Pracodawcy nie dbają dostatecznie o przepływ informacji dotyczących wynagrodzeń swoich pracowników. To diagnoza dotycząca światowych przedsiębiorstw, ale jak się okazuje, pasuje również do tych działających na rodzimym rynku.
Przedsiębiorstwa międzynarodowe niedostatecznie zabezpieczają dane dotyczące płac. Prawie połowa (49 proc.) przyznaje, że do przesyłania wiadomości związanych z danymi płacowymi nadal wykorzystuje pocztę elektroniczną, czyli kanał komunikacji niepewny pod względem zabezpieczeń. Liczba ta wzrasta do prawie dwóch trzecich (61 proc.) w przypadku przedsiębiorstw działających w sześciu lub więcej krajach. Ponadto prawie jedna czwarta (23 proc.) nie modyfikuje swoich procedur komunikacji na potrzeby bezpieczeństwa.
To opublikowane przez Bloomberg BNA wyniki badania Global Payroll Management Survey 2016, przeprowadzonego na zlecenie TMF Group na 165 międzynarodowych przedsiębiorstwach. Jego celem było ustalenie, jak globalne firmy są przygotowane do zarządzania obsługą płacową i jakie procedury stosują, aby ułatwić przepływ poufnych danych.
A jak jest w Polsce? Okazuje się, że podobnie.
– Przesyłanie danych dotyczących wynagrodzeń w niezabezpieczonych plikach jest powszechne – mówi Konrad Gałaj-Emiliańczyk z ODO24, firmy, która zajmuje się ochroną danych osobowych. – Bardzo wielu przedsiębiorców korzysta chociażby z podmiotów zewnętrznych do prowadzenia rozliczeń księgowo-kadrowych. Niejednokrotnie przesyła do nich informacje w zwykłym e-mailu, bez żadnych zabezpieczeń. A to stwarza ryzyko, że dane trafią w niepowołane ręce – wyjaśnia.
Ekspert dodaje, że firmy nie mają w zwyczaju zabezpieczać tych plików, a czasem świadomie z tego rezygnują, bo wprowadzenie dodatkowej procedury utrudnia im życie i jest kosztochłonne.
Uchybienia ze strony pracodawców zdarzają się jednak nie tylko na polu stosowania odpowiednich zabezpieczeń w komunikacji elektronicznej.
– Pracodawcy bardzo często nie zapewniają w dostatecznym stopniu zachowania w tajemnicy wynagrodzeń swoich podwładnych – wskazuje Michał Szuszczyński, radca prawny specjalizujący się w zagadnieniach prawa pracy z Szuszczyński Kancelaria Prawa Pracy.
Dr Magdalena Kuba z Katedry Prawa Pracy Akademii Leona Koźmińskiego w Warszawie zwraca przy tym uwagę, że w praktyce pracodawcy nie zawsze zapewniają wystarczające środki bezpieczeństwa dla ochrony tych danych płacowych, co wynika m.in. z braku wyraźnych uregulowań poświęconych ochronie informacji dotyczących wynagrodzeń za pracę na gruncie prawa pracy.
– Bywają one przykładowo przedmiotem obrotu, także elektronicznego, pomiędzy przedsiębiorstwami należącymi do wspólnej grupy kapitałowej. Tymczasem pracownik nie ma świadomości, że pracodawca ujawnia informacje o wysokości jego wynagrodzenia innym podmiotom. Czasami również takim, które mają siedzibę na terenie innego kraju. Udostępnianie takich danych bez wiedzy pracownika należy uznać na niedopuszczalne, z wyjątkiem sytuacji, w której z wnioskiem o ich ujawnienie zwraca się podmiot upoważniony na podstawie wyraźnej podstawy prawnej, np. komornik prowadzący egzekucję z wynagrodzenia za pracę – wskazuje dr Magdalena Kuba. I dodaje, że zdarza się również, iż informacje o wynagrodzeniach stają się przedmiotem nieuprawnionego obrotu wewnętrznego, są udostępniane pracownikom wprawdzie tej samej organizacji, ale nieupoważnionym do przetwarzania takich konkretnie danych.
Aspekty ochrony
Postępowanie z informacjami o wynagrodzeniach pracowników to kwestia wrażliwa i wymagająca szczególnej ostrożności. Dla danych płacowych prawo przewiduje przy tym wielowymiarową ochronę.
Z jednej strony tajemnica wynagrodzenia (prawo do zachowania w tajemnicy informacji o wysokości wynagrodzenia) jest chroniona w prawie prywatnym jako dobro osobiste, które pracodawca ma obowiązek chronić na podstawie ustawy z 26 czerwca 1974 r. – Kodeks pracy, t.j. Dz.U. z 2016 r. poz. 1666 (dalej także: k.p.) i za jego pośrednictwem ustawy z 23 kwietnia 1964 r. – Kodeks cywilny (t.j. Dz.U. z 2016 r. poz. 380 ze zm.; dalej także: k.c.).
Z drugiej strony informacje o płacach są uznawane za dane osobowe i jako takie podlegają ochronie na podstawie prawa publicznego – zarówno przepisów administracyjnych, jak i karnych.
Dane osobowe i dobra osobiste
Michał Szuszczyński przypomina, że w ocenie generalnego inspektora ochrony danych osobowych (GIODO) informacje o wysokości wynagrodzenia mają charakter danych osobowych w rozumieniu ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922), która zobowiązuje administratora danych m.in. do dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą.
Konrad Gałaj-Emiliańczyk zauważa przy tym, że skoro wysokość płac to dane osobowe, to przesyłając je, firmy powinny stosować dodatkowe zabezpieczenia. O tym, jakie metody ochrony powinny być stosowane, mówi rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024).
– Wskazuje ono, że plik z danymi osobowymi, który ma być przesłany e-mailem, wymaga ochrony kryptograficznej, czyli np. powinien być zabezpieczony hasłem – wyjaśnia Konrad Gałaj-Emiliańczyk.
Michał Szuszczyński zaznacza też, że tajemnica wynagrodzenia jest postrzegana w doktrynie prawa głównie jako dobro osobiste pracownika. Zwraca przy tym uwagę na uchwałę siedmiu sędziów Sądu Najwyższego z 16 lipca 1993 r. (sygn. akt I PZP 28/93), w której wskazano, że „ujawnienie przez pracodawcę bez zgody pracownika wysokości jego wynagrodzenia za pracę może stanowić naruszenie dobra osobistego w rozumieniu art. 23 i 24 kodeksu cywilnego”. Wskazuje on również, że zgodnie z art. 111 k.p. na pracodawcy ciąży obowiązek poszanowania godności i innych dóbr osobistych pracowników. Z uwagi na to zachowanie pracodawcy polegające na ujawnieniu informacji dotyczących wysokości wynagrodzenia danego pracownika można uznać za naruszenie przepisów zarówno kodeksu cywilnego, jak i kodeksu pracy.
Ograniczony dostęp
Eksperci zwracają uwagę, że przedsiębiorcy powinni starać się maksymalnie zawęzić liczbę osób uprawnionych do wglądu do danych płacowych.
– Krąg osób, które mają dostęp do danych payrollowych powinien być ograniczony do osób niezbędnych. Z reguły są to pracownicy działów kadr oraz finansów. Takie osoby powinny mieć specjalne upoważnienie udzielone przez administratora, czyli pracodawcę, a ten ma obowiązek prowadzić ewidencję osób upoważnionych do przetwarzania danych. Każda osoba, która jest upoważniona do przetwarzania danych, ma obowiązek zachować je w poufności – wyjaśnia Katarzyna Sarek, radca prawny z kancelarii Raczkowski Paruch.
I tu też pojawiają się nieprawidłowości. – Z naszych doświadczeń wynika, że czasami takiej ewidencji się nie prowadzi i nie ma pisemnych dowodów na udzielenie upoważnienia – dodaje Sarek. Przyznaje jednak, że co do zasady ten wymóg jest przestrzegany, a firmy przykładają wagę do tego, by wysokości wynagrodzenia nie ujawniać osobom nieuprawnionym. – Przykładowo dotychczasowe zbiorowe listy płac zastępowane są indywidualnymi paskami, do których dostęp ma wyłącznie pracownik i upoważniona osoba – wskazuje.
Potwierdza to Piotr Wojciechowski, radca prawny, ekspert prawa pracy. – Z moich obserwacji wynika, że firmy coraz lepiej dbają o to, aby nie tworzyć zbiorczych list płac, nie udostępniają tych danych osobom nieupoważnionym – mówi. Przyznaje jednak, że nieprawidłowości występują przede wszystkim w mniejszych przedsiębiorstwach.
Z kolei Przemysław Ciszek z Kancelarii C&C Chakowski i Ciszek podaje przykład przedsiębiorstw, które nie udostępniają danych płacowych nawet w przypadku próśb z banku o weryfikację tego, czy pracownik podał prawdziwą informację o wysokości wynagrodzenia.
Konsekwencje dla pracodawcy
Za upublicznienie informacji o wynagrodzeniach pracodawcom grożą poważne sankcje.
– Ujawnienie takich danych niezgodnie z prawem niesie za sobą nawet ryzyko odpowiedzialności karnej na podstawie ustawy o ochronie danych osobowych. Pracownik może też żądać zaprzestania naruszenia jego dóbr osobistych, przeproszenia, a także zadośćuczynienia bądź odszkodowania, jeżeli poniósłby szkodę materialną – twierdzi Katarzyna Sarek.
Odpowiedzialność za takie naruszenia jeszcze wzrośnie od 25 maja 2018 r. kiedy w życie wejdą nowe przepisy unijne w sprawie ochrony danych osobowych (tj. rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych; Dz.Urz. UE z 2016 r. L 119, s. 1).
– Oznacza to, że firmom na opracowanie lepszych systemów, które pozwolą chronić dane pracowników, np. te, które dotyczą wynagrodzeń, zostało około półtora roku. Potem muszą liczyć się z dotkliwymi karami – mówi Konrad Gałaj-Emiliańczyk.
GIODO będzie mógł m.in. za naruszenie przepisów dotyczących przetwarzania danych osobowych nałożyć karę pieniężną w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku.
Uwaga na outsourcing
Ostrożnie z danymi o wynagrodzeniach pracowników muszą postępować także pracodawcy korzystający z outsourcingu zadań kadrowych, jak również same firmy zewnętrzne, które świadczą dla pracodawców obsługę płacową.
– Środki zabezpieczające stosuje się również do firm świadczących usługi kadrowe, którym pracodawcy zlecają m.in. wyliczanie wynagrodzeń dla pracowników – mówi Katarzyna Sarek.
W tym celu zainteresowane podmioty podpisują specjalne umowy o powierzeniu przetwarzania danych osobowych oraz porozumienia dotyczące zachowania poufności informacji dotyczących takiej współpracy.
– Firmy, które świadczą obsługę księgowo-kadrową, są zobligowane do zachowania w tajemnicy wysokości wynagrodzeń wypłacanych w danym zakładzie pracy. Nakaz ten warto sformułować wprost w przekazanym im na piśmie zakresie zlecenia. Ponadto powierzenie przez pracodawcę danych o płacach zewnętrznemu usługodawcy powinno być poprzedzone zawarciem umowy o powierzeniu przetwarzania danych osobowych podwładnych – wyjaśnia Magdalena Kulińska, młodszy prawnik z Kancelarii Prawnej Pieróg & Partnerzy.