Czy pracownicy mogą podważać decyzje ABI

Administrator danych poinformował wszystkich zatrudnionych, że Pan X będzie pełnił funkcję ABI i w związku z tym należy wykonywać jego polecenia. Do pierwszych zadań podejmowanych przez ABI należało wyłapanie luk, które mogą stanowić incydent w procesie przetwarzania danych osobowych. Jedna z luk ujawniła się podczas przeglądania wewnętrznego intranetu, w którym wszyscy zatrudnieni mieli podgląd na listę nieobecności w pracy pozostałych kolegów i koleżanek. Zbiór tak powstałych danych dotyczył zakresu informacji o:

Administrator bezpieczeństwa informacji postanowił zmienić zakres tak dostępnych danych na zakres ujawniający fakt usprawiedliwionej nieobecności w pracy (bez wskazywania jej przyczyn) oraz fakt podróży służbowej, wraz z datami ich rozpoczęcia i zakończenia. W tym celu wysłał stosowną prośbę do działu IT zajmującego się intranetem spółki. W odpowiedzi otrzymał informację, że te zmiany nie zostaną wprowadzone z uwagi na „małostkowość” administratora bezpieczeństwa informacji. Zarzut ten należało rozumieć w ten sposób, że ABI zmierza do utrudnienia wzajemnej komunikacji pracowników, którzy w celu prawidłowego realizowania swoich obowiązków, muszą mieć ze sobą kontakt, a nie „w ciemno” wysyłać e-maile, czy też nieustannie do siebie dzwonić.

Zmiana zasugerowana przez administratora bezpieczeństwa informacji nie została wprowadzona w życie ze względu na opór pracowników działu IT spółki Y.

Zmiana zaproponowana przez administratora bezpieczeństwa informacji znajduje uzasadnienie zarówno wśród norm prawa ochrony danych osobowych, jak i prawa pracy. Lista obecności, czy to w formie elektronicznej czy też tradycyjnej – papierowej, służy do ewidencjonowania czasu pracy pracownika, do czego zobowiązany jest pracodawca (ADO). Wiedza kogokolwiek ze struktury spółki Y, poza działem kadr, na temat przyczyn usprawiedliwionej nieobecności w pracy, nie należy do wiedzy niezbędnej do prawidłowego wypełniania swoich obowiązków przez pracowników.

Rozwiązanie zaproponowane przez administratora bezpieczeństwa informacji pozwalało na weryfikowanie faktu obecności lub nieobecności poszczególnych zatrudnionych w pracy, w danym dniu. W praktyce to rozwiązanie nie wpływałoby na komfort pracy pracowników, którzy musieliby dociekać informacji o tym, czy dana osoba jest w pracy czy też nie. Zasugerowana przez administratora bezpieczeństwa informacji zmiana miała na celu ochronę ujawnienia informacji związanych z przyczyną usprawiedliwionej nieobecności danej osoby w pracy. W praktyce rozwiązania tego typu funkcjonują i nie wywołują żadnych trudności w codziennym wypełnianiu obowiązków przez pracowników.

ABI nie powinien rezygnować z wdrożenia zaproponowanego przez siebie rozwiązania, zwłaszcza mając na uwadze fakt, że ponosi on odpowiedzialność karną, o której mowa w treści rozdziału 8 ustawy o ochronie danych osobowych. W związku z tym ABI może przedstawić administratorowi danych powstały problem wraz z propozycją jego rozstrzygnięcia, wskazując jednocześnie na możliwe konsekwencje prawne zarówno dla ADO, jak i dla wszystkich innych osób przetwarzających dane osobowe w sposób bezpodstawny. Po to, by zabezpieczyć się przed zarzutem niedołożenia należytej staranności przy wykonywaniu swojej funkcji, ABI powinien skorzystać z formy pisemnej lub elektronicznej, która pozwoli wykazać, że ADO zapoznał się z treścią przedłożonego komunikatu.