Za ochronÄ™ danych odpowiada pracodawca

Zatrudnianie pracowników w ramach stosunku pracy rodzi po stronie pracodawcy szereg obowiÄ…zków formalnych. Ich wykonanie potwierdzane jest zazwyczaj w licznej dokumentacji, która zawiera wiele danych o pracowniku. ZnajdujÄ… siÄ™ one pod ochronÄ…, a odpowiedzialnym za jej zapewnienie jest pracodawca.

Każdy zakÅ‚ad pracy posiada pokaźny zbiór danych osobowych zatrudnianych osób. Z tego tytuÅ‚u pracodawca musi przestrzegać okreÅ›lonych obowiÄ…zków, ciążących na nim jako na administratorze tych danych. Najważniejszym z nich jest dbaÅ‚ość o ochronÄ™ interesów osób, których dane dotyczÄ…, poprzez doÅ‚ożenie należytej starannoÅ›ci przy ich zabezpieczaniu. Przejawem realizacji tego obowiÄ…zku jest stosowanie przez pracodawcÄ™ takich Å›rodków technicznych i organizacyjnych, które zapewniÄ… bezpieczeÅ„stwo zgromadzonych danych, a w szczególnoÅ›ci zabezpieczÄ… je przed udostÄ™pnieniem osobom nieuprawnionym. Przepisem, który nakÅ‚ada na pracodawcÄ™ powyższÄ… powinność, jest art. 36 ustawy o ochronie danych osobowych. Sposób wykonania obowiÄ…zków w niej przewidzianych precyzuje rozporzÄ…dzenie Ministra Spraw WewnÄ™trznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych... (Dz. U. z 2004 r. nr 100, poz. 1024).

Z wymogu ochrony danych osobowych przed dostÄ™pem do nich osób postronnych wynika konieczność ustalenia krÄ™gu osób, które w imieniu pracodawcy bÄ™dÄ… uprawnione do przetwarzania danych osobowych pracowników. Na ogóÅ‚ sÄ… to pracownicy dziaÅ‚u kadr i ksiÄ™gowoÅ›ci. Nie wystarczy jednak faktyczne wykonywanie przez nich zadaÅ„ sÅ‚użbowych, wymagajÄ…cych dostÄ™pu do akt osobowych.

NiezbÄ™dne jest także formalne upoważnienie tych osób do takich czynnoÅ›ci. Potwierdzeniem tego, że pracodawca powinien wydać takie upoważnienie jest art. 39 ustawy o ochronie danych osobowych, zgodnie z którym pracodawca jest zobowiÄ…zany prowadzić ewidencjÄ™ osób zobowiÄ…zanych do ich przetwarzania. Ponadto, jeżeli sam nie wykonuje nadzoru nad przestrzeganiem zasad ochrony danych, powinien wyznaczyć odpowiedzialnÄ… za to osobÄ™ - administratora bezpieczeÅ„stwa informacji (art. 36 ustawy). NastÄ™pnym obowiÄ…zkiem, który obciąża pracodawcÄ™, jest prowadzenie dokumentacji opisujÄ…cej sposób przetwarzania danych i Å›rodki podejmowane w celu ich zabezpieczenia.

Dane pod opiekÄ… administratora

Pracodawca jako administrator danych pracowniczych odpowiada za caÅ‚ość spraw zwiÄ…zanych z ich ochronÄ…. Nie może zwolnić siÄ™ z tej odpowiedzialnoÅ›ci poprzez "przerzucenie" jej na osoby, które upoważniÅ‚ do przetwarzania tych danych.

Fakt udostÄ™pnienia przez pracownika danych osobowych osobie nieuprawnionej, np. w trakcie rozmowy telefonicznej majÄ…cej na celu sprawdzenie informacji o zatrudnionym, bÄ™dzie wiÄ™c obciążaÅ‚ pracodawcÄ™ (patrz wyrok Naczelnego SÄ…du Administracyjnego z dnia 4 kwietnia 2003 r., sygn. akt II SA 2935/02). Ewentualne roszczenia z tego tytuÅ‚u mogÄ… wiÄ™c zostać skierowane do niego, a nie do bezpoÅ›rednio winnego pracownika. Ten ostatni może siÄ™ spodziewać sankcji typu dyscyplinarnego lub nawet rozwiÄ…zania umowy o pracÄ™. Pracodawca natomiast - pozwu o odszkodowanie za naruszenie dóbr osobistych lub za konkretnÄ… szkodÄ™, jakÄ… poniosÅ‚a osoba, której dane zostaÅ‚y w sposób nieuprawniony ujawnione.

Odpowiedzialność materialna pracownika z tytułu ewentualnej szkody będzie ograniczona (do wysokości maksymalnie 3-miesięcznego wynagrodzenia), chyba że bezprawne udostępnienie danych zostało przez niego dokonane celowo. Umyślne wyrządzenie szkody przez pracownika uprawnia bowiem pracodawcę do dochodzenia całości powstałej z tego powodu straty. W omawianym przypadku może nią być odszkodowanie, jakie musiałby zapłacić pracodawca.

Tylko te dane, które sÄ… potrzebne

Pracodawca z mocy ustawy ma prawo gromadzić i przetwarzać dane osobowe pracowników, jednak tylko w takim zakresie, w jakim wynika to z obowiÄ…zujÄ…cych przepisów. PodstawowÄ… regulacjÄ… jest tutaj art. 221 K.p., który wskazuje, jakie informacje mogÄ… być pozyskiwane od kandydata na pracownika i już zatrudnionego. Ponadto upoważnienie do odbierania od pracownika okreÅ›lonych danych (np. o niekaralnoÅ›ci) może wynikać z przepisów odrÄ™bnych.

Oznacza to, że pracodawca ma prawo do uzyskiwania i przetwarzania tylko takich danych o pracowniku, które sÄ… niezbÄ™dne do realizacji uprawnieÅ„ i obowiÄ…zków wynikajÄ…cych z zatrudnienia. Poziom uszczegóÅ‚owienia tych danych musi być adekwatny do celu, w jakim je pozyskano.

UdostÄ™pnienie danych osobowych pracowników osobom nieupoważnionym lub umożliwienie takiego dostÄ™pu zagrożone jest karÄ… do 2 lat pozbawienia wolnoÅ›ci, ograniczenia wolnoÅ›ci lub grzywny.

W Å›wietle wskazanych zasad ochrony danych wÄ…tpliwa może być np. praktyka wymagania od pracowników przedÅ‚ożenia zeznania podatkowego (zwÅ‚aszcza, jeżeli jest rozliczane wspólnie ze wspóÅ‚małżonkiem), dla potrzeb przyznania Å›wiadczenia z ZFÅšS. Dla tych celów zÅ‚ożenie przez pracownika oÅ›wiadczenia o uzyskiwanych przez niego dochodach co do zasady powinno być wystarczajÄ…ce. Na ryzyko zarzutu naruszenia ustawy o ochronie danych osobowych naraża siÄ™ również pracodawca, który np. wymaga od pracownika udostÄ™pnienia wyników konkretnych badaÅ„ przeprowadzonych w ramach badaÅ„ wstÄ™pnych czy okresowych. Pracodawcy powinna bowiem wystarczyć tylko wiedza co do tego, czy pracownik jest zdolny do pracy na danym stanowisku. SzczegóÅ‚owe informacje odnoÅ›nie stanu jego zdrowia mogÄ… zaÅ› być udostÄ™pnione tylko wtedy, gdy pozwala na to przepis odrÄ™bny.

Podstawa prawna

Ustawa z dnia 26.06.1974 r. - Kodeks pracy (Dz. U. z 1998 r. nr 21, poz. 94 ze zm.)

Ustawa z dnia 29.08.1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. nr 101, poz. 926 ze zm.)

Agata Barczewska

Gazeta Podatkowa nr 26 (754) z dnia 2011-03-31

Metody amortyzacji Å›rodków trwaÅ‚ych Wszystko na ten temat w poradniku na GOFIN.pl

więcej artykułów z Gazety Podatkowej