Dodaj do schowka Usuń z schowka

Usunięcie przez pracownika dokumentu z akt osobowych

Czy pracownik może sam usunąć ze swoich akt osobowych dokument, który złożył dwa dni wcześniej i który został zarejestrowany? Czy Administrator Bezpieczeństwa Informacji powinien na taki fakt zareagować (sporządzić Raport z naruszenia bezpieczeństwa danych osobowych)?

Przemysław Zegarek
Przemysław Zegarek
Zespół prawny ds. ochrony danych osobowych

Poznań, 7 kwietnia 2016 roku
INTERPRETACJA PRAWNA

Pracownik nie ma prawa samodzielnie usuwać ze swoich akt osobowych dokumentów, które zostały do nich włączone i zarejestrowane. Zgodnie z art. 32 ust. 1 pkt 6 Ustawy o ochronie danych osobowych (tekst jedn. Dz. U. z 2015 r., poz. 2135 z późn. zm., dalej: u.o.d.o.) pracownik może żądać uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem u.o.d.o., albo są już zbędne do realizacji celu, dla którego zostały zebrane. Chodzi tu zarówno o włączenie do jego akt stosownych dokumentów, jak i o usunięcie z nich niektórych danych. Samowolne usunięcie przez pracownika któregokolwiek z dokumentów, może zaś zostać potraktowane jako ciężkie naruszenie obowiązków pracowniczych. To z kolei może stanowić podstawę do rozwiązania stosunku pracy w trybie art. 52§1 pkt 1 Ustawy z dnia z dnia 26 czerwca 1974 r. Kodeks Pracy (tekst jedn. Dz.U. z 2014 r., poz. 1502 z późn. zm.).


Po stronie pracodawcy natomiast, leży obowiązek zagwarantowania ochrony danych osobowych swoich pracowników poprzez zastosowanie w tym zakresie odpowiednich środków technicznych i organizacyjnych (art. 36 ust. 1 u.o.d.o.). W szczególności pracodawca powinien zabezpieczyć akta przed uszkodzeniem, utratą, kradzieżą, dostaniem się w niepowołane ręce oraz przetwarzaniem z naruszeniem przepisów u.o.d.o.

Należy pamiętać, że jednym z ustawowych zadań Administratora Bezpieczeństwa Informacji (ABI), jest zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez sprawdzenie zgodności przetwarzania danych osobowych z przepisami oraz opracowanie w tym zakresie sprawozdania dla Administratora Danych (art. 36a ust. 2 pkt 1 u.o.d.o.). Z kolei zgodnie z przepisami Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015 r. poz. 745), takiego sprawdzenia ABI dokonuje m.in. wówczas, jeżeli uzyska informacje wskazujące na występowanie zagrożeń naruszenia ochrony danych osobowych. Jest to tzw. sprawdzenie doraźne.

Biorąc pod uwagę powyższe, w związku z zaistnieniem opisywanego zdarzenia, Administrator Bezpieczeństwa Informacji powinien na samym wstępie dokonać oceny, czy stanowi ono incydent ochrony danych osobowych (stwarza zagrożenie przetwarzanych danych osobowych). Następnie ABI powinien podjąć czynności sprawdzające, których celem będzie przede wszystkim ustalenie, czy akta osobowe zostały właściwie zabezpieczone przed dostępem osób nieuprawnionych, czy i w jakim stopniu została naruszona integralność danych przetwarzanych w ramach akt osobowych, kto ponosi odpowiedzialność za to zdarzenie i jakie czynności naprawcze powinny być powzięte w celu eliminacji negatywnych skutków zdarzenia.  
Każda czynność przeprowadzona w toku sprawdzenia powinna być dokumentowana, w zakresie niezbędnym do oceny zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz do późniejszego opracowania w tym zakresie sprawozdania. Sprawozdanie z przeprowadzonego sprawdzenia powinno zostać przekazane dyrektorowi placówki niezwłocznie po zakończeniu sprawdzenia. Elementy sprawozdania określa art. 36c u.o.d.o.

Niezwykle ważnym elementem jest wyciągnięcie wniosków z zaistniałego incydentu ochrony danych. Samo przeprowadzenie sprawdzenia, sporządzenie sprawozdania i późniejsze przywrócenie stanu zgodnego z prawem to nie wszystko. Może przykładowo okazać się, że incydent jest wynikiem niewłaściwego zabezpieczenia akt osobowych i konieczna jest w tym zakresie zmiana stosowanych środków zabezpieczających (np. wymiana szaf na metalowe, zastosowanie systemu kontroli dostępu do pomieszczenia, w którym przechowywane są akta).

z poważaniem
Przemysław Zegarek
Przemysław Zegarek
NIE ZNALAZŁEŚ ODPOWIEDZI NA SWOJE PYTANIE?
Zadaj pytanie
Zapytaj eksperta. Uzyskaj opinię
prawną lub dokumentację. Bezpłatnie.
KOMENTARZE
Brak komentarzy. Bądź pierwszy - skomentuj.
KONSULTACJA Z EKSPERTEM

OCEŃ PORADĘ

TWOJA
OCENA
5
.00

Wyszukaj