Wrażliwe dane osobowe pracowników Zakres i warunki dopuszczalności przetwarzania Od osoby ubiegającej się o zatrudnienie pracodawca ma prawo żądać podania danych osobowych obejmujących: imię (imiona) i nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie, przebieg dotychczasowego zatrudnienia. Od osoby, z którą już została nawiązana umowa o pracę pracodawca może żądać ponadto podania innych danych osobowych dotyczących pracownika, a także imion i nazwisk oraz dat urodzenia jego dzieci (jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy) oraz numeru PESEL pracownika (art. 221 § 1 i § 2 kodeksu pracy). Powyższe dane pracownik udostępnia pracodawcy w formie oświadczenia (np. w kwestionariuszu osobowym), jednakże pracodawca ma prawo żądać ich udokumentowania. Pracodawca może także żądać podania innych danych osobowych niż określone powyżej, jeżeli obowiązek ich podania będzie wynikał z odrębnych przepisów. W zakresie nieobjętym regulacjami zawartymi w kodeksie pracy (art. 221 § 3, § 4, § 5 kp) stosuje się przepisy o ochronie danych osobowych. Na podstawie wyżej wskazanych przepisów kodeksu pracy pracodawca z reguły pozyskuje tzw. dane zwykłe, czyli adres zamieszkania, datę urodzenia, imiona rodziców itp. Jednakże pracodawcy, realizując politykę zarządzania zasobami ludzkimi, mogą wejść w posiadanie także informacji tzw. „wrażliwych" (sensytywnych), których przetwarzanie co do zasady jest zabronione. Do danych takich ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (w skrócie o. d. o. - Dz. U. z 2002 r., nr 101, poz. 926 ze zm.) zalicza: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym (art. 27 ustawy o o. d. o.). W zakresie zasad przetwarzania danych osobowych pracodawca zobowiązany jest do stosowania ustawy o ochronie danych osobowych. Ustawa ta ma zastosowanie do przetwarzania tych danych w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych oraz w systemach informatycznych, także w przypadku, gdy dane osobowe przetwarzane są poza zbiorem (art. 2 ust. 1 ustawy o o. d. o.). Przepis ten odnosi się zatem do danych przetwarzanych zarówno ręcznie (np. akta osobowe pracowników), jak i automatycznie (w systemach komputerowych). Pracodawca, jako podmiot przetwarzający dane osobowe pracowników, staje się ich administratorem, tj. podmiotem decydującym o celach i środkach przetwarzania tych danych (art. 7 pkt 4 ustawy o o. d. o.), który zobowiązany jest do stosownego zabezpieczenia przetwarzanych danych. Idzie tu m.in. o obowiązek stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych - odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności o zabezpieczenie danych przed: ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ust. 1 ustawy o o. d. o.). Administrator danych obowiązany jest ponadto do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz wspomniane powyżej środki techniczne i organizacyjne, a także do wyznaczenia administratora bezpieczeństwa informacji, którego zadaniem jest nadzór nad przestrzeganiem zasad ochrony danych. Administrator danych nie ma obowiązku wyznaczania administratora bezpieczeństwa informacji, jeżeli sam wykonuje jego czynności, (art. 36 ust. 2 ustawy o o. d. o.). Ustawa o ochronie danych osobowych wprowadza także definicję ich przetwarzania, przez które należy rozumieć jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te operacje, które wykonywane są w systemach informatycznych (art. 7 pkt 2 ustawy o o. d. o.). Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych (czyli w tym wypadku przez pracodawcę), osoby te powinny ponadto zostać przez niego zarejestrowane w specjalnej ewidencji (art. 37 i 39 ustawy o o. d. o.). Należy podkreślić, że pracodawca ma prawo żądać i przetwarzać jedynie zakres danych osobowych wynikający z ustaw. Ponadto dane należące do kategorii wrażliwych będą mogły być przetwarzane przez pracodawcę tylko wtedy, gdy będzie to niezbędne do wykonania zadań odnoszących się do zatrudnienia pracowników. Wszelkie inne dane mogą być przetwarzane tylko wówczas, gdy pracownik (lub kandydat na pracownika) wyrazi na to zgodę na piśmie. Dane adekwatne do celu Podstawową przesłanką przetwarzania w stosunkach pracy wrażliwych danych osobowych jest więc zgoda pracownika, przy czym zgoda ta nie może być domniemana ani dorozumiana z oświadczenia woli innej treści. Drugą istotną przesłanką jest, w myśl art. 23 ust. 1 pkt 5 ustawy o o. d. o., wypełnienie usprawiedliwionych celów administratorów danych. Należy podkreślić, że przetwarzanie tych danych nie może naruszać praw i wolności osoby, której dane dotyczą. Posłużenie się przez ustawodawcę klauzulą generalną „usprawiedliwionych celów" wymaga doprecyzowania, co pozostawione zostało pracodawcy. Zakres danych winien być adekwatny do celu, w jakim są one przetwarzane, co również treściowo wypełnia pracodawca. Mając na uwadze powyższe, pracodawca, który przystępuje do przetwarzania danych wrażliwych winien ocenić, czy cel, który zamierza osiągnąć, jest usprawiedliwiony, tj. czy znajduje swoje gospodarcze i prawne uzasadnienie oraz czy dla osiągnięcia tego celu niezbędne jest przetwarzanie omawianych danych, a także czy ich przetwarzanie nie naruszy praw i wolności osoby, której te dane dotyczą. Ponadto, na podstawie art. 26 ust. 1 ustawy o o. d. o. musi także dbać, aby dane były adekwatne do celu, w jakim są przetwarzane. Zasada adekwatności to obowiązek zachowania równowagi pomiędzy zakresem żądanych informacji, czyli dobrem osoby, której dane dotyczą, a interesem administratora danych (pracodawcy). O słusznym interesie administratora danych można mówić wówczas, gdy zostanie zachowana powyższa równowaga1. W dobie intensywnie rozwijającej się techniki i osiągnięć nauki przetwarzanie danych wrażliwych przez pracodawcę w sposób dowolny może stanowić zagrożenie prawa do prywatności pracownika, a jak zaznacza A. Mrózek2 - prywatność „stanowi genezę i jądro problematyki ochrony danych". Pojęcie prywatności jako instytucji prawnej pojawiło się pod koniec XIX w., zdefiniowane przez dwóch amerykańskich prawników - War-rena i Brandeisa, jako prawo do pozostawania w spokoju.3 Nie da się ukryć, że funkcjonowanie jednostki w ramach zorganizowanej społeczności prowadzi do konfliktu praw podmiotowych: prawa do prywatności z prawem do informacji. Ten konflikt zachodzi także na gruncie stosunków pracy. Sprawozdanie z działalności Generalnego Inspektora Ochrony Danych Osobowych za okres 01.01.1999 r. - 31.12.1999 r., Warszawa, 2000, s. 62 2 A. Mrózek, Ustawowe prawo ochrony danych. Analiza prawno-porównawcza, Wydawnictwo Uniwersytetu im. Mikołaja Kopernika, Toruń, 1981, s. 3 i 4 3 A. Mednis, Prawna ochrona danych osobowych, Wydawnictwo Naukowe SCHOLAR, Warszawa, 1995, s. 7 1 Zastrzeżenia budzi przede wszystkim wykorzystanie nowoczesnych osiągnięć nauki i techniki w zbieraniu informacji o pracownikach, idzie tu przede wszystkim o poligrafy, wszelkiego rodzaju testy psychologiczne, monitorowanie za pomocą kamer, telefonów itp. Szczególnie dużo informacji ze sfery prywatności danej osoby można uzyskać w toku rekrutacji pracowników - czy to zewnętrznej (zatrudnianie pracowników spoza firmy), czy wewnętrznej (np. wewnętrzny konkurs na stanowisko kierownicze lub samodzielne), zwłaszcza stosując nowoczesne metody rekrutacji, takie jak np. testy psychologiczne: osobowościowe, uczciwości itp. Przykładowo pracownik lub kandydat na pracownika w przypadku stosowania testów osobowości poddawany jest kompleksowi testów tzw. maskujących, gdzie możliwe jest ujawnienie przez niego bardzo osobistych informacji oraz ingerowanie przez pracodawcę w sferę prywatności bez świadomości osoby poddającej się testom. Testy uczciwości natomiast wymuszają ujawnienie wielu intymnych szczegółów z życia prywatnego oraz osobistych opinii jednostki.4 Zagrożona prywatność Niestety ustawa o ochronie danych osobowych wiele kwestii pozostawia do rozstrzygnięcia pracodawcy jako administratorowi danych. Sytuacja taka powoduje możliwość nadużywania przez pracodawcę uprawnień w tym zakresie, co w konsekwencji prowadzi do zagrożenia prywatności pracownika. Problem może przede wszystkim stwarzać określenie celu przetwarzania danych osobowych w stosunkach pracy - na pracodawcy spoczywa bowiem ocena celowości, on również decyduje o tym, czy przetwarzanie danych nie naruszy praw i wolności osoby-pracownika. Określenie celu przetwarzania danych jest bardzo istotne, gdyż warunkuje zakres informacji przetwarzanych przez pracodawcę (zasada adekwatności danych). Zakres informacji żądanych przez pracodawcę nie jest kwestią problematyczną w sytuacji przetwarzania danych osobowych w celu realizacji ustawowych obowiązków wobec pracowników. Trudności mogą pojawić się w przypadku danych gromadzonych dla potrzeb zarządzania ludźmi, a więc często danych wrażliwych, ze sfery prywatności. Powstaje pytanie na ile niezbędne i adekwatne do celu przetwarzania są wszelkiego rodzaju testy psychologiczne, coraz częściej wykorzystywane przez pracodawców. Informacje zdobyte w rezultacie przeprowadzanych testów często dostarczają wielu danych, które z kolei mogą stanowić podstawę np. dyskryminacji pracownika. Adam Kamiński 4 A. Lewicka-Strzałecka, Etyczne standardy firm i pracowników, IFiS PAN, Warszawa, 1999, s. 189.