Autor: Konfederacja Lewiatan
Szanowni Państwo,
W związku z rewizją poradników Urzędu Ochrony Danych Osobowych Konfederacja Lewiatan przekazuje w załączeniu opinię do poradnika „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców”.
Stanowisko Konfederacji Lewiatan w sprawie rewizji poradnika „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców”
W niniejszym opracowaniu odniesiono się wybiórczo do wybranych zagadnień zawartych w analizowanym poradniku tj.:
1. Rozdział 2.1 poradnika Poszukiwanie pracy – „Dane wymagane od kandydata w toku rekrutacji”
W tym zakresie postuluje się rewizję przejętego dotychczas stanowiska jako sprzecznego z ugruntowanym orzecznictwem sądów administracyjnych.
Jak wskazał w poradniku Prezes UODO: Przepisy szczególne regulujące wykonywanie niektórych zawodów wskazują często na przesłankę niepo-szlakowanej opinii, która jest terminem nieostrym i stanowi zwrot niedookreślony odwołujący się do przesła-nek uznaniowych, o charakterze ocennym. Nie stanowi ona jednak podstawy do tego, aby pracodawca miał prawo przetwarzać dane pracownika o jego niekaralności, ponieważ nie wynika to bezpośrednio z przepisów prawa. Pracodawca nie może przetwarzać danych, o których mowa w art. 10 RODO nawet za zgodą pracow-nika. Podkreślić również należy, że przesłanka zgody, rozpatrywana na gruncie prawa pracy, wskazuje na nierówność podmiotów, w związku z tym w przedmiotowej sprawie nie miałaby podstawy zastosowania.
Sugerujemy rewizję tak przedstawionego stanowiska organu nadzorczego dot. karalności pracowników, na których przepisy prawa nakładają obowiązek nieposzlakowanej opinii, ponieważ jednoznaczne i utrwalone orzecznictwo sądów administracyjnych wskazuje, że wymóg posiadania nieposzlakowanej opinii oznacza także wymóg braku karalności za przestępstwa umyślne (zob. np. wyrok Naczelnego Sądu Administracyjnego z 20 kwietnia 2021 r., sygn. akt III OSK 586/21.
2. Rozdział 2.3 poradnika „Poszukiwanie pracy” – „Znaczenie zgody na przetwarzanie danych osobowych”
W tym zakresie postuluje się rewizję przejętego dotychczas stanowiska jako sprzecznego z celowościową wykładnią przepisów RODO oraz orzecznictwem sądów administracyjnych.
W naszej ocenie w sytuacji w której kandydat do pracy zamieścił w CV informację stanowiącą szczególną kategorię danych, zaprzestanie przetwarzania byłoby niezgodne z celowościową wykładnią art. 9 RODO. Zgodnie bowiem z motywem 4 do RODO Przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości. Prawo do ochrony danych osobowych nie jest prawem bezwzględnym; należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności.
Jeżeli to sam podmiot danych wyszedł z inicjatywą, by udostępnić w składanym przez siebie CV informacje stanowiące dane wrażliwe, tj. np. dane dotyczące swojego stanu zdrowia, orientacji seksualnej czy wyznawanej religii zakazanie administratorom przetwarzania danych jedynie z powodu niedopełnienia przez taką osobę administracyjnego obowiązku wyrażenia dodatkowej zgody mogłoby budzić wysokie ryzyko dyskryminacji w zatrudnieniu. U takiej osoby mogłoby powstać uzasadnione odczucie, że nie została zatrudniona na danym stanowisku, np. z uwagi na swoją niepełnosprawność lub zaangażowanie w działalność w organizacjach politycznych. Stosując reductio ad absurdum wobec powyższego stanowiska Prezesa UODO należałoby uznać, że żaden pracodawca bez osobnej zgody na przetwarzanie danych wrażliwych nie mógłby zatrudniać żadnego pracownika na stanowisko pracy chronionej, a także nie mógłby zatrudniać osób opatrujących dobrowolnie swoje CV fotografią na której noszą na sobie symbole świadczące o przynależności do określonego wyznania (np. krzyżyki na szyi wśród chrześcijan, hidżaby u kobiet wyznających islam lub pejsy u mężczyzn wyznania mojżeszowego).
Pomimo tego, że na przetwarzanie danych osobowych szczególnej kategorii przepisy wymagają pozyskania wyraźnej zgody, to przesłanka wymieniona w art. 9 ust. 2 lit. a RODO nie jest jedyną dostępną podstawą przetwarzania. W przedmiotowej sytuacji, w naszej ocenie podstawą przetwarzania którą mógłby posłużyć się w administrator jest art. 9 ust. 2 lit.e RODO, tj. przetwarzanie danych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą. Jak stwierdził bowiem Naczelny Sąd Administracyjny w wyroku z 12 grudnia 2023 roku, III III OSK 2581/21 wyłączenie zakazu przetwarzania szczególnych danych osobowych (art. 9 ust. 1 RODO) w trybie art. 9 ust. 2 lit. e RODO nie wymaga zgody podmiotu, którego dane te dotyczą. Prawodawca unijny, w myśl zasady volenti non fit iniuria (chcącemu nie dzieje się krzywda) przesądził, że upublicznienie swoich danych osobowych jest równoznaczne z wyrażeniem zgody na ich przetwarzanie. Wyrażenie zgody na przetwarzanie szczególnych danych osobowych w trybie art. 9 ust. 2 lit. a RODO, na które powołuje się Organ w skardze kasacyjnej, odnosi się do takich układów, w których dane te nie zostały upublicznione.
Wobec powyższego sugeruje się, by organ wprost w nowej wersji Poradnika dopuścił możliwość przetwarzania danych szczególnej kategorii przesłanych dobrowolnie przez kandydatów do pracy.
3. Rozdział 2.5 poradnika „Poszukiwanie pracy” - Czy można poszukiwać pracowników w ramach tzw. rekrutacji „ślepych”, „ukrytych”?
Organ nadzorczy w Poradniku… stwierdził, że Takiego typu rekrutacji (tj. tzw. „rekrutacji ukrytej”, co oznacza rekrutację prowadzoną przez agencję pracy w której nazwa pracodawcy nie jest podana w ogłoszeniu-przyp.aut.) nie można uznać za zgodną z przepisami o ochronie danych osobowych, ponieważ kandydat do pracy nie posiada wiedzy, jaki podmiot zbiera jego dane osobowe i wobec jakiego podmiotu może realizować swoje prawa. O prawidłowym wykonaniu obowiązku informacyjnego, nie możemy mówić również w sytuacji, gdy klauzula informacyjna zostanie wysłana przez potencjalnego pracodawcę w odpowiedzi na otrzymaną aplikację, ponieważ obowiązek poinformowania m.in. o tożsamości pracodawcy powinien być realizowany przez niego na etapie zbierania danych osobowych, a nie na etapie ich utrwalania. Osoba przekazująca dane osobowe powinna posiadać wiedzę odnośnie tego, komu je udostępnia. Ma to szczególne znaczenie w związku z sytuacjami, w których ogłoszenia o prace są sposobem na wyłudzanie danych osobowych przez nieuczciwe podmioty do własnych celów niezwiązanych z zatrudnianiem pracowników.
Z takim stanowiskiem organu nadzorczego nie sposób się zgodzić. W naszej ocenie prowadzenie rekrutacji „ukrytej” nie jest de lege lata zakazane przez przepisy RODO. Zgodnie bowiem z art. 14 ust. 3 RODO administrator danych które to dane pozyskał od innej niż podmiot danych osoby ma obowiązek przekazać klauzulę informacyjną w rozsądnym terminie, nie później niż w ciągu miesiąca. W "ukrytej" rekrutacji zazwyczaj bierze udział agencja zatrudnienia, która jest administratorem danych kandydata, które następnie udostępnia potencjalnemu pracodawcy. Od chwili przekazania tych danych potencjalnemu pracodawcy, powinien on powiadomić w rozsądnym terminie uczestnika rekrutacji o informacjach zawartych w art. 14 RODO, w tym o tożsamości administratora. Potencjalny pracodawca ma za to podstawę prawną do przetwarzania danych takiego kandydata na podstawie swojego uzasadnionego interesu (art. 6 ust. 1 lit. f RODO), pod warunkiem odpowiedniego wyniku przeprowadzonego testu równowagi.
Z zastrzeżeniem ww. uwag PUODO powinien zatem uznać dopuszczalność przeprowadzania tego typu rekrutacji.
4. Rozdział 2.6 poradnika - „Jaka będzie rola agencji zatrudnienia w procesie przetwarzania danych kandydatów do pracy? Jakie są obowiązki przyszłego pracodawcy, a jakie agencji?”
W dotychczasowej wersji Poradnika… stwierdzono, że Gdy pracodawca zleca rekrutację agencji zatrudnienia kandydaci mogą kierować swoje zgłoszenia do agencji, która w takiej sytuacji będzie pełniła rolę administratora ich danych. Będzie ona przetwarzać dane osobowe kandydatów na podstawie ich zgody wyrażonej w zgłoszeniu w celu przeprowadzenia pierwszego etapu re-krutacji – pozyskania CV oraz selekcji pracowników. W tej sytuacji obowiązek informacyjny podczas pozyskiwania danych powinna spełnić agencja. Obowiązek informacyjny po stronie pracodawcy, który wcześniej nie ujawnił swojej tożsamości powstaje w momencie, kiedy dane wybranych przez agencję kandydatów mają być mu przekazane. Wówczas wybrani kandydaci przed przekazaniem danych powinni zostać poinformowani przez agencję o danych potencjalnego pracodawcy oraz wyrazić zgodę na przekazanie ich kandydatur. Pracodawca otrzymuje dane osobowe tylko tych kandydatów, którzy wyrażą stosowną zgodę.
W ocenie członków Konfederacji Lewiatan w przypadku rekrutacji za pośrednictwem agencji zatrudnienia nie ma obowiązku spełniania obowiązku informacyjnego przed udostępnieniem danych pracodawcy, ani też uzyskania dodatkowej zgody na przekazanie danych do potencjalnego pracodawcy od kandydata do pracy.
Zgodnie bowiem z art. 14 ust. 3 RODO administrator danych które to dane pozyskał od innej niż podmiot danych osoby ma obowiązek przekazać klauzulę informacyjną w rozsądnym terminie, nie później niż w ciągu miesiąca. W opisanej w tym przykładzie sytuacji bierze udział agencja zatrudnienia, która jest administratorem danych kandydata, które następnie udostępnia potencjalnemu pracodawcy. Od chwili przekazania tych danych potencjalnemu pracodawcy, powinien on powiadomić w rozsądnym terminie uczestnika rekrutacji o informacjach zawartych w art. 14 RODO, w tym o tożsamości administratora.
Co więcej, w naszej ocenie nie ma także obowiązku pozyskania zgody na udostępnienie danych pracodawcom. Zgoda nie jest bowiem jedyną podstawą prawną na której można oprzeć przetwarzanie danych kandydatów do pracy. Administrator może w takiej sytuacji np. po wykonaniu testu równowagi przetwarzać dane kandydata do pracy na podstawie swojego uzasadnionego interesu (art. 6 ust. 1 lit. f RODO).
5. Rozdział 3 poradnika - „Proces rekrutacyjny”
W tym zakresie, poza uwagami do poszczególnych podrozdziałów tego rozdziału poradnika, postuluje się uwzględnienie w zaktualizowanej treści poradnika nowych wyzwań związanych z procesem rekrutacji, a przede wszystkim uwzględnienie i zaprezentowanie stanowiska Organu co do następujących zagadnień:
• systemy rekrutacyjne (np. przetwarzanie CV, profilowanie kandydatów) z wykorzystaniem sztucznej inteligencji. Styk nowej regulacji tj. aktu o sztucznej inteligencji i RODO może być dla pracodawców dużym wyzwaniem. Jasne wytyczne organu nadzorczego co do sposobów korzystania ze sztucznej inteligencji w procesie rekrutacji będzie znacznym ułatwieniem i z pewnością zwiększy poczucie bezpieczeństwa w ramach stosowania nowych technologii i regulacji ich dotyczących.
• listy sankcyjne w procesie rekrutacji. Z uwagi na istotne wydarzenia i przemiany geopolityczne a także ewoluujące przepisy coraz częściej spotykamy się w obrocie z praktyką sprawdzania kandydatów do pracy na tzw. listach sankcyjnych. Wydaje się, że listy te nie wchodzą w zakres art. 10 RODO albowiem informacje z nich pochodzące nie stanowią wprost informacji dotyczącej wyroków skazujących, czynów zabronionych lub powiązanych z nimi środków bezpieczeństwa. Mimo wszystko ich specyficzny charakter przemawia za zasadnością wypowiedzenia się przez organ nadzorczy w jakich warunkach pozyskiwanie tych danych jest dopuszczalne, czy w razie braku obowiązku prawnego organizacja może dokonać takiej weryfikacji na innej podstawie, w szczególności czy byłoby to dopuszczalne w oparciu o wyraźną zgodę kandydata (tak przy umowie o pracę jak i przy umowach cywilnoprawnych w tym umowach B2B)i czy byłaby ona w takich warunkach uznana za zgodę dobrowolną. Z uwagi na ukształtowanie rynku zasadnym jest także rozważenie tego zagadnienia w takiej konfiguracji, gdzie weryfikację kandydata w omawianym zakresie miałby przeprowadzić podmiot niezobowiązany do tego przepisami prawa, ale wymogiem swojego kontrahenta, na rzecz którego miałyby być wykonywane usługi, ale jedynie przez pracowników pomyślnie zweryfikowanych w ten sposób na etapie rekrutacji.
6. Podrozdział 3.5, 3.6 poradnika - „Czy pracodawca może przetwarzać dane kandydatów do pracy po zakończeniu rekrutacji w celu zabezpieczenia się przed ich ewentualnymi roszczeniami?” oraz „Czy możliwość wystąpienia z roszczeniem z tytułu dyskryminacji uzasadnia dłuższe przechowywanie danych?”
W tym zakresie postuluje się rewizję przejętego dotychczas stanowiska jako sprzecznego z gruntującym się orzecznictwem, ale także uderzającego w uzasadnione interesy administratorów danych i potencjalnie utrudniającego korzystanie z przysługujących im uprawnień procesowych.
W poradniku stwierdza się, że: „Niedopuszczalne jest przetwarzanie danych tylko w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem osoby, której dotyczą. W przeciwnym razie może pojawić się wątpliwość jak długo należy przetwarzać dane osobowe, jeżeli ta osoba nie zdecyduje się na wytoczenia powództwa przeciwko pracodawcy.”
W ocenie komentującego takiej wątpliwości nie ma – dane można przechowywać przez okres wyznaczony wyraźnie granicami prawa jako okres przedawnienia roszczeń wynikających z tego konkretnego stosunku prawnego, czyli w komentowanym przypadku co do zasady 3 lata zgodnie z art. 291 kodeksu pracy. Nie mamy zatem w tym zakresie żadnego stanu niepewności, okres przechowywania danych ma wyraźne granice i wynosi 3 lata. Trudno także zgodzić się z poglądem, że nieodpuszczalne jest przetwarzanie danych tylko w celu zabezpieczenia się przed „ewentualnym przyszłym i niepewnym” roszczeniem osoby. Samo zgłoszenie roszczeń oczywiście może nie nastąpić i w tym kontekście są one „przyszłe i niepewne” ale sama możliwość dochodzenia roszczeń z tytułu dyskryminacji w zatrudnieniu przez okres kolejnych 3 lat jest pewna. Do czasu przedawnienia roszczeń każdy uczestnik obrotu gospodarczego, w tym także występujący jako pracodawca musi uwzględniać możliwość dochodzenia roszczeń przeciwko niemu i z natury rzeczy nie jest wstanie ocenić czy roszczenia te w ogóle zostaną zgłoszone, a jeśli tak to czy będą uzasadnione. Na tym etapie nie ma to jednak znaczenia, na tym etapie istotne jest, że w określonym przedziale czasowym, z uwagi na zaistnienie określonego stosunku prawnego zachodzi obiektywna możliwość zgłoszenia roszczeń, przed którymi pracodawca ma prawo się bronić wykorzystując dostępne mu środki, w tym zgromadzone dane. Powyższe potwierdza orzecznictwo sądów administracyjnych np.:
• Wyrok NSA z 20 lutego 2024 r., sygn. akt III OSK 2700/22 - dopuszczalne jest przetwarzanie danych osobowych kandydata przez okres do lat 3 celem ochrony przed roszczeniami kandydatów do pracy. Okres 3 lat wynika z okresu przedawnienia wskazanego dla roszczeń prawno-pracowniczych w Kodeksie Pracy. NSA we wspomnianym wyroku przesądza, że art. 6 ust. 1 lit. f) RODO – tj. uzasadniony interes administratora - jest prawidłową podstawą przetwarzania danych dla zabezpieczenia się “na wypadek konieczności wejścia w spór sądowy”.
• Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 10 listopada 2021 r., II SA/Wa 868/21. Jak wynika z uzasadnienia wyroku: „(…) według składu Sądu orzekającego w niniejszej sprawie, uznać należy, że niezależnie od wskazanego powyżej istotnego uchybienia procesowego, Prezes UODO dopuścił się przede wszystkim istotnego naruszenia przepisów prawa materialnego, w tym w szczególności naruszenia art. 6 ust. 1 lit. f RODO w związku z art. 117 § 2 i § 21, art. 118 i art. 119 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny, które to naruszenie polegało na niewłaściwym zastosowaniu wspomnianych przepisów i w konsekwencji nieuzasadnionym przyjęciu, że przechowywanie wspomnianych danych przez okres przedawnienia roszczeń, również w przypadku, gdy ani administrator danych ani osoba, której dane dotyczą, nie zgłosiła jeszcze roszczenia, nie stanowi prawnie uzasadnionego interesu skarżącego Banku, w rozumieniu art. 6 ust. 1 lit. f RODO, gdy tymczasem przepisy te - w ocenie Sądu - uprawniają stronę skarżącą do przetwarzania danych osobowych w celu ustalenia, dochodzenia i ochrony przed roszczeniami.”
• Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 13 grudnia 2021 r., II SA/Wa 1528/21. Jak wynika z uzasadnienia wyroku: „Trafnie zauważa Bank, że uznanie, jakoby - po rozwiązaniu umowy - obowiązkiem przedsiębiorcy było usunięcie danych kontrahenta, wyłączałoby w istocie jego prawa realizacji potencjalnych roszczeń jeszcze przed jego przedawnieniem. Mogłoby też prowadzić do istotnego ograniczenia praw jego klientów - np. wobec braku stosownej dokumentacji po stronie wyspecjalizowanego podmiotu rynku finansowego. Inaczej mówiąc, prezentowane przez organ rozumienie przepisów, dotyczących ram przetwarzania danych osobowych klientów banków, po wygaśnięciu umów, pozbawiałby obie strony praw, wynikających wprost z generalnych reguł prawa materialnego - k.c. Miałoby to znaczny wpływ na realia obrotu gospodarczego. Intencji wprowadzenia tak głębokiej modyfikacji w relacje umowne - w kontekście sektora bankowego - nie sposób przypisać prawodawcy - w kontekście aktualnego brzmienia regulacji w danym zakresie. Musiałby ją wyrazić wprost.”
• Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 4 sierpnia 2022 r., II SA/Wa 542/22. Jak wynika z uzasadnienia wyroku: „Zważywszy na powyższe, nie powinno więc ulegać wątpliwości, że Skarżąca ma interes prawny, w rozumieniu RODO, do przetwarzania (wyłącznie poprzez ich przechowywanie) danych osobowych Wnioskodawczyni w celu obrony przed roszczeniami tak Wnioskodawczyni, jak i innych osób, które uczestniczyły w procesie rekrutacji, a które mogą być skutecznie dochodzone przez okres przedawnienia roszczeń ze stosunku pracy wynikający z art. 291 w związku - jak w realiach sprawy - z art. 18 [3b] oraz art. 18 [3d] Kodeksu pracy, przy czym przepis art. 291 k.p., jak słusznie podnosi Skarżąca, wbrew stanowisku Organu, jednocześnie jednoznacznie wskazuje, kiedy takie roszczenia ulegają przedawnieniu. W ocenie Sądu, nie jest to - jak twierdzi organ nadzorczy - przetwarzanie "na zapas". Inna byłaby bowiem sytuacja, gdyby skarżąca Spółka nadal przetwarzała dane osobowe uczestnika postępowania pomimo upływu terminu przedawnienia. Wówczas rzeczywiście interes Skarżącej nie byłby już dłużej prawnie uzasadniony.”
Dlatego zaktualizowana wersja Poradnika powinna dopuszczać określenie przez pracodawców retencji na podstawie okresu przedawnienia roszczeń pracowniczych. Powyższa argumentacja przemawia za koniecznością ochrony praw wynikających z generalnych reguł szeroko rozumianego prawa cywilnego, w tym prawa pracy (czyli prawa do obrony przed roszczeniami i dochodzenia roszczeń w okresie wynikającym z powszechnie obowiązujących przepisów), przy jednoczesnym poszanowaniu praw osób, których dane dotyczą. Dokonując rozważań na gruncie RODO nie można pomijać otoczenia prawnego w jakim funkcjonujemy i praktycznych zagadnień związanych z codziennym uczestnictwem w obrocie prawnym i gospodarczym. Doświadczenie życiowe i zawodowe pokazuje, że roszczenia niezwykle często zgłaszane są dopiero pod koniec okresu przedawnienia, kiedy to organizacja czy osoba fizyczna zmuszona jest podjęć ostateczną decyzję co do przyszłości swoich roszczeń. W realiach konkretnej sprawy dana osoba może mieć przekonanie, że przysługuje jej określone roszczenie i jest ono zasadne, ale nie występuje z nim na drogę postępowania sądowego ze względów organizacyjnych jak brak czasu, czy ze względów finansowych jak brak środków na opłatę sądową czy pomoc prawną i dopiero świadomość zbliżającego się upływu terminu przedawnienia roszczeń będzie czynnikiem decydującym o podjęciu wymiernych działań. Działa to również w drugą stronę – organizacja czy osoba fizyczna może być przekonana o braku możliwości czy zasadności wystąpienia z roszczeniem, nie identyfikować początkowo żadnych okoliczności je uzasadniających, co jednak nie gwarantuje, że po jakimś czasie takie roszczenia nie zostaną jednak zgłoszone i pozbawienie się możliwości obrony przed nimi poprzez usunięcie danych mogących świadczyć na korzyść usuwającego byłoby działaniem na własną szkodę, czego nie można wymagać.
Warto pamiętać, że roszczenia zgłoszenie po upływie np. 2 lat od rozmowy kwalifikacyjnej nie są ani mniej ważne ani mniej skuteczne niż te zgłoszone dzień po takiej rozmowie (a jak wynika z doświadczenia życiowego często to właśnie końcówka terminu sprzyja decyzji o wytoczeniu powództwa).
Co ważne, w przypadku spraw dotyczących dyskryminacji w zatrudnieniu, pracownik korzysta ze szczególnego rozkładu ciężaru dowodu. Powinien on bowiem jedynie wskazać fakty uprawdopodobniające (a nie udowadniające) zarzut nierównego traktowania w zatrudnieniu, a wówczas na pracodawcę przechodzi ciężar dowodu, że kierował się obiektywnymi powodami (tak: Arkadiusz Sobczyk w: Kodeks pracy. Komentarz. Wydanie 6) Powyższe oznacza, że pracownikowi przy takim rozkładzie ciężaru dowodów znacznie ładniej sformułować i popierać powództwo, przed którym pracodawca zmuszony będzie bronić się na zasadach ogólnych. Wykazanie przez pracodawcę, że kierował się obiektywnymi powodami zatrudnienia innej osoby niż niedoszły pracownik występujący z roszczeniem może wymagać zaprezentowania przed sądem CV nie tylko samego kandydata, ale także innych osób biorących udział w rekrutacji, może wymagać zaprezentowania notatek z rozmowy rekrutacyjnej (które jak wynika z Wytycznych 01/2022 dotyczących praw osób, których dane dotyczą – Prawo dostępu Wersja 2.0 są również danymi osobowymi kandydata). Przy założeniu możliwości wystąpienia z roszczeniem o dyskryminację w zatrudnieniu po niemal trzech latach od procesu rekrutacyjnego poleganie na samej pamięci, bez możliwości przedłożenia dowodów w sprawie może być z góry skazane na porażkę. Nie będzie też możliwość uzyskania dowodów inną drogą, albowiem zobowiązanie powoda do przedłożenia swojego ówczesnego CV obarczone jest ryzkiem przedłożenia innej wersji niż faktycznie złożona w rekrutacji, nie będzie możliwości odzyskania notatek z rozmowy czy przedłożenia CV innych kandydatów.
Co ważne, jak wywiódł SN w wyr. z 02.07.2012 r. o sygnaturze I PK 48/12, roszczeń z tytułu nierównego traktowania nie można się zrzec – co oznacza, że niezależnie od zachowania i deklaracji niedoszłego pracownika cały okres przedawnienia tych roszczeń objęty jest ryzkiem ich zgłoszenia i dochodzenia przed sądem.
Podsumowując: nie można od pracodawców oczekiwać rezygnacji z przysługujących im i usprawiedliwionych uprawień procesowych na rzecz nadmiernych oczekiwań z zakresu ochrony danych osobowych. Byłoby to sprzeczne z samym RODO, które w motywie 4 wyraźnie stanowi, że „Prawo do ochrony danych osobowych nie jest prawem bezwzględnym; należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności. Niniejsze rozporządzenie nie narusza praw podstawowych, wolności i zasad uznanych w Karcie praw podstawowych – zapisanych w Traktatach – w szczególności prawa do poszanowania życia prywatnego i rodzinnego, domu oraz komunikowania się, ochrony danych osobowych, wolności myśli, sumienia i religii, wolności wypowiedzi i informacji, wolności prowadzenia działalności gospodarczej, prawa do skutecznego środka prawnego i dostępu do bezstronnego sądu oraz różnorodności kulturowej, religijnej i językowej.” Należy w tym miejscu wyraźnie podkreślić, że osoby rekrutowane w ramach przetwarzania (sprawdzającego się do przechowywania) ich danych przez okres przedawnienia roszczeń nie doznają żadnego uszczerbku w obszarze ochrony sowich danych osobowych - dane przekazane w rekrutacji intencjonalnie trafiają do pracodawcy zgodnie w wolą samego kandydata, nie są wykorzystywane do bieżących rekrutacji ani w żadnych innych bieżących celach, więc nie zachodzi żadna wymiera uciążliwość dla osoby, której dane dotyczą, okres ich dalszego przechowywania jest z góry znany i zakomunikowany osobie, której dane dotyczą w ramach realizacji obowiązku informacyjnego, nadto nie jest od nadmiernie dług bowiem wynosi zaledwie 3 lata i jest naturalną wręcz konsekwencją dobrowolnego przystąpienia kandydata to procesu rekrutacyjnego. Z tych wszystkich względów rewizja dotychczasowego stanowiska Organu i przyjęcie, że przechowywanie danych kandydata przez okres przedawnienia roszczeń z kodeksu pracy mieści się w prawnie uzasadnionym interesie pracodawcy wydaje się ze wszech miar uzasadniona.
7. Podrozdział 3.10 poradnika „Wpływa do pracodawcy CV potencjalnego kandydata do pracy, jednak nie prowadzi on rekrutacji. Czy zachować przesłane dane w nim na po-trzeby przyszłych rekrutacji?”
W ww. fragmencie Poradnika organ wyraził następujące stanowisko: Zdarzają się sytuacje, w których osoby poszukujące pracy z własnej inicjatywy, niezależnie od tego, czy potencjalny pracodawca prowadzi proces rekrutacji czy też nie, wysyłają do różnych podmiotów swoje aplikacje. Pracodawca po otrzymaniu takiej kandydatury powinien rozważyć, czy chce rozpocząć rekrutację, czy też nie jest zainteresowany zatrudnianiem nowych pracowników. W przypadku, gdy zdecyduje, że jest zaintereso-wany zatrudnieniem nowej osoby, powinien niezwłocznie wykonać w stosunku do niej obowiązek informa-cyjny oraz rozpocząć podejmowanie działań zmierzających do zawarcia umowy (np. przeprowadzenie rozmowy kwalifikacyjnej, gromadzenie koniecznej dokumentacji). Jeżeli jednak pracodawca stwierdzi, że nie jest zainteresowany poszerzeniem swojej kadry, powinien niezwłocznie usunąć dane dotyczące kandydata ze swoich zasobów.
Zgodnie ze stanowiskiem członkow Konfederacji Lewiatan w sytuacji w której potencjalny pracodawca otrzyma CV potencjalnego kandydata ma on prawo do traktowania takiego działania jako udzielonej w formie per facta concludenta zgody osoby której dane dotyczą na przetwarzanie danych na poczet przyszłych rekrutacji. O możliwości wyrażenia konkludentnej zgody na przetwarzanie danych osobowych pozytywnie wypowiadała się większa część polskiej doktryny prawa ochrony danych osobowych, w tym np. P. Fajgielski ([w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 4.) oraz D. Lubasz, W. Chomiczewski, M. Czerniawski, P. Drobek, U. Góral, M. Kuba, P. Makowski, K. Witkowska-Nowakowska [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, Warszawa 2018, art. 4.
Zgodnie z art.4 pkt 11 RODO zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Zgoda osoby, której dane dotyczą, na przetwarzanie jej danych jest oświadczeniem woli. Oświadczeniem woli w rozumieniu Kodeksu cywilnego, zgodnie z art. 60 k.c., może być każde zachowanie się osoby, które ujawnia jej wolę w sposób dostateczny, w tym również przez ujawnienie tej woli w postaci elektronicznej, a z przepisu tego wywodzi się wniosek, iż oświadczenie woli może być wyraźne albo dorozumiane.
Uwzględniając zatem istotę zgody, należy przyjąć, że wyraźne działanie potwierdzające stanowi swoisty odpowiednik oświadczenia wywodzonego z zachowania osoby (per facta concludentia). Przy takim sposobie wykładni można bronić stanowiska, że zgoda może być wyrażona zarówno przez wyraźne oświadczenie, jak i może być dorozumiana z oświadczenia o innej treści, jeżeli działanie takie w sposób jednoznaczny potwierdza chęć wyrażenia zgody.
Administrator, otrzymując CV w sytuacji w której nie prowadzi rekrutacji, powinien przesłać w terminie wynikającym z art. 14 RODO klauzulę informacyjną potencjalnemu kandydatowi oraz poinformować go o fakcie, że jego zachowanie traktuje jako wyrażenie zgody na przetwarzanie danych oraz informuje go o możliwości wycofania zgody.
Alternatywnie, potencjalny pracodawca mógłby w tej sytuacji przetwarzać dane osobowe kandydata do pracy na podstawie swojego uzasadnionego interesu (po przeprowadzeniu testu równowagi).
8. Podrozdział 3.11 poradnika „Czy potencjalny pracodawca może pozyskiwać dane kandydata z portali społecznościowych?”
W ww. fragmencie Poradnika organ wyraził następujące stanowisko: Co do zasady niedopuszczalne jest gromadzenie przez pracodawców i agencje rekrutacyjne informacji zamieszczanych przez kandydatów do pracy na swój temat w mediach społecznościowych i innych ogólnodo-stępnych źródłach. Co prawda rozwój społeczeństwa informacyjnego pozwala na „budowanie” przez poten-cjalnych kandydatów do pracy swojego wizerunku w sieci, również w oczach przyszłego pracodawcy, poprzez zamieszczane w Internecie różnych informacji na swój temat, ale nie oznacza to, że informacje te mogą zostać wykorzystane w procesie rekrutacyjnym. Należy również pamiętać, że takie działanie potencjalnie może mieć negatywny wpływ na ocenę kandydata do pracy i prowadzić do profilowania go na podstawie dostępnych w Internecie danych.
Zgodnie ze stanowiskiem członków Konfederacji Lewiatan gromadzenie przez pracodawców i agencje rekrutacyjne informacji zamieszczanych przez kandydatów do pracy w mediach społecznościowych w niektórych sytuacjach należy uznać za dopuszczalne. Jeżeli kandydat do pracy, w publicznym profilu na powszechnie dostępnych mediach społecznościowych związanych z wykonywaniem przez niego pracy zamieszcza określone informacje, wówczas potencjalny pracodawca ma uzasadniony interes w tym, aby pozyskiwać dane z tych portali, w szczególności jeśli pracownik udostępni pracodawcy w przesłanym CV link do swojego profilu na portalu społecznościowym, np. na LinkedInie. Przed przystąpieniem do sprawdzenia tego typu profilu potencjalny pracodawca powinien jednak poinformować o tym kandydata do pracy, np. przez zapoznanie go z odpowiednią klauzulą informacyjną.
Poradnik zbyt rygorystycznie podchodzi do pozyskiwania lub jakiegokolwiek weryfikowania przez pracodawcę danych kandydata z portali społecznościowych, tym samym również ograniczając taką praktykę w odniesieniu do pracowników. W pewnych sytuacjach taka weryfikacja jest jednak szczególnie uzasadniona (np. z uwagi na niestosowne i nieprawdziwe wypowiedzi pracownika na temat pracodawcy czy też publikowanie informacji/ zdjęć z terenu zakładu pracy ujawniających informacje stanowiącej tajemnicę przedsiębiorstwa). W przypadku uzyskania sygnału na temat takiej aktywności pracownika w sieci, w tym w mediach społecznościowych, pracodawca powinien mieć możliwość jej weryfikacji, chociażby w celu obrony przed naruszeniem jego dobrego imienia, w oparciu o przesłankę uzasadnionego interesu pracodawcy-administratora. W związku z tym, aktualizacja Poradnika powinna zawierać uzupełnienie interpretacji i stanowiska organu co do możliwości weryfikacji informacji publikowanych również przez pracowników w Internecie, w tym na swoich mediach społecznościowych, z uwzględnieniem liberalnego podejścia w tym zakresie.
W naszej ocenie zgodnie z obowiązującymi przepisami pracodawca nie powinien jednak pozyskiwać danych kandydatów z profili niepublicznych (tj. niedostępnych dla wszystkich użytkowników danego portalu) lub niezwiązanych z działalnością zawodową danego kandydata.
9. Podrozdział 4.1.1. poradnika - „Zawarcie umowy o pracę i akta osobowe pracownika”
W tym zakresie postuluje się podjęcie próby wyjaśnienia jak na gruncie przepisów RODO należy rozumieć i w praktyce stosować art. 2b ust. 7 ustawy z dnia 27 sierpnia 1997 r. o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych, zgodnie z którym pracodawcy, o których mowa w ust. 1 tej ustawy, podmioty i osoby realizujące zadania wynikające z ustawy przechowują dane osobowe wyłącznie przez okres nie dłuższy niż jest to niezbędne i w zakresie koniecznym do realizacji celów przetwarzania danych osobowych oraz dokonują przeglądu przydatności przetwarzania danych osobowych nie rzadziej niż co 5 lat.
Podkreślić w tym miejscu należy, że zgodnie z Rozporządzeniem ministra rodziny, pracy i polityki społecznej w sprawie dokumentacji pracowniczej katalog oświadczeń lub dokumentów gromadzonych w części B akt osobowych nie jest wyczerpujący i obejmuje oświadczenia lub dokumenty, pozyskiwane na podstawie Kodeksu pracy i innych przepisów. Rozporządzenie nie wymienia wprost orzeczenia o niepełnosprawności wśród dokumentów jakie należy przechowywać we wspomnianej części B akt osobowych pracownika, ale powszechnie uznaje się, że z uwagi na to, że orzeczenie to stanowi podstawę realizacji szeregu uprawnień pracowniczych, jego kopię pracodawca powinien umieścić właśnie w części B akt osobowych pracownika.
Mając zatem na uwadze treść art. 2 b ust. 7 o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych, zgodnie z którym pracodawcy przechowują dane osobowe dotyczące niepełnosprawności wyłącznie przez okres nie dłuższy niż jest to niezbędne i w zakresie koniecznym do realizacji celów przetwarzania danych osobowych oraz dokonują przeglądu przydatności przetwarzania danych osobowych nie rzadziej niż co 5 lat powstaje pytanie czy powyższe oznacza nakaz wycofywania tych dokumentów z akt osobowych przed upływem terminu przechowywania akt jako takich (czyli przed upływem terminu 10 lub 50 lat przechowywania akt osobowych) w razie ustalenia, że przestały być niezbędne dla podstawowych celów przetwarzania?
Skoro przyjęto 5 – letni termin okresowych przeglądów wydaje się, że ma on służyć możliwości „wychwycenia” dokumentów, które chociażby ze względu za zakończenie współpracy i upływ terminu przedawnienia roszczeń takich podmiotów jak ZUS czy PFRON (właśnie 5 lat) przestały być konieczne dla celów przetwarzania czyli obsługi uprawnień pracownika wynikających z takiego orzeczenia oraz rozliczenia się przed takimi organami jak ZUS czy PFRON.
Z drugiej jednak strony zaliczenie tych dokumentów w poczet akt osobowych pracownika skutkuje koniecznością stosowania do nich przepisów dotyczących przechowywania akt osobowych. Art. 94 kodeksu pracy stanowi, że pracodawca zobowiązany jest przechowywać dokumentację pracowniczą w sposób gwarantujący zachowanie jej poufności, integralności, kompletności oraz dostępności, w warunkach niegrożących uszkodzeniem lub zniszczeniem przez okres zatrudnienia, a także przez okres 10 lat, licząc od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł, chyba że odrębne przepisy przewidują dłuższy okres przechowywania dokumentacji pracowniczej. Innymi słowy pracodawca dla aktualnie nawiązywanych stosunków pracy zobowiązany jest przechowywać kompletną (nienaruszoną, w całości), integralną (całościową, niepodzielną) dokumentację pracowniczą przez okres 10 lat ewentualnie dłużej, jeśli wymagają tego przepisy odrębne. Tymczasem analizowany przepis ustawy o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych zdaje się sugerować okres krótszy i ewentualne usuwanie niepotrzebnych już dokumentów. W praktyce powstaje zatem pytanie czy pracodawca ma możliwość/obowiązek usuwania omawianych dokumentów z akt osobowych pracownika przed upływem ogólnego terminu przechowywania akt osobowych po realizacji podstawowych celów, dla których dokumenty te zostały zebrane.
10. Podrozdział 4.1.2. poradnika – „Ujawnianie i dostęp do danych osobowych w kontekście zatrudnienia” sekcja „Czy pracodawca może umieścić zdjęcia pracowników na identyfikatorach?”
W tym zakresie postuluje się rewizję dotychczasowego stanowiska zaprezentowanego w poradniku, zgodnie z którym: „Ze względu na to, że wizerunku pracownika nie ma wśród danych wskazanych w Kodeksie pracy, aby pracodawca mógł je pozyskać i umieścić np. na identyfikatorze musi legitymować się zgodą pracownika. Należy jednak zaznaczyć, że zgoda musi być udzielona dobrowolnie, a zatem pozyskiwanie przez pracodawcę zgody pracownika będzie możliwe, jeżeli pracownik będzie miał możliwość odmowy jej udzielenia i nie spotkają go z tego powodu żadne negatywne konsekwencje. Warto dodać, że zgoda może być odwołana w każdym czasie.”
W ocenie komentującego pracodawcy mogą w tym zakresie z powodzeniem powołać się na uzasadniony interes, wskazując go jako podstawę prawną przetwarzania zgodnie z art. 6 ust. 1 lit f RODO. Interes ten polegać będzie na zapewnieniu bezpieczeństwa osób i mienia wewnątrz organizacji, m.in. poprzez ograniczenie dostępu osób nieupoważnionych oraz na usprawnieniu komunikacji i organizacji wewnątrz jej struktury.
Warto pamiętać, że zgodnie z art. 104 § 1 Kodeksu pracy, pracodawca ustala w regulaminie pracy prawa i obowiązki stron stosunku pracy w zakresie organizacji i porządku pracy. Minimalna treść regulaminu pracy dotycząca praw i obowiązków stron związanych z porządkiem w zakładzie pracy reguluje m.in. organizację pracy, a także warunki przebywania na terenie zakładu pracy w czasie pracy i po jej zakończeniu, obowiązki dotyczące bezpieczeństwa i higieny pracy oraz przyjęty u danego pracodawcy sposób potwierdzania przez pracowników przybycia i obecności. Pracodawca jest więc uprawniony do tego by wewnętrznie regulować kwestie porządkowe i organizacyjne i w ocenie komentującego jest uprawniony do tego by obowiązek noszenia identyfikatorów ze zdjęciem przewidzieć wprost w regulaminie pracy, który z kolei zgodnie z art. 9 § 1 kodeksu pracy jest źródłem prawa pracy.
W tej sytuacji nie sposób wymagać od pracodawcy by zmuszony był dodatkowo pozyskiwać od każdego pracownika indywidualną zgodę na użycie identyfikatorów ze zdjęciem, jeśli jego wewnętrzna analiza wykazała zasadność takiego rozwiązania. Pamiętać także należy, że zakres stosowania takich identyfikatorów jest niewielki, wewnętrzny, podyktowany zwykle względami bezpieczeństwa i nie stanowi dla pracownika żadnej nadmiernej uciążliwości, nie wiąże się z publikacją jego wizerunku i jego rozpowszechnianiem. Warto pamiętać także o konsekwencjach braku zgody poszczególnych pracowników lub jej cofnięciu – oznaczałoby to dezorganizację a w konsekwencji także skutkowałoby uderzeniem w bezpieczeństwo organizacji. Nadto dobrowolność takiej zgody jako podstawy prawnej przetwarzania, z uwagi na naturalną podległość w relacji pracodawca - pracownik mogłaby budzić zastrzeżenia.
Z tych wszystkich względów za zasadną należy uznać rewizję dotychczasowego stanowiska i przyjęcie, że pracodawca może przetwarzać dane osobowe pracownika w postaci jego wizerunku na identyfikatorze w oparciu o swój uzasadniony interes na podstawie art. 6 ust. 1 lit f RODO.
11. Jaka będzie rola agencji zatrudnienia w procesie przetwarzania danych kandydatów do pracy? Jakie są obowiązki przyszłego pracodawcy, a jakie agencji? (Pyt. 2.6 str. 14 Poradnika Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców)
Dotychczasowe rozważania zawarte w Poradniku dotyczą tzw. rekrutacji ukrytych. Celowe byłoby jednak przedstawienie ogólnej roli agencji rekrutacyjnej w procesie rekrutacji. Praktyka kształtuje trzy modele współpracy z agencjami zatrudnienia:
• I - Agencja zatrudnienia, jako administrator danych osobowych kandydatów
Agencja zatrudnienia pozyskuje dane osobowe kandydatów ze swoich baz danych lub samodzielnie, działając we własnym imieniu, np. nawiązując kontakty poprzez dedykowane portale. Dane te są włączane do jej baz danych i mogą być wykorzystywane w przyszłych rekrutacjach dla różnych klientów. W związku z tym agencja samodzielnie decyduje o celach i sposobach przetwarzania danych kandydatów, obejmujących pierwszy etap rekrutacji, czyli pozyskiwanie CV i selekcjonowanie kandydatów. Jako administrator danych agencja spełnia obowiązek informacyjny z art. 13 RODO wobec kandydatów. Przekazanie danych kandydata następuje poprzez udostępnienie potencjalnemu pracodawcy dokumentów aplikacyjnych np. CV. Strony mogą zawrzeć umowę udostępnienia danych. Od momentu otrzymania danych kandydatów, potencjalny pracodawca staje się administratorem danych osobowych i przejmuje obowiązek informacyjny zgodnie z art. 14 RODO.
• II - Agencja zatrudnienia, jako podmiot przetwarzający
Agencja zatrudnienia poszukuje kandydatów na zlecenie potencjalnego pracodawcy. Działania te obejmują np. zamieszczanie ogłoszeń, przeprowadzanie rozmów z kandydatami, jednakże agencja nie korzysta z własnych baz danych. Potencjalny pracodawca jest administratorem danych osobowych kandydatów, ponieważ to on określa cele i sposoby przetwarzania tych danych. Strony zawierają umowę powierzenia przetwarzania danych, na mocy której potencjalny pracodawca zleca agencji zatrudnienia przetwarzanie danych kandydatów. W związku z tym na potencjalnym pracodawcy jako administratorze danych, spoczywa obowiązek informacyjny wobec kandydatów. Pracodawca może zobowiązać agencję do spełnienia tego obowiązku w jego imieniu poprzez odpowiednie zapisy w umowie o współpracy. Agencja nie będzie korzystać z zebranych danych osobowych kandydatów do własnych celów, a w szczególności nie będzie dodawać ich do swoich baz danych. Po zakończeniu współpracy, zgodnie z postanowieniami umowy powierzenia, agencja powinna usunąć dane osobowe kandydatów.
• III typ – mieszany
Agencja zatrudnienia będzie prowadzić rekrutacje dla potencjalnego pracodawcy na dwa sposoby. Z jednej strony będzie poszukiwać kandydatów poprzez zamieszczanie ogłoszeń o pracę w jego imieniu, a z drugiej strony może także korzystać z własnych baz danych kandydatów. W ten sposób agencja będzie pełnić podwójną rolę - zarówno jako administrator danych, jak i podmiot przetwarzający dane.
Potencjalny pracodawca zawiera z agencją zatrudnienia umowę powierzenia danych. W przypadku, gdy agencja korzysta z własnych zasobów kandydatów, dochodzi do udostępnienia danych osobowych potencjalnemu pracodawcy (tu również strony mogą zawrzeć umowę udostepnienia danych). Te różne metody pozyskiwania kandydatów wpływają na sposób wypełniania obowiązku informacyjnego.
W sytuacji, gdy agencja pozyskuje dane kandydatów we własnym imieniu i dodaje je do swoich baz, przekazanie dokumentów aplikacyjnych potencjalnemu pracodawcy wiąże się z koniecznością, aby to pracodawca spełnił wtórny obowiązek informacyjny zgodnie z art. 14 RODO. Natomiast, gdy agencja poszukuje kandydatów w imieniu i na rzecz klienta, powinna w jego imieniu wypełnić obowiązek informacyjny wynikający z art. 13 RODO.
Powyższe pokazuje, że agencji zatrudnienia oraz potencjalnego pracodawcy będzie zależna od ustaleń zawartych w ich relacji biznesowej.
12. Wykorzystywanie prywatnego adres e-mail / telefonu pracownika w trakcie zatrudnienia (Proponujemy dodanie zagadnienia do pkt. 4.1.2 - Ujawnianie i dostęp do danych osobowych w kontekście zatrudnienia str. 24 -25 Poradnika Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców)
Praktyka pokazuje, że pracodawcy niejednokrotnie wykazują potrzebę kontaktowania się z pracownikami w sprawach służbowych za pośrednictwem ich prywatnych kanałów komunikacji (e-mail lub telefon). Jest to istotne w przypadku pracowników, takich jak pracownicy produkcyjni czy kierowcy, którzy nie mają dostępu do służbowych urządzeń. Dodatkowo, część pracodawców wdraża politykę BYOD (ang. Bring Your Own Device), chcąc np. obniżyć koszty dla organizacji. Czy komunikacja z pracownikiem za pośrednictwem prywatnego e-maila lub telefonu jest prawidłowa i na jakich zasadach powinna się odbywać?
Pracodawca, posiadający dane kontaktowe pracownika, takie jak prywatny adres e-mail czy numer prywatnego telefonu komórkowego, pozyskane podczas rekrutacji, co do zasady nie może ich używać do celów zawodowych bez zgody pracownika. Kodeks pracy bowiem nie wymaga od pracownika udostępniania prywatnych danych kontaktowych do celów służbowych.
Dlatego pracodawca zobowiązany jest uzyskać od pracownika zgodę na korzystanie z prywatnych kanałów komunikacji, zgodnie z art. 7 RODO (przede wszystkim chodzi o dobrowolność wyrażenia takiej zgody).). Brak zgody lub jej wycofanie nie może skutkować niekorzystnym traktowaniem pracownika ani prowadzić do żadnych negatywnych konsekwencji dla niego.
Pracodawca powinien również poinformować pracownika o zasadach realizacji takiego kontaktu
13. Czy CV powinno być przechowywane w czasie zatrudnienia (w aktach pracowniczych)? (Proponujemy dodanie zagadnienia do pkt 4.1.1 Zawarcie umowy o pracę i akta osobowe pracownika, str. 23 Poradnika Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców)
Tak, ponieważ stanowi dokument zgromadzony w związku z ubieganiem się o zatrudnienie. Przechowywanie życiorysu kandydata jest praktycznym rozwiązaniem, które w naszej ocenie pełni funkcję oświadczenia kandydata (o którym mówi Rozporządzenie w sprawie dokumentacji pracowniczej). W przypadku, gdy pracodawca nawiązuje zatrudnienie z kandydatem, zamieszcza w część A teczki osobowej pracownika oświadczenia lub dokumenty związane z danymi osobowymi zgromadzonymi podczas procesu rekrutacji. Te dokumenty są przechowywane przez cały okres zatrudnienia oraz przez kolejne 50/10 lat (w zależności od daty rozpoczęcia zatrudnienia) po jego zakończeniu. Pracodawca posiada dowolność w decydowaniu o formalnej formie ww. dokumentów. Od 1 stycznia 2019 roku (dotychczas obowiązujący) kwestionariusz osobowy kandydata nie jest formalnym dokumentem, nie istnieją oficjalne wzory, co oznacza, że pracodawca nie jest zobowiązany do jego prowadzenia. W związku z tym może zdecydować się na przechowywanie oświadczenia kandydata w postaci CV.
14. Przekazywanie danych w grupie - wewnętrzne cele administracyjne
Obecnie brak oficjalnych stanowisk organów dot. możliwości wymiany danych kandydatów do pracy i byłych pracowników pomiędzy spółkami z grupy kapitałowej w oparciu o uzasadniony interes polegający na realizacji wewnętrznych celów administracyjnych (motyw 48 RODO). Rekomendujemy, aby na podstawie prawnie uzasadnionego interesu możliwa była nie tylko wymiana danych pracowników, ale także kandydatów do pracy czy byłych pracowników spółek z grupy. Poza tym pojęcie „wewnętrznych celów administracyjnych” jak i samej grupy kapitałowej (przedsiębiorstw) powinno być rozumiane możliwie szeroko uwzględniając obecne realia gospodarcze.
15. Sposób pełnienia obowiązku informacyjnego
Obecnie rośnie popularność tzw. warstwowego sposobu realizacji obowiązku informacyjnego, o którym mowa w art. 13 i 14 RODO. Uaktualniona wersja Poradnika mogłaby zatem zawierać rekomendację co do tego w jaki sposób pracodawcy mogą/powinni korzystać z warstwowej realizacji obowiązku. Taka sugestia będzie szczególnie cenna w obliczu tegorocznego planu kontroli PUODO obejmującego m.in. kontrole tego jak spełniany jest obowiązek informacyjny.
16. Obowiązek informacyjny wobec osób trzecich pracownika
W dniu 15 października 2020 r. PUODO przedstawił korzystne dla pracodawców, stanowisko w zakresie braku konieczności spełniania przez pracodawcę obowiązku informacyjnego wobec członków rodziny pracownika korzystającego z ZFŚS (Zadania IOD - UODO). Wskazane stanowisko powinno znaleźć się w Poradniku. Rekomendujemy je także rozszerzyć na inne sytuacje, w których przetwarzane są dane osób trzecich przez pracodawców – np. w związku z przetwarzaniem danych rodziny pracownika na potrzeby instytucji urlopu opiekuńczego w świetle art. 1731 Kodeksu Pracy.
17. Badanie trzeźwości – przetwarzanie dodatkowych danych (o zdrowiu) nt. Pracownika
W związku z wprowadzeniem do Kodeksu pracy przepisów dotyczących możliwości przeprowadzania przez pracodawców badań trzeźwości pracowników (na obecność alkoholu i innych środków odurzających), rekomendujemy aby zaktualizowana wersja Poradnika zawierała informacje, w jaki sposób pracodawca powinien przetwarzać dodatkowe dane pozyskane od pracowników (np. zaświadczenie lekarskie o przyjmowanych lekach działających podobnie do środków odurzających) w procesie badań, gdyż przepisy nie regulują tej kwestii. Pracodawca powinien wiedzieć jakie dane może przechowywać, jak długo i czy może wykorzystać te informacje w przypadku kolejnego badania w zakładzie pracy.
18. Dodanie kwestii audytu agencji pracy tymczasowej przez pracodawcę użytkownika.
Pomimo braku regulacji prawnych dotyczących wykonywania takich audytów w relacji między kontrahentami (agencją pracy tymczasowej a pracodawcą użytkownikiem, należy zauważyć fakt ich występowania w praktyce oraz związaną z tym problematykę. Takie audyty w relacjach biznesowych mają i będą mieć miejsce, służą one bowiem do weryfikacji przez kontrahentów utrzymywania oczekiwanych standardów zatrudnienia, którzy nie chcą wchodzić w relacje z podmiotami, które takich standardów nie spełniają (w szczególności jeśli zobowiązane są do spełniania standardów narzucanych przez gigantów biznesowych, z którymi współpracują). Jest zatem obiektywna potrzeba dokonania oceny takich audytów oraz zidentyfikowania właściwej podstawy prawnej na gruncie RODO do ich realizacji.
Prawidłowym modelem wydaje się udostępnienie w oparciu o prawnie uzasadniony interes administratora lub strony trzeciej, gdyż można zidentyfikować cel kontrahenta, który ma przeprowadzać taki audyt. Jednakże zakres udostępnianych danych (mogący potencjalnie obejmować dane szczególnych kategorii, co do których przesłanka prawnie uzasadnionego interesu nie może być stosowana), niespodziewanie się pracowników, że ich dane mogą być przekazywane kontrahentowi pracodawcy w zakresie wynikającym z audytu oraz interesy / prawa i wolności pracowników przeważające nad interesami pracodawcy lub strony trzeciej, mogą być skuteczną przeszkodą do legalnego udostępnienia takich danych. Mogłoby to wówczas prowadzić do podejmowania przez udostępniającego decyzji o akceptacji ryzyka z tym związanego i narażać przetwarzane przez pracodawcę dane osobowe na niebezpieczeństwo m.in. nieuprawnionego ujawnienia, utraty kontroli nad danymi.
Z powyższego względu, z perspektywy ochrony danych pracownika umowa powierzenia wydaje się być tu bezpieczniejszym rozwiązaniem (szczególnie, że jest to standardowo zawierana umowa przy audytach), przy założeniu, że kontrahent (administrator) nie znajduje podstaw do udostępnienia danych do realizacji celów innego administratora, ale identyfikuje swój cel w postaci wykazania przestrzegania oczekiwanych standardów i w ramach tego celu powierza dane do przetwarzania podmiotowi, który ma dokonać takiej oceny. Umowa powierzenia pozwala na zadecydowanie przez kontrahenta powierzającego dane o tym, do jakich wyłącznie celów dane te posłużą, w jakim zakresie i przez jaki czas procesorzy będą mieli dostęp do tych danych i pozwoli na zagwarantowanie, że po realizacji audytu dane zostaną przez podmioty audytujące zwrócone i usunięte.
19. Dodanie kwestii dotyczącej wskazania jaka jest podstawa prawna przekazywania danych kandydatów przez agencję pracy tymczasowej do potencjalnego pracodawcy użytkownika
Zarówno APT, jak i PU mają prawnie uzasadniony interes w udostępnieniu danych kandydatów, przejawiający się – po stronie APT – w wypełnianiu roli agencji pracy tymczasowej, z którą wiąże się poszukiwanie i łączenie kandydatów, których kwalifikacje odpowiadają potrzebom pracodawców użytkowników i ich zatrudnianie, by następnie świadczenie pracy następowało na rzecz tego pracodawcy użytkownika, oraz po stronie PU – w celu swobodnego wyboru kandydata, decydowania o tym, kto będzie wchodził w skład jego personelu, ale także weryfikacji maksymalnego czasu wykonywania pracy tymczasowej przez kandydata na rzecz tego pracodawcy.
Kandydat odpowiadając na rekrutację prowadzoną przez APT, może racjonalnie przypuszczać, że jego dane w zakresie w jakich podał je w dokumentach aplikacyjnych mogą być przekazane do potencjalnego pracodawcy użytkownika, którego oferta pracy jest adekwatna do kwalifikacji kandydata (informacja w tym zakresie powinna znaleźć się również w klauzuli informacyjnej APT).
20. Zatrudniam pracownika tymczasowego. Kto jest administratorem danych takiego pracownika: agencja pracy tymczasowej czy pracodawca użytkownik? (pkt 5.2)
Poradnik wskazuje, że „stosunek pracy tymczasowej wymaga, aby agencja zawarła z pracodawcą użytkownikiem umowę powierzenia przetwarzania danych osób świadczących pracę tymczasową, która określałaby zakres i cel przetwarzania przez niego danych”. Poradnik zdaje się zatem zobowiązywać do zawarcia takiej umowy, nie wskazując jednakże obszaru, którego takie powierzenie musi dotyczyć. W praktyce, zważywszy na to, że zarówno agencja pracy tymczasowej, jak i pracodawca użytkownik mają swoje cele w przetwarzaniu danych pracowników tymczasowych, które wynikają z przepisów, w szczególności ustawy o zatrudnianiu pracowników tymczasowych, oba te podmioty są odrębnymi administratorami. Umowa powierzenia może tu wystąpić, o ile któryś z tych podmiotów będzie działał na rzecz drugiego, np. przejmując jakąś część ich obowiązków. Nie zawsze jednak takie sytuacje wystąpią i wówczas nie identyfikuje się pola do zawarcia umowy powierzenia, stąd poczynione na wstępie zastrzeżenie, że umowa powierzenia jest wymagana, bez sprecyzowania sytuacji, w których jest to konieczne, nie znajduje uzasadnienia.
21. Czy, a jeśli tak, to w jakim zakresie pracodawca może wykorzystać służbowy adres e-mail po byłym pracowniku? (pytanie w pkt. 4.1.2)
Warto sprecyzować kwestię odnoszącą się do postępowania z korespondencją wpływającą na adres mailowy byłego pracownika – czy i kiedy właściwe będzie przekierowanie poczty byłego pracownika.
Imienny adres e-mail byłego pracownika (składający się z imienia i nazwiska, pierwszej litery imienia i nazwiska lub w niektórych przypadkach z pseudonimu) stanowi dane osobowe i taki adres powinien zostać usunięty z chwilą zakończenia stosunku pracy, a wszystkie dane przed usunięciem konta, związane z wykonywaną pracą, powinny zostać przekazane pracodawcy. Mając na uwadze to, że korespondencja może być w dalszym ciągu kierowana na adres byłego pracownika, pomimo podjęcia uprzednich działań informacyjnych czy to przez pracownika czy przez pracodawcę, konieczne jest zapewnienie ciągłości działania organizacji. Właściwym rozwiązaniem służącym temu celowi jest takie, w którym po wysłaniu maila na skrzynkę nieobecnej osoby pojawia się autoresponder z informacją, że obecnie danymi sprawami zajmuje się p. X i – alternatywnie – informacja o przekierowaniu korespondencji, albo informacja, że wiadomości nie są przekierowywane.
Jeśli organizacja dopuszcza korzystanie ze skrzynki mailowej również do celów prywatnych, ustawienie przekierowania korespondencji ze skrzynki byłego pracownika do innego pracownika jest rozwiązaniem obarczonym ryzykiem, związanym z np. wpływem prywatnej wiadomości adresowanej do byłego pracownika, stąd przyjęte w tym zakresie rozwiązanie powinna poprzedzać analiza prawdopodobieństwa wpływu prywatnej korespondencji na pocztę byłego pracownika.
22. Na jakich zasadach pracodawca może mieć wgląd do służbowej skrzynki pocztowej byłego / długotrwale nieobecnego pracownika?
Pożądane jest, by poradnik określał zasady dostępu do skrzynki byłego / długotrwale nieobecnego pracownika z uwagi na powszechność tej kwestii i występujące na tym tle wątpliwości.
Zasady w tym obszarze powinny zostać przez pracodawcę spisane i przekazane pracownikom / współpracownikom w stosownej polityce poczty elektronicznej, w której wskazano by jasne zasady dostępu do poczty nieobecnego pracownika / byłego pracownika, z którymi pracownik byłby zapoznawany na początku zatrudnienia.
Przypadki dostępu do skrzynek mailowych byłych lub długotrwale nieobecnych pracowników powinny być ograniczone do przypadków niezbędnych do zapewnienia ciągłości działania pracodawcy.
W celu minimalizacji dostępu dobrym rozwiązaniem będzie zapewnienie, by służbowe maile były dostępne w innym miejscu. Można to osiągnąć m.in. poprzez:
• zobowiązanie pracowników do zapisywania wiadomości w odpowiednim elektronicznym folderze na dysku sieciowym pracodawcy, czy w Outlooku – w dedykowanym danemu klientowi podfolderze) lub poprzez archiwizowanie korespondencji w formie papierowej,
• stworzenie dedykowanych poszczególnym klientom / tematyce skrzynek dostępnych dla wszystkich pracowników zajmujących się daną tematyką (pracownicy mogą np. skopiować otrzymaną przez siebie korespondencję na tę skrzynkę),
• zobowiązanie odchodzących pracowników do stosownego, udokumentowanego przekazania takich wiadomości.
Powyższe działania z jednej strony pozwolą ograniczyć dostęp do skrzynek byłych / długotrwale nieobecnych pracowników, a z drugiej strony zapewnią możliwość dostępu pracodawcy do potrzebnych informacji bez obaw o naruszenie prywatności pracownika.
Dostęp powinien od początku być ograniczany do tego co niezbędne (rzeczywistej potrzeby), np. poprzez wyszukiwanie określonych słów kluczowych i tematów przed uzyskaniem dostępu do treści wiadomości, włączanie w temat inspektora ochrony danych i zbieranie logów systemowych, aby mieć możliwość weryfikowania zgodności dostępu z prawem.
Przechowywanie danych na poczcie służbowej byłych pracowników powinno trwać możliwie jak najkrócej, a osoby odchodzące z organizacji powinny mieć świadomość tego, czy i jak długo będą przechowywane ich skrzynki pocztowe.
23. Testy kompetencyjne i ocena w rozmowach rekrutacyjnych w kontekście art. 221a Kodeksu Pracy
Przeprowadzanie testów wiedzy i umiejętności kandydatów do pracy aktualnie jest problematyczne z uwagi na wątpliwości, czy i które testy można przeprowadzać w oparciu o uzasadniony interes, a które testy wymagają zgody.
• Z jednej strony pracodawca ma prawo badać kompetencje kandydata, w tym tzw. kompetencje miękkie, i jeżeli robi to “ustnie” np. odpytując, to może to robić bez ograniczeń, natomiast jeżeli w tym celu użyje narzędzi (aplikacji, software’u), to pojawia się problem zgody z RODO.
• Jeżeli badanie kompetencji miałoby być zawsze oparte o zgodę kandydata, to pojawi się iluzoryczność jej dobrowolności, bo odmowa zgody nie powinna wywoływać negatywnych konsekwencji, a w praktyce trudno sobie wyobrazić sytuację, że kandydat, który odmówi wykonania standardowego testu dla wszystkich ubiegających się o pracę przejdzie pomyślnie dalszą rekrutację.
• Z kolei oparcie się o uzasadniony interes rodzi często problemy, czy jest to za każdym razem wystarczająca podstawa, ewentualnie, które testy mogą być przeprowadzone w oparciu o uzasadniony interes, a które wymagają zgody.
• Problem nie dotyczy typowych testów psychometrycznych wymaganych przez prawo, albo nawet nie wymaganych, ale mających taki charakter.
• Warto dodać, że stosowanie narzędzi pod nadzorem osób (rekruterów, pracowników HR itd.) daje możliwość bardziej obiektywnej oceny kandydatów niż jest to w przypadku dokonywania takiej oceny osobiście. Algorytm np. nie ocenia urody, nadwagi, “chemii”, nie kieruje się uprzedzeniami itp. stąd wprowadzenie takich narzędzi powinno być oceniane jako wsparcie działań antydyskryminacyjnych, oczywiście akcentując konieczność ludzkiego nadzoru i tylko pomocniczego charakteru takich narzędzi.
24. Testy kompetencyjne i ocena pracowników w kontekście art. 221a Kodeksu Pracy
Analogicznie jak w pkt powyżej z tym, że na etapie zatrudnienia pojawia się problem ewaluacji pracy, ewaluacji rozwoju, oceny talentów itp.
• Współcześnie coraz częściej stosuje się w tym celu przeznaczone do tego narzędzia i ostatecznie konsultuje się tylko wyniki. Kolizja zgoda vs uzasadniony interes jest również widoczna.
• Trudno sztywno wymagać zgody, bo jej odmowa będzie w praktyce powodować negatywne konsekwencje i napisanie w przepisie czy przewodniku ogólnej normy , “że nie może” będzie w rzeczywistości iluzoryczne.
• Istnieje potrzeba wskazania granicy, gdzie rzeczywiście pojawia się zgoda, a gdzie może to być inna podstawa prawna.
• W praktyce też nie jest zrozumiałe, dlaczego ocena dokonywana “osobiście” przez pracownika HR jest dopuszczalna bez ograniczeń, a oceniany pracownik nie może odmówić takiej rozmowy / oceny powołując się na przepisy. Natomiast, gdy użyjemy do tego narzędzia usprawniającego pracę pojawiają się problemy prawne.
• Warto dodać, że stosowanie narzędzi pod nadzorem osób (rekruterów, pracowników HR itd.) daje możliwość bardziej obiektywnej oceny kandydatów niż jest to w przypadku dokonywania takiej oceny osobiście. Algorytm np. nie ocenia urody, nadwagi, “chemii”, nie kieruje się uprzedzeniami itp.
• Warto dodać, że stosowanie narzędzi pod nadzorem osób (rekruterów, pracowników HR itd.) daje możliwość bardziej obiektywnej oceny kandydatów, niż jest to w przypadku dokonywania takiej oceny osobiście. Algorytm np. nie ocenia urody, nadwagi, “chemii”, nie kieruje się uprzedzeniami itp. stąd wprowadzenie takich narzędzi powinno być oceniane jako wsparcie działań antydyskryminacyjnych, oczywiście akcentując konieczność ludzkiego nadzoru i tylko pomocniczego charakteru takich narzędzi.
25. Nowe podejście do mediów społecznościowych
Poradnik w pkt. 3.11 zakazuje „gromadzenia” danych z mediów społecznościowych dotyczących pracowników, ale nie wyjaśnia w ten sposób co wolno
• Zakazuje „gromadzenia”, ale nie rozstrzyga, czy wolno przeglądać, wykorzystywać, zestawiać z innymi danymi itd. Tworzy to szarą strefę, bo w praktyce rekrutacja, która kieruje się zasadami “nie weryfikujemy kandydata w sieci” nie istnieje;
• istnieje potrzeba pozytywnego ukierunkowania co wolno robić w obecnych czasach i w obecnej powszechności social mediów, względnie zakreślenia stref szczególnego ryzyka, gdzie wykorzystanie danych z mediów społecznościowych nie będzie dopuszczalne.
26. Nowe podejście do zbierania referencji kandydata
Poradnik w pkt 3.2 zakazuje kontaktu z poprzednimi pracodawcami bez zgody kandydata.
• W praktyce jest to często łamane lub “obchodzone” poprzez nieformalne kontakty między rekruterami, którzy po prostu dzwonią do siebie i rozmawiają na temat danej osoby. Proces rekrutacji robi się wtedy w tym zakresie nietransparentny, a referencje są w praktyce zebrane i wpływają na decyzję o zatrudnieniu lub odmowie.
• Wydaje się, że wiele korzyści można by odnieść z poluzowania wymogów i odejścia od wymogu uzyskania zgody kandydata lub pójścia chociażby w kierunku opt-out i np. nałożenia na rekruterów obowiązku ujawnienia posiadania takich opinii oraz ich źródeł. W takiej sytuacji kandydat mógłby wiedzieć, który poprzedni pracodawca wydał o nim opinię, mógłby się z taką opinią skonfrontować, wytłumaczyć itd., a bez tego jest w zasadzie bezbronny.
•
27. Służba wojskowa
Proponuje się opisanie informacji o zasadach przetwarzania przez pracodawców informacji dotyczących stosunku do obowiązku obrony. Przez kilka ostatnich lat pracodawcy nie przetwarzali i nie zbierali informacji o stosunku do służby wojskowej. Sytuacja jednak mocno się i dynamicznie zmienia w ostatnich miesiącach a na pracodawców nakładanych jest coraz więcej obowiązków w tym zakresie. Zmieniło się też stanowisko UODO (https://praca.gazetaprawna.pl/artykuly/1488828,pracodawca-uodo-rodo-sluzba-w-armii-pracownik.html)
Realne problemy dla pracodawców to:
• przydziały mobilizacyjne – nie tylko dla pracowników wojska, ale dla różnych pożądanych dla wojska profesji (lekarze, pielęgniarki, weterynarze, tłumacze, informatycy, elektrotechnicy, kierowcy)
• powołanie do aktywnej rezerwy (plany MON – podwojenie liczby żołnierzy w AR do 20 tyś a przeszkolenie 200 tys. osób zakwalifikowanych do pasywnej rezerwy.
• służba rotacyjna w wojskach obrony terytorialnej.
•
28. Możliwości dokumentowania wniosków pracowników
Ostatnie nowelizacje Kodeksu pracy wprowadziły szereg nowych uprawnień pracowników, o które pracownicy wnioskują w określonych sytuacjach. Tytułem przykładu:
• korzystanie z pracy zdalnej szczególnych kategorii pracowników np. pracownik sprawujący opiekę nad innym członkiem najbliższej rodziny lub inną osobą pozostającą we wspólnym gospodarstwie domowym, posiadającymi orzeczenie o niepełnosprawności)
• zwolnienie od pracy z powodu siły wyższe (art. 1481 kp)
• urlop opiekuńczy (art. 1731 kp)
Pośród pracodawców pojawiają się wątpliwości w jakim zakresie mogą żądać od pracowników dokumentowania zasadności korzystania przez nich z poszczególnych uprawnień. Warto, aby ta kwestia została wyjaśniona w nowym poradniku.