DANE OSOBOWE W PROCESACH FIRMOWYCH

Transkrypt

1 Rozdział IV DANE OSOBOWE W PROCESACH FIRMOWYCH Znając przeciwnika i siebie, nie sposób przegrać starcia; nie znając przeciwka, a znając siebie, na jedną wygraną przypadnie też i jedna porażka; nie znając ani przeciwnika ani siebie, żadnej bitwy wygrać się nie da. Sun Tzu, Sztuka Wojny, Obmyślanie forteli Jednym z najważniejszych celów działalności organizacji jest rozwój. Umiejętność sprawnego, bezpiecznego i zgodnego z prawem przetwarzania informacji jakimi są dane osobowe stanowi dzisiaj w dużym (jak nie w przeważającym) stopniu o sukcesie firmy. W tym rozdziale zostaną zaprezentowane wymogi ustawy w kontekście struktury organizacyjnej przedsiębiorcy i procesów biznesowych. Takie podejście jest jak sądzę wygodniejsze, niż analizowanie ustawy akapit po akapicie, gdyż przedsiębiorca ocenia organizację swojej firmy poprzez pryzmat swoich procesów biznesowych. Dlatego przechodząc poprzez kolejne kategorie procesów biznesowych będę wskazywał, gdzie i jakie dane osobowe będą się pojawiać i jak należy z nimi postępować. Zbieranie danych Zbieranie danych jako jedna z form przetwarzania danych stanowi bardzo istotny proces w cyklu życia danych osobowych ze względu na fakt, iż na tym etapie należy spełnić wiele wymogów ustawy. Z tego powodu proces ten należy wyróżnić spośród procesów firmowych.

2 IV. Dane osobowe w procesach firmowych 55 Najczęściej zbierane dane dotyczyć będą klientów i potencjalnych klientów, osób zatrudnionych i współpracujących z firmą. Cel przetwarzania danych przez przedsiębiorstwo musi być zgodny z prawem i z profilem działalności przedsiębiorstwa. Nie można zbierać więcej danych, niż jest to potrzebne do realizacji określonego celu przetwarzania, dane muszą być adekwatne w stosunku do celu ich zbierania (art. 26 ust. 1 pkt 3). Ten element podlega kontroli GIODO, który np. na etapie rejestrowania zbioru ocenia adekwatność danych w stosunku do celu, w jakim się je zbiera. Wyraz adekwatny słownik języka polskiego definiuje jako dokładnie odpowiadający czemuś, zgodny z czymś. W łacinie adaequatus oznacza dostosowany. Dyrektywa 95/45/WE posługuje się określeniem not excessive in relation to the purposes, co oznacza, że dane nie powinny być także nadmierne w stosunku do celu w jakim się je zbiera. Przykładem braku adekwatności jest opisana w sprawozdaniu GIODO za 2010 r. usługa wypożyczania w hipermarketach wózków samochodzików dla dzieci. Świadczący usługi zatrzymywał za zgodą wypożyczających rozmaite dokumenty (legitymacje studenckie, prawa jazdy, dowody rejestracyjne samochodów) jako zastaw za wypożyczany wózek, a następnie pozyskiwał z nich dane. Generalny Inspektor uznał, że w związku z realizacją takiej umowy administrator danych pozyskiwał szerszy zakres danych niż ten, który był niezbędny dla realizacji ww. umowy, naruszając tym samym zasadę adekwatności wyrażoną w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Konsekwencją była decyzja nakazująca przywrócenie stanu zgodnego z prawem poprzez zaprzestanie pozyskiwania danych osób wypożyczających wózki w zakresie szerszym, niż jest to niezbędne dla realizacji umowy wypożyczenia wózka. Adekwatny i niezbędny nie oznaczają tego samego. Podczas zawierania umowy ubezpieczenia autocasco 1, można pozyskiwać informacje o ilości i wieku dzieci posiadacza pojazdu. Nie są to dane niezbędne do zawarcia umowy ubezpieczenia, jednak są adekwatne do celu w jakim są zbierane. Klient, który posiada dzieci w wieku do lat 12 jeździ znacznie ostrożniej, a więc jest mniej ryzykowny. Podobnie, gdy zbiera się jednocześnie numer PESEL, informację o płci lub datę urodzenia. Przykładowo informacja o płci do celu zawarcia umowie z operatorem telefonii wydaje się zbędna, ale może być adekwatna do celu przetwarzania, jeśli ma służyć weryfikacji prawidłowości podanych danych 2. Dane osobowe powinny być merytorycznie poprawne (art. 26 ust. 1 pkt 3), dlatego warto stosować podobne procedury walidacji danych. Adekwatność zbieranych danych jest sprawdzana podczas rejestracji zbioru i w czasie kontroli GIODO. Gdy Generalny Inspektor uzna, że dane nie są odpowiednie w stosunku do celu w jakim je zebrano, może np. nakazać usunąć nadmiarowe dane i zaprzestać ich zbierania. Dyrektywa podkreśla, że dane osobowe powinny być przetwarzane fairly, co należałoby przetłumaczyć jako uczciwe, sprawiedliwe, czy też w dobrej wierze. W polskiej ustawie zrezygnowano z takiego pojęcia. 1 Autocasco (AC) jest to ubezpieczenie pojazdów mechanicznych np. samochodów od skutków uszkodzenia, zniszczenia i kradzieży. 2 W numerze PESEL zakodowana jest data urodzenia oraz płeć jego posiadacza. Podana odrębnie płeć i data urodzenia może być porównana z tymi, które są zakodowanie w PESELU. Sposoby weryfikowania danych podanych w numerze PESEL opisane są na stronie

3 56 Dane osobowe w firmie praktyczny poradnik przedsiębiorcy Zbierając dane należy spełnić tzw. obowiązek informacyjny tj. poinformować osobę, której dane są zbierane m.in. o tym, kto będzie je przetwarzał i w jakim celu. Szczególnie istotne jest zdefiniowanie celu przetwarzania danych, gdyż jego zmiana w trakcie przetwarzania niesie za sobą daleko idące konsekwencje, m.in. o nowym celu należy poinformować wszystkie osoby, których dane już zostały zebrane (art. 26 ust. 2) 3. Na zmieniony cel przetwarzania należy posiadać podstawę wynikającą z art. 23, przy czym osoby, których dane dotyczą, mają prawo nie zgodzić się na przetwarzanie danych, zgłaszając tzw. sprzeciw Informowanie stanowi narzędzie kontroli dla osób, których dane dotyczą, aby wiedziały m.in. kto, jakie ich dane i w jakim celu przetwarza. To jest ich prawo. Dlatego, jeśli, np. podczas zakupu osoba została poinformowana, że jej dane są zbierane w celu np. realizacji umowy, a następnie zmienia się ten cel na inny, to powinna ona o tym wiedzieć. Ponowne poinformowanie osób o nowym (zmienionym) celu przetwarzania danych określa się w literaturze fachowej aktualizacją obowiązku informacyjnego. Jego realizacja w stosunku do setek czy tysięcy osób może być kosztowna, dlatego cel przetwarzania danych należy określić na tyle precyzyjnie (i jednocześnie szeroko), żeby uniknąć w przyszłości aktualizacji obowiązku informacyjnego. Zawsze, gdy w przedsiębiorstwie są przetwarzane dane osobowe, należy mieć na uwadze, aby istniała odpowiednia podstawa prawna do ich przetwarzania (w stosunku do każdego celu). Uzasadnienie celu przetwarzania jest nazywane w literaturze fachowej spełnieniem przesłanki legalności przetwarzania danych. Przesłanki legalności przetwarzania danych osobowych wymienione są w art. 23 i art. 27 ustawy, są nimi m.in. sytuacje gdy: osoba, której dane dotyczą, wyrazi na to zgodę, jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą, jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Sprawy pracownicze W przedsiębiorstwie dane osobowe przetwarzają przede wszystkim osoby zatrudnione, mają do nich dostęp i powinni m.in. otrzymać stosowne upoważnienia, zapoznać się z zasadami bezpieczeństwa i je stosować. Dla przedsiębiorcy będzie mieć to szczególnie istotne znaczenie, gdyż on odpowiada za działania swojego personelu. Jako pracownika zwykło określać się każdego, kto wykonuje w firmie określone zadania, ale w świetle prawa nie każdy z nich jest pracownikiem. Wykonujących pracę w firmie należy podzielić na pracowników, na osoby świadczące usługi na podstawie umów cywilnoprawnych 3 P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, C.H. Beck, Warszawa 2009, s. 269.

4 IV. Dane osobowe w procesach firmowych 57 i pracowników tymczasowych. Przedsiębiorcy (pracownicy zresztą także) nie zawsze rozróżniają te formy zatrudnienia. Pracownikiem zgodnie z art. 2 Kodeksu pracy jest osoba zatrudniona na podstawie umowy o pracę, powołania, wyboru, mianowania lub spółdzielczej umowy o pracę. W drugiej kategorii znajdą się osoby świadczące usługi na podstawie następujących umów: umowa o dzieło, umowa zlecenie, kontrakt menedżerski, umowa o świadczenie usług, Relacja między pracodawcą a pracownikiem charakteryzuje się podporządkowaniem, pracownik musi wykonywać polecenia przełożonego natomiast przy umowie cywilnoprawnej nie ma stosunku nadrzędności, zaś prawa (i obowiązki) stron uregulowane są umową i przepisami prawa cywilnego. Zgodnie z art Kodeksu cywilnego przez umowę zlecenia przyjmujący zlecenie zobowiązuje się do dokonania określonej czynności prawnej dla dającego zlecenie (zadania, usługi). Cechą umowy zlecenia jest to, iż zleceniobiorca sam organizuje sobie sposób i czas pracy, która nie musi być bezwarunkowo wykonywana osobiście, pracownik zaś przeciwnie, do pracy musi stawiać się w określonym czasie i miejscu i pracować wg zasad narzuconych przez kierownictwo. Z tego powodu prawa i obowiązki pracowników oraz świadczących usługi na podstawie umowy cywilnoprawnej (np. umowy zlecenia) będą się różnić. Na przykład dane pracownika takie jak imię, nazwisko, stanowisko i służbowy telefon kontaktowy można bez jego zgody opublikować na stronie internetowej, aby ułatwić kontakt z firmą. W przypadku osoby pracującej na podstawie umowy zlecenia (zleceniobiorcy) należy uzyskać zgodę na publikację tych danych. Danych biometrycznych pracowników nie można prawie że ogóle zbierać w celu zastosowania biometrycznego systemu dostępu do pomieszczeń, ale w przypadku zleceniobiorcy już można, o ile tylko wyrazi na to zgodę. Zbiór danych osobowych dotyczących zatrudnianych osób (bez względu na formę zatrudnienia) jest zwolniony z rejestracji w GIODO (art. 41 ust. 1 pkt 4). Zwolnienie z rejestracji oznacza jedynie (w dużym uproszczeniu), że nie ma konieczności wypełnienia odpowiedniego formularza i wysłania do GIODO. Nie pozbawia to przetwarzanych danych osobowych ochrony, a przedsiębiorcy nie zwalnia ze spełnienia pozostałych obowiązków ustawowych, np. przygotowania odpowiedniej dokumentacji czy wydania upoważnień do przetwarzania danych osobowych. GIODO wyraźnie podkreśla, że: zwolnienie z obowiązku zgłoszenia zbioru danych do rejestracji nie oznacza automatycznie zwolnienia ich administratora z konieczności przestrzegania przepisów o ochronie danych osobowych i dopełnienia innych, określonych w nich obowiązków 4. Zwolnienia zbioru z rejestracji powoduje w wielu przypadkach błędne przekonanie, że wobec tych danych nie ma obowiązku stosowania ustawy. Wręcz przeciwnie, dane w związku z zatrudnieniem będą podlegać szczególnej ochronie, bo będą przetwarzane także dane wrażliwe takie jak m.in.: dane o zdrowiu (orzeczenie lekarskie o braku przeciwwskazań do pracy na określonym stanowisku, dokumentacja dotycząca chorób zawodowych, dokumentacja związana z wypadkami w pracy), 4

5 58 Dane osobowe w firmie praktyczny poradnik przedsiębiorcy przynależność związkowa, informacja o skazaniach (potwierdzenie czy osoba nie była karana niezbędne zatrudnienia, np. ochroniarza, niektórych nauczycieli lub kierowców w transporcie drogowym). Zatrudnienie Kodeks pracy określa, jakie dane można zbierać w związku z zatrudnieniem. Na ich zbieranie zezwala prawo, co oznacza, że nie ma konieczności uzyskiwania na to zgody pracownika (kandydata). Zgodnie z art. 22 Kodeksu Pracy w celu zatrudnienia można gromadzić następujące dane: imię i nazwisko, imiona rodziców, data urodzenia, miejsce zamieszkania, adres do korespondencji, wykształcenie, przebieg zatrudnienia, numer PESEL, inne dane osobowe pracownika, a także imiona i nazwiska oraz daty urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy. Innych danych można żądać tylko wtedy (art Kodeksu Pracy), gdy obowiązek ich podania wynika z odrębnych przepisów. Będą to informacje głównie niezbędne dla ZUS-u i Urzędu skarbowego. Jeśli zapisy prawa, to jest jakiejkolwiek ustawy, nie zezwalają na zbieranie danych, to ich podanie jest wyłącznie dobrowolne, pracownik powinien mieć możliwość odmówić ich podania. Pewną ciekawostką jest, że przetwarzanie numeru rachunku bankowego wymaga zgody na przetwarzanie danych osobowych. Wynagrodzenie zgodnie z art Kodeksu pracy powinno być wypłacane do rąk własnych, każda inna forma wymaga zgody pisemnej. Podstawę do przetwarzania takich danych można sobie zapewnić wpisując w umowie o pracę zapis, określający, że wynagrodzenie płatne będzie przelewem na podany przez pracownika numer rachunku bankowego. Niektóre dane osobowe będą zbierane dopiero w trakcie trwania stosunku pracy, np. informacja o zawarciu związku małżeńskiego, narodzinach dziecka czy śmierci bliskich pojawić się może w chwili, gdy pracownik poprosi o przysługujący mu urlop okolicznościowy z tej okazji, dokumentując później uzasadnienie aktem ślubu, narodzin bądź zgonu. Takie informacje są innymi danymi osobowymi ( ) ze względu na korzystanie ( ) ze szczególnych uprawnień. Dla każdego pracownika prowadzi się teczkę z aktami pracowniczymi wymaganą przez Kodeks pracy (art. 94 pkt. 9a). Akta składają się z trzech części (dokładną ich zawartość określa Rozporządzenie Ministra Pracy i Polityki Socjalnej z dn. 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika): A dokumenty związane z ubieganiem się o zatrudnienie (świadectwa pracy, orzeczenie lekarskie, kwestionariusz osobowych), B dokumenty związane z przebiegiem zatrudnienia (umowa o pracę, potwierdzenia zapoznania się z regulaminem, zaświadczenie o ukończeniu szkolenia BHP, itd.),

6 IV. Dane osobowe w procesach firmowych 59 C dokumenty związane z ustaniem zatrudnienia (m.in. świadectwo pracy, wypowiedzenie). Dokumenty w aktach osobowych powinny w każdej części zostać ułożone w porządku chronologicznym oraz ponumerowane. Każda z tych części powinna zawierać wykaz znajdujących się w niej dokumentów. Akta osobowe spełniają wymogi definicji zbioru danych osobowych, przy czym zbiór danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się zwolniony jest z rejestracji (art. 43 ust. 1 pkt 4). Pojęcie w związku z zatrudnieniem obejmuje także dane kandydatów do pracy oraz dane osób, które już nie pracują. Przetwarzanie takich danych nie wymaga zgłoszenia zbioru do GIODO. Nie każdy przedsiębiorca jest tego świadomy, czego dowodem są coroczne odmowy rejestracji kilkuset zbiorów tego rodzaju przez GIODO 5. Rekrutacja W procesie rekrutacji zbiera się aplikacje kandydatów m.in. życiorysy, listy motywacyjne, dokumenty potwierdzające wykształcenie, informacje o odbytych szkoleniach. Są one źródłem cennych informacji ze sfery prywatnej kandydata, takich jak m.in.: dane kontaktowe i personalne (adres, PESEL, stan cywilny, ilość dzieci, stosunek do służby wojskowej), wizerunek (fotografia), wykształcenie, kursy i szkolenia, doświadczenie zawodowe, umiejętności, pasje i zainteresowania. W tym procesie można zbierać w zasadzie dowolne dane, a na ich przetwarzanie osoba aplikująca na dane stanowisko powinna wyrazić dobrowolnie zgodę, co też zresztą chętnie czyni, bo w jej interesie jest przedstawić pracodawcy interesujące go informacje. Najczęściej spotykana formułka zgody na aplikacji brzmi następująco: Wyrażam zgodę na przetwarzanie moich danych osobowych w celach rekrutacji, zgodnie z Ustawą z dnia o ochronie danych osobowych (Dz.U. nr 133, poz. 883). Jeśli aplikacja nie będzie zawierać takiej zgody (klauzuli), należy kandydata o nią poprosić, w przeciwnym wypadku dane należy usunąć. W jej treści brakuje informacji o tym komu zezwala się na przetwarzanie danych osobowych, dlatego zakładać należy, że zgoda jest udzielona temu, do kogo kandydat przesłał dokumenty. Taka uniwersalna zgoda nie oznacza, że aplikację kandydata można swobodnie udostępniać innym podmiotom. Jeśli jego dane mają być udostępniane, kandydat powinien wyrazić na to zgodę, zaś podmiot, który te 5 Sprawozdania GIODO za lata 2010 (s. 53), 2009 (s. 57) oraz 2008 (s. 46).

7 60 Dane osobowe w firmie praktyczny poradnik przedsiębiorcy dane otrzyma powinien poinformować go o tym, że je przetwarza jest to wymagane przez art. 25 ust. 1 ustawy. Jeśli w aplikacji znajdą się dane sensytywne (np. o karalności, stanie zdrowia), zgoda na przetwarzanie takich danych powinna zostać udzielona w formie pisemnej (art. 27 ust. 2 pkt 1). W rozporządzeniu MPiPS z 28 maja 1996 r. (zmienionym 10 lipca 2009) określającym zakres prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposób prowadzenia akt osobowych pracownika został załączony pomocniczy kwestionariusz osobowy dla osoby ubiegającej się o zatrudnienie. Pozwala on w jednym miejscu zebrać informacje o kandydacie do pracy, o których mowa w treści tego rozporządzenia oraz w art Kodeksu pracy. Co ciekawe Minister nie zawarł w nim klauzuli zgody na przetwarzanie danych osobowych, należy ją dodać samodzielnie. W przyszłości, jeśli zostaną uwzględnione zalecenia Grupy roboczej art. 29 już samo przesłanie życiorysu do potencjalnego pracodawcy będzie stanowić zgodę na przetwarzanie danych w celu rekrutacji 6. Podana wyżej zgoda jest ważna w celach prowadzenia dowolnej rekrutacji przez pracodawcę. Jeśli w treści zgody podane byłoby konkretne stanowisko to zgoda obowiązuje jedynie w ramach konkretnej rekrutacji na określone stanowisko, a później dane osobowe kandydatów, którzy nie zostali zatrudnieni należy usunąć. Przyjęło się, że życiorys osoby zatrudnionej włącza się do akt osobowych, natomiast w trakcie zatrudnienia z danych w nim zawartych, szerszych niż określone w Kodeksie pracy korzystać nie można, bo kandydat wyraził zgodę na przetwarzanie danych wyłącznie w procesie rekrutacji, proces ten kończy się z chwila zatrudnienia 7. Rekrutacja może zostać zlecona agencji pośrednictwa pracy. W większości przypadków zgoda kandydata na przetwarzanie danych wyrażana jest agencji i ona jest administratorem danych osobowych. Dane wybranych kandydatów są później przekazywane przez agencję pracodawcy. Niekiedy agencja nie ujawnia na początku, kto będzie pracodawcą, nie musi tego zresztą robić, jeśli jest administratorem danych 8. Warto podkreślić, że powinno dokładać się szczególnej staranności do ochrony informacji zebranych na potrzeby rekrutacji. Wyciek takich danych może bardzo negatywnie wpływać na wizerunek pracodawcy, nie mówiąc o odpowiedzialności karnej (art. 51 i 52) i cywilnej (naruszenie dóbr osobistych). Wypożyczanie pracowników Zdarzają się często w firmie takie sytuacje, gdy np. następuje niespodziewane zwiększenie zapotrzebowania na pracowników, a z powodu napiętych terminów nie da się przeprowadzić rekrutacji. W takich przypadkach można zatrudnić pracownika tymczasowego lub wypożyczyć od innej firmy. 6 Grupa Robocza art. 29, WP187 Opinion 15/2011 on the definition of consent, s Sprawozdanie GIODO za 2005 r., s

8 IV. Dane osobowe w procesach firmowych 61 Pracownicy tymczasowi Zasady zatrudniania pracowników tymczasowych reguluje ustawa z dnia 9 lipca 2003 r. o zatrudnianiu pracowników tymczasowych. Przedsiębiorca zatrudniający pracowników tymczasowych jest tzw. pracodawcą użytkownikiem. Agencja zatrudnia osobę i wypożycza ją przedsiębiorcy 9, wszystkie obowiązki wynikające z Kodeksu pracy spoczywają na niej, ona jest właścicielem danych (administratorem danych tej osoby) i powinna umownie powierzyć przetwarzanie danych osobowych wypożyczającemu (art. 31 ustawy), aby mógł przetwarzać dane o pracownikach. Powierzenie jest niezbędne, bo pracodawca użytkownik będzie przetwarzał dane osobowe chociażby w celu informowania o wolnych stanowiskach pracy 10. Nie ma on obowiązku rejestracji zbioru, bo jest procesorem, a ten nie rejestruje zbioru danych osobowych powierzonych mu do przetwarzania. Zawierając umowę z agencją warto sprawdzić czy została wpisana do rejestru podmiotów prowadzących agencje zatrudnienia 11. Pracownik wypożyczony od innego pracodawcy Pracownik wypożyczony i tymczasowy to w świetle prawa nie to samo. Możliwość wypożyczenia pracownika przewiduje Kodeks pracy w art zgodnie z którym pracodawca może, za zgodą pracownika wyrażoną na piśmie, udzielić pracownikowi urlopu bezpłatnego w celu wykonywania pracy u innego pracodawcy przez okres ustalony w zawartym między pracodawcami porozumieniu. Pracownik pozostaje zatem w tym czasie w dwóch równoległych stosunkach pracy: z pracodawcą macierzystym oraz z pracodawcą wypożyczającym go. Po upływie okresu, na który udzielono urlopu, pracownik ma obowiązek powrócić do pierwotnej pracy. Pracownik wypożyczany w ten sposób w istocie jest zatrudniany jak każdy inny pracownik, tyle że na czas określony. Upoważnienie do przetwarzania danych osobowych Każda osoba, która będzie przetwarzać dane osobowe, powinna zostać przez administratora danych upoważniona do przetwarzania danych osobowych. Upoważnienie pełni kilka istotnych funkcji. Stanowi uprawnienie (zezwolenie) do przetwarzania danych i spełnia wymóg ustawy określony w art. 37: Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Nie ma znaczenia forma zatrudnienia ani stosunek prawny między przedsiębiorcą a osobą. Może to być pracownik, osoba na umowie zlecenie, może też być pracownik serwisu 9 A. Krasuski, Outsourcing danych osobowych w działalności przedsiębiorstw, LexisNexis, Warszawa 2010, s. 109 i nast. 10 Art. 23, ust. 3 ustawy z dn. 9 lipca 2003 r. o zatrudnianiu pracowników tymczasowych. 11

9 62 Dane osobowe w firmie praktyczny poradnik przedsiębiorcy komputerowego. Forma upoważnienia ma zastosowanie tylko w przypadku osób (fizycznych), w innych przypadkach, np. osób prawnych, podpisuje się umowy powierzenia przetwarzania danych osobowych. Upoważnienie należy wydać, zanim osoba zacznie przetwarzać dane osobowe. Chodzi o jakiekolwiek dane osobowe, nie tylko te, które przetwarza się w zarejestrowanych zbiorach danych osobowych. Na przykład dane przetwarzane w zbiorze w związku z zatrudnieniem zwolnione są z rejestracji. Generalny Inspektor podkreśla w tej sprawie, że firma jest administratorem danych osobowych zatrudnionych w niej osób. By zyskać dostęp do tych danych, kadrowcy muszą zatem mieć od pracodawcy stosowne upoważnienie 12. Upoważnienia wydaje administrator danych, a właściwie osoba, która go reprezentuje np. zarząd. Możliwe jest ustanowienie pełnomocnictwa do wystawiania upoważnień w imieniu administratora danych. Najłatwiej będzie przekazać pracownikowi upoważnienie do przetwarzania danych osobowych razem z umową o pracę, w tym celu wydawanie upoważnień warto delegować na służby zajmujące się sprawami kadrowymi. Nie można domniemywać, że skoro osoba została zatrudniona na określonym stanowisku (np. pracownik obsługi klienta), to oznacza to, że ma przetwarzać dane osobowe. Nie stoi nic na przeszkodzie, aby treść upoważnienia zawrzeć w umowie o pracę. Jednak wygodniej będzie, jeżeli będzie ono odrębne. Jeśliby stanowiło element umowy o pracę, zmiana zakresu upoważnienia pociągałaby za sobą konieczność aneksowania umowy o pracę. Ustawa nie precyzuje jaką formę powinno przyjąć upoważnienie i co zawierać. Upoważnienie można nadać nawet w formie ustnego polecenia, warto jednakże zachować formę pisemną dla celów dowodowych. Upoważnienia można wydawać także w formie elektronicznej, np. wysyłając je em 13. Generalny Inspektor akceptuje taki sposób upoważniania: nie wydaje się, aby upoważnienie nadane w formie a pozostawało w sprzeczności z przepisami ustawy o ochronie danych osobowych, jeśli spełnia wszelkie inne ww. wymogi z tej ustawy 14. Upoważnienie owe powinno zostać wysłane do konkretnej osoby wymienionej z imienia i nazwiska. Przykładowe upoważnienie może wyglądać następująco: Upoważnienie do przetwarzania danych osobowych P.P.H.U Kwiatek, Maria Nowak, na podstawie art. 37 Ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jedn. z 2002 r. Dz.U. Nr 101, poz. 926 z póź. zm.), niniejszym upoważnia Panią Joannę Osobową do przetwarzania danych osobowych w następującym zakresie: [ ] dane przetwarzane w formie papierowej, [ ] dane przetwarzane w systemie informatycznym, w tym dane osobowe objęte zbiorami: 1. Klienci sklepu internetowego w zakresie modyfikacja, odczyt, wprowadzanie i usuwanie danych, 2. Zbiór marketingowy w zakresie odczyt, GIODO akceptuje upoważnienia wydawane w formie elektronicznej 317/id_art/3442/j/pl. 14

10 IV. Dane osobowe w procesach firmowych Zbiór danych osobowych w związku z zatrudnieniem i umowami zlecenia w zakresie modyfikacja, odczyt, wprowadzanie i usuwanie danych. Niniejsze upoważnienie obowiązuje od daty wystawienia i traci moc najpóźniej z dniem zakończenia współpracy z P.P.H.U Kwiatek, Maria Nowak na podstawie umowy o pracę. Wydane upoważnienia można trzymać w aktach pracowniczych lub w odrębnym segregatorze z wydanymi upoważnieniami. Oprócz wydania upoważnień przedsiębiorca zobowiązany jest prowadzić rejestr wydanych upoważnień (art. 39 ust. 1), w którym wpisuje wszystkie osoby aktualnie upoważnione do przetwarzania danych osobowych. Rejestr wydanych upoważnień jest szczególnie istotny, stanowi on dowód na to, że określone osoby otrzymały upoważnienia. Nawet jeśli upoważnienia udziela się ustnie, rejestr bez wątpienia powinno prowadzić się w formie pisemnej. Oświadczenia o ochronie danych Osoby zatrudnione przy przetwarzaniu danych należy zapoznać z obowiązującymi w firmie zasadami ochrony danych osobowych i zebrać oświadczenia o m.in. zapoznaniu się z dokumentami wymaganymi przez ustawę oraz o zachowaniu w tajemnicy danych osobowych i sposobów ich zabezpieczenia (art. 39 ust. 2). Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachowa w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. Oświadczenia takie stanowią jeden z organizacyjnych elementów ochrony danych osobowych. Warto zauważyć, że podczas zgłaszania zbioru danych osobowych do rejestracji w części 16 formularza rejestracyjnego należy opisać, jakie środki organizacyjne przedsięwzięto w celu zabezpieczenia danych osobowych. Wśród nich wymienia się m.in. następujące zabezpieczenia : osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych, osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy. Przykładowe oświadczenie może mieć następującą treść: Oświadczam, że zapoznałem się z: Polityką bezpieczeństwa danych osobowych, Instrukcją zarządzania systemem informatycznym służącym do przetwarzania informacji w tym danych osobowych, Jednocześnie oświadczam, że zobowiązuje, się przestrzegać zasad ochrony danych osobowych podczas wykonywania obowiązków służbowych, w tym zobowiązuję się do:

11 64 Dane osobowe w firmie praktyczny poradnik przedsiębiorcy dołożenia wszelkich starań przy wykonywaniu powierzonych mi obowiązków w celu ochrony danych osobowych, przetwarzania danych osobowych zgodnie z obowiązującymi w tym zakresie przepisami prawa i regulacjami wewnętrznymi [spółki], do zabezpieczenia przetwarzanych danych osobowych przed ich: a) udostępnieniem osobom nieupoważnionym, b) zabraniem przez osobę nieuprawnioną, c) przetwarzaniem z naruszeniem przepisów prawa, d) nieuprawnioną zmianą lub zniszczeniem, e) utratą, f) uszkodzeniem, do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, również po ustaniu zatrudnienia. Udostępnianie danych pracowników Dane osobowe osób pracujących niejednokrotnie udostępnia się z różnych przyczyn. W niektórych przypadkach prawo zezwala na udostępniania danych, niekiedy można też udostępnić je bez zgody osoby, a czasami niezbędna będzie dobrowolna zgoda osoby. Obowiązek noszenia identyfikatorów Obowiązek noszenia i okazywania identyfikatorów, zawierających dane osobowe związane z życiem zawodowym pracowników takie jak np. imię, nazwisko, stanowisko, wydział nie wymaga zgody pracownika. Nie jest też sprzeczny z ustawą 15. Obowiązek taki może wynikać z firmowego regulaminu pracy, który przedsiębiorca ma prawo ustalić (art Kodeksu pracy). W sytuacji gdy w zakładzie pracy nie obowiązuje regulamin, pracodawca może przed zatrudnieniem poinformować o konieczności noszenia i okazywania identyfikatora np. ze względów zachowania bezpieczeństwa w miejscu pracy. Obowiązek noszenia identyfikatora jest też jednym z zabezpieczeń danych osobowych w ten sposób można odróżnić osoby zatrudnione i poruszające się na terenie zakładu pracy, od innych obcych osób, nieupoważnionych do przetwarzania danych osobowych. Dane pracowników na internetowej stronie firmowej Pracodawca ma prawo zamieścić na stronie internetowej dane kontaktowe swoich pracowników podając np. imię, nazwisko, stanowisko służbowe, adres i numer telefonu. Pogląd ten podzielił także w swoim orzecznictwie Sąd Najwyższy w wyroku z sygn. I PK 590/02 dotyczącym sytuacji, w której pracodawca opublikował w gazecie ogłoszenie zawierające ofertę oddania w dzierżawę obiektu. Jako osobę udzielającą informacji, z którą 15

12 IV. Dane osobowe w procesach firmowych 65 należało się kontaktować, wskazał pracownika, podając jego imię, nazwisko i służbowy numer telefonu. Sąd podkreślił, że imiona i nazwiska pracowników widnieją na drzwiach w zakładach pracy, umieszcza się je na pieczątkach imiennych, pismach sporządzanych w związku z pracą, prezentuje w informatorach o instytucjach i przedsiębiorstwach, co oznacza że zgodnie z powszechną praktyką są one zasadniczo jawne [ ]. Nie może to jednak oznaczać nieskrępowanego prawa pracodawcy do ujawniania nazwiska pracownika. Ujawnienie przez pracodawcę nazwiska pracownika musi być usprawiedliwione celem działania pracodawcy, łączącym się z jego zadaniami i obowiązkami związanymi z prowadzeniem zakładu, musi być niezbędne oraz nie może naruszać praw i wolności pracownika. Prywatnych danych (numeru telefonu albo adresu ) pracownika nie zaleca się publikować, nawet za jego zgodą, dlatego, że ze względu na zależność od pracodawcy zgoda ta obarczona jest ryzykiem, że nie miał on swobody jej wyrażenia 16. Zamieszczenie fotografii pracownika na firmowej stronie internetowej lub w wewnętrznej książce adresowej wymaga jego zgody. Wizerunek to element danych osobowych, a oprócz tego art. 81 Prawa autorskiego stanowi, że rozpowszechnianie wizerunku wymaga zezwolenia osoby na nim przedstawionej. Udostępnianie danych komornikowi Komornikowi informacje o osobie można udostępnić bez zgody i informowania osoby, której dane dotyczą (art. 24 ust. 1 pkt 2) 17, zaś odbierający te dane nie musi informować, że je przetwarza. Komornik jest organem państwowym i nie jest odbiorcą danych w rozumieniu ustawy o ochronie danych osobowych (art. 7 pkt 6). Stanowisko to znajduje potwierdzenie w literaturze: administrator danych nie musi informować osoby, której dane dotyczą, o udostępnieniu jej danych podmiotom, które nie zostały zaliczone do kategorii odbiorców danych, ani odnotowywać faktu udostępnienia danych tym podmiotom 18. Dane z wizytówek, dane współpracowników Dane osób na wizytówkach, dane osób kontaktowych z innych firm to dane osobowe, ale zbiór takich danych mieści się w kategorii zbiorów danych przetwarzanych w zakresie drobnych bieżących spraw życia codziennego. Co ciekawe, rozważać można również zwolnienie administratora z obowiązku zgłoszenia przedmiotowego zbioru do rejestracji na podstawie przesłanki wskazanej w art. 43 ust. 1 pkt 9, albowiem informacje o pracowniku reprezentującym pracodawcę (takie, jak: imię, nazwisko, służbowy numer telefonu, czy adres poczty elektronicznej) mogą być bez 16 P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, C.H. Beck, Warszawa 2009, s J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Wolters Kluwers, Warszawa 2011, s. 387.

13 66 Dane osobowe w firmie praktyczny poradnik przedsiębiorcy zgody pracownika ujawnione w publikacjach w internecie lub w ogłoszeniu prasowym i łatwość ich uzyskania z takich źródeł powoduje, iż mają charakter danych powszechnie dostępnych 19. Za zgodę na przetwarzanie danych z wizytówki należy uznać sam fakt jej wręczenia. Nie jest to w pełni zgodne z ustawą, jednak jest powszechnie akceptowane. Zdaniem grupy roboczej art. 29 zgodę powinno oznaczać każde wskazanie woli, za pomocą którego osoba wyraża swoje przyzwolenie: [ ] wrzucenie wizytówki do szklanej kuli mogłoby być objęte tą definicją 20. Opieka medyczna Niektóre firmy oferują swoim pracownikom prywatną opiekę medyczną, jako formę wynagrodzenia pozafinansowego. Do celów korzystania z takiej opieki zakładowi medycznemu należy przekazać dane. Sama umowa między pracodawcą a podmiotem świadczącym usługi medyczne nie stanowi podstawy do przekazania danych o pracowniku 21, musi on wyrazić na to zgodę. Dane jakie się przekazuje są to najczęściej podstawowe dane takie jak imię, nazwisko, numer PESEL, dane zakładu pracy, stanowisko, pozwalające na identyfikację osoby w placówce medycznej. Płace Dane osobowe w związku z płacami są także przetwarzane. Będą to głównie dane związane z naliczeniem i wypłatą wynagrodzenia a więc imię, nazwisko, adres, numer rachunku bankowego, czas pracy, informacja o zwolnieniach, urlopach. Szczególne znaczenie z punktu widzenia prywatności ma informacja o wysokości wynagrodzenia. Informacja o wynagrodzeniu Przedsiębiorca zobowiązany jest zachować informacje o wynagrodzeniu pracowników w tajemnicy. Nie wolno ujawniać takich informacji osobom nieupoważnionym do ich przetwarzania. Na potwierdzenie tego faktu Sąd Najwyższy w uchwale z dn. 16 lipca 1993 r. (I PZP 28/93, OSNC 1994/1/2) uznaje, że informacja na temat wysokości indywidualnego wynagrodzenia za pracę stanowi dobro osobiste pracownika i podlega szczególnej ochronie, a jej ujawnienie bez zgody pracownika może stanowić naruszenie art. 23 i 24 kodeksu cywilnego 22. GIODO stwierdza, że umożliwianie wglądu pracownikom do zbiorczej listy płac zawierającej informacje o wysokości wynagrodzenia innych pracowników stanowi naruszenie ustawy o ochronie danych osobowych Sprawozdanie GIODO za 2003 r., s Grupa Robocza art. 29, WP187 Opinion 15/2011 on the definition of consent, s Sprawozdanie GIODO za 2005 r., s Na podstawie ,wysokosc_wynagrodzenia_tajemnica_sluzbowa.html. 23

14 IV. Dane osobowe w procesach firmowych 67 Niekiedy jednak sam pracownik będzie zainteresowany tym, aby ujawnić wysokość jego wynagrodzenia. Tak będzie w przypadku, gdy stara się o pożyczkę bądź kredyt. Bank może chcieć potwierdzić prawdziwość informacji zawartych w zaświadczeniu o zarobkach. Pracownik powinien wyrazić zgodę na udostępnienie bankowi określonych informacji. Z tego powodu pracodawca powinien wykonać kopię wydawanego zaświadczenia, a pracownik na nim powinien wyrazić zgodę na udostępnienie takich informacji. Nie można domniemywać, że skoro pracownik poprosił o zaświadczenie, to automatycznie godzi się na udostępnianie takich informacji. Ustawa tego zabrania podkreślając, że zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści (art. 7 pkt 5). Potwierdzenie wynagrodzenia często odbywa się tak, że pracownik banku dzwoni do pracodawcy prosząc o informacje. Pracownik kadr w takiej sytuacji nie może mieć pewności, że dzwoniącym jest pracownik banku. Równie dobrze może być to kolega z pracy, który chce dowiedzieć się, ile zarabia współpracownik. W takim wypadku najlepiej będzie, jeśli pracownik banku, oprócz danych osoby poda informacje, z zaświadczenia których nikt poza kadrami nie zna, np. ostatnie cyfry podanego wynagrodzenia. Przykładowo jeśli na zaświadczeniu wynagrodzenie osoby wynosi 2458 zł, a dzwoniący pracownik banku poda trzy ostatnie cyfry (458), to można mieć pewność, że bez wątpienia dzwoni ktoś, kto posiada zaświadczenie i można mu udostępnić dane. Monitorowanie pracowników Pracodawca do wykonania pracy udostępnia pracownikowi wiele narzędzi, niekiedy kosztownych. Może to być samochód, laptop, dostęp do sieci internet, komórka. Korzystanie z nich w celach prywatnych to koszty i nie powinna dziwić chęć do kontrolowania, w jaki sposób te narzędzia są wykorzystywane. Możliwość kontrolowania pracownika wynika z przepisów prawa pracy. Art Kodeksu pracy podkreśla, że pracownik zobowiązuje się do wykonywania pracy określonego rodzaju na rzecz pracodawcy i pod jego kierownictwem. Kodeks pracy zobowiązuje jednocześnie do poszanowania godności i innych dóbr osobistych pracownika (art. 111). Decydując się na jakąkolwiek formę monitorowania, należy zadbać, aby nie zostały one naruszone. Podstawową zasadą jest, aby pracownicy zostali poinformowani o stosowanych regułach i sposobach monitorowania. Regulacje tej kwestii mogą zawierać się np. w regulaminie pracy. Niezwykle ważne jest również ustalenie takiego zakresu i metod kontroli, aby były one adekwatne w stosunku do celu, który zamierza osiągnąć pracodawca. Kontrola czasu pracy Kontrola czasu pracy wynika z Kodeksu pracy, którego art nakłada na każdego pracodawcę obowiązek prowadzenia ewidencji czasu pracy pracowników, niezbędną do celów prawidłowego ustalenia wynagrodzenia pracownika i innych świadczeń związanych z pracą. Art pośrednio nakazuje mierzyć czas pracy, aby nie przekroczyć norm czasu pracy, zaś art. 94 określa obowiązek do takiej organizacji pracy, aby zapewnić pełne wykorzystanie czasu pracy.

15 68 Dane osobowe w firmie praktyczny poradnik przedsiębiorcy Kontrola czasu pracy może odbywać się tradycyjnie (lista obecności, lista wejść i wyjść) albo elektroniczne. Systemy elektronicznej kontroli czasu pracy mogą stosować kod, który należy wpisać na czytniku, rozmaite karty w tym zbliżeniowe, kody paskowe a nawet biometrię. Dozwolone są prawie wszystkie formy za wyjątkiem czytników biometrycznych, których stosowanie może być ryzykowną inwestycją. Warto zwrócić uwagę na orzeczenie Naczelnego Sądu Administracyjnego (sygn. I OSK 249/09 24 ). Dotyczy ono wykorzystywania przez pracodawcę zgody pracowników na pobieranie od nich danych biometrycznych (odcisków palców) w celu kontroli czasu pracy. W tezie wyroku można przeczytać: Brak równowagi w relacji pracodawca pracownik stawia pod znakiem zapytania dobrowolność wyrażenia zgody na pobieranie i przetworzenie danych osobowych (biometrycznych). Z tego względu ustawodawca ograniczył przepisem art. 22 Kodeksu pracy katalog danych, których pracodawca może żądać od pracownika. Uznanie faktu wyrażenia zgody na podstawie art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, jako okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 22 Kodeksu pracy, stanowiłoby obejście tego przepisu. Pomimo wyroku NSA ok. 600 firm w Polsce używa biometrycznych systemów kontroli czasu pracy 25. Warto zauważyć, że wyrok nie kwestionował samej biometrii jako takiej, a jedynie zgodę pracownika jako podstawę jej wprowadzenia. Kwestią dyskusyjną jest kontrolowanie czasu pracy osób zatrudnionych na podstawie umowy cywilnoprawnej (np. umowy zlecenia), w istocie jest to raczej kontrola czasu przebywania na terenie budynku, gdyż zleceniobiorcy nie określa się czasu pracy, a co za tym idzie, nie można go kontrolować. Monitoring wideo Wizerunek osoby to także dana osobowa. Monitoring wideo nie wymaga zgody pracowników, o ile jest niezbędny do wypełnienia prawnie usprawiedliwionych celów administratorów danych i nie narusza praw i wolności osoby, której dane dotyczą. Istotne znaczenie ma cel monitoringu. Jeśli w firmie dochodzi do kradzieży i monitoring ma im zapobiec, można go uznać za usprawiedliwiony cel. Jeżeli jednak ma służyć np. kontroli wydajności pracy, to już nie. Kamery nie powinny być instalowane w miejscach, w których należy uszanować prywatność np. w toalecie czy szatni. Dostęp do nagrań wideo powinny mieć wyłącznie osoby upoważnione, a same nagrania powinny być odpowiednio zabezpieczone. Informacje z monitoringu można przechowywać jedynie przez czas, który jest niezbędny dla celów monitorowania, jego ustalenie należy do decyzji przedsiębiorcy. Pracownicy powinni zostać poinformowani o tym, że mogą znaleźć się w zasięgu kamer, chyba, że kamery będą znajdować się wyłącznie na np. korytarzach, przy wejściu (nie będą w pomieszczeniach, w których pracownik wykonuje pracę)

16 IV. Dane osobowe w procesach firmowych 69 Monitoring korespondencji Tajemnica korespondencji chroniona jest przez prawo cywilne (art. 23 Kodeksu cywilnego). Zapisy odnoszące się do niej można znaleźć także w Konstytucji (art. 49) oraz w Kodeksie karnym (art. 267). Pracodawca ma prawo wglądu w korespondencję służbową przychodzącą jedynie na adres zakładu pracy, bez wskazania osoby, do jakiej jest kierowana. Podobnie będzie, jeśli korespondencja będzie adresowana do osoby, ale ze wskazaniem nazwy firmy. Jednak gdy w polu adresata pojawi się adres pracodawcy, ale nie zostanie wskazana jednocześnie nazwa firmy, a tylko imię i nazwisko pracownika, tego rodzaju korespondencja powinna zostać uznana za prywatną. Pracodawca nie powinien otwierać listów zaadresowanych do osób, które już nie pracują, w tym także listów w formie elektronicznej. Skrzynki poczty elektronicznej osób zwolnionych należy kasować albo blokować. Nie wolno ustawiać przekierowania poczty na inną osobę, chyba że zwolniony pracownik wyraził na to zgodę (dla celów dowodowych pisemną). Analiza korzystania z internetu Dostęp do internetu jest dobrem, które pracodawca udostępnia pracownikom w celu wykonania pracy. Powodów do monitorowania korzystania z internetu jest wiele, niektóre z nich to: marnotrawienie czasu na przeglądaniu stron www niezwiązanych z pracą, infekowanie komputerów wirusami pobieranymi z plikami, wyciek informacji (przesyłanie ich lub publikowanie), przeglądanie treści pornograficznych, naruszanie praw autorskich (nielegalne udostępnianie plików). Nadużycia w tym zakresie prowadzą zazwyczaj do obniżenia efektywności pracy, nie mówiąc o kosztach każdych 15 pracowników spędzających 30 minut dziennie na bezproduktywnym korzystaniu z internetu to zmarnowany jeden etat. W niektórych przypadkach intensywne korzystanie z internetu może utrudniać wykonywanie pracy innym. Należy podkreślić, że działania kontrolne powinny służyć jedynie celom bezpieczeństwa i efektywności pracy. Informacje o przeglądanych stronach nie mogą stać się w żadnym wypadku źródłem wiedzy o zainteresowaniach czy problemach pracowników. Monitorowanie takie jest możliwe, pod warunkiem, że pracownik zostanie uprzedzony (poinformowany) o fakcie monitorowania. W tym celu można zawrzeć odpowiednie zapisy w regulaminie pracy lub w polityce bezpieczeństwa (o ile wszyscy zostaną z nią zapoznani). Dobrym rozwiązaniem wydaje się być także profilaktyka tj. ustanowienie w przedsiębiorstwie reguł korzystania z internetu oraz blokada dostępu do tych stron, których treści nie mają związku z wykonywaną pracą, a służą jedynie marnotrawieniu czasu. Telefon służbowy Pracodawca ma prawo kontrolować wykorzystanie telefonów służbowych, powinien jednak uprzedzić pracownika, że nie powinien on korzystać z nich do celów prywatnych oraz że taka kontrola może być dokonywana.

17 70 Dane osobowe w firmie praktyczny poradnik przedsiębiorcy Przejawem monitoringu wykorzystania telefonu służbowego będą przeglądy tzw. bilingów (wyciągów z wykonanych połączeń) zawierające informacje do kogo, jak długo i kiedy dzwonił użytkownik telefonu. Samo sprawdzenie rachunków i ewentualnie poproszenie pracownika o wyjaśnienie wątpliwych przypadków wykonanych telefonów nie jest niezgodne z prawem. Jednak dzwonienie pod numery telefonów z bilingu, aby sprawdzić, do kogo dzwoniono może stanowić przejaw ingerencji w sferę prywatności. Sąd Najwyższy w wyroku sygn. I PKN 93/97 z dn. 15 maja 1997 r. stwierdził, iż korzystanie przez pracownika z telefonu służbowego w celu udziału w grach towarzyskich, narażające pracodawcę na znaczną szkodę może być zakwalifikowane jako ciężkie naruszenie podstawowych obowiązków pracowniczych i stanowić podstawę do rozwiązania stosunku pracy bez wypowiedzenia z winy pracownika. Wypowiedzi pracowników w internecie W momencie zawierania umowy o pracę osoba zatrudniana bierze na siebie obowiązek dbania o dobre imię pracodawcy. Warto w tym miejscu zacytować wypowiedź dr Wojciecha Rafała Wiewiórowskiego, Generalnego Inspektora Ochrony Danych Osobowych, udzieloną 1 marca 2011 r. podczas wywiadu redaktor Joannie Torbé z Beck Info Biznes, który powiedział: Polskie przepisy dotyczące prawa pracy zobowiązują pracowników do dbania o dobro pracodawcy i do zachowanie lojalności wobec niego. Jeśli pracownik w Internecie zamieszcza swoje zdanie na temat pracodawcy, powinien zdawać sobie sprawę z tego, że robi to publicznie. Nawet jeśli wydaje mu się, że ta publiczność jest dość skromna, bo są to np. tylko znajomi na profilu. Abstrahując od problemu, czy tylko te osoby mają do profilu dostęp, to podkreślić trzeba, że nawet grupa kilkunastu osób jest grupą publiczną. Zalecałbym zatem dużą ostrożność w zamieszczaniu opinii na temat pracodawcy. Zwłaszcza, że»namierzenie«osoby, która dokonała wpisu, nie tylko w serwisach społecznościowych, ale też na forach internetowych, jest dość proste. Nie trzeba tu żadnych badań kryminalistycznych ani dogłębnej wiedzy informatycznej. Fakt, że w naszej firmie jesteśmy sfrustrowani, jest jakąś częścią naszego życia codziennego, ale publiczne przekazywanie tej informacji może wiązać się z odpowiedzialnością. Zdaniem GIODO nie powinno zabraniać się pracownikom publikować informacji o tym, gdzie są zatrudnieni 26. Można jednak zasady ujawniania informacji o miejscu pracy uregulować w regulaminie pracy. Pracownik podający w serwisach internetowych takich jak np. Facebook, GoldenLine miejsce zatrudnienia powinien dołożyć szczególnych starań aby dbać o wizerunek pracodawcy, gdyż w pewnym sensie reprezentuje go publicznie. Pracodawca może zapoznać się z takimi informacjami, bo są publicznie dostępne, dostęp do nich nie jest ograniczony, natomiast jeśli będzie je gromadził, to powinien pamiętać o obowiązku informacyjnym. 26