Autor: Andersen Tax&Legal Srokosz i Wspólnicy sp. k.
Szanowni Państwo,
W związku z planowaną rewizją poradników Urzędu Ochrony Danych Osobowych, w imieniu Andersen Tax&Legal Srokosz i Wspólnicy sp. k., w załączeniu przekazuję nasze uwagi dotyczące treści opracowania pt. „Ochrona danych osobowy w miejscu pracy. Poradnik dla Pracodawców” z października 2018 („Poradnik”). Są one oparte o doświadczenia nasze oraz naszych Klientów, a ponadto wynikają ze zmian w rzeczywistości biznesowej i prawnej. Uwagi zostały zamieszczone poniżej i są skonstruowane w taki sposób, by odnosiły się do aktualnych jednostek redakcyjnych zawartych w Poradniku oraz zawierały proponowaną treść i uzasadnienie zmiany.
Jednostka redakcyjna
3.4. Jak długo można przetwarzać dane kandydatów do pracy?
Proponowana treść
Podczas procesu rekrutacyjnego pracodawca może przetwarzać dane kandydatów/-ek do pracy na podstawie ich zgody, niezbędności do wypełnienia obowiązku prawnego ciążącego na administratorze oraz realizacji jego prawnie uzasadnionych interesów, w celu prawidłowego przeprowadzenia procesu rekrutacji i selekcji pracowników.
3.5. Czy pracodawca może przetwarzać dane kandydatów do pracy po zakończeniu rekrutacji w celu zabezpieczenia się przed ich ewentualnymi roszczeniami?
Po zakończonym procesie rekrutacji podstawą prawną przetwarzania może być prawnie uzasadniony interes w postaci niezbędności do obrony przed roszczeniami wynikającymi wprost z Kodeksu pracy, w szczególności związanymi z potencjalną dyskryminacją. Przechowywanie danych osobowych w tym celu będzie dopuszczalne przez okres trzyletni, jako równy okresowi przedawnienia roszczeń pracowniczych.
3.6. Czy możliwość wystąpienia roszczeniem z tytułu dyskryminacji uzasadnia dłuższe przechowywanie danych?
Zgodnie z zasadami ograniczenia celu i minimalizacji danych osobowych, w okresie przedawnienia roszczeń dane mogą być wyłącznie przechowywane i tylko w zakresie, jaki jest niezbędny dla obrony przed ewentualnymi roszczeniami. Wykorzystanie takich danych może nastąpić wyłącznie w przypadku sporu, a po upływie okresu przedawnienia wszelkie dane zebrane podczas rekrutacji powinny zostać trwale usunięte.
Uzasadnienie
Stanowisko wyrażone w dotychczasowej wersji poradnika było szeroko krytykowane i sprawiało, że pracodawcy – chcąc doprowadzić do zgodności z nim – pozbawiali się możliwości obrony przed roszczeniami. Ponadto zgodność z prawem przechowywania danych osobowych zebranych w trakcie rekrutacji w celu obrony przed roszczeniami przez cały okres przedawnienia została potwierdzona przez Naczelny Sąd Administracyjny (wyrok NSA z dnia 20.02.2024 r., sygn. akt III OSK 2700/22).
4.1.3. Przetwarzanie danych na potrzeby przyznawania świadczeń z Zakładowego Funduszu Świadczeń Socjalnych (ZFŚS)
Przez jaki czas można przetwarzać dane pracownika udostępnione na potrzeby rozpatrzenia jego wniosku przez ZFSŚ?
Proponowana treść
Okres przechowywania danych osobowych przez pracodawcę powinien być dostosowany do czasu, jaki jest niezbędny do przyznania ulgowej usługi, świadczenia i dopłaty z Funduszu oraz ustalenia ich wysokości, a dla tych świadczeń, które zwolnione są z obowiązku opodatkowania, także przez okres przedawnienia zobowiązania podatkowego, tj. przez 5 lat, licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku.
Niezależnie od tego, zgodnie z przepisami ustawy o ZFŚS, pracodawca powinien nie rzadziej niż raz w roku kalendarzowym dokonywać przeglądu danych w celu ustalenia niezbędności ich dalszego przechowywania i usuwać dane, których przechowywanie stało się zbędne.
Uzasadnienie
Art. 8 ust. 1c ustawy o ZFŚS stanowi, że „Pracodawca przetwarza dane osobowe, o których mowa w ust. 1a, przez okres niezbędny do przyznania ulgowej usługi i świadczenia, dopłaty z Funduszu oraz ustalenia ich wysokości, a także przez okres niezbędny do dochodzenia praw lub roszczeń”.
W przypadku niektórych świadczeń z ZFŚS zasadne jest jednak przechowywanie danych przez okres przedawnienia zobowiązań podatkowych ze względu na ich zwolnienie z opodatkowania. W tych przypadkach zasadne jest przyjęcie pięcioletniego okresu przedawnienia, liczonego od końca roku kalendarzowego, w którym nastąpił termin płatności podatku.
Stanowisko to zbieżne jest również z orzecznictwem Prezesa UODO (zob. decyzja z dnia 7 września 2023 r., znak: DS.523.2588.2023.ZS.AO)
W związku z tym proponujmy, aby ostatni akapit z rozdziału 4.1.3. został odpowiednio przeredagowany.
5.2. Przetwarzanie danych pracowników tymczasowych
Zatrudniam pracownika tymczasowego. Kto jest administratorem danych takiego pracownika: agencja pracy tymczasowej czy pracodawca użytkownik?
Proponowana treść
Pracownik tymczasowy jest osobą zatrudnioną przez agencję pracy tymczasowej. Nie ulega zatem wątpliwości, że agencja pracy tymczasowej jest administratorem danych osobowych pracowników tymczasowych, jako ich pracodawca.
Jednocześnie, pracodawcę użytkownika również należy uznać za administratora danych osobowych pracowników tymczasowych. Zakres obowiązków i uprawnień pracodawcy użytkownika, wynikający z ustawy o zatrudnieniu pracowników tymczasowych powoduje, że pracodawca użytkownik ustala cele i sposoby przetwarzania danych dotyczących pracowników tymczasowych. Tym samym, jest on odrębnym od agencji pracy tymczasowej administratorem danych pracowników tymczasowych.
Nie należy, jednakże wykluczyć możliwości zawarcia umowy powierzenia pomiędzy agencją pracy tymczasowej a pracodawcą użytkownikiem w przypadku wykonywania przez pracodawcę użytkownika także innych zadań niż te wynikające wprost z ustawy o zatrudnianiu pracowników tymczasowych. W tym zakresie pracodawca użytkownik będzie realizował cele agencji pracy tymczasowej, a w konsekwencji – występował w roli podmiotu przetwarzającego.
Uzasadnienie
Agencja pracy tymczasowej oraz pracodawca użytkownik wykonują własne, niezależne od siebie zadania publiczne względem pracowników tymczasowych, wynikające z różnych podstaw prawnych.
Agencja pracy tymczasowej jest administratorem danych osobowych swoich pracowników, ponieważ to ona dokonuje zawiązania umowy o zatrudnienie pracowników tymczasowych i jest ich pracodawcą w rozumieniu Kodeksu pracy. Natomiast pracodawca użytkownik, otrzymujący dane osobowe pracowników tymczasowych w realizuje własne, odrębne i niezależne od agencji tymczasowej cele przetwarzania, jakimi są np. prowadzenie ewidencji czasu pracy pracownika. Pracodawca użytkownik nie przetwarza takich danych w imieniu innego administratora jakim jest agencja pracy tymczasowej. Stosunek pomiędzy pracodawcą użytkownikiem a agencją pracy tymczasowej będzie jest we wzajemnym odniesieniu relacją dwóch niezależnych administratorów.
Możliwe jest jednak, że agencja pracy tymczasowej zleci pracodawcy użytkownikowi wykonywanie dodatkowych czynności przetwarzania – w takiej sytuacji pracodawca użytkownik będzie dokonywał przetwarzania w imieniu agencji.
Jednocześnie w naszej ocenie Poradnik powinien zostać rozszerzony o kwestie dotyczące wykorzystywania nowych technologii oraz o zmiany stanu prawnego, które miały miejsce w ostatnich latach. Poniżej zamieszczamy nasze postulaty dotyczące istotnych – naszym zdaniem – zagadnień, które powinny zostać umieszczone w nowej rewizji Poradnika.
Nowe technologie i monitoring pracowniczy
W pierwszym zakresie warto byłoby wskazać pracodawcom, które z narzędzi mogą stanowić monitoring w rozumieniu Kodeksu pracy. Z doświadczenia wiemy, że często pracodawcy nieświadomie wdrażają rozwiązania mające usprawnić organizację pracy, które jednak okazują się monitoringiem pracowników. Przykładowo chodzi o takie narzędzia jak systemy RTLS, oprogramowanie sprawdzające aktywność na komputerze (otwarte okna, czas przy komputerze itp.), czy też – ostatnio zyskujące popularność – narzędzia oparte o sztuczną inteligencję, które wykorzystywane mogą być między innymi przy rekrutacji, do wstępnej selekcji pracowników.
W tym ostatnim przypadku zdajemy sobie sprawę, że ich używanie będzie w pewnym stopniu regulowane przez Akt w sprawie sztucznej inteligencji, natomiast nie zmienia to konieczności zapewnienia zgodności stosowania takich rozwiązań z przepisami o ochronie danych. Warto również wskazać pracodawcom, co decyduje o tym, że dane rozwiązanie monitoringiem nie jest – zarówno w przypadku stosowania nowych technologii, jak i monitoringu wizyjnego. Nie każde bowiem posadowienie kamer ma na celu kontrolę pracowników, a niekiedy kamery są instalowane w celu zapewnienia ogólnego bezpieczeństwa, np. na produkcji i nie rejestrują wizerunku.
Uwzględnienie nowych przepisów Kodeksu pracy
W odniesieniu do drugiego zakresu, Poradnik powinien zostać zaktualizowany o zmiany prawa dotyczące zwłaszcza pracy zdalnej i kontroli trzeźwości. W pierwszym przypadku pracodawcy mają niekiedy wątpliwości, co powinny zawierać procedury ochrony danych osobowych i w jakim zakresie mogą lub nie mogą one pokrywać się z już obowiązującymi politykami. W drugim zaś, niedookreślone przez ustawodawcę zostało pojęcie „niezbędności do zapewnienia ochrony życia i zdrowia pracowników lub innych osób lub ochrony mienia” (art. 221c § 1 Kodeksu pracy). Nie jest zatem jednoznaczne, czy niezbędność ta – podobnie jak przy interpretacji art. 6 RODO – powinna być interpretowana szeroko (jako np. zapobieganie niebezpieczeństwu fizycznemu), czy też w jej ramach mieści się także zapobieganie innym zdarzeniom, takim jak chociażby skierowanie nieprawidłowego przelewu bankowego na nieprawidłowy rachunek z powodu nietrzeźwości pracownika. Naszym zdaniem w tym przypadku prawidłowa jest druga interpretacja, gdyż z perspektywy interesów pracodawcy każdy nietrzeźwy pracownik może powodować niebezpieczeństwo w zakładzie pracy – tak dla życia i zdrowia, jak i mienia. Co więcej, nawet pracownicy administracyjno-biurowi nierzadko przebywają na obszarach produkcyjnych. Z tego względu sugerujemy, aby nowa wersja Poradnika adresowała również wyżej zarysowane kwestie.
Uwagi dodatkowe
Niezależnie od powyższego, chcielibyśmy zwrócić uwagę na istotną kwestię, która niejednokrotnie pojawiała się w naszej praktyce, a która może wymagać zmian legislacyjnych w zakresie kierowania pracowników na badania lekarskie przez pracodawcę. Obecnie pracodawcy nie mają możliwości zgodnego z prawem zamieszczenia adnotacji na skierowania, w szczególności o podejrzeniach co do stanu zdrowia pracownika – nawet w sytuacji, gdy pracodawca zaobserwował niepokojące symptomy u pracownika. Prowadzi to do sytuacji, w której jedynie prawdomówność pracownika może zapewnić bezpieczne i higieniczne warunki pracy, których zapewnienie jest obowiązkiem pracodawcy. Pracownik z kolei może celowo nie ujawniać lekarzowi swoich dolegliwości w obawie przed orzeczeniem o braku zdolności do pracy i w konsekwencji utratą źródła zarobkowania.
Przykładowo, jeżeli pracodawca podejrzewa u pracownika narkolepsję lub schizofrenię, to obecnie przekazując takie informacje lekarzowi medycyny pracy naraża się na nałożenie na niego sankcji (np. decyzja Prezesa UODO z 27 kwietnia 2022 r., DS.523.7376.2021). Z drugiej strony, brak wiedzy na temat przeprowadzonych badań i brak kontroli nad tym, czy lekarz medycyny pracy zbadał również niepokojące objawy pracownika, skutkuje znacznym ryzykiem dla bezpieczeństwa pracowników.
Mamy nadzieję, że powyższe uwagi zostaną przez Państwa uwzględnione. Jesteśmy również gotowi do ewentualnych dalszych prac i konsultacji związanych z treścią Poradnika.