Autor: Maciej M.
Szanowni Państwo,
w związku z ogłoszonymi przez Państwa konsultacjami dotyczącymi aktualizacji poradnika: „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców” pozwalam sobie przekazać Państwu swoje uwagi do opublikowanej treści ww. poradnika, a także sugestie dotyczące wprowadzenia dodatkowych zmian i wyjaśnień, które nie zostały uwzględnione w opublikowanej wersji poradnika.
W pierwszej kolejności przekazuję swoje uwagi do opublikowanej treści poradnika:
- W punkcie 2 (str. 7) poradnika w zdaniu pierwszym, w nawiasie wymienione zostały „dokumenty rekrutacyjne” pozyskiwane przez pracodawcę w toku procesu rekrutacji. Wymienione zostały tu takie dokumenty jak „świadectwa pracy”, czy też bliżej nieokreślone „zaświadczenia”. Proponuję usunięcie tych informacji bowiem w znakomitej większości procesów rekrutacyjnych tego typu dokumenty nie mogą być pozyskiwane przez pracodawców;
- W drugim zdaniu w punkcie 2 poradnika wskazano, że: „Pracodawca powinien przetwarzać tylko takie dane….”. W tym przypadku określenie „powinien” jest zdecydowanie zbyt miękkie i sugeruje odstępstwa od zasady minimalizacji danych. Słowo „powinien” proponuję zastąpić słowami: „zobowiązany jest”;
- W ostatnim zdaniu w pkt 2 poradnika posłużono się sformułowaniem „postanowienia RODO”. Proponuję zmienić to sformułowanie na: „przepisy RODO”.
- W punkcie 2.1. poradnika pierwsze zdanie rozpoczyna się od słów: „Pracodawca może oczekiwać od kandydata do pracy…”. Jest to sformułowanie nieprecyzyjne i de facto niezgodne z treścią art. 22(1) Kodeksu pracy. Analogiczne stwierdzenie znajduje się w drugim zdaniu w tym punkcie poradnika. Proponuję dostosować treść poradnika do treści przepisu kodeksu pracy w tym zakresie;
- W przykładzie klauzuli informacyjnej zawartej w ramce na stronie 10, w sekcji „Cele i podstawy przetwarzania” należy rozważyć zmianę wskazanej podstawy prawnej przetwarzania danych wskazanych w przepisach Kodeksu pracy (art. 6 ust. 1 lit. c zamiast art. 6 ust. 1 lit. b RODO);
- W tej samej ramce w sekcji „Prawa osób, których dane dotyczą” należy rozważyć doprecyzowanie zawartej tam informacji w taki sposób aby wskazać, że podmioty mają prawo żądać realizacji przysługujących im praw;
- W tej samej ramce w ostatniej sekcji należy rozważyć na końcu dodanie słów: „a ich niepodanie nie będzie rodzić dla Państwa jakichkolwiek negatywnych konsekwencji”;
- W punkcie 2.3. w drugim zadaniu należy rozważyć usunięcie słów: „liście motywacyjnym”;
- Na stronie 12 w odpowiedzi na pytanie: „Czy pracodawca może wykorzystać dane kandydatów do pracy pozyskane w konkretnym procesie rekrutacyjnych do celów przyszłej rekrutacji” w poradniku wskazano, że: „Pracodawca po zakończeniu procesu rekrutacji powinien usunąć dane osobowe kandydata…”. Abstrahując od potrzeby poprawienia literówki w zadanym pytaniu, należy rozważyć dostosowanie treści poradnika do wyroku Naczelnego Sądu Administracyjnego z dnia 20 lutego 2024 roku w sprawie III OSK 2700/22, w tym poprzez ewentualne wskazanie, że pracodawca może przechowywać dokumenty rekrutacyjne wszystkich kandydatów do upływu terminu przedawnienia roszczeń określonego w przepisach prawa pracy (przy czym, że dokumenty te powinny podlegać np. pseudonimizacji);
- Ostatnie pytanie w pkt 2.3. poradnika błędnie odnosi się do pracownika („Czy pracownik może wycofać swoją zgodę?). Należy rozważyć zmianę słowa pracownik na: „kandydat do pracy”;
- Punkt 3.2. poradnika zawiera generalny zakaz kontaktowania się potencjalnego pracodawcy z poprzednim pracodawcą kandydata do praca. Taki zakaz jest uzasadniony aktualnym brzmieniem art. 22(1) Kodeksu pracy, w którym wprost wskazuje się samego kandydata jako jedyne źródło danych osobowych przetwarzanych w procesie rekrutacyjnym. Jednocześnie od strony praktycznej taka interpretacja przepisu może łatwo prowadzić do nadużyć polegających na przedstawianiu przez kandydatów nieprawdziwej ścieżki zawodowej. W związku z powyższym należy rozważyć możliwość podjęcia inicjatywy ustawodawczej umożliwiającej implementację mniej restrykcyjnych przepisów w tym zakresie;
- W punkcie 3.3. (akapit drugi zdanie drugie) poradnika błędnie wskazano podstawę prawną dotyczącą udostępniania danych osobowych pracodawcy przez kandydata w formie oświadczenia – powinien być art. 22(1) §5 Kodeksu pracy.
- Do punktu 3.4. - 3.6. poradnika zgłaszam analogiczną uwagę jak w pkt 9 powyżej;
W ramach procesu rekrutacji występują także inne praktyczne problemy i wątpliwości, które nie zostały omówione w opublikowanym poradniku, w tym:
- Czy pracodawca może przechowywać cv zatrudnionego kandydata w części A akt osobowych pracownika;
- Przetwarzanie danych osobowych cudzoziemców na etapie rekrutacji – art. 2 ustawy o skutkach powierzania wykonywania pracy cudzoziemcom przebywającym wbrew przepisom na terytorium RP przewiduje wymóg żądania od cudzoziemca ważnego dokumentu uprawniającego do pobytu na terytorium RP „przed rozpoczęciem pracy”. Literalna interpretacja tego przepisu może prowadzić do wniosku, że takiego dokumentu pracodawca mógłby żądać dopiero po podjęciu decyzji o zatrudnieniu obcokrajowca. Z praktycznego punktu widzenia pracodawca powinien być jednak uprawniony do pozyskania takiego dokumentu na etapie rekrutacji;
- Stosowane środki bezpieczeństwa – zważywszy na fakt, że zakres i sposób przetwarzania danych osobowych w trakcie rekrutacji jest zazwyczaj dość standardowy (zakres danych obejmuje zazwyczaj imię i nazwisko, datę urodzenia, adres zamieszkania, dane kontaktowe, historię zatrudnienia, informacje dotyczące wykształcenia i posiadanych kwalifikacji oraz wizerunek kandydata, zaś przetwarzanie dokonywane jest w formie papierowej i elektronicznej i polega na udostępnianiu, w tym przesyłaniu cv z działu rekrutacji do bezpośredniego przełożonego kandydata oraz dalszych przechowywaniu, a następnie usuwaniu i niszczeniu dokumentów rekrutacyjnych) zasadnym wydaje się uwzględnienie w treści poradnika aktualnych, rekomendowanych przez Urząd środków bezpieczeństwa (przy uwzględnieniu aktualnego stanu wiedzy i kosztów wdrażania oraz ryzyka związanego z przetwarzaniem ww. danych), w tym w szczególności środków technicznych, które powinny zostać w ocenie Urzędu przez administratorów i podmioty przetwarzające dane;
- Czy pracodawca może (w formularzu służącym do przesłania cv w ramach konkretnej rekrutacji) żądać podania oczekiwań finansowych kandydata;
- Czy pracodawca może informować agencję zatrudnienia o wysokości uzgodnionego z kandydatem wynagrodzenia w przypadku kandydata zrekrutowanego za pośrednictwem takiej agencji – jeśli pracodawca i agencja umówiły się, że wynagrodzenie agencji będzie uzależnione od kwoty ustalonego wynagrodzenia;
Poniżej przekazuję dalsze uwagi do treści poradnika (dla części dotyczącej okresu zatrudnienia):
- W punkcie 4.1. słowa: „ma prawo żądać” powinny zostać zmienione na: „żąda”;
- W przypadku odpowiedzi na ostatnie pytanie w pkt. 4.1.1. poradnika należy rozważyć uwzględnienie informacji, że klauzula informacyjna powinna znajdować się w treści kwestionariusza osobowego służącego do zbierania danych osobowych pracownika;
- W odpowiedzi na drugie pytanie w punkcie 4.1.2. poradnika wskazano, że umieszczenia zdjęcia pracownika na służbowym identyfikatorze może nastąpić tylko za zgodą pracownika, chyba że wymóg w tym zakresie wynika z przepisów prawa. Wydaje się, że takie stanowisko jest zbyt restrykcyjne – w szczególności w przypadku gdy pracodawca wymaga aby taki identyfikator był noszony przez pracownika wyłącznie na terenie zakładu pracy. Należy rozważyć możliwość przetwarzania danych w oparciu o prawnie uzasadniony interes pracodawcy jako administratora;
- W przypadku odpowiedzi na pytanie trzecie w pkt 4.1.2. wydaje się natomiast, że przewidziane uprawnienie do publikacji służbowych danych pracowników na stronie internetowej pracodawcy zostało ujęte zbyt szeroko i powinno zostać ograniczone tylko do tych pracowników, którzy faktycznie reprezentują pracodawcę w kontaktach z kontrahentami i klientami. Dodatkowo w tym kontekście zasadnym wydaje się udzielenie w poradniku odpowiedzi na pytanie dotyczące ewentualnego żądania klienta lub kontrahenta aby pracodawca wskazał imię, nazwisko i stanowisko pracownika (np. w przypadku pracownika sklepu, który „był niemiły” dla klienta i klient chce złożyć skargę na jego zachowanie);
- W punkcie 4.2.4. poradnika przedstawiona została koncepcja, zgodnie z którą pracodawca może udostępniać dane osobowe pracowników podmiotom świadczące usługi w zakresie tzw. benefitów pracowniczych (karty sportowe, ubezpieczenie, świadczenia medyczne) w oparciu o zgodę pracownika. Jednocześnie autorzy poradnika wykluczyli możliwość przyjęcia konstrukcji polegającej na przetwarzaniu danych w ww. procesach przez pracodawców jako podmioty przetwarzające dane (w szczególności zbierające i przesyłające te dane) dla administratorów, tj. podmiotów świadczących ww. usługi. W praktyce jednak może się zdarzać, że pracodawca może zbierać dla ww. podmiotów dane osobowe, których sam nie przetwarza (np. prywatny adres e-mail pracownika), a także dane innych osób wskazanych przez pracownika (np. osób, których pracownik także chce objąć ubezpieczeniem lub opieką medyczną). W przypadku takich danych pracodawca nie będzie decydował o celach i sposobach ich przetwarzania, a jedynie będzie może je zbierać na potrzeby ich udostępnienia właściwemu administratorowi;
- W punkcie 4.3. poradnika wskazano, że pracodawca nie ma prawa do naruszania prywatności pracownika w miejscu pracy na przykład poprzez „monitorowanie” rozmów telefonicznych. To stwierdzenie wydaje się być dosyć niejednoznaczne i może wskazywać na generalny zakaz nagrywania rozmów telefonicznych, np. realizowanych w ramach biura obsługi klientów, co pracodawca może realizować w oparciu o swój prawnie uzasadniony interes (m. in. polegający na poprawie jakości obsługi klientów czy bieżącym szkoleniu pracowników swojej infolinii);
- Odpowiedź na drugie pytanie w pkt. 4.3.1. poradnika zawiera informację o zakazie naruszania tajemnicy korespondencji w przypadku kontroli poczty służbowe pracownika. Zasadnym wydaje się rozszerzenie zawartej tu informacji poprzez jednoznaczne stwierdzenie, czy w ocenie organu wystarczające będzie wprowadzenie zakazu (na poziomie obowiązujących u pracodawcy regulaminów i polityk) wykorzystywania poczty służbowej do celów prywatnych (lub ewentualne zobowiązanie pracowników do „flagowania” wiadomości prywatnych).
- W odpowiedzi na ostatnie pytanie w pkt. 4.3.2. poradnika znajduje się informacja, że dane biometryczne mogą być przetwarzane tylko w enumeratywnie wymienionych sytuacjach. Jeśli faktycznie tak jest to prosiłbym o rozważenie wylistowania takich przypadków w poradniku;
- W odpowiedzi na drugie pytanie w pkt. 4.3.3. poradnika, wykluczona została możliwość przetwarzania przez pracodawcę informacji dotyczącej lokalizacji pojazdu służbowego w czasie, gdy pojazd ten jest wykorzystywany przez pracownika do celów prywatnych z tym zastrzeżeniem, że w przypadku kradzieży pojazdu lub potrzeby ustalenia okoliczności uszkodzenia pojazdu monitoring GPS jest jednak dopuszczalny. Taka konstatacja oznacza, że w praktyce moduł GPS w pojazdach służbowych może być przez cały czas włączony. Rozwinięcie tej koncepcji znajduje się w pytaniu trzecim, gdzie autorzy poradnika wskazują na konieczność uzyskania zgody pracownika w zakresie możliwości wykorzystywania monitoringu GPS w pojeździe służbowym wykorzystywanym do celów prywatnych. Abstrahując od potencjalnego problemu dotyczącego skuteczności takiej zgody (w kontekście potencjalnego braku jej dobrowolności) wskazać należy, że brak takiej zgody uniemożliwi pracodawcy ustalenie lokalizacji pojazdu w przypadku jego kradzieży oraz ustalenie okoliczności zdarzenia skutkującego uszkodzeniem pojazdu. W związku z powyższym proszę o rozważenie możliwości uwzględnienia w poradniku informacji w przedmiocie możliwości przetwarzania danych pochodzących z monitoringu GPS w samochodach służbowych w oparciu o prawnie uzasadniony interes administratora;
W ramach procesu zatrudnienia występują także inne praktyczne problemy i wątpliwości, które nie zostały omówione w opublikowanym poradniku, w tym:
- Instytucja EOR („employer of record”), czyli tzw. pracodawcy technicznego, który jest stroną umowy o pracę i jest zobowiązany do odprowadzania należności publicznoprawnych (zaliczki na podatek, składki na ZUS) oraz wypłaty wynagrodzeń, jednakże w żaden sposób nie decyduje o tym, jaką pracę ma wykonywać pracownik, gdzie ta praca ma być wykonywana i w jakich godzinach, a także nie nadzoruje tej pracy i nie decyduje o wysokości wynagrodzenia, ewentualnych dodatkach, benefitach czy przyznawaniu urlopów. W tym kontekście poradnik powinien zawierać informację dotyczącą roli EOR i „faktycznego pracodawcy” (który na podstawie odrębnej umowy zleca EOR zawarcie umowy z pracownikiem i realizację ww. obowiązków) w procesie przetwarzania danych osobowych pracowników;
- Czy w przypadku, gdy dany podmiot korzysta z systemów informatycznych (w tym poczty elektronicznej) na podstawie umowy zawartej z dostawcami takich systemów przez jego „spółkę-matkę” i „spółka-matka” decyduje m. in. o zakładaniu i usuwaniu kont użytkowników, a także występuje do dostawcy danego systemu w przypadku potrzeby odzyskania konta użytkownika po ustaniu zatrudnienia to w takim przypadku „spółkę-matkę” uznać należy za odrębnego administratora danych, podmiot przetwarzający dane w imieniu administratora, czy też należy przyjąć, że w takim scenariuszu zachodzi współadministrowanie?
- W poradniku proponuję uwzględnić informacje dotyczące przetwarzania danych osobowych na potrzeby pozyskiwania przez pracodawców środków z Krajowego Funduszu Szkoleniowego. Pomimo tego, że kwestia ta jest dość jasno uregulowana w przepisach Rozporządzenia Ministra Pracy i Polityki Społecznej z dnia 14 maja 2014 roku w sprawie przyznawania środków z Krajowego Rejestru Szkoleniowego, to według mojej wiedzy praktyka Powiatowych Urzędów Pracy jest bardzo różna przez co często dochodzi też do istotnego naruszania zasady minimalizacji danych;
- Na podstawy przepisów o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych wielu pracodawców przechowywać będzie akta osobowe pracowników zatrudnionych przed 31 grudnia 2018 roku przez 50 lat. W mojej ocenie należy rozważyć wskazanie w poradniku informacji dotyczących częstotliwości weryfikacji bezpieczeństwa przechowywania takich dokumentów – jeśli dokumenty te podlegają przechowywaniu w zewnętrznym archiwum;
- Zasadnym wydaje się także aby w poradniku uwzględniona została informacja dotycząca minimalnych standardów bezpieczeństwa, które (zdaniem urzędu – według stanu wiedzy na dzień publikacji poradnika) powinni wdrożyć pracodawcy w związku z przetwarzaniem danych osobowych pracowników, a także w związku z wdrożeniem przepisów odnoszących się do pracy zdalnej;
- Zważywszy na fakt, że obecnie w wielu przedsiębiorstwach przetwarzanie danych odbywa się wyłącznie lub prawie wyłącznie w formie elektronicznej – przy wykorzystaniu systemów informatycznych, proszę o rozważenie możliwości zawarcia w poradniku informacji dotyczącej możliwości przyjęcia założenia, że upoważnienie do przetwarzania danych osobowych stanowi nadanie przez pracodawcę dostępu do danego systemu informatycznego, a zakres przedmiotowy upoważnienia pokrywać się będzie w takim przypadku z zakresem danych przetwarzanych w systemach informatycznych, do których dostęp uzyskuje pracownik (nie dotyczy szczególnych kategorii danych, do których wymagane jest pisemne upoważnienie);
- Wystawianie dokumentów „TAX FREE” jest dostępne dla osób posiadających konta na platformie PUESC, do czego wymagane jest posiadanie Profilu Zaufanego. Jednocześnie dokumenty TAX FREE co do zasady wystawiane są w punktach sprzedaży – na żądanie Klienta, co oznacza w praktyce, że tego typu dokumenty wystawiane będą przez pracowników tych punktów. Czy zatem w ocenie Urzędu pracodawca może żądać od pracowników dedykowanych do obsługi Klientów założenia ww. kont w celu wystawiania dokumentów TAX FREE?
- Czy w ocenie Urzędu – biorąc pod uwagę aktualny stan prawny – pracodawca jest uprawniony do przetwarzania danych osobowych pracowników (w tym: stażu pracy, daty urodzenia, informacji o czasie i terminach przebywania na zwolnieniach lekarskich, terminach, czasie i rodzaju urlopów, wykształcenia, doświadczenia zawodowego, odbytych szkoleń i zdobytych certyfikatów) w celu planowania przyszłych potrzeb w zakresie zatrudnienia pracowników i przewidywania przyszłych potrzeb szkoleniowych? Nadmieniam, że takie analizy nie będą skutkować podejmowaniem jakichkolwiek decyzji w stosunku do pracowników.
9. Czy zgoda pracownika może stanowić odpowiednią podstawę prawną do przetwarzania przez pracodawcę danych osobowych pracownika w zakresie prywatnego numeru telefonu jeśli pracodawca nie zapewnia pracownikom służbowego sprzętu w tym zakresie?
Pewne wątpliwości budzą także informacje zawarte w ostatniej części poradnika, dotyczące przetwarzania danych osobowych w ramach innych form zatrudnienia. Uwagi w tym zakresie przedstawiam poniżej:
- W odpowiedzi na drugie pytanie w pkt 5.1. poradnika zawarta została dosyć kontrowersyjna teza odnosząca się do równości stron stosunku B2B. W praktyce często wielkie korporacje współpracują z osobami fizycznymi prowadzącymi działalność gospodarczą w oparciu o takie umowy i nie sposób przyjąć aby owe korporacje nie znajdowały się w pozycji dominującej w stosunku do takich osób;
- Odpowiedź na ostatnie pytanie w pkt 5.1. może wprowadzać w błąd bowiem w znakomitej większości przypadków administrator będzie posiadał inne podstawy prawne do przetwarzania danych byłego kontrahenta, w tym: obowiązek prawny związany z wymogiem przechowywania dokumentacji księgowej i prawnie uzasadniony interes polegający na przetwarzaniu danych w celu ustalenia lub obrony roszczeń;
- Wątpliwość budzi także odpowiedź na pierwsze pytanie w pkt. 5.2. poradnika w zakresie, w jakim przewidziano wymóg zawarcia umowy powierzenia przetwarzania danych osobowych pomiędzy agencją pracy tymczasowej a pracodawcą użytkownikiem. Jeśli Urzędu opinia w tym zakresie jest aktualna to prosiłbym o rozważenie możliwości uwzględnienia w poradniku informacji dotyczących zakresu danych osobowych pracowników tymczasowych, które pracodawca użytkownik przetwarza jako procesor;
Dodatkowo w tym obszarze prosiłbym o rozważenie możliwości omówienia w poradniku ról strony umowy o indywidualny leasing pracowniczy w procesie przetwarzania danych osobowych pracownika objętego takim leasingiem.
Dziękuję za możliwość przekazania Państwu swoich uwag i pytań.