Przetwarzanie danych osobowych przez byłego pracownika 

Zakończenie stosunku pracy rodzi pewne obowiązki po stronie pracodawcy, wydanie świadectwa pracy, wypłata ekwiwalentu za urlop, odprawa, przechowywanie dokumentacji pracowniczej. Oprócz szeregu obowiązków wynikających z prawa pracy, należy pamiętać też o czynnościach, które należy wykonać zgodnie z przepisami o ochronie danych osobowych. 

Po zakończeniu zatrudnienia pracownik rozlicza się z pracodawcą z mienia powierzonego, zwraca klucze, telefon, komputer, samochód. Pracodawcy o wiele łatwiej przychodzi rozliczenie byłego pracownika z rzeczy materialnych niż z niematerialnych uprawnień nadanych w czasie stosunku pracy. 

Przetwarzanie z upoważnienia pracodawcy   

Pracodawca jako administrator danych osobowych jest odpowiedzialny za bezpieczeństwo danych osobowych. Zazwyczaj pracodawca nie przetwarza danych osobowych osobiście, najczęściej w jego imieniu przetwarzania dokonują pracownicy, co wiąże się z udzieleniem pracownikom dostępu do baz danych, zarówno tych papierowych jak też elektronicznych.  

Zgodnie z RODO do przetwarzania danych osobowych można dopuścić wyłącznie osobę upoważnioną, która dokonuje przetwarzania wyłącznie na polecenie pracodawcy. Upoważnienie do przetwarzania danych osobowych należy nadać przed udzieleniem dostępu do danych, czyli przed momentem udzielenia uprawnień do przeglądania danych osobowych. Polecenie nie musi mieć jakiejś szczególnej formy, może wynikać chociażby z umowy o pracę lub z zakresu obowiązków. 

Zakończenie stosunku pracy z pracownikiem upoważnionym do przetwarzania danych osobowych 

Po zakończeniu stosunku pracy odpada podstawa upoważnienia do przetwarzania danych osobowych, pracownik nie wykonuje już pracy, nie działa na polecenie pracodawcy. Dostęp byłego pracownika do danych osobowych stanowi naruszenie ochrony przetwarzania danych osobowych i może skutkować nałożeniem kary pieniężnej na pracodawcę. Pracodawca będący jednocześnie Administratorem danych osobowych, po zakończeniu stosunku pracy powinien zadbać, aby były pracownik nie miał dostępu do danych osobowych przetwarzanych przez pracodawcę, zarówno w formie papierowej jak też elektronicznie. 

Jak wprowadzić w życie powyższe zasady? W szczególności warto prowadzić rejestr upoważnień i rejestr nadanych pracownikowi uprawnień w systemach elektronicznych. Odpowiednio prowadzona umożliwi szybkie zlokalizowanie nadanych uprawnień i przekazanych haseł dostępu. Większość pracodawców przetwarza dane osobowe papierowo, ale też elektronicznie. Jeżeli chodzi o papierowe zbiory to pozostają w posiadaniu pracodawcy i po zakończeniu umowy o pracę wystarczy uniemożliwić dostęp do pomieszczeń w których dokumenty się znajdują. Natomiast jeżeli chodzi o bazy elektroniczne należy pamiętać o odebraniu wszystkich nośników danych, zarówno komputerów, jak tez pendrive i płyty CD. 

Szczególną uwagę należy zwrócić uwagę na zbiory danych osobowych przechowywane online, które w ostatnim czasie zyskują na popularności. Jeżeli pracownik zna hasło do logowania na pocztę elektroniczną pracodawcy to po zakończeniu stosunku pracy w dalszym ciągu będzie mógł czytać pocztę przychodzącą do pracodawcy, przetwarzać dane osobowe klientów, innych pracowników, jak też wszystkich osób, które prześlą korespondencję e-mail. W celu uniemożliwienia dostępu należy zmienić hasło dostępu. Jeżeli pracownik miał stworzone własne konto z dostępem do danych osobowych, to należy takie konto zablokować. Pamiętać należy o danych do logowania na różne platformy, np. ZUS PUE. 

Naruszenie ochrony danych osobowych 

Pozostawienie dostępu do danych osobowych byłemu pracownikowi stanowi naruszenie ochrony danych osobowych. Dostęp osoby nieuprawnionej do danych osobowych może skutkować nieprawidłowym przetwarzaniem danych osobowych. Były pracownik może uzyskać informację o zatrudnieniu nowych osób, o ich wynagrodzeniu, o stanie zdrowia, o przebywaniu na zwolnieniu. Zgodnie z decyzją Prezesa Urzędu Ochrony Danych Osobowych dostęp byłego pracownika do danych osobowych znajdujących się na platformie ZUS PUE pracodawcy stanowi ryzyko dla praw lub wolności osób, których dane dotyczą. Zdaniem PUODO dane z tej platformy umożliwiają chociażby zaciągnięcie pożyczek w instytucjach pozabankowych. 

Powyżej powołana decyzja została wydana w następującym stanie faktycznym. Pracownik Banku miał dostęp do platformy ZUS PUE. Po zakończeniu stosunku pracy dostęp nie został mu odebrany. Pracownik po zwolnieniu skorzystał pięciokrotnie z możliwości logowania do platformy. 

Z omawianej powyżej decyzji wynika, że naruszenie stanowi już sama możliwość zapoznania się z danymi osobowymi, nie zaś faktyczne zapoznanie. Naruszeniem jest możliwość dostępu, a nie zrealizowanie tej możliwości. Nie ważne czy były pracownik skorzysta z możliwości logowania na pocztę elektroniczną pracodawcy, ważne, że będzie miał do niej dostęp (login i hasło). 

Reasumując przy zakończeniu stosunku pracy należy pamiętać o ochronie danych osobowych, pracodawca musi zabezpieczyć przetwarzane dane osobowe przed nieuprawnionym dostępem. Pracownik posiada wszelkie instrumenty służące do przetwarzania danych osobowych, które należy mu odebrać po zakończeniu stosunku pracy.