Bezpieczeństwo-Informacji.pl

Znalazłem wreszcie odrobinę czasu, aby pobieżnie (póki co) przeanalizować "Sprawozdanie z działalności Generalnego Inspektora Ochrony Danych Osobowych w roku 2008".

Z uwagi na fakt, że byłem świadkiem sytuacji udostępniania informacji o członkach związku zawodowego przez dział kadr na wniosek pracodawcy, ten fragment ze 140-sto stronicowego "Sprawozdania..." zwrócił moją szczególną uwagę:

Na przywołanie zasługuje również sprawa, w której Generalny Inspektor Ochrony Danych Osobowych nakazał jednemu z banków (pracodawcy) zaprzestanie praktyki polegającej na pozyskiwaniu od związku zawodowego funkcjonującego przy tym banku informacji o osobach korzystających z obrony ww. związku w formie imiennej listy pracowników.

Postępowanie w tej sprawie zainicjowało pismo przewodniczącego oraz zastępcy komisji zakładowej związku zawodowego funkcjonującego przy banku, w którym ww. osoby wniosły do Generalnego Inspektora Ochrony Danych Osobowych o wydanie decyzji w sprawie przetwarzania danych osobowych członków związku przez bank (Powołując się na art. 30 ust. 2 ustawy z dnia 23 maja 1991 r. o związkach zawodowych (Dz. U. z 2001 r. Nr 79, poz. 854 z późn. zm.).).

Organ ustalił w sprawie, że zastępca dyrektora departamentu kadr banku wystąpił m.in. do przewodniczącego komisji zakładowej związku przy banku o udzielenie informacji w formie wykazu o osobach korzystających z ochrony związku zawodowego. W ocenie komisji zakładowej związku, kierując takie żądanie wykroczono poza zakres upoważnienia zawartego w przepisach prawa (W tym z art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz art. 22 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. 1998 r. Nr 21 poz. 94 z późn. zm.).

W swojej decyzji Generalny Inspektor Ochrony Danych Osobowych przyjął, że dane osobowe ujawniające przynależność związkową należą
do kategorii danych tzw. szczególnie chronionych (art. 27 ust. 1 ustawy),a legitymowanie się przez administratora danych podstawą do gromadzenia danych osobowych w określonym zakresie, nie upoważnia go do zbierania danych w zakresie szerszym, niż jest to niezbędne do realizacji celu, dla którego dane są zbierane (Art. 26 ust. 1 pkt 3 ustawy).

Adekwatność danych w stosunku do celu ich przetwarzania powinna być rozumiana jako równowaga pomiędzy uprawnieniem osoby do dysponowania swoimi danymi, a interesem administratora danych, który nie może stawiać swego interesu ponad dobro osoby, której dane przetwarza. Równowaga będzie zachowana, jeżeli administrator zażąda danych tylko w takim zakresie, w jakim jest to niezbędne do wypełnienia celu, w jakim dane są przez niego przetwarzane.

W sprawie tej powołano również zasady wynikające z przepisów Konstytucji RP, ustawy o związkach zawodowych w związku z przepisami Kodeksu pracy oraz orzecznictwo Trybunału Konstytucyjnego.

Organ ds. ochrony danych osobowych przyjął, że przepisy art. 30 ust. 21 ustawy o związkach zawodowych oraz art. 23 pkt 2 ustawy Kodeks pracy, nie upoważniają banku do pozyskiwania od związku zawodowego imiennej listy pracowników korzystających z ochrony ww. związku zawodowego. Pozyskiwanie tego rodzaju danych narusza bowiem jedną z podstawowych zasad przetwarzania danych osobowych, jaką jest zasada adekwatności. Również gromadzenie danych „na zapas” jest niedopuszczalne w świetle przepisów ustawy o ochronie danych osobowych.

Organ nie zakwestionował jednak prawa banku do pozyskiwania informacji o pracownikach korzystających z ochrony związkowej, tylko sposób jego realizacji.
GIODO wskazał przy tym, że bank mając na uwadze unormowania
wynikające przede wszystkim z przepisów ustawy o ochronie danych osobowych, powinien realizować prawo z art. 30 ust. 2 pkt 1 ustawy
o związkach zawodowych poprzez indywidualne wystąpienie odnoszące się do poszczególnego pracownika.
__
Powyższy tekst jest fragmentem "Sprawozdania GIODO za rok 2008".
Całość sprawozdania znajduje się w załączniku.