W komunikacie w sprawie „Całościowego podejścia do kwestii ochrony danych osobowych w UE.” Komisja Europejska podkreśliła, że sytuacja na rynku europejskim wymaga bezzwłocznego wypracowania kompleksowego i spójnego podejścia do kwestii poszanowania podstawowego prawa obywateli, jakim jest prawo do ochrony ich danych osobowych, i to zarówno na obszarze samej Wspólnoty, jak i poza nią.
W Komisji powstał projekt nowego rozporządzenia, w sprawie ochrony osób fizycznych, w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Ma ono skuteczniej niż obowiązująca od kilku lat dyrektywa nr 95/46 WE, chronić obywateli Unii przed nieuprawnionym przetwarzaniem ich wrażliwych danych przez różne podmioty gospodarcze, w tym pracodawców. Batem, który ma zdyscyplinować firmy do przestrzegania nowych przepisów, będą drakońskie kary za łamanie prawa. Przedsiębiorcom, którzy naruszą przepisy, grozić będą sankcje finansowe nawet do 2 proc. ich rocznego obrotu. Tak wysoka grzywna może zostać nałożona w przypadku, gdy firma umyślnie i lekkomyślnie przetwarza dane osobowe bez żadnej lub wystarczającej podstawy prawnej do ich przetwarzania; lub nie przestrzega warunków dotyczących uzyskania zgody na ich przetwarzanie (art. 79 par. 6 ust. a, h projektu rozporządzenia); nie ostrzega, ani nie zawiadamia o naruszeniu ochrony danych osobowych; lub nie zawiadamia terminowo i w całości o naruszeniu danych organu nadzorczego. Nałożenie najwyższych sankcji dotyczy sytuacji, gdy przedsiębiorstwo będzie łamało bardzo szeroką listę zasad przetwarzania danych osobowych. Kary będą w każdym indywidualnym przypadku dobierane tak, by były skuteczne, proporcjonalne i odstraszające (art. 79 par. 2).
Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych (LIBE) Parlamentu Europejskiego przegłosowała już projekt nowego rozporządzenia. Jest on teraz w tzw. konsultacjach, a po nich odbędzie się głosowanie plenarne w Parlamencie Europejskim. Planuje się, że nowe przepisy wejdą w życie jeszcze w tej kadencji Parlamentu, czyli przed majem 2014 r. Co ważne, rozporządzanie to będzie obowiązywało bezpośrednio w krajach członkowskich, bez potrzeby wydawania aktów prawnych wdrażających je do porządku krajowego.
Z danych Głównego Inspektora Ochrony Danych Osobowych (GIODO) wynika, że nowe unijne przepisy mogą skomplikować życie wielu pracodawcom. Zarówno oni, jak i sami kandydaci do pracy, wciąż łamią przepisy ustawy o ochronie danych osobowych. Tylko w ubiegłym roku do Inspekcji wpłynęły aż 1593 skargi dotyczące naruszenia przepisów o ochronie danych, przeprowadzono 165 kontroli, z czego 12 spraw znalazło finał w prokuraturze. Tendencja jest niestety wzrostowa, w 2011 r. skarg do GIODO było 1272, za to przeprowadzono 199 kontroli.
Rzetelnej wiedzy o ochronie danych brakuje wszystkim. Osoby, biorące udział w procesach rekrutacyjnych, często np. zamykają sobie drogę do podjęcia pracy poprzez wpisanie w CV błędnej klauzuli, dotyczącej zgody na przetwarzanie danych osobowych. Z kolei w przypadku rekrutacji prowadzonych przez agencje pracy, zamieszczenie w klauzuli nazwy konkretnej firmy uniemożliwia przedstawienie rekruterom kandydata innemu przedsiębiorstwu niż to, do którego aplikował.
Po stronie pracodawców lista przewinień jest dłuższa. Mało która firma ma przykładowo wyznaczone osoby uprawnione do przetwarzania danych oraz prowadzenia ewidencji osób zatrudnionych przy ich przetwarzaniu. Tymczasem już w przypadku przedsiębiorstwa zatrudniającego jednego pracownika, pracodawca ma obowiązek stworzenia polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym. Najczęściej, chcąc pozbyć się problemu, firmy nadają takie upoważnienia informatykom, mającym dostęp do systemu informatycznego, co nie jest również dobrym rozwiązaniem. W przypadku naruszenia prawa, cała odpowiedzialność spada bowiem praktycznie na pracodawcę. Zgodnie z ustawą grozi mu grzywna lub ograniczenie wolności (art. 49 par. 1 i 2 oraz art. 50 - 54 ww. ustawy).
Jeśli nie informatyk, to kto?
Osobą odpowiedzialną za ochronę informacji wrażliwych w firmach powinni być administratorzy danych osobowych (ADO). W myśl przepisów ustawy, administrator taki powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Zobowiązany jest również zapewnić, aby dane były przechowywane nie dłużej niż jest to niezbędne do osiągnięcia celu ich przetwarzania (art. 26 ustawy). Ponadto jego obowiązkiem jest zastosowanie odpowiednich środków technicznych i organizacyjnych, zapewniających ochronę przetwarzanych danych osobowych. W szczególności dotyczy to zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem ich przez osobę nieuprawnioną oraz zabezpieczeniem przed zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ustawy).
Kwestie bezpieczeństwa przechowywania danych osobowych w systemach informatycznych określone są w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Dokumentacja taka składa się z polityki bezpieczeństwa obejmującej m.in. wykaz obiektów, gdzie dane osobowe mogą być bezpiecznie przetwarzane oraz instrukcji zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych.
Instrukcja zawiera m.in. sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych (par. 5 rozporządzenia). ADO jest również zobowiązany umożliwić inspektorowi Generalnego Inspektora Danych Osobowych (GIODO) przeprowadzenie kontroli sposobu przetwarzania danych (art. 15 ustawy).
Zakres danych osobowych, jakich może żądać pracodawca zarówno od kandydata do pracy, jak i pracownika, został określony w art. 22 Kodeksu pracy. Przepisy te nie zawierają jednak żadnej definicji „danych osobowych”. Definicja taka została za to określona w ustawie o ochronie danych osobowych z 29 sierpnia 1997 r. (Dz.U. z 2002 r. nr 101, poz. 926).
Zgodnie z treścią art. 6 ww. ustawy, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest z kolei osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden, lub kilka, specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Z kolei zakres danych osobowych, których pracodawca może żądać od kandydata do pracy jest określony, jak wspomnieliśmy wyżej, w Kodeksie pracy. Art. 22 enumeratywnie wylicza dane dotyczące identyfikacji personalnej. Są to: imię i nazwisko; imiona rodziców; data urodzenia, miejsce zamieszkania (adres do korespondencji) oraz wykształcenie i przebieg dotychczasowego zatrudnienia.
W przypadku osoby już zatrudnionej, pracodawca ma prawo żądać podania również imion i nazwisk oraz dat urodzenia dzieci pracownika, o ile jest to konieczne ze względu na korzystanie przez niego ze szczególnych uprawnień przewidzianych w prawie pracy (świadczeń socjalnych) oraz jego numeru PESEL.
Zaświadczenia o niekaralności
Zgodnie z art. 22 par. 4 Kodeksu pracy, pracodawca może też żądać podania innych danych osobowych niż zostało to wymienione w Kodeksie, jeżeli obowiązek ich podania wynika z odrębnych przepisów.
Przykładowo kwestia wymagań wobec kandydatów na licencjonowanego pracownika ochrony sprecyzowana została w art. 26 ust. 2 pkt 5 i art. 27 ust. 2 pkt 1 ustawy z 22 sierpnia 1997 r. - o ochronie osób i mienia (Dz.U. z 2005 r. nr 145, poz. 1221 ze zm.). Wobec takiego kandydata pracodawca może żądać przedstawienia dodatkowo zaświadczenia o niekaralności (zgodnie z art. 6 ust. 1 pkt 10 ustawy z 24 maja 2000 r. o Krajowym Rejestrze Karnym).
W przypadku stanowisk, co do których nie ma ustawowego uprawnienia do żądania informacji dotyczącej karalności pracodawca, firma nie może żądać takich danych. Jeśli jednak kandydat dobrowolnie przedłoży jej informacje o swojej karalności, pracodawca może przetwarzać je tylko za pisemną zgodą osoby, której one dotyczą.
Przez przetwarzanie danych osobowych rozumiane są wszelkie operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza takie czynności, które wykonuje się w systemach informatycznych (art. 7 ustawy).
Formalnym administratorem danych osobowych (ADO) jest przedsiębiorstwo lub organizacja, która decyduje o celach ich przetwarzania. Przy czym odpowiedzialność za przestrzeganie prawa ponosi zarząd firmy lub konkretnie wyznaczona w strukturze osoba. Dane osobowe mogą być przetwarzane jedynie przez osoby, które uzyskały uprawnienia do przetwarzania danych nadane przez ADO (art. 37 ustawy). Co ważne, zobowiązanie do zachowania w tajemnicy o danych nie przestaje obowiązywać administratora, nawet w momencie zakończenia pracy dla danego przedsiębiorstwa.
Do przetwarzania danych osobowych wymagana jest zgoda osoby, której dane dotyczą (art. 23 ustawy). W przypadku kandydatów do pracy kwestię tę reguluje wspomniany wyżej art. 22 Kodeksu pracy.
Ponadto, dane osobowe mogą być przetwarzane, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora. Przy czym, za prawnie usprawiedliwiony cel, uważa się w marketing bezpośredni własnych produktów lub usług ADO.
Jednak i w takim przypadku, gdy kandydat do pracy podaje więcej informacji w CV niż jest to uregulowane przez Kodeks pracy, do przetwarzania danych osobowych wymagana jest jego zgoda w formule niebudzącej wątpliwości, co do celu przetwarzania tych danych.
Obowiązkiem pracodawcy określonym w Kodeksie pracy (art. 94 pkt 9a) jest prowadzenie dokumentacji związanej z zatrudnieniem pracowniczym oraz akt osobowych pracowników. Sposób prowadzenia dokumentacji został określony w rozporządzeniu z 26 maja 1996 r. Ministra Pracy i Polityki Socjalnej w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (Dz.U. z 1996 r. nr 62, poz. 286 ze zm.).
Po ustaniu zatrudnienia pracodawca pozostaje zobowiązany do przechowywania dokumentacji pracowniczej, ze względu na istotność zawartych w niej danych, dotyczących m.in. uprawnień pracowniczych czy socjalnych pracownika. Z tego powodu, okres przechowywania dokumentacji płacowej oraz innych dokumentów potrzebnych do ustalenia wymiaru emerytury lub renty wynosi 50 lat od dnia zakończenia świadczenia pracy (art. 125a ust. 4 ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych, Dz.U. z 2009 r. nr 153, poz. 1227 ze zm.).
Obowiązek przechowywania akt osobowych pracowników to również 50 lat. Akta osobowe pracowników muszą być przechowywane przez okres zatrudnienia pracownika oraz, jak dokumentacja płacowa, przez okres 50 lat od zakończenia zatrudnienia (art. 51u ustawy z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach; tekst jedn. Dz.U. z 2006 r. nr 97, poz. 673 ze zm.)
Wskazana dokumentacja powinna być przechowywana w sposób niegrożący uszkodzeniem lub zniszczeniem.
Zgodnie z Kodeksem pracy, niespełnienie tego obowiązku jest wykroczeniem przeciwko prawom pracownika. Zagrożone jest ono karą grzywny do 30 tys. zł (art. 281 pkt 7 Kodeksu pracy).
Akta osobowe muszą być przechowywane w formie papierowej. Pomimo możliwości technicznych oraz szczegółowo wskazanych zasad przetwarzania danych osobowych w systemach informatycznych, teczki osobowe pozostaną w użyciu. Zgodnie ze stanowiskiem Głównego Inspektoratu Pracy z 9 kwietnia 2010 r. w sprawie prowadzenia akt osobowych wyłącznie w wersji elektronicznej (GPP-87-4560-29/10/PE/RP), w obecnym stanie prawnym brakuje podstaw do stosowania przez pracodawców nośników elektronicznych, jako wyłącznej formy prowadzenia i przechowywania akt osobowych pracownika.
Bartosz Nowak, kierownik działu kontroli wewnętrznej i utrzymania jakości w InterKadrze
Naruszenia praw w zakresie ochrony danych osobowych zgłaszaj do Generalnego Inspektora Danych Osobowych http://www.giodo.gov.pl.