Ochrona danych
osobowych i
informacji
niejawnych
Bezpieczeństwo Wewnętrzne
II ROK Studia stacjonarne
sem. zimowy 2012/2013
dr Katarzyna Ciućkowska-
Leszczewicz
Przetwarzanie danych osobowych
Przetwarzanie danych osobowych
przez pracodawcę
przez pracodawcę
Przetwarzanie danych osobowych w
celu zrealizowania uprawnienia lub
spełnienia obowiązku wynikającego
z przepisu prawa
Zgodnie z art. 23 ust. 1 pkt 2 ustawy przetwarzanie danych
osobowych jest dopuszczalne wtedy, gdy jest to niezbędne dla
zrealizowania uprawnienia lub spełnienia obowiązku
wynikającego z przepisu prawa.
Warunkiem uznania przetwarzania danych osobowych za zgodne
z prawem w oparciu o przesłankę legalizującą, wskazaną w art.
23 ust. 1 pkt 2 ustwy jest więc łączne spełnienie następujących
warunków:
a) istnienie odpowiedniego przepisu prawa, który przyznaje
podmiotowi uprawnienie lub nakłada na niego obowiązek,
b) niezbędność przetwarzania danych dla zrealizowania tego
uprawnienia lub spełnienia obowiązku wynikającego z tego
przepisu (J. Barta, P. Fajgielski, R. Markiewicz, Ochrona..., s. 491).
Przykładem normy określającej wspomniane relacje,
zawartej w innej ustawie niż ustawa o ochronie danych
osobowych, jest art. 22[1] § 5 Kodeksu pracy.
Art. 22[1] kodeksu pracy
art. 221§ 1.
Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych
osobowych obejmujących:
1) imię (imiona) i nazwisko,
2) imiona rodziców,
3) datę urodzenia,
4) miejsce zamieszkania (adres do korespondencji),
5) wykształcenie,
6) przebieg dotychczasowego zatrudnienia.
§ 2. Pracodawca ma prawo żądać od pracownika podania, niezależnie od danych osobowych,
o których mowa w § 1, także:
1) innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci
pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez
pracownika ze szczególnych uprawnień przewidzianych w prawie pracy,
2) numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne
Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).
§ 3. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby,
której one dotyczą. Pracodawca ma prawo żądać udokumentowania danych osobowych
osób, o których mowa w § 1 i 2.
§ 4. Pracodawca może żądać podania innych danych osobowych niż określone w § 1 i 2, jeżeli
obowiązek ich podania wynika z odrębnych przepisów.
§ 5. W zakresie nieuregulowanym w § 1-4 do danych osobowych, o których mowa w tych
przepisach, stosuje się przepisy o ochronie danych osobowych.art. 23
Dane osobowe osób
ubiegających się o
zatrudnienie
Art. 22[1] kodeksu pracy stanowi podstawę prawną
do przetwarzania danych osobowych nie tylko wobec
pracowników ale również kandydatów do pracy.
Odwołuje się on w swojej treści do pojęcia "żądania"
odpowiednich informacji przez pracodawcę. Możliwość
więc żądania przez pracodawców danych pracowników
jak i kandydatów do pracy tylko w zakresie w jakim
przewidziane zostało to przez ustawodawcę w
wymienionych przepisach prawa nie budzi wątpliwości.
Nie budzi również wątpliwości możliwość żądania przez
pracodawcę (lub przyszłego pracodawcę) odpowiednich
dokumentów potwierdzających przekazane informacje,
na co wskazuje bezpośrednio § 3 tego przepisu.
Dane osobowe osób
ubiegających się o
zatrudnienie
W praktyce, potencjalni kandydaci do pracy z własnej
inicjatywy przekazują - pomimo braku ewentualnego żądania
lub nawet przy braku prowadzenia przez pracodawcę
rekrutacji na stanowiska pracy - dane osobowe w zakresie
znacznie przekraczającym ten wskazany w przepisach prawa
pracy.
W takim przypadku, w sytuacji gdyby przyszły (potencjalny)
pracodawca był zainteresowany przechowywaniem danych
(w oderwaniu od przesłanego dokumentu - np. zapisując je w
systemie informatycznym), powinien ograniczyć swoje
działania (przechowywanie) wyłącznie do kategorii danych
wskazanych w przepisach prawa (art.. 22 [1] kodeksu pracy).
W innym przypadku powinien je niezwłocznie usunąć (lub
zanonimizować). W przypadku natomiast zamiaru
przechowywania w całości przesłanych dokumentów (jako
nośników danych), może je zachować nie usuwając
(wykreślając, zamazując) z nich danych wykraczających
poza zakres określony w powołanych przepisach.
Dane osobowe osób
ubiegających się o
zatrudnienie
Prawną podstawę do zbierania danych osobowych od
kandydatów do pracy w ramach procesu rekrutacji
(prowadzonego przez samych pracodawców lub podmioty
zewnętrzne działające na ich zlecenie) stanowi art. 22[1]
Kodeksu pracy w zw. z art. 23 ust. 1 pkt 2 ustawy o ochronie
danych osobowych.
W konsekwencji nie ma potrzeby uzyskiwania oświadczenia o
wyrażeniu zgody na przetwarzanie danych w procesie
rekrutacji od osób, których dane dotyczą.
Zatem ewentualna zgoda osoby, która jest rekrutowana, na
przetwarzanie jej danych osobowych, może być rozpatrywana
ewentualnie jako podstawa prawna dla przechowywania
danych osobowych po zakończeniu procesu rekrutacji z
zastrzeżeniem, że treść oświadczenia zgody powinna
wskazywać właśnie takie cele.
Praktykę wymagania od kandydatów do pracy dołączenia
odpowiedniego oświadczenia w tym zakresie do składanych
dokumentów aplikacyjnych należy więc ocenić jako
nieprawidłową.
Czy pracodawca może
wykorzystywać zdjęcie pracownika
bez jego zgody np. w celu
zmieszczenia go na stronie
internetowej firmy?
Nie, gdyż – co do zasady – dla legalnego wykorzystania przez
pracodawcę wizerunku pracownika potrzebna jest jego zgoda.
Z uwagi jednak na to, że wśród wymienionych informacji
o pracowniku w powołanych przepisach Kodeksu pracy nie ma
zdjęcia pracownika, to pracodawca, aby móc legalnie je
pozyskać w celu np. umieszczania na identyfikatorach czy
stronach internetowych firm, musi – co do zasady – pozyskać
na to zgodę pracownika. Tym samym zostaje spełniona
przesłanka z art. 23 ust. 1 pkt 1 ustawy o ochronie danych
osobowych. Istnieją jednak sytuacje wyjątkowe, gdy wizerunek
pracownika jest ściśle związany z wykonywanym przez niego
zawodem czy charakterem pracy. Jako przykład podać można
choćby pracowników ochrony, co do których – ze względów
bezpieczeństwa – powinna być możliwość ich identyfikacji.
Wówczas można odstąpić od pozyskiwania takiej zgody w tym
właśnie celu.
Należy jednak zaznaczyć, że jeśli chodzi o zgodę osoby,
której dane dotyczą, to w myśl art. 7 pkt 5 ustawy
o ochronie danych osobowych rozumie się przez nią
oświadczenie woli, którego treścią jest zgoda na
przetwarzanie danych osobowych tego, kto składa
oświadczenie. Przy czym zgoda nie może być
domniemana lub dorozumiana z oświadczenia woli
o innej treści. Podkreślenia wymaga, że zgoda musi być
udzielona dobrowolnie, a zatem pozyskiwanie przez
pracodawcę zgody pracownika będzie możliwe jeżeli
pracownik będzie miał możliwość odmowy jej udzielenia
i nie spotkają go z tego powodu żadne konsekwencje.
Warto dodać, że – w myśl art. 7 pkt 5 – zgoda może być
odwołana w każdym czasie.
Czy umieszczanie służbowych
adresów e-mail pracowników na
stronie internetowej pracodawcy
jest zgodne z przepisami prawa?
Tak, umieszczanie służbowych adresów e-mail
pracowników na stronie internetowej pracodawcy jest
zgodne z przepisami prawa.
Informacje o pracowniku takie jak np. jego imię i nazwisko,
czy właśnie służbowy adres e-mail są ściśle związane
z życiem zawodowym pracownika i z wykonywaniem przez
niego obowiązków służbowych. Dane te mogą być
wykorzystywane (udostępniane) przez pracodawcę nawet
bez zgody pracownika, którego one dotyczą.
Czy pracodawca ma prawo publikować
na swoich stronach internetowych takie
dane osobowe pracowników jak ich
imiona i nazwiska, stanowiska, dokładne
miejsce pracy (numer pokoju, telefon,
adres e-mail), bez zgody tych osób?
Takie informacje o pracowniku, jak jego imię i nazwisko, służbowy adres
e-mail, czy też służbowy numer telefonu są ściśle związane z życiem
zawodowym pracownika i z wykonywaniem przez niego obowiązków
służbowych. Z uwagi na to dane te mogą być wykorzystywane przez
pracodawcę – także bez zgody osoby, której one dotyczą.
Pogląd ten podzielił w swoim orzecznictwie również Sąd Najwyższy
(wyrok z dnia 19 listopada 2003 r. o sygn. I PK 590/02) stwierdzając, że
"najistotniejszym składnikiem zakładu pracy (przedsiębiorstwa) są ludzie,
a funkcjonowanie zakładu wiąże się nierozłącznie z kontaktami
zewnętrznymi – z kontrahentami, klientami (...). Dlatego pracodawca nie
może być pozbawiony możliwości ujawniania nazwisk pracowników,
zajmujących określone stanowiska w ramach instytucji. Przeciwne
stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia
możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia
w ochronie interesów i praw pracownika.(...) Imiona i nazwiska
pracowników widnieją na drzwiach w zakładach pracy, umieszcza się je
na pieczątkach imiennych, pismach sporządzanych w związku z pracą,
prezentuje w informatorach o instytucjach i przedsiębiorstwach, co
oznacza, że zgodnie z powszechną praktyką są one zasadniczo jawne";.
Nie ma więc przeszkód w umieszczeniu na stronach internetowych
pracodawcy informacji o pracownikach, jeśli dane te nie dotyczą
prywatnej sfery jego życia.
Czy pracodawca ma prawo za pomocą
specjalnego
urządzenia
skanować
linie papilarne pracowników w celu
rejestracji godzin ich przyjścia i
wyjścia z zakładu?
Nie ma do tego prawa, nawet za zgodą każdego pracownika.
Zakres danych osobowych pracowników, jakich może żądać
zatrudniający, określa art. 22[1] kodeksu pracy.
Warto także zauważyć, iż kodeks pracy w zakresie w nim
nieuregulowanym odsyła do przepisów ustawy o ochronie danych
osobowych (art. 221 § 5 kodeksu pracy). Przepisy tej ustawy określają
m.in., na jakiej podstawie można legalnie wykorzystywać
(przetwarzać) dane osobowe, wymieniając zgodę osoby, której dane
dotyczą, czy istnienie przepisu prawa, który zezwala na przetwarzanie
danych osobowych w określonym celu (art. 23 ust. 1 ustawy
o ochronie danych osobowych). Jednak w przypadku pozyskiwania
danych osobowych pracownika, innych niż wskazane wyżej, m.in. linii
papilarnych, nie można powoływać się na jego zgodę, jako podstawę
prawną. Aby zgoda osoby mogła być uznana za podstawę prawną
musi być wyrażona w sposób dobrowolny. Jednak w relacji zachodzącej
między pracodawcą a pracownikiem trudno jest mówić o takiej
dobrowolności, gdyż brak jest tu równowagi podmiotowej (stosunek
nadrzędności i podrzędności podmiotów), co często może sprzyjać
wymuszeniu zgody.
Stanowisko GIODO poparł także Naczelny Sąd Administracyjny
w wyroku z dnia 1 grudnia 2009 r. o sygn. akt I OSK 249/09,
stwierdzając, że „wyrażona na prośbę pracodawcy pisemna
zgoda pracownika, na pobranie i przetworzenie jego danych
osobowych, narusza prawa pracownika i swobodę wyrażenia
przez niego woli. (…) Brak równowagi w relacji pracodawca
pracownik stawia pod znakiem zapytania dobrowolność
w wyrażeniu zgody na pobieranie i przetworzenie danych
osobowych (biometrycznych). Z tego względu ustawodawca
ograniczył przepisem art. 221 kodeksu pracy katalog danych,
których pracodawca może żądać od pracownika”.
A zatem jedyną podstawą do gromadzenia odcisków linii
papilarnych może być przepis prawa. Skoro jednak nie ma
regulacji zezwalających pracodawcom na żądanie od
podwładnych danych biometrycznych, jak linii papilarnych,
obrazu tęczówki oka czy kodu DNA to ich gromadzenie jest
zabronione.
Dziękuję za uwagę