale będzie cenną wskazówką dla pracodawców.
Ustawa o ochronie danych osobowych ma zastosowanie do przetwarzania danych osobowych  kandydatów do pracy czy byłych pracowników. Niemniej opracowanie powyższe dotyczy tylko i wyłącznie danych pracowników, do pozostałych kategorii danych powrócimy w kolejnych artykułach.
Część obowiązków do których musi stosować się pracodawca jako administrator danych swoich pracowników ma charakter ogólny. Obowiązki te są niezależne od tego czy przetwarzamy dane pracowników czy dane innych kategorii osób. Uwaga ta ma w główniej mierze zastosowanie do zabezpieczeń danych osobowych. I tak administrator danych powinien prowadzić dokumentacje opisującą sposób przetwarzania danych, zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Na wspomnianą dokumentację zgodnie z § 3 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. nr. 100 poz. 1024), zwane dalej „Rozporządzeniem” składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym, zwana dalej „instrukcją zarządzania” służącym do bezpieczeństwa przetwarzania danych osobowych. Dokumentację prowadzi się w formie pisemnej i wdraża ją administrator danych. Zakres polityki bezpieczeństwa i instrukcji zarządzania oraz środki bezpieczeństwa uregulowane są szczegółowo w rozporządzeniu i załączniku do Rozporządzenia.
Aby pracodawca mógł legalnie przetwarzać dane osobowe swoich pracowników powinien legitymować się jedną z przesłanek przetwarzania danych osobowych, które są  wymienione w art. 23 (dane zwykłe) i art. 27 (dane wrażliwe) ustawy. W przypadku pozyskiwaniu danych od pracownika jedną z przesłanek przetwarzania danych będą przepisy prawa i będzie to głównie art. 22¹ ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. z 1974 nr 24 poz. 141 ze zm.). Przepis ten wskazuje na zakres informacji jakich pracodawca może żądać od pracownika. Szczegółowy opis sytuacji w których pracodawca może przetwarzać dane osobowe swoich pracowników umieszczono w artykule „Legalność i adekwatność przetwarzania danych kadrowych”[i],.
Kolejnym obowiązkiem wynikającym z ustawy o ochronie danych osobowych jest przekazanie osobie, której dane dotyczą, informacji wskazanych w art. 24 ustawy (tzw. obowiązek informacyjny). Stosownie do tego artykułu pracodawca jest zobowiązany poinformować pracownika o: adresie swojej siedziby i pełnej nazwie; celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych; prawie dostępu do treści swoich danych oraz ich poprawiania; dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje o jego podstawie prawnej. Ustawa wskazuje, że obowiązku poinformowania pracodawca powinien dopełnić w momencie zbierania danych. Oczywiście wydawać by się mogło, że pracownik posiada część informacji wskazanych w art. 24 ustawy, jednak nie zawsze możemy tak przyjąć. Dodatkowo należy wskazać, że w odniesieniu do celu przetwarzania danych osobowych pracodawcy bardzo szeroko wykorzystują dane pracowników, nie tylko w celach ściśle związanych z zatrudnieniem. Zatem o każdym celu przetwarzania danych osobowych pracodawca powinien poinformować pracownika. Forma dopełnienia tego obowiązku powinna zapewniać skuteczne poinformowanie pracownika. Momentem tym może być zebranie informacji od pracownika za pośrednictwem kwestionariusza osobowego albo w postanowieniach umowy o pracę. Należy pamiętać również o tym, że ewentualną odpowiedzialność (karną lub administracyjną) za niedopełnienie obowiązku poinformowania będzie ponosił pracodawca.
Stosownie do art. 36 ust. 1 ustawy pracodawca powinien zabezpieczyć dane pracowników przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną. A contrario do przetwarzania danych pracowników powinny być dopuszczone osoby upoważnione do przetwarzania danych pracowników. Tak więc osoby zajmujące się obsługą kadrową pracodawcy powinny posiadać stosowne upoważnienia nadane przez administratora danych. Nie można również dopuścić do sytuacji, w której pracownicy innych działów mają dostęp do danych kadrowych, gdyż nie są oni osobami uprawnionymi do tego typu ingerencji w dane kadrowe. Wyjątkiem mogą być kierownicy komórek, którzy odpowiadają za kontrolę czasu pracy i naliczanie wynagrodzeń pracowników im podległych, ale tylko w odniesieniu do tych pracowników.
Ponadto w polityce bezpieczeństwa znajdować się powinien wykaz zbiorów danych osobowych wraz z opisem struktury zbiorów danych i wskazaniem programów zastosowanych do przetwarzania danych osobowych. Jednym z takich zbiorów jest właśnie zbiór pracowników, który pracodawca powinien wyodrębnić i odpowiednio opisać w dokumentacji.
Wyodrębnienie takiego zbioru nie powoduje, że automatycznie należy go zgłosić do rejestracji w biurze Generalnego Inspektora Ochrony Danych Osobowych. Zbiór taki podlega zwolnieniu z rejestracji na podstawie art. 43 ust. 1 pkt. 4 ustawy, który stanowi, że z obowiązku rejestracji zbioru danych zwolnieni są administratorzy, danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się.
Kolejną kwestią wartą uwagi jest przekazywanie danych do państw trzecich, bowiem często zdarza się, że dane pracowników są przechowywane na serwerach znajdujących się w państwach trzecich, czy też są przekazywany do „Spółek matek” w ramach korporacji, które mają siedzibę w państwie trzecim. Należy pamiętać, że aby legalnie można było takich czynności dokonywać należy legitymować się jedną z przesłanek wymienioną w art. 47 ustawy lub uzyskać zgodę Generalnego Inspektora Ochrony Danych Osobowych (art. 48). Szerszych informacji dotyczących przekazywania danych do państw trzecich mogą Państwo poszukać w artykule „Przekazywanie danych osobowych do państw trzecich”[ii],.
Oprócz wskazanych powyżej podstawowych obowiązków pracodawcy jest wiele innych kwestii nieuregulowanych wprost w ustawie o ochronie danych osobowych, ale związanych z przetwarzaniem danych pracowników, na przykład monitoring pracowników.
Reasumując, przy przetwarzaniu danych pracowników należy pamiętać, że pracodawca zobowiązany jest prowadzić dokumentację przetwarzania danych osobowych, legitymować się przesłankami legalności, dopełnić obowiązku poinformowania, dopuścić do przetwarzania danych pracowników osoby do tego upoważnione, wyodrębnić odpowiedni zbiór danych osobowych pracowników oraz zastosować odpowiednie środki techniczne i organizacyjne zabezpieczające dane pracowników przed potencjalnym wyciekiem. Na koniec warto zwrócić uwagę na kwestię umów powierzenia przetwarzania danych osobowych. Dotyczy to sytuacji w której dane pracowników są powierzane innym podmiotom (outsourcing)  np. w ramach umowy na wykonanie usługi przechowywania dokumentacji czy też prowadzenia spraw kadrowych. Art. 31 ustawy wymaga aby umowa powierzenia była zawarta w formie pisemnej oraz zawierała określenie celu i środków przetwarzania danych. Oprócz tych podstawowych postanowień warto również, ze względu na szczególny rodzaj danych jakimi są dane pracowników odpowiednio zabezpieczyć się przed ich wyciekiem zobowiązując procesora m.in. do wdrożenia dokumentacji przetwarzania danych, odpowiedniego ich zabezpieczenia, czy zobligowania do usunięcia danych po rozwiązaniu umowy. Nie zapominajmy przy tym, że dane kadrowe to także dane sensytywne, więc naszym zdaniem prawo do kontroli przez administratora powinno w takiej umowie także się pojawić.
Włodzimierz Dola
About Redakcja 304 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.