Zgodnie z wyrokiem WSA w Warszawie z dnia 11 czerwca 2010 r. (sygn. akt II SA/Wa 784/09), osoba fizyczna nie może domagać się ochrony jej danych osobowych, prezentując ich własnościową koncepcję w taki sposób, jak to czyni właściciel rzeczy.
Powyższa zasada znajduje zastosowanie także do pracowników. Z drugiej jednak strony osoba fizyczna będąca pracownikiem korzysta z pewnych przywilejów w zakresie danych osobowych podawanych swojemu pracodawcy. Zgodnie z treścią art. 221 Kodeksu pracy, pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:
- imię (imiona) i nazwisko,
- imiona rodziców,
- datę urodzenia,
- miejsce zamieszkania (adres do korespondencji),
- wykształcenie,
- przebieg dotychczasowego zatrudnienia.
Pracodawca ma prawo żądać od pracownika podania, niezależnie od powyższych danych osobowych także:
- innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy,
- numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).
Udostępnienie pracodawcy tak określonych danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca ma prawo żądać udokumentowania danych osobowych. Pamiętajmy, że pracodawca może żądać podania innych danych osobowych niż określone powyżej, ale tylko jeżeli obowiązek ich podania wynika z odrębnych przepisów.
Ustawa o ochronie danych osobowych wyraźnie wskazuje, iż pracodawcy nie muszą zgłaszać zbioru danych osobowych swoich pracowników do rejestracji u Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Niemniej jednak prowadzenie akt osobowych pracownika należy do podstawowych obowiązków każdego pracodawcy, a co za tym idzie musi on umieć odpowiednio je zabezpieczać. Art. 94 KP określa co prawda wyraźnie powyższy obowiązek, jednak w żaden sposób nie konkretyzuje jak pracodawca powinien zabezpieczać takie dane. Ustawa o ochronie danych osobowych stwierdza, że administrator danych (a zatem także i pracodawca) jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki ich ochrony. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności.
Pamiętajmy przy tym, że do przetwarzania danych osobowych pracowników mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Jednocześnie administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:
- imię i nazwisko osoby upoważnionej,
- datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
- identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
Sposoby zabezpieczenia omawianych danych są tak naprawdę bardzo różne i wszystko zależy od pomysłowości pracodawcy. Dane mogą być przechowywane na zabezpieczonych cyfrowo dyskach lub kontach internetowych, a także w bardziej staroświeckiej formie jaką jest zabezpieczenie w sejfie czy kasie pancernej. Ustawodawca celowo nie wskazał możliwych sposobów zabezpieczenia danych osobowych, bo wiedział, że ich liczba jest w zasadzie nieograniczona. Jedynym wymogiem w tej materii jest tak naprawdę skuteczność zabezpieczenia i procedur udostępniania takich danych właściwym osobom zgodnie z zapisami ustawy.
