Zgodnie z treścią art. 22[1] Kodeksu pracy, pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:
- imię (imiona) i nazwisko,
- imiona rodziców,
- datę urodzenia,
- miejsce zamieszkania (adres do korespondencji),
- wykształcenie,
- przebieg dotychczasowego zatrudnienia.
Pracodawca ma prawo żądać od pracownika podania, niezależnie od powyższych danych osobowych także:
- innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy,
- numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).
Udostępnienie pracodawcy tak określonych danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca ma prawo żądać udokumentowania danych osobowych. Pamiętajmy, że pracodawca może żądać podania innych danych osobowych niż określone powyżej, ale tylko jeżeli obowiązek ich podania wynika z odrębnych przepisów – dotyczy to np. zaświadczenia o niekaralności. Art. 22[1] § 5 Kodeksu pracy nie stanowi jednak podstawy do żądania pracownika wydania dokumentów z akt osobowych w oparciu o przepisy o ochronie danych osobowych. Przepis ten określa prawa pracodawcy związane z przetwarzaniem danych osobowych pracownika i tylko w tym zakresie, w kwestiach nieuregulowanych odsyła do przepisów ustawy o ochronie danych osobowych. Żądanie przez pracownika udostępnienia dokumentów (kserokopii) z jego akt osobowych jest ściśle związane z istniejącym stosunkiem pracy, na co wprost wskazuje art. 94 pkt 9a KP. Przepis ten zobowiązuje pracodawcę do prowadzenia dokumentacji w sprawach związanych ze stosunkiem pracy oraz akt osobowych pracowników.
Ustawa o ochronie danych osobowych wyraźnie wskazuje, iż pracodawcy nie muszą zgłaszać zbioru danych osobowych swoich pracowników do rejestracji u Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Niemniej jednak prowadzenie akt osobowych pracownika należy do podstawowych obowiązków każdego pracodawcy, a co za tym idzie musi on umieć odpowiednio je zabezpieczać. Art. 94 KP określa co prawda wyraźnie powyższy obowiązek, jednak w żaden sposób nie konkretyzuje jak pracodawca powinien zabezpieczać takie dane. Ustawa o ochronie danych osobowych stwierdza, że administrator danych (a zatem także i pracodawca) jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki ich ochrony. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności.
Pamiętajmy przy tym, że do przetwarzania danych osobowych pracowników mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Jednocześnie administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:
- imię i nazwisko osoby upoważnionej,
- datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
- identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
Sposoby zabezpieczenia omawianych danych są tak naprawdę bardzo różne i wszystko zależy od pomysłowości pracodawcy. Dane mogą być przechowywane na zabezpieczonych cyfrowo dyskach lub kontach internetowych, a także w bardziej staroświeckiej formie jaką jest zabezpieczenie w sejfie czy kasie pancernej. Ustawodawca celowo nie wskazał możliwych sposobów zabezpieczenia danych osobowych, bo wiedział, że ich liczba jest w zasadzie nieograniczona. Jedynym wymogiem w tej materii jest tak naprawdę skuteczność zabezpieczenia i procedur udostępniania takich danych właściwym osobom zgodnie z zapisami ustawy.
Na zakończenie warto podkreślić, że każdy pracodawca ma obowiązek udostępniać pracownikom dane osobowe, które ich dotyczą oraz umożliwiać im dokonywania ewentualnych korekt. Zatrudniający może zbierać powyższe dane tylko w celach zgodnych z prawem (a więc np. do procesu rekrutacji czy zestawienia list płac w firmie), przy czym cele te nie mogą być samowolnie przez pracodawcę zmienione. Jeśli obowiązki pracodawcy związane z kwestią danych osobowych zatrudnianych przez niego osób, a wynikające zarówno z Kodeksu pracy jak i ustawy o ochronie danych osobowych, zostaną przekroczone, to w takiej sytuacji zatrudniający musi liczyć się z odpowiedzialnością nie tylko natury cywilnoprawnej, ale także i karnej.
