Pracodawca, czyli administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem - Małgorzata Kałużyńska-Jasak, Dyrektor Zespołu Rzecznika Prasowego z Biura Generalnego Inspektora Ochrony Danych Osobowych. Jeśli chodzi o przechowywanie danych osobowych (np. zawartych w CV) to ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych zobowiązuje każdego administratora danych (jest nim także pracodawca) do dbałości o dane osobowe, a przepisy jej rozdziału 5 określają ogólne zasady ich zabezpieczania.
Zgodnie z jej art. 36 ust. 1, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Wybór odpowiednich środków gwarantujących przetwarzanym danym optymalny stopień zabezpieczenia pozostawia jednak do uznania konkretnemu administratorowi danych osobowych.
Mogą to być różnego rodzaju rozwiązania architektoniczno - budowlane, systemy alarmowe i służby ochrony. Ważne jest, aby administrator danych dysponował takimi instrumentami organizacyjnymi i technicznymi, za pomocą których będzie w stanie wyeliminować zagrożenia utraty, zmiany czy zniszczenia danych osobowych. Jeśli zaś dane będą przetwarzane w systemie informatycznym to administrator powinien zastosować takie środki bezpieczeństwa, o których mowa w przepisach rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Jeśli zaś chodzi o niszczenie dokumentów rekrutacyjnych to ponieważ jest to jedna z form przetwarzania danych osobowych również powinno odbywać się z poszanowaniem wszelkich zasad wynikających z ustawy o ochronie danych osobowych. Nie ma przy tym znaczenia, czy chodzi o niszczenie danych osobowych zawartych w dokumentach papierowych, czy na nośnikach informatycznych. Ustawa nie wskazuje konkretnego sposobu niszczenia (pozbywania się) zgromadzonych danych osobowych. Najistotniejsze, by wybrana metoda uniemożliwiała ponowne odtworzenie zniszczonych danych osobowych.
Administrator danych może sam zniszczyć dokumenty zawierające dane osobowe, może też zlecić ich niszczenie podmiotowi zewnętrznemu. Gdy wybierze to drugie rozwiązanie z podmiotem, któremu zleca niszczenie dokumentów z danymi musi zawrzeć umowę tzw. powierzenia przetwarzania danych.
Zgodnie bowiem z art. 31 ustawy o ochronie danych osobowych, administrator danych może powierzyć innemu podmiotowi (w drodze umowy zawartej na piśmie), przetwarzanie danych, w którym to pojęciu mieści się również ich niszczenie. Niezbędnymi elementami tej umowy jest określenie celu, w jakim podmiot, któremu powierzono przetwarzanie danych (w tym ich niszczenie) może je przetwarzać oraz zakresu powierzonych do przetwarzania danych. Podmiot ten może bowiem przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. Powierzenie przetwarzania danych na podstawie umowy, o której stanowi art. 31 ustawy, w określonym w niej celu, jest działaniem prawnie dopuszczalnym i nie stanowi nieuprawnionego udostępnienia danych przez ich administratora innemu podmiotowi. Powierzenie przetwarzanych danych nie wymaga zgody osoby, której dane dotyczą.
W przypadku zawarcia umowy powierzenia odpowiedzialność za przestrzeganie przepisów ustawy o ochronie danych osobowych spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową (art. 31 ust. 4 ustawy o ochronie danych osobowych).
Za nienależyte zabezpieczenie danych osobowych ustawa o ochronie danych osobowych przewiduje odpowiedzialność karną (art. 51 i art. 52). Jest na nią narażony ten, kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwi do nich dostęp osobom nieupoważnionym. Sankcją za takie działanie jest kara grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2 (art. 51 ust. 1).
Jeżeli sprawca działa nieumyślnie, wówczas podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku (ust. 2). Analogiczna kara przewidziana jest w przypadku, gdy administrujący danymi narusza, choćby nieumyślnie, obowiązek zabezpieczenia ich przed zebraniem przez osobę nieuprawnioną czy uszkodzeniem.
Odnosząc się z kolei do możliwości wyrażenia zgody przez kandydata do pracy na przetwarzanie jego danych osobowych informuję, że zgoda taka nie jest potrzebna, gdy chodzi o zakres danych wynikający z art. 221 Kodeksu pracy. Przepis ten stanowi bowiem podstawę do przetwarzania danych osobowych kandydata do pracy obejmujących jego imię (imiona) i nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie oraz przebieg dotychczasowego zatrudnienia.
Jest to jednocześnie podstawa prawna z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, zgodnie z którym przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Natomiast, jeśli osoba ubiegająca się o zatrudnienie podaje więcej informacji w CV, niż wynika to z przepisów prawa, wówczas podstawą prawną do ich przetwarzania przez potencjalnego pracodawcę jest zgoda tej osoby (czyli podstawa prawna z art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych).
Taka zgoda jest także wymagana, jeśli dane miałyby być przetwarzane w nie tylko w celu rekrutacji, ale także np. w celach marketingowych. Z punktu widzenia przepisów ustawy o ochronie danych osobowych przez zgodę osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie. Formuła zgody na przetwarzanie danych osobowych powinna stanowić odrębne oświadczenie osoby, której dane dotyczą, od innych oświadczeń, zaś z jej treści powinno w sposób nie budzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane.
Przy odbieraniu zgody zagwarantowana powinna być opcjonalność, tj. osoba składająca oświadczenie powinna mieć możliwość wyrażenia zgody na określone działania, albo jej niewyrażenia. Z tych względów zgoda na przetwarzanie danych w celach marketingowych powinna być wyodrębniona od zgody na inne czynności. Niedopuszczalne jest także uzależnianie wykonania pewnej usługi czy np. zawarcia umowy od wyrażenia zgody na przetwarzanie danych osobowych w celach marketingowych.
Na potwierdzenie powyższych stwierdzeń warto przytoczyć orzecznictwo Naczelnego Sądu Administracyjnego. W wyroku z 19 stycznia 2001 r. (sygn. akt II S.A. 2748/00) sąd stwierdził, że zgoda na przetwarzanie danych osobowych w celach marketingowych powinna być zawarta w odrębnym oświadczeniu o wyrażeniu zgody; nie powinna zawierać się w treści zgody na realizację warunków umowy zawieranej z administratorem. Z kolei w wyroku z 4 kwietnia 2003 r. (sygn. akt II SA 2135/2002) NSA wskazał, że ,,Zgoda (...) musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania (...)". Natomiast w wyroku z 11 kwietnia 2003 r. (sygn. akt: II SA 3942/2004) NSA orzekł, iż: ,,(...) zgoda (...) nie może mieć charakteru abstrakcyjnego, lecz winna odnosić się do skonkretyzowanego stanu faktycznego, obejmując tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania (...)".
Podkreślić także należy, iż na administratorze danych (np. pracodawcy) spoczywa obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, poprzez zapewnienie, aby dane były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (art. 26 ustawy).
W związku z powyższym, jeśli kandydat wyraża zgodę tylko na przetwarzanie jego danych w celu przeprowadzenia konkretnej rekrutacji to oznacza, że po jej zakończeniu jego dane (jeśli nie został przyjęty do pracy) powinny zostać usunięte. Warunkiem ich dalszego przetwarzania w celu np. przyszłych rekrutacji czy w celach marketingowych będzie jego dodatkowa i wyraźna na to zgoda (na to kto, w jakim celu i w jakim zakresie będzie przetwarzał jego dane osobowe).
Małgorzata Kałużyńska-Jasak,
Dyrektor Zespołu Rzecznika Prasowego
Biuro Generalnego Inspektora
Ochrony Danych Osobowych