Przetwarzanie danych osobowych przez pracodawcę
Przetwarzanie danych osobowych w celu zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa
Zgodnie z art. 23 ust. 1 pkt 2 ustawy przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
Warunkiem uznania przetwarzania danych osobowych za zgodne z prawem w oparciu o przesłankę legalizującą, wskazaną w art. 23 ust. 1 pkt 2 ustawy jest więc łączne spełnienie następujących warunków:
a) istnienie odpowiedniego przepisu prawa, który przyznaje podmiotowi uprawnienie lub nakłada na niego obowiązek,
b) niezbędność przetwarzania danych dla zrealizowania tego uprawnienia lub spełnienia obowiązku wynika z tego przepisu
Przykładem normy określającej wspomniane relacje, zawartej w innej ustawie niż ustawa o ochronie danych osobowych, jest art. 22[1] § 5 Kodeksu pracy.
Art. 22[1] kodeksu pracy
art. 221
§ 1. Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:
1) imię (imiona) i nazwisko,
2) imiona rodziców,
3) datę urodzenia,
4) miejsce zamieszkania (adres do korespondencji),
5) wykształcenie,
6) przebieg dotychczasowego zatrudnienia.
§ 2. Pracodawca ma prawo żądać od pracownika podania, niezależnie od danych osobowych, o których mowa w § 1, także:
1) innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy,
2) numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).
§ 3. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca ma prawo żądać udokumentowania danych osobowych osób, o których mowa w § 1 i 2.
§ 4. Pracodawca może żądać podania innych danych osobowych niż określone w § 1 i 2, jeżeli obowiązek ich podania wynika z odrębnych przepisów.
§ 5. W zakresie nieuregulowanym w § 1-4 do danych osobowych, o których mowa w tych przepisach, stosuje się przepisy o ochronie danych osobowych. art. 23
Dane osobowe osób ubiegających się o zatrudnienie
Art. 22[1] kodeksu pracy stanowi podstawę prawną do przetwarzania danych osobowych nie tylko wobec pracowników ale również kandydatów do pracy.
Odwołuje się on w swojej treści do pojęcia "żądania" odpowiednich informacji przez pracodawcę. Możliwość więc żądania przez pracodawców danych pracowników jak i kandydatów do pracy tylko w zakresie w jakim przewidziane zostało to przez ustawodawcę w wymienionych przepisach prawa nie budzi wątpliwości.
Nie budzi również wątpliwości możliwość żądania przez pracodawcę (lub przyszłego pracodawcę) odpowiednich dokumentów potwierdzających przekazane informacje, na co wskazuje bezpośrednio § 3 tego przepisu.
W praktyce, potencjalni kandydaci do pracy z własnej inicjatywy przekazują - pomimo braku ewentualnego żądania lub nawet przy braku prowadzenia przez pracodawcę rekrutacji na stanowiska pracy - dane osobowe w zakresie znacznie przekraczającym ten wskazany w przepisach prawa pracy.
W takim przypadku, w sytuacji gdyby przyszły (potencjalny) pracodawca był zainteresowany przechowywaniem danych (w oderwaniu od przesłanego dokumentu - np. zapisując je w systemie informatycznym), powinien ograniczyć swoje działania (przechowywanie) wyłącznie do kategorii danych wskazanych w przepisach prawa (art.. 22 [1] kodeksu pracy).
W innym przypadku powinien je niezwłocznie usunąć (lub zanonimizować). W przypadku natomiast zamiaru przechowywania w całości przesłanych dokumentów (jako nośników danych), może je zachować nie usuwając (wykreślając, zamazując) z nich danych wykraczających poza zakres określony w powołanych przepisach.
Prawną podstawę do zbierania danych osobowych od kandydatów do pracy w ramach procesu rekrutacji (prowadzonego przez samych pracodawców lub podmioty zewnętrzne działające na ich zlecenie) stanowi art. 22[1] Kodeksu pracy w zw. z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.
W konsekwencji nie ma potrzeby uzyskiwania oświadczenia o wyrażeniu zgody na przetwarzanie danych w procesie rekrutacji od osób, których dane dotyczą.
Zatem ewentualna zgoda osoby, która jest rekrutowana, na przetwarzanie jej danych osobowych, może być rozpatrywana ewentualnie jako podstawa prawna dla przechowywania danych osobowych po zakończeniu procesu rekrutacji z zastrzeżeniem, że treść oświadczenia zgody powinna wskazywać właśnie takie cele.
Praktykę wymagania od kandydatów do pracy dołączenia odpowiedniego oświadczenia w tym zakresie do składanych dokumentów aplikacyjnych należy więc ocenić jako nieprawidłową.
Czy pracodawca może wykorzystywać zdjęcie pracownika bez jego zgody np. w celu zmieszczenia go na stronie internetowej firmy?
Nie, gdyż - co do zasady - dla legalnego wykorzystania przez pracodawcę wizerunku pracownika potrzeba jego zgoda.
Z uwagi jednak na to, że wśród wymienionych informacji o pracowniku w powołanych przepisach Kodeksu pracy nie ma zdjęcia pracownika, to pracodawca, aby móc legalnie je pozyskać w celu np. umieszczania na identyfikatorach czy stronach internetowych firm, musi - co do zasady - pozyskać na to zgodę pracownika. Tym samym zostaje spełniona przesłanka z art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych. Istnieją jednak sytuacje wyjątkowe, gdy wizerunek pracownika jest ściśle związany z wykonywanym przez niego zawodem czy charakterem pracy. Jako przykład podać można choćby pracowników ochrony, co do których - ze względów bezpieczeństwa - powinna być możliwość ich identyfikacji. Wówczas można odstąpić od pozyskiwania takiej zgody w tym właśnie celu.
Należy jednak zaznaczyć, że jeśli chodzi o zgodę osoby, której dane dotyczą, to w myśl art. 7 pkt 5 ustawy o ochronie danych osobowych rozumie się przez nią oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Przy czym zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Podkreślenia wymaga, że zgoda musi być udzielona dobrowolnie, a zatem pozyskiwanie przez pracodawcę zgody pracownika będzie możliwe jeżeli pracownik będzie miał możliwość odmowy jej udzielenia i nie spotkają go z tego powodu żadne konsekwencje. Warto dodać, że - w myśl art. 7 pkt 5 - zgoda może być odwołana w każdym czasie.
Czy umieszczanie służbowych adresów e-mail pracowników na stronie internetowej pracodawcy jest zgodne z przepisami prawa?
Tak, umieszczanie służbowych adresów e-mail pracowników na stronie internetowej pracodawcy jest zgodne z przepisami prawa.
Informacje o pracowniku takie jak np. jego imię i nazwisko, czy właśnie służbowy adres e-mail są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych. Dane te mogą być wykorzystywane (udostępniane) przez pracodawcę nawet bez zgody pracownika, którego one dotyczą.
Czy pracodawca ma prawo publikować na swoich stronach internetowych takie dane osobowe pracowników jak ich imiona i nazwiska, stanowiska, dokładne miejsce pracy (numer pokoju, telefon, adres e-mail), bez zgody tych osób?
Takie informacje o pracowniku, jak jego imię i nazwisko, służbowy adres e-mail, czy też służbowy numer telefonu są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych. Z uwagi na to dane te mogą być wykorzystywane przez pracodawcę - także bez zgody osoby, której one dotyczą.
Pogląd ten podzielił w swoim orzecznictwie również Sąd Najwyższy (wyrok z dnia 19 listopada 2003 r. o sygn. I PK 590/02) stwierdzając, że "najistotniejszym składnikiem zakładu pracy (przedsiębiorstwa) są ludzie, a funkcjonowanie zakładu wiąże się nierozłącznie z kontaktami zewnętrznymi - z kontrahentami, klientami (...). Dlatego pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników, zajmujących określone stanowiska w ramach instytucji. Przeciwne stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw pracownika.(...) Imiona i nazwiska pracowników widnieją na drzwiach w zakładach pracy, umieszcza się je na pieczątkach imiennych, pismach sporządzanych w związku z pracą, prezentuje w informatorach o instytucjach i przedsiębiorstwach, co oznacza, że zgodnie z powszechną praktyką są one zasadniczo jawne";.
Nie ma więc przeszkód w umieszczeniu na stronach internetowych pracodawcy informacji o pracownikach, jeśli dane te nie dotyczą prywatnej sfery jego życia.
Czy pracodawca ma prawo za pomocą specjalnego urządzenia skanować linie papilarne pracowników w celu rejestracji godzin ich przyjścia i wyjścia z zakładu?
Nie ma do tego prawa, nawet za zgodą każdego pracownika.
Zakres danych osobowych pracowników, jakich może żądać zatrudniający, określa art. 22[1] kodeksu pracy.
Warto także zauważyć, iż kodeks pracy w zakresie w nim nieuregulowanym odsyła do przepisów ustawy o ochronie danych osobowych (art. 221 § 5 kodeksu pracy). Przepisy tej ustawy określają m.in., na jakiej podstawie można legalnie wykorzystywać (przetwarzać) dane osobowe, wymieniając zgodę osoby, której dane dotyczą, czy istnienie przepisu prawa, który zezwala na przetwarzanie danych osobowych w określonym celu (art. 23 ust. 1 ustawy o ochronie danych osobowych). Jednak w przypadku pozyskiwania danych osobowych pracownika, innych niż wskazane wyżej, m.in. linii papilarnych, nie można powoływać się na jego zgodę, jako podstawę prawną. Aby zgoda osoby mogła być uznana za podstawę prawną musi być wyrażona w sposób dobrowolny. Jednak w relacji zachodzącej między pracodawcą a pracownikiem trudno jest mówić o takiej dobrowolności, gdyż brak jest tu równowagi podmiotowej (stosunek nadrzędności i podrzędności podmiotów), co często może sprzyjać wymuszeniu zgody.
Stanowisko GIODO poparł także Naczelny Sąd Administracyjny w wyroku z dnia 1 grudnia 2009 r. o sygn. akt I OSK 249/09, stwierdzając, że „wyrażona na prośbę pracodawcy pisemna zgoda pracownika, na pobranie i przetworzenie jego danych osobowych, narusza prawa pracownika i swobodę wyrażenia przez niego woli. (…) Brak równowagi w relacji pracodawca pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych). Z tego względu ustawodawca ograniczył przepisem art. 221 kodeksu pracy katalog danych, których pracodawca może żądać od pracownika”.
A zatem jedyną podstawą do gromadzenia odcisków linii papilarnych może być przepis prawa. Skoro jednak nie ma regulacji zezwalających pracodawcom na żądanie od podwładnych danych biometrycznych, jak linii papilarnych, obrazu tęczówki oka czy kodu DNA to ich gromadzenie jest zabronione.