Czy pracodawca odpowiada za to, że jego
pracownik ujawnił informacje o osobie starającej się o pracę, które pozyskał z
dokumentów rekrutacyjnych?
Tak, gdyż
jako administrator danych ma obowiązek dbania o to, aby dane osobowe
były odpowiednio zabezpieczone.
Uzasadnienie
Nadrzędnym
obowiązkiem administratora danych osobowych, zgodnie z art. 26 ust.
1 pkt 1 ustawy z dnia 29 sierpnia 1997
r. o ochronie danych osobowych jest dołożenie szczególnej
staranności w celu ochrony interesów osób, których dane dotyczą. Ta
generalna zasada znajduje swoje rozwinięcie w innych przepisach wskazanej
ustawy określającej m.in. wymogi, jakie powinien spełniać administrator danych
w celu zapewnienia bezpieczeństwa danych w procesie ich
przetwarzania. Jednym z podstawowych obowiązków spoczywających na
administratorze jest, wynikający z art. 36 ust. 1 omawianej ustawy,
obowiązek zastosowania środków technicznych i organizacyjnych
zapewniających ochronę przetwarzanych danych osobowych,
a w szczególności zabezpieczenia danych przed ich udostępnieniem
osobom nieupoważnionym.
W sytuacji,
gdy pracownik uzyskał dostęp do danych osobowych innych osób, np.
w związku z postępowaniem rekrutacyjnym, ma on bezwzględny obowiązek
zachowania poufności przetwarzanych danych, a ich udostępnienie osobom
nieupoważnionym obciąża nie tylko pracownika, ale również administratora
danych, który ponosi pełną odpowiedzialność za ich przetwarzanie.
Niedopuszczalne jest zatem udostępnienie przez pracownika osobie
nieupoważnionej danych osobowych pozyskanych w ramach pełnionych przez
niego obowiązków służbowych.
Z ustawy
o ochronie danych osobowych wynika, że administrator musi mieć pełną
kontrolę nad procesem przetwarzania danych, tak aby zapobiec powstawaniu
zdarzeń narażających dane na udostępnienie osobom nieupoważnionym. Musi też
mieć pełną wiedzę na temat całości procesu przetwarzania oraz weryfikować
zachowanie pracowników pod kątem przestrzegania przez nich zasad ochrony danych
osobowych, odpowiada bowiem także za ich działanie, co potwierdza nie tylko
doktryna, ale i utrwalone orzecznictwo administracyjne (por. wyrok
Naczelnego Sądu Administracyjnego z dnia 4 kwietnia 2003 r., sygn. II
SA 2935/02).
Za
nieprzestrzeganie wskazanych obowiązków ustawa o ochronie danych osobowych
przewiduje odpowiedzialność karną. Jej przepisy przewidują karę grzywny,
ograniczenia wolności albo pozbawienia wolności do lat 2 dla tego, kto
administrując zbiorem danych lub będąc obowiązanym do ochrony danych osobowych
udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym (art. 51 ust.
1). Karane jest także nieumyślne naruszenie obowiązku zabezpieczenia danych
przed ich zabraniem przez osobę nieupoważnioną, uszkodzeniem lub zniszczeniem
(art. 52 ustawy).