W procesie przetwarzania danych osobowych Spółka, jako administrator danych, naruszyła przepisy o ochronie danych osobowych. Uchybienia te m.in. polegały na przetwarzaniu danych osobowych pracowników Spółki wykraczających poza zakres danych osobowych wskazany w art. 22[sup]1[/sup] § 1 i 2 [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=3805C31C3E8CA8CD90ABC180076F9E82?id=76037]ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (tekst jednolity: DzU z 1998 r. nr 21, poz. 94 z późn. zm.)[/link], których obowiązek podania nie wynika z odrębnych przepisów prawa, tj. danych dotyczących nazwiska rodowego matki pracownika (art. 26 ust. 1 pkt 1 ustawy). Zgodnie z art. 26 ust. 1 pkt 1 ustawy, administrator przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem. Natomiast stosownie do art. 22[sup]1[/sup] § 1 kodeksu pracy pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:
- imię (imiona) i nazwisko,
- imiona rodziców,
- datę urodzenia,
- miejsce zamieszkania (adres do korespondencji),
