Czy według przepisów o ochronie danych osobowych na pracodawcy, gromadzącym dane pracowników (lub kandydatów do pracy), spoczywają jakieś obowiązki? Takie zbiory podobno nie muszą być bezwzględnie rejestrowane.
n Ustawą o ochronie danych osobowych zwalnia pracodawcę z obowiązku rejestracji zbiorów danych przetwarzanych w związku z zatrudnieniem pracowników u Generalnego Inspektora Ochrony Danych Osobowych. Niemniej na przedsiębiorcy, administratorze danych, spoczywają inne obowiązki wynikające z tej ustawy.
Po pierwsze, pracodawca może przetwarzać dane pracownika lub kandydata do pracy jedynie w takim celu i zakresie, w jakim zezwalają mu na to przepisy (np. kodeksu pracy) lub treść udzielonej zgody, a zbierane dane muszą być zawsze adekwatne do celu przetwarzania.
Jedną z ważniejszych powinności pracodawcy pozostaje zabezpieczenie danych przed ich nieupoważnionym udostępnieniem, zmianą lub utratą. Ma on obowiązek m.in. stosować środki bezpieczeństwa odpowiadające potencjalnym zagrożeniom, ewidencjonować osoby uprawnione do przetwarzania danych, jak również odnotowywać, jakie dane, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Szczegółowe wymogi dotyczące przetwarzania danych w systemach informatycznych określa rozporządzenie wykonawcze do ustawy. Nad bezpieczeństwem danych oraz prawidłowością ich przetwarzania ma czuwać administrator bezpieczeństwa informacji, wyznaczany przez pracodawcę.
Na przedsięborcy spoczywają też obowiązki informacyjne: powinien przekazać pracownikowi informacje o firmie (adres, nazwa), poinformować o celu przetwarzania jego danych oraz o kategoriach ich odbiorców (jeśli miałyby być przekazywane dalej, np. w ramach grupy), jak również pouczyć o prawie dostępu do dokumentów oraz prawie ich poprawiania. Pracownik powinien być też powiadomiony o tym, czy podanie danych jest obligatoryjne.
Inne obowiązki wynikają z prawa do kontroli danych. Pracodawca zobowiązany jest udzielić zainteresowanemu informacji na temat jego danych przetwarzanych w zbiorze. Jeżeli okaże się, że są one niekompletne, nieaktualne lub że zostały zebrane niezgodnie z prawem bądź są zbędne do realizacji pierwotnego celu, pracodawca musi je zaktualizować lub zaprzestać ich przetwarzania i usunąć ze zbioru.
Nieprzestrzeganie przepisów ustawy może narazić przedsiębiorcę na odpowiedzialność karną. Przykładowo — naruszenie wymogu zabezpieczenia danych grozi grzywną, karą ograniczenia wolności, a nawet pozbawieniem wolności do roku.
Magdalena Karpińska ekspert z kancelarii Salans