Odpowiedzialność pracodawcy za naruszenie ochrony danych osobowych pracownika

Obowiązujące przepisy umożliwiają pracodawcy pozyskanie pewnych informacji dotyczących pracownika, obejmujących jego dane osobowe. O rodzaju tych danych stanowią art. 22¹ k.p. oraz przepisy odrębne. Mając dostęp do pozyskanych danych osobowych, pracodawca powinien zadbać o ich ochronę zgodnie z ustawą o ochronie danych osobowych (zwaną dalej u.o.d.o.).

Pracodawca jako administrator danych

W związku z zatrudnianiem pracowników pracodawca tworzy zbiór danych o charakterze osobowym. W jego skład wchodzi dokumentacja związana ze stosunkiem pracy oraz akta personalne pracowników. Zadaniem pracodawcy jako tzw. administratora danych osobowych jest zarządzanie tym zbiorem oraz przetwarzanie danych w nim zawartych. Przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych (art. 7 u.o.d.o.).

Na administratorach danych ciążą szczególne obowiązki związane z zabezpieczeniem danych zawarte w art. 36–39a u.o.d.o. Przewidują one m.in., że administrator danych jest zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator jest ponadto zobowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostają do zbioru wprowadzone oraz komu są przekazywane. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

Więcej: Odpowiedzialność pracodawcy za naruszenie ochrony danych osobowych pracownika