Udostępnienie danych pracownika

Przesłanki oraz granice przetwarzania danych osobowych pracowników

Wpis ten jest naszą reakcją na jedno z pytań jakie trafiło do naszej redakcji. Pytanie dotyczyło zakresu danych osobowych (dokumentów) pracowników jakie można przekazać podmiotowi trzeciemu, a dokładniej tego, czy można udostępniać informacje o pracownikach kierownikowi budowy, na której wykonują swoją pracę. Na wstępie zastanowimy się, jakie dane osobowe na temat pracownika ma prawo pozyskiwać pracodawca, dopiero wtedy będziemy mogli rozstrzygnąć, które z nich ewentualnie można udostępniać na rzecz innych podmiotów? Oczywiście niniejsze opracowanie dotyczy stanu faktycznego przedstawionego w zadanym pytaniu a więc dopuszczalności przekazania danych osobowych przez podwykonawcę (firmę budowlaną) na rzecz kierownika budowy.

Jakich danych osobowych może żądać od nas pracodawca?

Zakres danych, które może żądać pracodawca od pracownika reguluje art. 221 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy. Stosownie do § 1 i 2 tego przepisu, pracodawca ma prawo żądać od pracownika podania danych osobowych obejmujących:

  • imię (imiona) i nazwisko,
  • imiona rodziców,
  • datę urodzenia,
  • miejsce zamieszkania (adres do korespondencji),
  • wykształcenie,
  • przebieg dotychczasowego zatrudnienia.

Pracodawca ma prawo żądać od pracownika także podania:

  • innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy,
  • numeru PESEL.

 A co z numerem i serią dowodu osobistego?

Warto zauważyć, że załącznik do rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r.[1] w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika wskazuje na to, że numer PESEL oraz numer dowodu osobistego powinien wskazać sam pracownik w kwestionariuszu osobowym załączonym do ww. rozporządzenia. Pracownik oświadcza bowiem, że dane które podał są zgodne z jego dowodem osobistym.

Ciekawostka! Stosownie do art. 221 § 3 Kodeksu pracy udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Przy czym złożenie takiego oświadczenia przez pracownika nie może być utożsamiane z oświadczeniem o wyrażeniu zgody na przetwarzanie danych. Pracodawca stosownie do postanowień art. 221 § 3 Kodeksu pracy ma prawo żądać dowodu osobistego do wglądu w celu zweryfikowania podanych w kwestionariuszu danych osobowych, ale nie ma podstawy do tego aby kserować dowód osobisty.

Badania lekarskie

Zgodnie ze stanowiskiem GIODO[2] pracodawca nie ma podstawy do przetwarzania danych osobowych dotyczących wyników badań lekarskich, gdyż przepisy prawa zezwalają tylko na zbieranie zaświadczenia o braku przeciwskazań lub też o przeciwwskazaniach zdrowotnych danego pracownika do pracy na określonym stanowisku. Powyższe wynika z Rozporządzenia Ministra Zdrowia i Opieki Społecznej z dnia 30 maja 1996 r. w sprawie przeprowadzania badań lekarskich pracowników, zakresu profilaktycznej opieki zdrowotnej nad pracownikami oraz orzeczeń lekarskich wydawanych do celów przewidzianych w Kodeksie pracy. Zgodnie z § 2 ust. 5 wskazanego rozporządzenia badanie profilaktyczne kończy się orzeczeniem lekarskim stwierdzającym brak przeciwwskazań zdrowotnych do pracy na określonym stanowisku pracy albo stwierdzającym przeciwwskazania zdrowotne do pracy na określonym stanowisku pracy. Stosownie zaś do § 3 ust. 4 tego rozporządzenia orzeczenia lekarskie są wydawane w formie zaświadczeń według określonych wzorów. Zgodnie natomiast z ust. 5 rozporządzenia zaświadczenia te lekarz przeprowadzający badanie profilaktyczne przekazuje pracownikowi i pracodawcy. Rozporządzenie tym samym nie daje uprawnień na rzecz pracodawcy do otrzymywania wyników badań lekarskich pracownika.

Ciekawostka!  Ww. rozporządzenie wskazuje, że karta badania profilaktycznego zawiera dane identyfikacyjne osoby objętej badaniami (imię i nazwisko, datę urodzenia, płeć oraz adres zamieszkania).

Szkolenia BHP

Z kolei podstawą przetwarzania danych osobowych zawartych w karcie szkolenia wstępnego i zaświadczeniu o ukończeniu szkolenia BHP jest § 16 ust. 2 rozporządzenia Ministra Gospodarki i Pracy w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy[3]. Wyżej wymienione karty pracodawca przechowuje w aktach osobowych pracownika, z tym, że karta przechowywana jest w oryginale, a zaświadczenie w odpisie.

Ciekawostka! Dopiero ww. rozporządzenie umożliwia pracodawcy zbierania informacji o miejscu urodzenia pracownika. Informacja ta jest niezbędna do wystawienia zaświadczenia ze szkolenia BHP.

Udostępnienie danych osobowych

Na początek kilka ogólnych słów. Przetwarzanie danych powinno następować m.in. w oparciu o następujące kryteria: legalności, celowości, adekwatności oraz rzetelności.  Podstawy przetwarzania (w tym i udostępniania) danych osobowych wymienione są w art. 23 i 27 ustawy o ochronie danych osobowych.

Abyśmy jako pracodawca i zarazem administrator danych mogli udostępnić dane osobowe na rzecz podmiotu, który taki wniosek złożył musimy posiadać jedną z podstaw do udostępnienia danych osobowych. Przykładem takie podstawy udostępnienia danych osobowych może być przepis prawa jakiejś ustawy szczególnej.  Z praktycznego punktu widzenia ważne jest to aby abyśmy mieli dowód tego że udostępnienie odbyło się w sposób zgodny z ww. zasadami ochrony danych osobowych. Dlatego też, niezależnie od zastosowanej podstawy udostępnienia rekomendujemy, aby wniosek o udostępnienie złożony został na piśmie lub w ostateczności na podstawie zweryfikowanego maila. Udostępniając dane warto pamiętać o konieczności zastosowania środków organizacyjnych i technicznym zarówno po stronie administratora danych jak i tego, komu dane udostępniono. Za udostępnienie danych osobowych osobom nieupoważnionym art. 51 ustawy o ochronie danych osobowych przewiduje odpowiedzialność karną, gdzie najsurowsza kara wynosi do 2 lat pozbawienia wolności dla osoby, która udostępniała dane osobowe osobom nieupoważnionym.

Ważne! Stosownie do art. 22 ustawy z dnia 7 lipca 1994r. Prawo budowlane do podstawowych obowiązków kierownika budowy należy m.in. zapewnienie zorganizowania budowy i kierowanie budową obiektu budowlanego w sposób zgodny z przepisami bezpieczeństwa i higieny pracy.

Podsumowując. Kierownik budowy może żądać od Państwa informacji o braku przeciwskazań lub też o przeciwskazaniach zdrowotnych danego pracownika do pracy na określonym stanowisku. Zaświadczenie o przeszkoleniu z zasad BHP również powinno być mu udostępnione. 

[1] Rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika ( Dz. U. 1996 nr 69 poz.332)

[2] http://www.giodo.gov.pl/348/id_art/1712/j/pl/

[3] Rozporządzenie Ministra Gospodarki i Pracy z dnia 27 lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy (Dz.U. 2004 nr 180 poz. 1860)

Wzór wniosku o udostępnienie danych osobowych

Jako ciekawostkę zamieszczam wzór wniosku o udostępnienie danych osobowych, który stanowi załącznik nr 1 do nieobowiązującego już rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia wzoru wniosku o udostępnienie danych osobowych, zgłoszenia zbioru danych do rejestracji oraz imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 1998 r. Nr 80, poz. 522, ze zm.). Rozporządzenie to obowiązywało jeszcze w czasie, gdy obowiązywał art. 29 ustawy o ochronie danych osobowych, dotyczący udostępniania danych osobowych.

Wraz z jedną z nowelizacji prawa, derogowano ww. rozporządzenie. Niestety… Szkoda, ponieważ aktualnie brakuje nam powszechnie aprobowanego wzoru wniosku o udostępnienie danych osobowych. Pomijam tutaj kwestię, że aktualnie nie ma wymogu formy pisemnej wniosku o udostępnienie danych osobowych (co nawiasem mówiąc, jest moim zdaniem dużym błędem ustawodawcy). Dlaczego więc zamieszczam nieobowiązujący wzór wniosku o udostępnienie danych osobowych? Ponieważ, jest całkiem „niezły” i spokojnie może posłużyć, każdemu zainteresowanemu (szczególnie administratorowi bezpieczeństwa informacji), jako baza.