Dane pod specjalnym nadzorem

Każdy pracodawca jest administratorem danych osobowych, w tym danych wrażliwych. Musi zatem znać i stosować zasady ich pozyskiwania i przetwarzania. Już samo przechowywanie danych jest ich przetwarzaniem.

Dane osobowe to wszelkie informacje, które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Oznacza to, że na ich podstawie osoba przestaje być anonimowa - jej tożsamość jest znana administratorowi danych. "Pracodawca uzyskuje status administratora danych osobowych z mocy samej ustawy o ochronie danych osobowych" - mówi mec. Sylwia Puzynowska z Kancelarii Prawa Pracy Sylwia Puzynowska. "Administratorem danych osobowych wykorzystywanych w zakresie działalności prowadzonej przez przedsiębiorcę jest przedsiębiorca, a w szczególności spółka z ograniczoną odpowiedzialnością, spółka akcyjna, spółka jawna oraz spółka komandytowa. Administratorem danych jest sama spółka prawa handlowego, nie zaś jej organy, osoby zasiadające w organach tej spółki lub pełniące w niej funkcje kierownicze". W przypadku pracowników tymczasowych administratorem danych osobowych jest agencja pracy tymczasowej, a w niekiedy jest nim pracodawca-użytkownik (m.in. korzystanie z dostępu do szkoleń organizowanych przez pracodawcę-użytkownika).

Z kolei podmiot przetwarzający dane osobowe na zlecenie, nie decydujący o celach ich przetwarzania (ma uprawnienia do przetwarzania wyłącznie w celu określonym umową), nie jest administratorem danych osobowych.

Jak się obchodzić z danymi

W myśl obowiązującego obecnie w Polsce prawa (patrz ramka Regulacje prawne) dane osobowe dzieli się na dane sensytywne (wrażliwe) i niesentytywne (zwykłe). Dane wrażliwe dotyczą pochodzenia rasowego lub etnicznego, poglądów politycznych, orientacji seksualnej, przynależności wyznaniowej, partyjnej lub związkowej, stanu zdrowia, kodu genetycznego, nałogów, a także skazań, orzeczeń o ukaraniu i mandatów karnych oraz innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Dane zwykłe to wszystkie pozostałe dane osobowe, których ustawa nie wskazuje jako dane sensytywne, np. imię, nazwisko, adres zamieszkania, data urodzenia, PESEL. Adres poczty elektronicznej może być uznany za dane osobowe, gdy jest obiektywna możliwość identyfikacji osoby, której dotyczy dany e-mail.

Przetwarzanie danych osobowych to wszelkie operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. W szczególności dotyczy to danych, które wykonuje się w systemach IT. Administratora obowiązują w tym względzie cztery zasady:

1. legalności - zabronione jest (poza wyjątkami wskazanymi w odrębnych ustawach) zbieranie danych w sposób ukryty, np. przez podsłuch, z naruszeniem tajemnicy korespondencji itp.;

2. celowości - zbieranie danych powinno odbywać się dla oznaczonych, zgodnych z prawem celów i nie może być poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami;

3. merytorycznej poprawności - dane muszą być zgodne z prawdą, pełne, kompletne;

4. ograniczenia czasowego - przechowywanie danych nie dłużej niż jest to niezbędne do osiągnięcia zakładanego celu.

Pracodawca ma obowiązek powołania administratora bezpieczeństwa informacji (chyba że sam pełni podobną funkcję), który powinien umieć wykorzystywać nowe technologie, znać i odpowiednio stosować przepisy dotyczące ochrony danych osobowych.

Administrator powinien uzyskać zgodę na przetwarzanie danych osobowych. Zgodnie z ustawą o ochronie danych osobowych, "z treści klauzul zgody na przetwarzanie danych osobowych powinno w sposób nie budzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe mogą być przetwarzane".

Przetwarzanie danych sensytywnych (wrażliwych) jest zabronione; zgodnie z ustawą ich przetwarzanie jest dopuszczalne, jeżeli:

1. osoba, której dane dotyczą, wyrazi na to pisemną zgodę;

2. zezwala na to przepis szczególny innej ustawy;

3. następuje to w celu ochrony żywotnych interesów osoby, której dane dotyczą, fizycznie lub prawnie nie jest w stanie wyrazić zgody do czasu ustanowienia opiekuna prawnego albo kuratora.

Regulacje prawne

Jednym z pierwszych aktów prawnych regulujących stosunek państwa do ochrony praw jednostki jest Europejska Konwencja o Ochronie Praw Człowieka i Podstawowych Wolności (Europejska Konwencja Praw Człowieka) z 1950 r. W 1980 r. zostały wydane wytyczne w sprawie Ochrony Prywatności i Przekazywania Danych Osobowych pomiędzy Krajami. Innym dokumentem jest wydana w 1981 r. przez Radę Europy Konwencja nr 108 o ochronie osób fizycznych w związku z automatycznym przetwarzaniem danych osobowych.

W Polsce po raz pierwszy przyjęto dokument regulujący sprawy dotyczące ochrony danych osobowych dopiero w drugiej połowie lat 90.; była to Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. Obecnie wszelkie sprawy dotyczące ochrony danych osobowych w środowisku pracy reguluje ustawa z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe.

Ustawę o ochronie danych osobowych stosuje się do osób fizycznych, osób prawnych oraz jednostek nie będących osobami prawnymi. Podmioty te muszą mieć miejsce zamieszkania lub siedzibę na terytorium Polski. Przetwarzanie danych ma bezpośredni związek z działalnością zarobkową, zawodową albo z realizacją celów statutowych. Nie obejmuje więc osób fizycznych, które przetwarzają dane w celach osobistych lub domowych, oraz podmiotów posiadających siedzibę lub miejsce zamieszkania w państwie trzecim.

Dokumentem zawierającym prawa pracownika i pracodawcy jest Kodeks pracy.

Organem ds. ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych (GIODO), który wykonuje zadania za pomocą Biura Generalnego Inspektora Ochrony Danych Osobowych. GIODO jest powoływany przez Sejm RP za zgodą Senatu.


TOP 200
Na ten temat
Magazyny CXO
Partnerzy Klubu CIO
O Klubie

Klub CIO to niezależna organizacja, która istnieje od 2003 roku. Powstał z inicjatywy International Data Group Poland S.A., amerykańskiego wydawnictwa, które prowadzi Kluby CIO w wielu różnych krajach.

Stworzony dla dyrektorów IT Klub CIO, to przede wszystkim dwie wartości najczęściej podkreślane przez samych członków Klubu. Po pierwsze - poszerzanie zakresu swojej wiedzy oraz - po drugie - możliwość spotkania się w swobodnej atmosferze, w gronie znakomitych menedżerów i porozmawianie o tym, co ważne dla każdego CIO.

Jak działa Klub CIO?
  • regularne spotkania w gronie kilkudziesięciu CxO (w większości CIO)
  • 2,5 godziny programu merytorycznego plus 1-2 godziny networkingu
  • spotkania w Warszawie i innch miastach (Gdańsk, Wrocław, i in.)
  • komunikacja w ramach grupy Klub CIO na LinkedIn
  • serwis cxo.pl – służy wymianie wiedzy, doświadczeń, przedstawia historie i dokonania członków Klubu CIO
  • udział w badaniach i dostęp do ich wyników – unikalne źródło wiedzy o opiniach i doświadczeniach innych CIO
Warto brać udział w Klubie CIO, aby
  • rozwijać wiedzę o dobrych praktykach zarządzania IT
  • wymieniać doświadczenia z najlepszymi CIO
  • zyskać uznanie na forum firmy i w społeczności IT
  • poprawiać własną skuteczność w realizacja celów IT i firmy
  • budować lepsze zrozumienie roli i zadań nowoczesnego CIO
  • uzyskać realny wpływ na strategię firmy