Przepisy kodeksu pracy nakładają na pracodawców obowiązek przechowywania dokumentacji pracowniczej. Pracodawca powinien dla każdego pracownika prowadzić trzyczęściowe akta osobowe, ewidencję czasu pracy, listę płac, ewidencję przydziału odzieży oraz dokumentację chorób zawodowych i wypadków związanych z pracą.
Forma elektroniczna akt niewystarczająca
Wiele firm, zwłaszcza dużych, decyduje się na prowadzenie elektronicznej wersji dokumentacji. Ogranicza to czas potrzebny na opracowywanie i przeszukiwanie dokumentów. Digitalizacja dokumentacji pracowniczej może jednak wiązać się z dodatkowymi obowiązkami w zakresie ochrony danych osobowych. Ponadto, wciąż aktualne pozostaje stanowisko Generalnego Inspektoratu Pracy z dnia 9 kwietnia 2010 r. (GPP-87-4560-29/10/PE/RP), zgodnie z którym „w obecnym stanie prawnym brakuje podstaw do stosowania przez pracodawców nośników elektronicznych jako wyłącznej formy prowadzenia i przechowywania akt osobowych pracownika. Zatem do czasu wprowadzenia odpowiedniej regulacji do rozporządzenia Ministra Pracy i Polityki Socjalnej z 28 maja 1996 r. nie jest możliwe prowadzenie akt osobowych wyłącznie w formie elektronicznej”. Dlatego prawidłową praktyką jest ewentualne prowadzenie dwóch wersji akt osobowych – papierowej i elektronicznej.
Akta osobowe jako zbiór danych
Dokumentacja pracownicza – zgodnie z rozporządzeniem Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 roku w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy – jest prowadzona w formie akt osobowych. Obejmuje ona m.in. dokumenty dotyczące przebiegu zatrudnienia i związane z jego ustaniem. Taka dokumentacja stanowi zbiór danych osobowych, ponieważ jest zestawem danych o charakterze osobowym, dostępnych według określonych kryteriów. Zatem przy przetwarzaniu należących do tego zbioru informacji o pracowniku należy stosować przepisy ustawy o ochronie danych osobowych (u.o.d.o).
Potrzebna zgoda pracownika?
Zgodnie z art. 23 u.o.d.o., przetwarzanie danych jest dopuszczalne m.in. wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę lub gdy na przetwarzanie zezwala odrębny przepis prawa. Pracodawcy są zatem upoważnieni do przechowywania akt pracowniczych i przetwarzania zawartych w nich danych, ponieważ zezwalają na to przepisy prawa pracy. Jednak ponieważ postanowienia kodeksu pracy i aktów wykonawczych przewidują jedynie papierową formę prowadzenia akt osobowych, niektórzy prawnicy stoją na stanowisku, że pracownik musi wyrazić odrębną pisemną zgodę na przeniesienie akt na nośniki elektroniczne (zob. J. Sztabińska, Teczki osobowe nie tylko w firmowej sieci, „Rzeczpospolita – Dobra Firma” 16.10.2010, s. 6-7). Z drugiej strony, warto zwrócić uwagę na stanowisko GIODO, zgodnie z którym zgoda pracownika nie może być co do zasady podstawą przetwarzania danych osobowych. Stanowisko to zostało potwierdzone wyrokiem Naczelnego Sądu Administracyjnego z dnia 1 grudnia 2009 roku: „brak równowagi w relacji pracodawca pracownik stawia pod znakiem zapytania dobrowolność wyrażeniu zgody na pobieranie i przetworzenie danych osobowych. Z tego względu ustawodawca ograniczył przepisem art. 221 Kodeksu Pracy katalog danych, których pracodawca może żądać od pracownika. Uznanie faktu wyrażenia zgody na podstawie art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, jako okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 22 Kodeksu pracy, stanowiłoby obejście tego przepisu”. Wydaje się jednak, że pod pewnymi warunkami zgoda pracownika na przetwarzanie danych osobowych (innych niż wymienione w kodeksie pracy lub w inny sposób, niż określony przepisami) może być przesłanką legitymizującą przetwarzanie tych danych: pracownik musi mieć wolny wybór jej udzielenia, a brak wyrażenia takiej zgody nie może prowadzić do żadnych negatywnych dla niego konsekwencji.
Środki techniczne
Zarówno pracodawca przechowujący pracownicze akta osobowe w formie papierowej, jak i w formie zbioru danych w systemie informatycznym, jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych. Przede wszystkim zobowiązany jest zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
W przypadku przechowywania danych w formie elektronicznej system informatyczny i urządzenia służące do ich przetwarzania powinny spełniać wymogi określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U.2004.100.1024).
Natomiast ustawodawca nie określił konkretnych technicznych środków zabezpieczenia akt osobowych przechowywanych w formie papierowej. Pracodawca musi zastosować takie środki techniczne i organizacyjne, aby zabezpieczyć akta, może więc korzystać z wszelkich rozwiązań zapewniających wykonanie tego zadania, na przykład zabezpieczać dostęp do szaf z aktami odpowiednimi zamkami.