Wrocław, 31.07.2013 r. NEWSLETTER Nr 22/2013/Legal 1 WRĘCZANIE WYPOWIEDZEŃ A OCHRONA DANYCH OSOBOWYCH Dokonanie wypowiedzenia umowy o pracę podlega ocenie z punktu widzenia zgodności z przepisami Kodeksu pracy 2, w tym w szczególności art. 30 3-5 Kodeksu pracy. Niemniej jednak, pracodawca winien mieć także każdorazowo na uwadze to, aby wręczenie wypowiedzenia umowy o pracę nie odbywało się w obecności nieupoważnionych osób trzecich zgodnie z przepisami ustawy o ochronie danych osobowych 3. Jak bowiem wynika z wydanej przez Generalnego Inspektora Ochrony Danych Osobowych (dalej: GIODO ) decyzji 4 z dnia 23.11.2011 r. (znak: DOLiS/DEC-997/11), pracodawca nie narusza przepisów ustawy o ochronie danych osobowych, jeżeli wręczenie wypowiedzenia umowy o pracę następuje w obecności osoby trzeciej posiadającej stosowne upoważnienie do przetwarzania danych nadane przez tego pracodawcę jako administratora danych w rozumieniu przepisów ww. ustawy. Decyzja GIODO zapadła w wyniku rozpatrzenia skargi na przetwarzanie danych osobowych przez pracodawcę (bank) złożonej przez byłą pracownicę banku (dalej zwaną Skarżącą ). Skarga dotyczyła stanu faktycznego, w którym bank wręczył Skarżącej wypowiedzenie umowy o pracę w obecności osoby trzeciej, tj. w obecności innego pracownika oddziału (zwanego dalej Pracownikiem ), udostępniając tym samym Pracownikowi dane dotyczące wypowiedzenia Skarżącej umowy o pracę. Zdaniem GIODO, w rozpatrywanej sprawie rozstrzygnięcia wymagało to, czy Pracownik był osobą upoważnioną do udostępnienia mu danych osobowych Skarżącej utrwalonych w piśmie zawierającym oświadczenie banku o wypowiedzeniu jej umowy o pracę. Mając na uwadze, że Pracownik był pracownikiem banku, jako administratora danych w rozumieniu przepisów ustawy o ochronie danych osobowych, GIODO wskazał, że kwestia dostępu osób działających w imieniu administratora danych do przetwarzanych przez niego danych osobowych została uregulowana w art. 37 ustawy o ochronie danych osobowych, stanowiącym, że do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Biorąc zaś pod uwagę, że bank nadał Pracownikowi upoważnienie do przetwarzania danych osobowych w ramach udziału w czynnościach związanych z wręczeniem Skarżącej wypowiedzenia umowy o pracę, które to 1 Niniejszy Newsletter nie stanowi porady prawnej ani podatkowej. 2 Ustawa z dnia 26.06.1974 r. Kodeks pracy (tekst jednolity: Dz.U.1998.21.94 ze zm.). 3 Ustawa z dnia 29.08.1997 r. o ochronie danych osobowych (tekst jednolity: Dz.U.2002.101.926 ze zm.). 4 Decyzja GIODO z dnia 23.11.2011 r. stanowi załącznik do niniejszego Newslettera.
upoważnienie miało moc obowiązującą w dniu wręczenia Skarżącej wypowiedzenia, zdaniem GIODO należy uznać, iż uzyskując dostęp do danych osobowych Skarżącej w okolicznościach wskazanych w skardze, Pracownik był osobą do tego upoważnioną. Bank jako administrator danych nie naruszył zatem, zdaniem GIODO, przepisów ustawy o ochronie danych osobowych. Powyższe oznacza, że nie każda dowolnie wskazana przez pracodawcę osoba może być świadkiem przy wręczaniu wypowiedzenia. Aby obecność osób trzecich przy tej czynności była w pełni zgodna z przepisami ustawy o ochronie danych osobowych, każdej takiej osobie musi być nadane, stosownie do art. 37 tej ustawy, imienne upoważnienie do przetwarzania danych w zakresie obejmującym tę czynność, tzn. w zakresie obejmującym czynności związane z wręczeniem danemu pracownikowi wypowiedzenia umowy o pracę. Co istotne, zgodnie z art. 39 ust. 2 ustawy o ochronie danych osobowych, osoby upoważnione do przetwarzania danych są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. Nadto, w świetle art. 39 ust. 1 ww. ustawy, pracodawca jako administrator danych winien prowadzić ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać: 1) imię i nazwisko osoby upoważnionej, 2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, 3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. W razie dalszych pytań, pozostajemy do Państwa dyspozycji. 2
Pismo z dnia 23 listopada 2011 r. Generalny Inspektor Ochrony Danych Osobowych DOLiS/DEC-997/11 dot. DOLiS-440-1011/10 Decyzja GIODO z 23 listopada 2011 r. dotycząca wręczenia wypowiedzenia o pracę w obecności osób trzecich www.giodo.gov.pl DECYZJA Na podstawie art. 104 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 22 w związku z art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani X, na przetwarzanie jej danych osobowych przez Bank. odmawiam uwzględniania wniosku. UZASADNIENIE Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pani X (zwanej dalej Skarżąca), na przetwarzanie jej danych osobowych przez Bank (zwany dalej również Bankiem). Skarżąca poinformowała, że skarga dotyczy nieprawidłowego wręczenia wypowiedzenia umowy o prace, które odbyło się w obecności nieupoważnionych osób trzecich, bez jej zgody, oraz wskazała, że osoba wręczająca wypowiedzenie (Pani Y - Dyrektor Oddziału Banku) wręczyła wypowiedzenie w obecności innego pracownika oddziału, Pana Z, udostępniając tym samym dane dot. jej wypowiedzenia osobie nieupoważnionej. Skarżąca wniosła o "wyciągniecie stosownych konsekwencji wobec naruszenia prawa przez Bank, ze wskazaniem na cofniecie nieprawidłowo wręczonego wypowiedzenia". W toku postępowania administracyjnego Generalny Inspektor Ochrony Danych Osobowych (zwany dalej równie_ Generalnym Inspektorem) ustalił, co następuje. 1. Skarżąca była zatrudniona w Banku od dnia 1 września 2008 r. na podstawie umowy o prace zawartej w dniu 28 sierpnia 2008 r. 3
2. W dniu 12 listopada 2010 r. Pani Y, przełożona Skarżąca będąca dyrektorem placówki oddziału bankowości detalicznej Banku, wręczyła Skarżąca pismo wypowiadające jej umowę o prace. Treść pisma została Skarżącej odczytana. Przy dokonywaniu powyższych czynności obecny był pracownik Banku Pan Z. 3. 33 ust. 4 Instrukcji Służbowej stanowiącej załącznik do Zarządzenia Prezesa Zarządu C-III-40/10 z dnia 2 czerwca 2010 r. w sprawie zatrudniania, przenoszenia, przeszeregowania i rozwiązywania umów o prace w Banku stanowi, że pismo w sprawie rozwiązania umowy o prace, o którym mowa w ust. 3 wręcza pracownikowi Dyrektor, bezpośredni przełożony lub nadzorujący Dyrektor Banku, w obecności drugiego wskazanego przez siebie pracownika. 4. W dniu 10 listopada 2010 r. zostało nadane przez Bank Panu Z upoważnienie do przetwarzania danych osobowych pracowników oddziału Banku w ramach udziału w czynnościach związanych z wręczeniem Skarżącej wypowiedzenia umowy o prace, w którym wskazano 12 listopada 2010 r., jako okres obowiązywania upoważnienia. Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje. W niniejszej sprawie rozstrzygnięcia wymaga, to czy Pan Z był osoba upoważniona do udostępnienia mu danych osobowych Skarżącej utrwalonych w piśmie zawierającym oświadczenie o wypowiedzeniu jej umowy o prace. Mając na uwadze, że Pan Z był pracownikiem Banku, jako administratora danych, wskazać należy, że kwestia dostępu osób działających w imieniu administratora danych do przetwarzanych przez niego danych osobowych została uregulowana w art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej ustawa, stanowiącym, że do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Mając na uwadze, że Bank w dniu 10 listopada 2010 r. nadał Panu Z upoważnienie do przetwarzania danych osobowych w ramach udziału w czynnościach związanych z wręczeniem Skarżącej wypowiedzenia umowy o prace, obowiązujące w dniu 12 listopada 2010 r., nie można uznać, iż uzyskując dostęp do danych osobowych Skarżącej w okolicznościach wskazanych w skardze był osoba do tego nieupoważniona. Bank jako administrator danych nie naruszył zatem przepisów o ochronie danych osobowych. Wobec powyższego brak jest podstaw do 4
zastosowania przez Generalnego Inspektora środka o którym mowa w art. 18 ust. 1 ustawy, stanowiącym, że w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: (pkt 1) usuniecie uchybień, (pkt 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, (pkt 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, (pkt 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, (pkt 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, (pkt 6) usuniecie danych osobowych. Na marginesie wskazać należy, że Generalny Inspektor nie posiada kompetencji do cofnięcia nieprawidłowo wręczonego wypowiedzenia, czego domagała się Skarżąca. Art. 18 ust. 1 ustawy nie daje bowiem możliwości nakazania pracodawcy przez Generalnego Inspektora cofnięcia (odwołania) oświadczenia woli złożonego pracownikowi, a w szczególności oświadczenia o rozwiązaniu umowy o prace. O tym, czy wypowiedzenie umowy o prace jest skuteczne, jak i o konsekwencjach uznania takiego wypowiedzenia za bezskuteczne orzekają sady pracy, o których mowa w art. 262 1 ustawy z dnia 26 czerwca 1974 r. - Kodeks pracy (tekst jedn.: Dz. U. z 1998 r. Nr 21, poz. 94 z późn. zm.). Jest to bowiem kwestia dotycząca roszczeń ze stosunku pracy, nie zaś sprawa z zakresu ochrony danych osobowych. Mając powyższe na uwadze, w tym stanie prawnym i faktycznym, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął jak na wstępie. Stronom, na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 2 w zw. z art. 127 3 Kodeksu postępowania administracyjnego przysługuje, w terminie 14 dni od dnia doręczenia niniejszej decyzji, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa). 141814 Dz.U.2002.101.926: ogólne Dz.U.1998.21.94: ogólne 5