Co mówią przepisy o przetwarzaniu danych wrażliwych pracowników

Maria Kucharska-Fiałkowska

Autor: Aleksandra Mazur-Zych

Dodano: 2 marca 2016
Dokument archiwalny
Przetwarzanie danych wrażliwych pracowników

Zanim pracodawca poprosi pracownika o przekazanie osobowych, powinien upewnić się, czy dane, o które prosi, nie są przypadkiem danymi wrażliwymi. Jeżeli tak, trzeba koniecznie sprawdzić, czy pracodawca może je zgodnie z prawem przetwarzać.

Pracodawcy coraz częściej zdają sobie sprawę, że przetwarzając dane pracowników, stają się administratorami danych osobowych w rozumieniu ustawy o ochronie danych osobowych (dalej uodo), czyli podmiotami decydującymi o celach i środkach ich przetwarzania. Przetwarzając dane osobowe pracowników, możemy mieć do czynienia z licznymi wątpliwościami, chociażby co do zakresu przetwarzania lub okresu, w jakim można przetwarzać dane osobowe pracowników.

Dodatkowo coraz częściej pojawiają się wątpliwości pracodawców w odniesieniu do przetwarzania specyficznej kategorii danych osobowych, jaką są dane wrażliwe pracowników. Pojawiające się pytania można sprowadzić do dwóch podstawowych: „czy przetwarzanie danych wrażliwych jest dozwolone?”, a w przypadku pozytywnej odpowiedzi, „w jakim zakresie pracodawca może przetwarzać dane wrażliwe pracownika?”.

Kiedy dane osobowe są wrażliwe

Na początek należy ustalić zakres pojęć „przetwarzanie” i „dane wrażliwe”. Tu z pomocą przychodzą nam przepisy ustawy o ochronie danych osobowych. Zgodnie z art. 7 pkt 2 ustawy o ochronie danych osobowych przez przetwarzanie danych osobowych należy rozumieć jakiekolwiek operacje wykonywane na danych osobowych, takie jak:

  • zbieranie,
  • utrwalanie,
  • przechowywanie,
  • opracowywanie,
  • zmienianie,
  • udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Należy pamiętać, że ta definicja przetwarzania odnosi się także do danych osobowych przetwarzanych „ręcznie”, tj. w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych (np. akta osobowe pracowników). Natomiast informacji, co należy rozumieć pod pojęciem dane wrażliwe, dostarcza nam art. 27 ust. 1 uodo. Zgodnie z nim są to:

a) dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową,

b) dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym,

c) dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Kiedy można przetwarzać dane wrażliwe

Przetwarzanie danych wrażliwych w powyższym zakresie jest zakazane. Jednak uodo przewiduje pewne wyjątkowe sytuacje, w których będzie to możliwe. Spośród 10 kategorii dopuszczających przetwarzanie danych wrażliwych z punktu widzenia relacji pracodawca–pracownik należy wyróżnić poniższe:

a) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych,

b) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony,

c) przetwarzanie jest niezbędne do wykonania zadań adminis tratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie.

Czy pracodawca może przetwarzać dane wrażliwe

Przy przetwarzaniu danych wrażliwych mają zastosowanie dwie główne przesłanki legitymizujące ten proces:

1. zgoda pracownika oraz

2. wypełnienie prawnie usprawiedliwionych celów administratorów danych.

Zgoda nie może być domniemana ani dorozumiana z oświadczenia woli o innej treści, lecz musi być wyraźnie udzielona na piśmie. W kontekście prawnie usprawiedliwionego celu to pracodawca powinien ocenić, czy nie można osiągnąć go w inny sposób, niż przetwarzając dane wrażliwe pracowników i czy znajduje on uzasadnienie gospodarcze. Dodatkowo zakres danych wrażliwych powinien być adekwatny do celu, w jakim są one przetwarzane (trzeba zapewnić zachowanie równowagi pomiędzy zakresem przetwarzanych danych wrażliwych, czyli dobrem osoby, której dane dotyczą, a interesem pracodawcy).

Pracodawcy w swojej praktyce najczęściej spotykają się z danymi wrażliwymi w odniesieniu do szeroko pojętego stanu zdrowia pracowników oraz kwestii danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym (czyli tzw. dane dotyczące karalności).

Co z danymi o stanie zdrowia

Pomimo że dane o stanie zdrowia pracowników to dane wrażliwe, pracodawca w pewnych przypadkach może je przetwarzać, a nawet jest zobowiązany do ich przetwarzania, aby móc realizować obowiązki, jakie są na niego nałożone względem pracowników. Upoważnienia takie wynikają z przepisów rangi ustawowej. Sztandarowymi przykładami takiej delegacji ustawowej są przepisy zezwalające pracodawcy na przetwarzanie informacji o ciąży pracownicy (np. art. 185 Kodeksu pracy). Związane jest to z licznymi uprawnieniami zarówno dla pracownicy, jak i dla pracownika ojca.

Kolejnym przykładem jest art. 57 ustawy o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa. W oparciu o ten przepis pracodawca może uzyskać informację o zdrowotnej przyczynie nieobecności pracownika w pracy. Ciekawym przykładem pośredniego zbierania przez pracodawcę danych wrażliwych jest przygotowanie dokładnego raportu z wypadku przy pracy. Obowiązek ten wynika z rozporządzenia w sprawie ustalania okoliczności i przyczyn wypadków przy pracy. Rozporządzenie to zostało wydane na podstawie przepisów Kodeksu pracy, pracodawca jest zatem uprawniony do przetwarzania danych wrażliwych o stanie zdrowia, np. o oparzeniu twarzy doznanego w związku z wypadkiem przy pracy, bez dodatkowej zgody pracownika na przetwarzanie jego danych wrażliwych.

Czy każdy pracodawca może sprawdzić, czy pracownik był karany

W odniesieniu do przetwarzania danych osobowych wrażliwych dotyczących karalności pracownika sprawa jest niestety bardziej skomplikowana. Zgodnie z przepisami pracodawca może uzyskać informację z Krajowego Rejestru Karnego tylko w przypadku, gdy do zatrudnienia pracownika niezbędne jest spełnienie przez niego wymogu niekaralności. Zazwyczaj wymóg taki wynika z przepisów rangi ustawowej, np. z ustawy z 21 listopada 2008 r. o służbie cywilnej. Dopiero taka delegacja ustawowa oznacza, że pracodawca może żądać od przyszłego pracownika przedstawienia informacji o niekaralności.

Natomiast pracodawcy działający w sektorach, w odniesieniu do których nie ma takich regulacji ustawowych, mają znacznie utrudnioną możliwość pozyskania od przyszłego pracownika informacji o tym, czy był karany, czy też nie. Tacy pracodawcy mogą pozyskać informacje dotyczące karalności, jeżeli przyszły pracownik dobrowolnie przekaże im taką informację.

W takiej sytuacji pracodawca nie może jednak uzależniać zatrudnienia pracownika od przedstawienia takiej informacji. W przeciwnym wypadku nie można byłoby mówić, że zgoda (na przetwarzanie i przekazanie danych wrażliwych) została udzielona dobrowolnie. Każdą sytuację, w której pracodawca chciałby uzyskać informację dotyczącą karalności przyszłego pracownika, należy rozpatrywać indywidualnie.

Jakie obowiązki z przetwarzania danych wrażliwych wynikają dla pracodawcy

Pracodawca jako administrator danych osobowych zobowiązany jest przez ustawę o ochronie danych osobowych do odpowiedniego zabezpieczenia ich przetwarzania. Obowiązek ten rozciąga się także na dane wrażliwe. Zgodnie z art. 36 ust. 1 uodo pracodawca zobowiązany będzie stosować „środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem”.

W przepisie tym ustawodawca niejako wyróżnił dane wrażliwe poprzez wskazanie, że środki ochrony powinny być odpowiednie do kategorii danych objętych ochroną. Zatem w przypadku przetwarzania danych wrażliwych należy stosować nawet wyższe standardy ochrony przy ich przetwarzaniu. Dodatkowo pracodawca zobowiązany będzie do wdrożenia dokumentacji wewnętrznej, opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzania danych osobowych w systemach informatycznych, w tym danych wrażliwych.

Co grozi za bezprawne wykorzystywanie danych wrażliwych

W przypadku naruszenia przez pracodawcę zasad przetwarzania danych osobowych, a w szczególności danych wrażliwych, może się on liczyć z konsekwencjami na gruncie Kodeksu pracy, Kodeksu Cywilnego oraz uodo. W odniesieniu do Kodeksu pracy, można sobie wyobrazić sytuację, w której pracownik w związku z tym, że dowiedział się, że pracodawca przetwarza dane wrażliwe dotyczące jego osoby, decyduje się skorzystać z dyspozycji art. 55 § 11 Kodeksu pracy.

Przepis ten daje pracownikowi możliwość rozwiązania z pracodawcą umowy o pracę bez wypowiedzenia w związku z ciężkim naruszeniem przez pracodawcę podstawowych obowiązków wobec pracownika. W takiej sytuacji uzasadniony może być pogląd, że bezprawne przetwarzanie danych wrażliwych pracownika stanowi naruszenie podstawowych obowiązków pracodawcy wobec pracownika (np. brak poszanowania godności pracownika lub innego dobra osobistego pracownika).

W powyższej sytuacji pracodawca musi się liczyć przede wszystkim z utratą pracownika oraz roszczeniem odszkodowawczym z jego strony. W zależności od tego, co pracodawca zrobił z danymi wrażliwymi pracownika, np. upublicznił informacje na temat jego stanu zdrowia, może też liczyć się z tym, że pracownik będzie dochodzić sowich roszczeń w oparciu o art. 23 Kodeksu cywilnego. Będzie to możliwe, jeśli sąd uzna, że informacje o danych wrażliwych są dobrami chronionymi prawem oraz okoliczności wskazują, że doszło do naruszenia dobra osobistego, a także wystąpiła bezprawność naruszenia.

Dodatkowo pracodawca może być również narażony na odpowiedzialność karną wynikającą z uodo. Przetwarzanie danych osobowych, które nie mogą być przetwarzane (np. dane wrażliwe) lub do przetwarzania których pracodawca nie jest uprawniony, zagrożone jest karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat trzech. Odpowiedzialność karna rozciąga się także na udostępnianie danych wrażliwych osobom nieuprawnionym, w tym także innym pracownikom, którzy nie posiadają uprawnień do przetwarzania danych nadanych zgodnie z ustawą o ochronie danych osobowych. W powyższym przypadku pracodawca może liczyć się z dodatkową karą grzywny, ograniczenia wolności albo karą pozbawienia wolności do lat dwóch.

Przed zobowiązaniem pracownika do przekazania danych osobowych pracodawca powinien upewnić się, czy dane, o które prosi, nie są przypadkiem danymi wrażliwymi. W przypadku pozytywnej identyfikacji danych osobowych jako dane wrażliwe konieczne jest ustalenie, czy pracodawca może je zgodnie z prawem przetwarzać. W związku z przetwarzaniem danych wrażliwych pracodawca powinien dołożyć szczególnej staranności związanej z ich zabezpieczeniem i zapewnić odpowiednie środki techniczne i organizacyjne niezbędne do ich ochrony.

Szczególnie ważne jest odpowiednie przygotowanie dokumentacji wewnętrznej opisującej sposób zabezpieczania i przetwarzania danych, zabezpieczenie systemów informatycznych służących do przetwarzania danych osobowych oraz okresowe szkolenia pracowników z procedur i przepisów prawa dotyczących przetwarzania danych osobowych. Powyższe powinno zminimalizować ryzyko naruszenie przepisów uodo i narażenia pracodawcy na ewentualną odpowiedzialność karną lub finansową.

Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922).
Maria Kucharska-Fiałkowska

Autor: Aleksandra Mazur-Zych

radca prawny, Kancelaria Prawna EY Law, radca prawny w kancelarii prawnej stowarzyszonej z firmą doradczą EY (Ernst & Young Law Tałasiewicz i Wspólnicy), specjalizuje się w doradztwie prawnym dla polskich i zagranicznych przedsiębiorców z zakresu prawa cywilnego, pracy, gospodarczego oraz ochrony konkurencji

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x