w Internecie, co do zasady wymaga zgody pracownika. Przyzwolenie nie jest wymagane, jeżeli wizerunek pracownika jest ściśle związany z jego zawodem i charakterem pracy, który wymaga identyfikacji. W związku z tym, że katalog informacji udostępnianych na potrzeby firmy, jest ściśle określony, odmowa udzielenia przez pracownika informacji nieprzewidzianych w art. 221 Kodeksu pracy lub w odrębnych przepisach nie stanowi naruszenia jego obowiązków pracowniczych i nie uzasadnia
z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz przepisy wykonawcze do tej ustawy. Pod pojęciem przetwarzania kryje się wiele operacji. Należą do nich: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Zwłaszcza jeśli wykonuje się je w systemach informatycznych. Administrator danych zobowiązany jest zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
W związku z rozwojem technologii i możliwościami wykorzystywania danych biometrycznych do rejestracji czasu pracy, na gruncie polskiego prawa pojawiły się uzasadnione wątpliwości, czy takie praktyki nie naruszają praw zatrudnionych. rozwiązania umowy o pracę bez wypowiedzenia. Tak też orzekł Sąd Najwyższy w wyroku z dnia 5 sierpnia 2008 r., IPK 37/08. Obowiązki pracodawcy jako administratora danych Pracodawca jako podmiot przetwarzający dane osobowe pracowników, czyli decydujący o celach i środkach przetwarzania danych osobowych, staje się administratorem tych danych. Ze statusem administratora danych osobowych wiąże się szereg obowiązków, które określają przepisy ustawy
Zarządzając aktami osobowymi personelu, przetwarza się informacje w nich zawarte. Podstawowym zadaniem administratora jest zapewnienie legalności ich wykorzystywania oraz zabezpieczenie przed utratą, uszkodzeniem, zniszczeniem czy udostępnieniem osobom nieupoważnionym. Pracodawca jest zobowiązany do stosowania środków technicznych i organizacyjnych, które zapewnią im ochronę. Do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład mogą być dopuszczone wyłącznie osoby posiadające upoważnie-
nie administratora danych. Do podstawowych obowiązków zabezpieczenia danych osobowych zatrudnionych, można zaliczyć m.in. wyznaczenie osoby odpowiedzialnej za ich bezpieczeństwo w systemie informatycznym oraz opracowanie polityki bezpieczeństwa i instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych. Równie ważną kwestią jest przechowywanie kopii awaryjnych zbiorów, nośników informacji oraz wydruków komputerowych w warunkach, które uniemożliwiają dostęp do nich osobom niepowołanym. Istotne jest też wyposażenie systemu informatycznego w mechanizmy uwierzytelniania użytkownika. W przypadku urządzeń zasilanych energią elektryczną należy zabezpieczyć je przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci. Zbiory danych osobowych pracowników przetwarzanych w związku z zatrudnieniem zwolnione są z obowiązku rejestracji u Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
AUTOR: Justyna Metelska, Adwokat w TGC Corporate Lawyers, www.tgc.eu