W lipcu w internecie pojawiły się dane około 3 tys. kandydatów do pracy w banku Pekao. Miesiąc temu firmie Google skradziono informacje o wszystkich pracownikach zatrudnionych do grudnia 2006 r., a jeszcze wcześniej firma księgowa współpracująca z Alcatelem zgubiła akta osobowe kilkunastu tysięcy swoich podwładnych.

To tylko kilka przykładów tego co dzieje się z danymi pracowników i kandydatów do pracy. Pracodawca jest administratorem takich informacji i musi je zabezpieczyć przed innymi osobami. Jeśli nie dopełni tego obowiązku, grozi mu kara grzywny, ograniczenia lub pozbawienia wolności. Natomiast pracownik, który uzna, że naruszone zostały jego dobra osobiste, może żądać od szefa zadośćuczynienia pieniężnego. Firmy powinny być więc ostrożne, bo z ostatnich danych Eurobarometru wynika, że Polacy najlepiej znają przepisy o ochronie danych osobowych w całej Unii Europejskiej.

Szef bez bazy CV

Kodeks pracy jasno precyzuje, jakich danych osobowych może żądać pracodawca od swojego podwładnego, a także od kandydata do pracy. Szef tworzy zbiór takich informacji o pracownikach, ale nie musi zgłaszać go do rejestracji głównemu inspektorowi ochrony danych osobowych (GIODO), gdyż z obowiązku tego zwalnia pracodawców ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm.).

- Natomiast dane osobowe przesłane na potrzeby rekrutacji przez osoby, które ostatecznie nie zostały zatrudnione, powinny zostać zniszczone lub odesłane kandydatowi po zakończeniu rekrutacji na dane stanowisko - mówi Michał Serzycki, główny inspektor ochrony danych osobowych.

Profesor Małgorzata Gersdorf z Uniwersytetu Warszawskiego podkreśla, że szefowie firm nie mogą więc tworzyć własnych baz CV, nawet jeśli rotacja kadr w firmie jest duża, a szef przewiduje, że w najbliższym czasie rozpoczną się kolejne rekrutacje.

W polskich firmach normą jest jednak przechowywanie CV kandydatów do pracy po zakończeniu postępowania kwalifikacyjnego. Zazwyczaj nie zabezpieczają one takich dokumentów, więc osoby trzecie mają do nich dostęp.

- Byłam świadkiem sytuacji, gdy do sekretariatu szefa firmy wszedł mężczyzna i zapytał, czy może zostawić swoje CV. Sekretarka poprosiła, aby zostawił je na pliku podobnych dokumentów przy wejściu do biura - mówi Adrianna Dentkowska z firmy rekrutacyjnej SMM Project.

Niebezpieczne pytania

W trakcie rekrutacji szefowie powinni pamiętać nie tylko o zabezpieczeniu danych osobowych kandydatów do pracy, ale także o tym, jakich informacji mogą od nich żądać. Zgodnie z kodeksem pracy nie mogą domagać się od nich np. podania numeru PESEL lub informacji o stanie cywilnym czy planach rodzicielskich albo liczbie posiadanych dzieci.

- Jeżeli jednak sami kandydaci przekażą im takie dane, mogą oni gromadzić je na potrzeby rekrutacji - uważa prof. Małgorzata Gersdorf.

Jej zdaniem, może dojść do sytuacji, gdy zgoda na udostępnienie takich informacji będzie niejako wymuszona, bo osoby starające się o zatrudnienie będą miały świadomość, że odmowa ich udzielenia może zmniejszyć ich szanse na zatrudnienie. A pracodawcy często są zainteresowani nielegalnym pozyskiwaniem danych osobowych pracownika. Na przykład banki nie mogą sprawdzać w trakcie rekrutacji na wszystkie stanowiska, czy dany kandydat nie był karany za przestępstwa przeciwko mieniu lub obrotowi pieniędzmi i papierami wartościowymi, choć w wielu przypadkach byłoby to uzasadnione.

Kodeks pracy precyzje też, jakie informacje może żądać szef od zatrudnionego pracownika. Pracodawcy łamią jednak te przepisy.

- Często docierają do nas skargi na pracodawców, którzy domagają się od podwładnych przekazania informacji np. o ich stanie zdrowia, choć mogą się oni dowiedzieć jedynie, czy osoba jest zdolna do pracy na danym stanowisku - mówi Michał Serzycki.

Konieczne zadośćuczynienie

Zgodnie z art. 52 wspomnianej ustawy każdy pracodawca, który narusza choćby nieumyślnie obowiązek zabezpieczenia dokumentów zawierających dane osobowe pracowników przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Musi się liczyć także z możliwością kontroli przez GIODO. W ciągu roku inspektorzy sprawdzają, jak obowiązek ochrony danych osobowych wypełnia około 300 firm.

- Udostępnienie danych osobowych pracownika nieuprawnionym osobom, podobnie jak domaganie się, aby przekazał informacje, jakich nie przewiduje kodeks pracy, może naruszać jego dobra osobiste - mówi Katarzyna Grzybowska-Dworzecka z Kancelarii Michałowski, Stefański Adwokaci.

Podkreśla, że na tej podstawie pracownicy mogą więc żądać od pracodawcy zadośćuczynienia pieniężnego.

Firmy powinny też pamiętać, że ustawa o ochronie danych osobowych zobowiązuje ich do prowadzenia dokumentacji opisującej sposób przetwarzania danych osobowych podwładnego (np. kto ma do nich dostęp, czy są jedynie gromadzone, czy wykorzystywane w inny sposób). Na wniosek pracownika szef jest także zobowiązany do poinformowania go o przysługujących mu prawach związanych z ochroną danych osobowych.

300 kontroli dotyczących ochrony danych osobowych pracowników corocznie przeprowadza GIODO