Przetwarzanie danych osobowych - obowiązki pracodawcy

Przetwarzanie danych rozumiane jest jako wszelkie operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Przetwarzanie danych zachodzi więc również w procesie rekrutacyjnym jak i w ramach nawiązanego już stosunku pracy.

Administrator

Administratorem jest organ, jednostka organizacyjna, podmiot lub osoba, decydująca o celach i środkach przetwarzania danych osobowych. Administratorem danych może być organ państwowy, organ samorządu terytorialnego, państwowa i komunalna jednostka organizacyjna, a także podmiot niepubliczny realizujący zadania publiczne, osoba fizyczna, osoba prawna oraz jednostka organizacyjna niebędąca osobą prawną.

Każdy pracodawca, nawet ten, który prowadzi jednoosobową działalność gospodarczą, uznawany jest za administratora danych.

Zobacz również: Ochrona danych osobowych a proces rekrutacji

Zgoda zainteresowanego

Pracodawca musi pamiętać, że przetwarzanie danych następuje za zgodą osoby, której dotyczą informacje. Zgoda musi zostać wyrażona dobrowolnie, przed przystąpieniem do procesu rekrutacji. Nie może być domniemana ani dorozumiana. Ma formę pisemnego oświadczenia woli zezwalającego na przetwarzanie danych.

Standardem jest zamieszczanie zgody w postaci następującej klauzuli: „Wyrażam zgodę na przetwarzanie danych osobowych zawartych w mojej ofercie dla potrzeb procesu rekrutacji, zgodnie z ustawą o ochronie danych osobowych z dnia 29.08.1997 r. (t.j. Dz.U. 2002 r. Nr 101 poz. 926 r. z późn. zm.)”.

Przetwarzanie danych dopuszczalne jest także w sytuacji, gdy jest niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa; jest konieczne do realizacji umowy, której stroną jest osoba, której dane dotyczą lub jest niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą; wymaga tego wykonanie określonych prawem zadań realizowanych dla dobra publicznego; jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Obowiązki pracodawcy

Na pracodawcy ciąży szereg obowiązków, wynikających z prowadzonego procesu rekrutacji. Jest on obowiązany do zachowania szczególnej staranności w celu ochrony interesów osób, których dotyczą dane. Zapewnia więc zgodne z prawem przetwarzanie danych, zbieranie ich dla oznaczonych, zgodnych z prawem celów, nie poddawanie dalszemu przetwarzaniu niezgodnemu z celami, przechowywanie w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Administrator danych będący jednocześnie pracodawcą, który przetwarza dane w związku z zatrudnieniem, został zwolniony w drodze ustawy z obowiązku zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO). Pracodawca zobowiązany został do zapewnienia odpowiednich środków technicznych i organizacyjnych dla właściwej ochrony danych osobowych. Mogą one obejmować rozwiązania architektoniczno – budowlane, systemy alarmowe oraz służby ochrony. Mają one na celu wyeliminowanie zagrożenia dostania się w niepowołane ręce, kradzieży, przetwarzania z naruszeniem przepisów ustawy, zmiany, utraty, uszkodzenia lub zniszczenia danych osobowych. Administrator danych – pracodawca tworzy również dokumentację polityki bezpieczeństwa danych, do której należy wyznaczenie Administratora Bezpieczeństwa Informacji, zastosowanie instrukcji zarządzania systemem informatycznym, w którym dane osobowe są przetwarzane oraz udzielenie pracownikom stosownych uprawnień czy upoważnień.

Zakończenie procesu rekrutacji powoduje, że przechowywanie danych staje się zbędne. Nie spełnia bowiem prawnie usprawiedliwionych celów. Co w tej sytuacji powinien zrobić pracodawca z pozostałymi po rekrutacji dokumentami niezatrudnionych kandydatów? Jeśli nie uzyskał odrębnej zgody na dalsze przetwarzanie tych danych, to ma do dyspozycji dwa rozwiązania. Albo zwrócenie dokumentów uprawnionym osobom, albo ich usunięcie/zniszczenie. Potwierdza to stanowisko Naczelnego Sądu Administracyjnego przedstawione w wyroku z dnia 3 lipca 2009 r., I OSK 633/08. NSA stwierdził, że „skoro administrator danych osobowych utracił prawo do przetwarzania danych konkretnego podmiotu, to spoczywający na nim obowiązek ochrony tych danych polega na usunięciu danych tego podmiotu ze swego systemu informatycznego”.

Polecamy serwis: Praca

Pracodawca, który informuje osoby biorące udział w procedurze rekrutacyjnej o jej wynikach, powinien uważać na to, w jaki sposób przekazuje wiadomości.

Wysłanie zbiorowej korespondencji do potencjalnych pracowników, która ujawnia adresy mailowe pozostałych osób stanowi naruszenie ustawy o ochronie danych osobowych i może być podstawą złożenia skargi do Generalnego Inspektora Danych Osobowych. Poszczególne adresy mailowe nie powinny być bowiem widoczne i tym samym dostępne dla wszystkich adresatów wiadomości.

Podstawa prawna:

• ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 1997 nr 133 poz. 883),
• rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika,
• wyrok NSA w Warszawie z dnia 3 lipca 2009 r. (I OSK 633/08).