Czy pracodawca odpowiada za to, że jego pracownik ujawnił informacje o osobie starającej się o pracę, które pozyskał z dokumentów rekrutacyjnych?

 

Tak, gdyż jako administrator danych ma obowiązek dbania o to, aby dane  osobowe były odpowiednio zabezpieczone.

 

Uzasadnienie

Nadrzędnym obowiązkiem administratora danych osobowych, zgodnie z art. 26 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych  jest dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Ta generalna zasada znajduje swoje rozwinięcie w innych przepisach wskazanej ustawy określającej m.in. wymogi, jakie powinien spełniać administrator danych w celu zapewnienia bezpieczeństwa danych w procesie ich przetwarzania. Jednym z podstawowych obowiązków spoczywających na administratorze jest, wynikający z art. 36 ust. 1 omawianej ustawy, obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, a w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym.

 

W sytuacji, gdy pracownik uzyskał dostęp do danych osobowych innych osób, np. w związku z postępowaniem rekrutacyjnym, ma on bezwzględny obowiązek zachowania poufności przetwarzanych danych, a ich udostępnienie osobom nieupoważnionym obciąża nie tylko pracownika, ale również administratora danych, który ponosi pełną odpowiedzialność za ich przetwarzanie.  Niedopuszczalne jest zatem udostępnienie przez pracownika osobie nieupoważnionej danych osobowych pozyskanych w ramach pełnionych przez niego obowiązków służbowych.

 

Z ustawy o ochronie danych osobowych wynika, że administrator musi mieć pełną kontrolę nad procesem przetwarzania danych, tak aby zapobiec powstawaniu zdarzeń narażających dane na udostępnienie osobom nieupoważnionym. Musi też mieć pełną wiedzę na temat całości procesu przetwarzania oraz weryfikować zachowanie pracowników pod kątem przestrzegania przez nich zasad ochrony danych osobowych, odpowiada bowiem także za ich działanie, co potwierdza nie tylko doktryna, ale i utrwalone orzecznictwo administracyjne (por. wyrok Naczelnego Sądu Administracyjnego z dnia 4 kwietnia 2003 r., sygn. II SA 2935/02).

 

Za nieprzestrzeganie wskazanych obowiązków ustawa o ochronie danych osobowych przewiduje odpowiedzialność karną. Jej przepisy przewidują karę grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2 dla tego, kto administrując zbiorem danych lub będąc obowiązanym do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym (art. 51 ust. 1). Karane jest także nieumyślne naruszenie obowiązku zabezpieczenia danych przed ich zabraniem przez osobę nieupoważnioną, uszkodzeniem lub zniszczeniem (art. 52 ustawy).