Odpowiedź:
 
Pracodawca nie musi rejestrować się w GIODO.
Pracodawca powinien opracować politykę bezpieczeństwa przetwarzania danych osobowych i instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
Pracownik prowadzący teczki osobowe w firmie powinien mieć upoważnienie od pracodawcy do przetwarzania danych osobowych. Upoważnienie to nie musi być postanowieniem umowy o pracę.

Ochrona danych osobowych pracownika

W związku ze sporządzaniem dokumentacji i gromadzeniem danych, pracodawca jest zobowiązany do przestrzegania ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) – dalej u.o.d.o. Obciążają go następujące obowiązki:
  1. zabezpieczenie danych kandydatów do pracy i pracowników przed udostępnieniem nieupoważnionym osobom, przetwarzaniem z naruszeniem ustawy przypadkową zmianą, utratą, uszkodzeniem lub zniszczeniem.
  2. poinformowanie pracownika na jego wniosek o jego uprawnieniach przewidzianych w ustawie o ochronie danych osobowych
  3. udzielenie pracownikowi na jego wniosek informacji przetwarzania na temat dotyczących go danych osobowych
  4. wyznaczenie administratora bezpieczeństwa informacji, z wyjątkiem sytuacji, gdy pracodawcą jest osoba fizyczna samodzielnie nadzorująca ochronę danych osobowych
  5. nadawanie pisemnego upoważnienia osobom, które mają dostęp do danych, np. kadrowi, osoby odpowiadające za rekrutację, obliczanie wynagrodzeń.
  6. prowadzenie pisemnej ewidencji osób upoważnionych do przetwarzania danych osobowych
  7. opracowanie i wdrożenie dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych. Dokumentacja obejmuję politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych - rozporządzenie Ministra Spraw Wewnętrznych z dnia 29 kwietnia 2004 r. sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
Ponadto pracodawca ma obowiązek zabezpieczenia dokumentacji pracowniczej przed dostępem osób nieuprawnionych. Dane osobowe można udostępniać, jeżeli pracownik, którego dane dotyczą, wyrazi na to zgodę, a bez jego zgody, gdy jest to:
  1. niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa lub wykonania określonych prawem zadań realizowanych dla dobra publicznego
  2. jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
  3. dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez pracodawcę albo odbiorców danych, a przetwarzanie (udostępnianie jest przetwarzaniem) nie narusza praw i wolności osoby, której dane dotyczą (art. 23 u.o.d.o.).
Na mocy przepisów pracodawca obowiązany jest udostępnić akta osobowe pracowników sądom, inspektorom PIP, upoważnionemu inspektorowi ZUS, policjantowi, funkcjonariuszowi CBA itp. Związkom zawodowym akta są udostępniane za zgodą pracownika.
Jednocześnie pracodawcy są zwolnieni z obowiązku rejestrowania Generalnemu Inspektorowi Danych Osobowych zbioru danych zawierającego dane osobowe pracowników, osób zatrudnionych na podstawie umów cywilnoprawnych, członków rodzin tych osób (małżonków i dzieci) oraz osoby, którą należy zawiadomić w razie wypadku. Zwolnienie wynika z art. 43 ust. 1 pkt 4 u.o.d.o., zgodnie z którym z obowiązku zgłoszenia zbioru danych do rejestracji zwolnieni zostali m.in. administratorzy danych (w tym przypadku pracodawca) przetwarzanych w związku z zatrudnieniem u nich.
W związku z uzyskaniem danych o osobie, którą należy powiadomić w razie wypadku pracownika, pracodawca obowiązany jest poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:
  1. swoim adresie i pełnej nazwie, a w przypadku gdy administratorem jest osoba fizyczna – o imieniu i nazwisku oraz miejscu zamieszkania,
  2. celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,
  3. źródle danych,
  4. prawie wglądu do swoich danych oraz ich poprawiania,
  5. o prawie wniesienia sprzeciwu wobec przetwarzania danych oraz umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na szczególną sytuację (art. 25 ust. 1 u.o.d.o.).
Obowiązek ten nie obciąża pracodawcy, jeżeli ww. osoba posiada powyższe dane, np. otrzymała je od pracownika.