Ochrona danych

osobowych i

informacji

niejawnych

Bezpieczeństwo Wewnętrzne
II ROK Studia stacjonarne
sem. zimowy 2012/2013
dr Katarzyna Ciućkowska-

Leszczewicz

Przetwarzanie danych osobowych

Przetwarzanie danych osobowych

przez pracodawcę

przez pracodawcę

Przetwarzanie danych osobowych w
celu zrealizowania uprawnienia lub
spełnienia obowiązku wynikającego
z przepisu prawa



Zgodnie z art. 23 ust. 1 pkt 2 ustawy przetwarzanie danych

osobowych jest dopuszczalne wtedy, gdy jest to niezbędne dla

zrealizowania uprawnienia lub spełnienia obowiązku

wynikającego z przepisu prawa.



Warunkiem uznania przetwarzania danych osobowych za zgodne

z prawem w oparciu o przesłankę legalizującą, wskazaną w art.

23 ust. 1 pkt 2 ustwy jest więc łączne spełnienie następujących

warunków:
a) istnienie odpowiedniego przepisu prawa, który przyznaje

podmiotowi uprawnienie lub nakłada na niego obowiązek,
b) niezbędność przetwarzania danych dla zrealizowania tego

uprawnienia lub spełnienia obowiązku wynikającego z tego

przepisu (J. Barta, P. Fajgielski, R. Markiewicz, Ochrona..., s. 491).



Przykładem normy określającej wspomniane relacje,

zawartej w innej ustawie niż ustawa o ochronie danych

osobowych, jest art. 22[1] § 5 Kodeksu pracy.

Art. 22[1] kodeksu pracy

art. 221§ 1.
Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych

osobowych obejmujących:

1) imię (imiona) i nazwisko,

2) imiona rodziców,

3) datę urodzenia,

4) miejsce zamieszkania (adres do korespondencji),

5) wykształcenie,

6) przebieg dotychczasowego zatrudnienia.

§ 2. Pracodawca ma prawo żądać od pracownika podania, niezależnie od danych osobowych,

o których mowa w § 1, także:

1) innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci

pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez

pracownika ze szczególnych uprawnień przewidzianych w prawie pracy,

2) numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne

Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).

§ 3. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby,

której one dotyczą. Pracodawca ma prawo żądać udokumentowania danych osobowych

osób, o których mowa w § 1 i 2.

§ 4. Pracodawca może żądać podania innych danych osobowych niż określone w § 1 i 2, jeżeli

obowiązek ich podania wynika z odrębnych przepisów.

§ 5. W zakresie nieuregulowanym w § 1-4 do danych osobowych, o których mowa w tych

przepisach, stosuje się przepisy o ochronie danych osobowych.art. 23

Dane osobowe osób
ubiegających się o
zatrudnienie



 Art. 22[1] kodeksu pracy stanowi podstawę prawną

do przetwarzania danych osobowych nie tylko wobec

pracowników ale również kandydatów do pracy.



Odwołuje się on w swojej treści do pojęcia "żądania"

odpowiednich informacji przez pracodawcę. Możliwość

więc żądania przez pracodawców danych pracowników

jak i kandydatów do pracy tylko w zakresie w jakim

przewidziane zostało to przez ustawodawcę w

wymienionych przepisach prawa nie budzi wątpliwości.



Nie budzi również wątpliwości możliwość żądania przez

pracodawcę (lub przyszłego pracodawcę) odpowiednich

dokumentów potwierdzających przekazane informacje,

na co wskazuje bezpośrednio § 3 tego przepisu.

Dane osobowe osób
ubiegających się o
zatrudnienie



W praktyce, potencjalni kandydaci do pracy z własnej

inicjatywy przekazują - pomimo braku ewentualnego żądania

lub nawet przy braku prowadzenia przez pracodawcę

rekrutacji na stanowiska pracy - dane osobowe w zakresie

znacznie przekraczającym ten wskazany w przepisach prawa

pracy.



W takim przypadku, w sytuacji gdyby przyszły (potencjalny)

pracodawca był zainteresowany przechowywaniem danych

(w oderwaniu od przesłanego dokumentu - np. zapisując je w

systemie informatycznym), powinien ograniczyć swoje

działania (przechowywanie) wyłącznie do kategorii danych

wskazanych w przepisach prawa (art.. 22 [1] kodeksu pracy).



W innym przypadku powinien je niezwłocznie usunąć (lub

zanonimizować). W przypadku natomiast zamiaru

przechowywania w całości przesłanych dokumentów (jako

nośników danych), może je zachować nie usuwając

(wykreślając, zamazując) z nich danych wykraczających

poza zakres określony w powołanych przepisach.

Dane osobowe osób
ubiegających się o
zatrudnienie



Prawną podstawę do zbierania danych osobowych od

kandydatów do pracy w ramach procesu rekrutacji

(prowadzonego przez samych pracodawców lub podmioty

zewnętrzne działające na ich zlecenie) stanowi art. 22[1]

Kodeksu pracy w zw. z art. 23 ust. 1 pkt 2 ustawy o ochronie

danych osobowych.



W konsekwencji nie ma potrzeby uzyskiwania oświadczenia o

wyrażeniu zgody na przetwarzanie danych w procesie

rekrutacji od osób, których dane dotyczą.



Zatem ewentualna zgoda osoby, która jest rekrutowana, na

przetwarzanie jej danych osobowych, może być rozpatrywana

ewentualnie jako podstawa prawna dla przechowywania

danych osobowych po zakończeniu procesu rekrutacji z

zastrzeżeniem, że treść oświadczenia zgody powinna

wskazywać właśnie takie cele.



Praktykę wymagania od kandydatów do pracy dołączenia

odpowiedniego oświadczenia w tym zakresie do składanych

dokumentów aplikacyjnych należy więc ocenić jako

nieprawidłową.

Czy pracodawca może
wykorzystywać zdjęcie pracownika
bez jego zgody np. w celu
zmieszczenia go na stronie
internetowej firmy?



Nie, gdyż – co do zasady – dla legalnego wykorzystania przez

pracodawcę wizerunku pracownika potrzebna jest jego zgoda.



Z uwagi jednak na to, że wśród wymienionych informacji

o pracowniku w powołanych przepisach Kodeksu pracy nie ma

zdjęcia pracownika, to pracodawca, aby  móc legalnie je

pozyskać w celu np. umieszczania na identyfikatorach czy

stronach internetowych firm, musi – co do zasady – pozyskać

na to zgodę pracownika. Tym samym zostaje spełniona

przesłanka z art. 23 ust. 1 pkt 1 ustawy o ochronie danych

osobowych. Istnieją jednak sytuacje wyjątkowe, gdy wizerunek

pracownika jest ściśle związany z wykonywanym przez niego

zawodem czy charakterem pracy. Jako przykład podać można

choćby pracowników ochrony, co do których – ze względów

bezpieczeństwa – powinna być możliwość ich identyfikacji.

Wówczas można odstąpić od pozyskiwania takiej zgody w tym

właśnie celu.



Należy jednak zaznaczyć, że jeśli chodzi o zgodę osoby,

której dane dotyczą, to w myśl art. 7 pkt 5 ustawy

o ochronie danych osobowych rozumie się przez nią

oświadczenie woli, którego treścią jest zgoda na

przetwarzanie danych osobowych tego, kto składa

oświadczenie. Przy czym zgoda nie może być

domniemana lub dorozumiana z oświadczenia woli

o innej treści. Podkreślenia wymaga, że zgoda musi być

udzielona dobrowolnie, a zatem pozyskiwanie przez

pracodawcę zgody pracownika będzie możliwe jeżeli

pracownik będzie miał możliwość odmowy jej udzielenia

i nie spotkają go z tego powodu żadne konsekwencje.

Warto dodać, że – w myśl art. 7 pkt 5 – zgoda może być

odwołana w każdym czasie.

Czy umieszczanie służbowych
adresów e-mail pracowników na
stronie internetowej pracodawcy
jest zgodne z przepisami prawa?

Tak, umieszczanie służbowych adresów e-mail

pracowników na stronie internetowej pracodawcy jest

zgodne z przepisami prawa.

Informacje o pracowniku takie jak np. jego imię i nazwisko,

czy właśnie służbowy adres e-mail są ściśle związane

z życiem zawodowym pracownika i z wykonywaniem przez

niego obowiązków służbowych. Dane te mogą być

wykorzystywane (udostępniane) przez pracodawcę nawet

bez zgody pracownika, którego one dotyczą.

Czy pracodawca ma prawo publikować

na swoich stronach internetowych takie

dane osobowe pracowników jak ich

imiona i nazwiska, stanowiska, dokładne

miejsce pracy (numer pokoju, telefon,

adres e-mail), bez zgody tych osób?

Takie informacje o pracowniku, jak jego imię i nazwisko, służbowy adres

e-mail, czy też służbowy numer telefonu są ściśle związane z życiem

zawodowym pracownika i z wykonywaniem przez niego obowiązków

służbowych. Z uwagi na to dane te mogą być wykorzystywane przez

pracodawcę – także bez zgody osoby, której one dotyczą. 

Pogląd ten podzielił w swoim orzecznictwie również Sąd Najwyższy

(wyrok z dnia 19 listopada 2003 r. o sygn. I PK 590/02) stwierdzając, że

"najistotniejszym składnikiem zakładu pracy (przedsiębiorstwa) są ludzie,

a funkcjonowanie zakładu wiąże się nierozłącznie z kontaktami

zewnętrznymi – z kontrahentami, klientami (...). Dlatego pracodawca nie

może być pozbawiony możliwości ujawniania nazwisk pracowników,

zajmujących określone stanowiska w ramach instytucji. Przeciwne

stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia

możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia

w ochronie interesów i praw pracownika.(...) Imiona i nazwiska

pracowników widnieją na drzwiach w zakładach pracy, umieszcza się je

na pieczątkach imiennych, pismach sporządzanych w związku z pracą,

prezentuje w informatorach o instytucjach i przedsiębiorstwach, co

oznacza, że zgodnie z powszechną praktyką są one zasadniczo jawne";. 

Nie ma więc przeszkód w umieszczeniu na stronach internetowych

pracodawcy informacji o pracownikach, jeśli dane te nie dotyczą

prywatnej sfery jego życia.

Czy pracodawca ma prawo za pomocą
specjalnego

urządzenia

skanować

linie papilarne pracowników w celu
rejestracji godzin ich przyjścia i
wyjścia z zakładu?



Nie ma do tego prawa, nawet za zgodą każdego pracownika.



Zakres danych osobowych pracowników, jakich może żądać

zatrudniający, określa art. 22[1] kodeksu pracy. 



Warto także zauważyć, iż kodeks pracy w zakresie w nim

nieuregulowanym odsyła do przepisów ustawy o ochronie danych

osobowych (art. 221 § 5 kodeksu pracy). Przepisy tej ustawy określają

m.in., na jakiej podstawie można legalnie wykorzystywać

(przetwarzać) dane osobowe, wymieniając zgodę osoby, której dane

dotyczą, czy istnienie przepisu prawa, który zezwala na przetwarzanie

danych osobowych w określonym celu (art. 23 ust. 1 ustawy

o ochronie danych osobowych). Jednak w przypadku pozyskiwania

danych osobowych pracownika, innych niż wskazane wyżej, m.in. linii

papilarnych, nie można powoływać się na jego zgodę, jako podstawę

prawną. Aby zgoda osoby mogła być uznana za podstawę prawną

musi być wyrażona w sposób dobrowolny. Jednak w relacji zachodzącej

między pracodawcą a pracownikiem trudno jest mówić o takiej

dobrowolności, gdyż brak jest tu równowagi podmiotowej (stosunek

nadrzędności i podrzędności podmiotów), co często może sprzyjać

wymuszeniu zgody.



Stanowisko GIODO poparł także Naczelny Sąd Administracyjny

w wyroku z dnia 1 grudnia 2009 r. o sygn. akt I OSK 249/09,

stwierdzając, że „wyrażona na prośbę pracodawcy pisemna

zgoda pracownika, na pobranie i przetworzenie jego danych

osobowych, narusza prawa pracownika i swobodę wyrażenia

przez niego woli. (…) Brak równowagi w relacji pracodawca

pracownik stawia pod znakiem zapytania dobrowolność

w wyrażeniu zgody na pobieranie i przetworzenie danych

osobowych (biometrycznych). Z tego względu ustawodawca

ograniczył przepisem art. 221 kodeksu pracy katalog danych,

których pracodawca może żądać od pracownika”.



A zatem jedyną podstawą do gromadzenia odcisków linii

papilarnych może być przepis prawa. Skoro jednak nie ma

regulacji zezwalających pracodawcom na żądanie od

podwładnych danych biometrycznych, jak linii papilarnych,

obrazu tęczówki oka czy kodu DNA to ich gromadzenie jest

zabronione.

Dziękuję za uwagę