Dane osobowe pod wewnętrzną kontrolą

Przedmiotem polemik są dwie, z pozoru odległe od siebie, sytuacje. Pierwsza dotyczy obecności przy wręczaniu wypowiedzenia umowy o pracę innego pracownika (świadka). W trakcie czynności poznaje on dane osobowe związane z wypowiedzeniem, choćby ze względu na przysłuchiwanie się dyskusji w trakcie zwalniania. Druga odnosi się do ostatnich wyborów samorządowych. Pracownik jednego z urzędów miejskich pozyskał od innego pracownika dane osób korzystających z kart miejskich, aby później wykorzystać je do przesłania materiałów wyborczych urzędującego prezydenta miasta. Wspólnym mianownikiem dla tych dwóch sytuacji jest to, że odnoszą się do dostępu pracowników do danych osobowych w swoim zakładzie pracy oraz są związane z obowiązkami osób przetwarzających dane.

[srodtytul]Nadać upoważnienie[/srodtytul]

W [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=85181CE721AE8268356986DCE674A763?id=166335]ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU z 2002 nr 101, poz. 926 ze zm.[/link]; dalej ustawa) środkiem służącym w sferze wewnętrznej do określania, kto i w jakim zakresie może przetwarzać dane osobowe, jest upoważnienie do przetwarzania danych osobowych. Niestety, regulacja zawarta w ustawie jest dosyć lakoniczna.

Stosownie do treści art. 37 do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Takim administratorem będzie (art. 7 pkt 4) każdy podmiot decydujący o celach i środkach przetwarzania (np. pracodawca w stosunku do danych pracowniczych). Administrator danych ma obowiązek prowadzić ewidencję osób upoważnionych zawierającą w szczególności zakres ich upoważnienia do przetwarzania danych osobowych (art. 39 ust. 1). Przedmiotem upoważnienia jest zatem nie tylko dopuszczenie konkretnej osoby do przetwarzania danych, ale również określenie zakresu tego dopuszczenia. Ewidencja służy bowiem jedynie do rejestrowania nadanych upoważnień. Z kolei osobę upoważnioną zobligowano do zachowania w tajemnicy treści danych osobowych oraz informacji o sposobach ich zabezpieczenia (ust. 2).

Wspomniane przepisy znajdują się w rozdziale 5 dotyczącym zabezpieczenia danych osobowych, czyli upoważnienie należy traktować jako organizacyjny środek zabezpieczający dane. Jego celem nie jest jednak uniemożliwianie czy utrudnianie pracownikom wykonywania ich obowiązków, ale właściwa kontrola nad tym, kto z nich i do jakich danych ma dostęp. Realizacja tego założenia wymaga przygotowania organizacyjnego w zakładzie pracy, w szczególności opracowania i wdrożenia odpowiedniej procedury. Warunek upoważnienia ma zresztą szerszy zakres, bo dotyczy nie tylko pracowników, ale i wszystkich osób podlegających administratorowi danych w jego sferze wewnętrznej (praktykantów, stażystów, wolontariuszy itp.) bez względu na charakter łączącego ich stosunku.

[srodtytul]Co może administrator[/srodtytul]

Lakoniczność norm dotyczących upoważnienia sprawia trudności w doprecyzowaniu obowiązków administratora danych i upoważnionego. Nie można się zgodzić z poglądem, że administrator ma pełną dowolność w nadawaniu upoważnień oraz określaniu ich zakresu. Wiążą go trzy rodzaje ograniczeń.

Pierwszy to określony w art. 26 ust. 1 pkt 3 ustawy obowiązek zachowania adekwatności danych w stosunku do celów, w jakich są przetwarzane. Warunek ten dotyczy również sfery wewnętrznej, ponieważ administrator decyduje o dostępie do danych osobowych również w swojej jednostce, właśnie poprzez upoważnianie. W związku z tym powinien on określić zakres danych przetwarzanych przez pracownika adekwatnie do celu, jakim w wypadku pracownika jest wykonywanie przez niego obowiązków pracowniczych.

Przyjęcie innego stanowiska, dopuszczającego pełną arbitralność administratora, prowadzi m.in. do niezasadnego wniosku, że dostęp do danych zawartych w dokumentacji pracowniczej konkretnej osoby mogą mieć wszyscy inni pracownicy, jeśli tylko administrator nada im upoważnienie. Trudno również zaakceptować przyznanie upoważnienia do danych pracowniczych osobie, której obowiązki są zupełnie niezwiązane ze sprawami pracowniczymi (np. magazyniera), a upoważnienie służy wyłącznie temu, aby była ona obecna przy wręczaniu wypowiedzenia innemu pracownikowi. Pracodawca musi wziąć pod uwagę, że przy tej czynności może dojść do ujawnienia danych dotyczących stosunku pracy zwalnianego. Dlatego obecne mogą być jedynie osoby, których zakres obowiązków uzasadnia zapoznanie się z takimi informacjami (np. pracownik działu kadr, przełożony zwalnianego).

Drugie ograniczenie administratora związane jest z obowiązywaniem ustaw przewidujących dalej idącą ochronę danych (również w sferze wewnętrznej) niż ustawa o ochronie danych osobowych. Nadawanie upoważnień nie może naruszać zasad dostępu określonych w tych ustawach, np. chroniących tajemnice zawodowe. Niedopuszczalne będzie nadanie upoważnienia z naruszeniem zasad tajemnicy zawodowej.

Ponadto upoważnienie nie może ingerować w sytuacje, gdy bezpośrednio z mocy ustawy wynika dostęp osoby wykonującej określony zawód do danych z nim związanych. Potwierdziło to orzecznictwo sądów administracyjnych, przyznające prokuratorowi dostęp do danych zawartych w aktach prowadzonej przez niego sprawy, bez potrzeby uzyskiwania upoważnienia administratora danych.

[srodtytul]Cztery razy tajemnica[/srodtytul]

Konsekwencją nadania upoważnienia są prawne obowiązki upoważnionego, które można roboczo podzielić na trzy grupy.

Po pierwsze upoważniony może przetwarzać dane osobowe jedynie w zakresie nadanego upoważnienia.

Po drugie jest obowiązany do stosowania przewidzianych dla niego środków zabezpieczenia technicznego i organizacyjnego określonych nie tylko w przepisach o ochronie danych osobowych, ale również w dokumentacji wewnętrznej administratora (polityce bezpieczeństwa, instrukcji zarządzania systemem informatycznym).

W ustawie szczególnie akcentuje się trzeci obowiązek – tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczenia. Zakres tajemnicy samych danych osobowych należy jednak wyznaczać nie tylko na podstawie art. 39 ust. 2 ustawy, ale również przepisów karnych: art. 51 ustawy oraz 266 [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=4AB05F98E1D8B260A331E9A788EF59CB?id=74999]k.k.[/link] W związku z tym wymóg tajemnicy nie będzie rozumiany jedynie jako nieudostępnianie danych osobie nieupoważnionej, w tym również innemu pracownikowi w zakładzie pracy (bez upoważnienia). Ze względu na treść art. 51 ust. 1 ustawy tajemnica polega również na podjęciu działań uniemożliwiających udostępnienie danych osobie nieupoważnionej lub powstrzymaniu się od innych działań, które taką możliwość zapewniają. Pracownik realizuje ten obowiązek, stosując środki technicznego i organizacyjnego zabezpieczania danych osobowych. Wreszcie naruszeniem ochrony będzie wykorzystanie tajnych danych sprzecznie z celem, dla którego upoważniony zapoznał się z nimi. W szczególności takim celem jest wykonywana praca.

Z kolei ze strony osoby nieupoważnionej naruszeniem tajemnicy będzie zapoznanie się z danymi osobowymi, do których przetwarzania nie jest się dopuszczonym. Obowiązkiem takiej osoby jest więc powstrzymanie się od dostępu do danych, do których nie została upoważniona.

Publicystyka Prawo pracy Dane Osobowe

Pozostało 88% artykułu

Opinie Prawne

Maciej Gawroński: Za 30 mln zł rocznie Komisja będzie nakładać makijaż sztucznej inteligencji

Na łamach Rzeczpospolitej 6 listopada nawoływałem, aby kompetencje nadzoru sztucznej inteligencji (SI) oddać Prezesowi Urzędu Ochrony Danych Osobowych (PUODO). 20 listopada ukazał się tekst polemiczny, autorstwa mecenasa Przemysława Sotowskiego, w którym Pan Mecenas powołuje kilkanaście tez na granicy dezinformacji, bez uzasadnienia, oprócz „oczywistej oczywistości”. Tak jakby autor był bardziej politykiem niż prawnikiem. Niech mottem mojej repliki będzie to, co 12 sierpnia 1986 roku powiedział Ronald Reagan “Dziewięć najbardziej przerażających słów w języku angielskim to „Jestem z rządu i jestem tu, aby pomóc”

Materiał Promocyjny

Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę

Opinie Prawne

Wojciech Bochenek: Sankcja kredytu darmowego to kolejny koszmar sektora bankowego?

W dniu 4 grudnia 2024 r. na łamach dziennika "Rzeczpospolita" ukazała się publikacja „Sankcja kredytu darmowego – czy narracja parakancelarii jest zasadna?” autorstwa mecenasa Wojciecha Wandzela, przedstawiająca tezy i argumenty mające przemawiać za możliwością skredytowania kosztów kredytu i pobierania od tego odsetek, które w ocenie autora publikacji są pewnym wyjściem naprzeciw konsumentom, którzy chcą pozyskać kredyt.

Warszawa 1982. Stan wojenny. Rozprawa przed sądem wojskowym przeciwko podziemnym wydawcom.

Opinie Prawne

Tomasz Pietryga: Sędziowie 13 grudnia, krótka refleksja

Dla wielu obywateli skrzywdzonych w czasach PRL, wejście sędziów stanu wojennego do sądów w III RP było nieakceptowalne. Niemoc ludzi Solidarności, aby to wejście zablokować, odebrała szacunek Temidzie na dekady.

Opinie Prawne

Rok rządu Donalda Tuska. "Zero sukcesów Adama Bodnara"

Przez ostatni rok główny ciężar działań i uwagi skupiony był na przywracaniu praworządności, choć z góry było wiadomo, że przy tym prezydencie para pójdzie w gwizdek. Jednocześnie w tym czasie nie zrobiono niczego, co by wydatnie poprawiło efektywność wymiaru sprawiedliwości.

Materiał Promocyjny

Bank Pekao wchodzi w świat gamingu ze swoją planszą w Fortnite

Bank wspiera rozwój pasji, dlatego miał już w swojej ofercie konto gamingowe, atrakcyjne wizerunki kart płatniczych oraz skórek w aplikacji nawiązujących do gier. Teraz, chcąc dotrzeć do młodych, stworzył w ramach trybu kreatywnego swoją mapę symulacyjną w Fortnite, łącząc innowacyjną rozgrywkę z edukacją finansową i udostępniając graczom możliwość stworzenia w wirtualnym świecie własnego banku.

Premier Donald Tusk oraz minister rodziny, pracy i polityki społecznej Agnieszka Dziemianowicz-Bąk

Opinie Prawne

Rok rządu Donalda Tuska. "Aktywni w pracy, zapominalscy w sprawach ZUS"

Wiele obietnic pracowniczych zostało już zrealizowanych. Zabrakło jednak odważnych, kluczowych zmian w ubezpieczeniach społecznych.

Materiał Promocyjny

Jaecoo J7 w leasingu od 1670 zł/mies.

Opinie Prawne

Maciej Gawroński: Za 30 mln zł rocznie Komisja będzie nakładać makijaż sztucznej inteligencji

Opinie Prawne

Wojciech Bochenek: Sankcja kredytu darmowego to kolejny koszmar sektora bankowego?

Czy rzeczywiście ktoś wierzy, że Rafał Trzaskowski będzie dobrym prezydentem akurat dlatego, że zna

Komentarze

Michał Szułdrzyński: Rafał, pardon maj frencz!

Rafał Trzaskowski zachwycił swoich sympatyków rozmową po francusku z Emmanuelem Macronem. Jednak w kontekście kampanii, która miała odczarować jego elitarny wizerunek, pojawia się pytanie, czy to nie oddala go od przeciętnego wyborcy.

Adam Niedzielski, minister zdrowia w rządzie PiS w latach 2020-2023.

Prawo karne

Adam Niedzielski z wyrokiem. Były minister zdrowia przekroczył uprawnienia

W związku ze sprawą ujawnienia danych pacjenta, były minister zdrowia w rządzie Prawa i Sprawiedliwości Adam Niedzielski stanął przed warszawskim sądem.

Opinie Prawne

Rok rządu Donalda Tuska. "Aktywni w pracy, zapominalscy w sprawach ZUS"

Wiele obietnic pracowniczych zostało już zrealizowanych. Zabrakło jednak odważnych, kluczowych zmian w ubezpieczeniach społecznych.

Waluty

Złoty mocniejszy, ale tylko w relacji do franka

Złoty w czwartek notował nieznaczne zmiany wobec euro i dolara. Większy ruch było widać w przypadku franka szwajcarskiego.

Waluty

Złoty znów rusza do ataku

Czwartek na rynku walutowym będzie upływał pod znakiem decyzji banków centralnych. Jak zareaguje na nie złoty?

Kadry i Płace

Czy okazjonalna praca zdalna zależy od woli pracodawcy?

Pracownik powinien uzyskać akceptację przełożonego na okazjonalną pracę zdalną. Czy musi on uzasadniać odmowę? Czy przy tej pracy firma też zwraca koszty używania materiałów i narzędzi? Czy taki zwrot podlega ZUS i PIT?