Dane pod specjalnym nadzorem
-
- 17.09.2010
Każdy pracodawca jest administratorem danych osobowych, w tym danych wrażliwych. Musi zatem znać i stosować zasady ich pozyskiwania i przetwarzania. Już samo przechowywanie danych jest ich przetwarzaniem.
Dane osobowe to wszelkie informacje, które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Oznacza to, że na ich podstawie osoba przestaje być anonimowa - jej tożsamość jest znana administratorowi danych. "Pracodawca uzyskuje status administratora danych osobowych z mocy samej ustawy o ochronie danych osobowych" - mówi mec. Sylwia Puzynowska z Kancelarii Prawa Pracy Sylwia Puzynowska. "Administratorem danych osobowych wykorzystywanych w zakresie działalności prowadzonej przez przedsiębiorcę jest przedsiębiorca, a w szczególności spółka z ograniczoną odpowiedzialnością, spółka akcyjna, spółka jawna oraz spółka komandytowa. Administratorem danych jest sama spółka prawa handlowego, nie zaś jej organy, osoby zasiadające w organach tej spółki lub pełniące w niej funkcje kierownicze". W przypadku pracowników tymczasowych administratorem danych osobowych jest agencja pracy tymczasowej, a w niekiedy jest nim pracodawca-użytkownik (m.in. korzystanie z dostępu do szkoleń organizowanych przez pracodawcę-użytkownika).
Z kolei podmiot przetwarzający dane osobowe na zlecenie, nie decydujący o celach ich przetwarzania (ma uprawnienia do przetwarzania wyłącznie w celu określonym umową), nie jest administratorem danych osobowych.
Zobacz również:
- Bezpieczeństwo aplikacji zdrowotnych - jak chronić prywatność?
- IBM Security QRadar SIEM pomoże zarządzić globalną strukturą odpowiedzialną za bezpieczeństwo
- 8 błędów strategii danych, których należy unikać
Jak się obchodzić z danymi
W myśl obowiązującego obecnie w Polsce prawa (patrz ramka Regulacje prawne) dane osobowe dzieli się na dane sensytywne (wrażliwe) i niesentytywne (zwykłe). Dane wrażliwe dotyczą pochodzenia rasowego lub etnicznego, poglądów politycznych, orientacji seksualnej, przynależności wyznaniowej, partyjnej lub związkowej, stanu zdrowia, kodu genetycznego, nałogów, a także skazań, orzeczeń o ukaraniu i mandatów karnych oraz innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Dane zwykłe to wszystkie pozostałe dane osobowe, których ustawa nie wskazuje jako dane sensytywne, np. imię, nazwisko, adres zamieszkania, data urodzenia, PESEL. Adres poczty elektronicznej może być uznany za dane osobowe, gdy jest obiektywna możliwość identyfikacji osoby, której dotyczy dany e-mail.
Przetwarzanie danych osobowych to wszelkie operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. W szczególności dotyczy to danych, które wykonuje się w systemach IT. Administratora obowiązują w tym względzie cztery zasady:
1. legalności - zabronione jest (poza wyjątkami wskazanymi w odrębnych ustawach) zbieranie danych w sposób ukryty, np. przez podsłuch, z naruszeniem tajemnicy korespondencji itp.;
2. celowości - zbieranie danych powinno odbywać się dla oznaczonych, zgodnych z prawem celów i nie może być poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami;
3. merytorycznej poprawności - dane muszą być zgodne z prawdą, pełne, kompletne;
4. ograniczenia czasowego - przechowywanie danych nie dłużej niż jest to niezbędne do osiągnięcia zakładanego celu.
Pracodawca ma obowiązek powołania administratora bezpieczeństwa informacji (chyba że sam pełni podobną funkcję), który powinien umieć wykorzystywać nowe technologie, znać i odpowiednio stosować przepisy dotyczące ochrony danych osobowych.
Administrator powinien uzyskać zgodę na przetwarzanie danych osobowych. Zgodnie z ustawą o ochronie danych osobowych, "z treści klauzul zgody na przetwarzanie danych osobowych powinno w sposób nie budzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe mogą być przetwarzane".
Przetwarzanie danych sensytywnych (wrażliwych) jest zabronione; zgodnie z ustawą ich przetwarzanie jest dopuszczalne, jeżeli:
1. osoba, której dane dotyczą, wyrazi na to pisemną zgodę;
2. zezwala na to przepis szczególny innej ustawy;
3. następuje to w celu ochrony żywotnych interesów osoby, której dane dotyczą, fizycznie lub prawnie nie jest w stanie wyrazić zgody do czasu ustanowienia opiekuna prawnego albo kuratora.
Jednym z pierwszych aktów prawnych regulujących stosunek państwa do ochrony praw jednostki jest Europejska Konwencja o Ochronie Praw Człowieka i Podstawowych Wolności (Europejska Konwencja Praw Człowieka) z 1950 r. W 1980 r. zostały wydane wytyczne w sprawie Ochrony Prywatności i Przekazywania Danych Osobowych pomiędzy Krajami. Innym dokumentem jest wydana w 1981 r. przez Radę Europy Konwencja nr 108 o ochronie osób fizycznych w związku z automatycznym przetwarzaniem danych osobowych.
W Polsce po raz pierwszy przyjęto dokument regulujący sprawy dotyczące ochrony danych osobowych dopiero w drugiej połowie lat 90.; była to Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. Obecnie wszelkie sprawy dotyczące ochrony danych osobowych w środowisku pracy reguluje ustawa z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe.
Ustawę o ochronie danych osobowych stosuje się do osób fizycznych, osób prawnych oraz jednostek nie będących osobami prawnymi. Podmioty te muszą mieć miejsce zamieszkania lub siedzibę na terytorium Polski. Przetwarzanie danych ma bezpośredni związek z działalnością zarobkową, zawodową albo z realizacją celów statutowych. Nie obejmuje więc osób fizycznych, które przetwarzają dane w celach osobistych lub domowych, oraz podmiotów posiadających siedzibę lub miejsce zamieszkania w państwie trzecim.
Dokumentem zawierającym prawa pracownika i pracodawcy jest Kodeks pracy.
Organem ds. ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych (GIODO), który wykonuje zadania za pomocą Biura Generalnego Inspektora Ochrony Danych Osobowych. GIODO jest powoływany przez Sejm RP za zgodą Senatu.
Autorzy
Danuta Sass Computerworld
Redaktor magazynu „CEO”, od wielu lat autor i redaktor magazynu „CIO”.
Pisze przede wszystkim o zarządzaniu kompetencjami, talentami, opisuje nowe metody i strategie zarządzania kapitałem społecznym organizacji, także dzięki nowym technologiom i poprzez technologie. Współpracuje z wydawnictwami, m.in. w sprawie patronatów magazynu, omawia najważniejsze nowości wydawnicze.
Poprzednio m.in. dyrektor zarządzający Polskiego Stowarzyszenia Zarządzania Kadrami, pełnomocnik zarządu ds. regionu Wielkopolska w Polskim Centrum Produktywności. Zastępca kierownika i uczestnik misji studyjnej produktywności do Niemiec, Holandii i Belgii, organizator misji studyjnej HR do Niemiec, uczestnik misji IT do Niemiec.
Absolwentka Wydziału Zarządzania Uniwersytetu Warszawskiego. Uczestnik wielu kursów nt. produktywności i zarządzania prowadzonych przez ekspertów, głównie japońskich, uzyskała uprawnienia do szkolenia średniej kadry kierowniczej.
Więcej: Danuta Sass
