Skopiuj link
Według kodeksu pracy…
W świetle art. 94 pkt 9a kodeksu pracy pracodawca jest zobligowany do prowadzenia dokumentacji w sprawach związanych ze stosunkiem pracy oraz akt osobowych pracowników. Niedopełnienie powyższego obowiązku skutkuje odpowiedzialnością wykroczeniową określoną w art. 281 pkt 6 kodeksu pracy. Zarówno w pierwszych rodzajowo dokumentach, jak i w drugich (akta osobowe) odnajdziemy oczywiście dane osobowe zatrudnionych pracobiorców. W rozumieniu ustawy o ochronie danych osobowych za dane osobowe uważa się bowiem wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Zasady przetwarzania danych osobowych
Zostały wprost wskazane przez ustawodawcę w art. 23 i n. ustawy o ochronie danych osobowych. W art. 26 ustawy odnajdziemy katalog podstawowych zasad przetwarzania danych osobowych. W świetle tego przepisu administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:
- przetwarzane zgodnie z prawem,
- zbierane dla oznaczonych, zgodnych z prawem celów i co do zasady niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
- merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
- przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
Zdaniem GIODO…
Na pytanie „czy pracodawca musi mieć kontrolę nad pracownikami dopuszczonymi do przetwarzania danych osobowych zawartych w dokumentach?” GIODO odpowiedział twierdząco. W uzasadnieniu swojego stanowiska GIODO odwołał się do art. 36 ustawy, zgodnie z którym administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. W szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. W świetle art. 38 ustawy administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Stąd też obowiązek prowadzenia rejestru osób upoważnionych do przetwarzania danych.
Sankcje za naruszenie przepisów ustawy
Ustawodawca przewiduje sankcje karne. Kto administrując danymi (w omawianym przypadku – pracodawca) narusza obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku (art. 52 ustawy). Powyższa odpowiedzialność dotyczy także przypadków nieumyślnego naruszenia, co wynika wprost z cytowanego przepisu ustawy o ochronie danych osobowych.