Ochrona danych osobowych w miejscu pracy

25 marca 2019

Ochrona-danych-osobowych

Urząd Ochrony Danych Osobowych (UODO) opublikował w styczniu plan kontroli sektorowych na rok 2019. Swoją uwagę skupi na pracodawcach korzystających z systemu monitoringu wizyjnego oraz przetwarzających dane osobowe w związku z rekrutacją. O czym więc należy wiedzieć przetwarzając dane kandydatów do pracy?

 

Pracodawca podejmując decyzję o uruchomieniu procesu rekrutacji lub zatrudnieniu decyduje jednocześnie o celach i sposobach przetwarzania danych osobowych. Każdy pracodawca jest więc administratorem danych osobowych zarówno kandydatów do pracy, jak i pracowników i musi wypełniać obowiązki przewidziane przez Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – RODO.

 

1. Pracodawca musi poinformować kandydatów o celu przetwarzania danych

RODO nakłada obowiązek informacyjny na każdy podmiot zbierający dane osobowe. W procesie rekrutacji dane osobowe zawiera dokument CV, który jest udostępniany potencjalnym pracodawcom w odpowiedzi na ofertę pracy lub poza procesem rekrutacyjnym – co dość często występuje w branży transportowej, gdzie zatrudnia się pracowników z polecenia albo osoby zainteresowane pracą dostarczają swoje aplikacje bezpośrednio do siedziby firmy lub wysyłają wiadomości e-mail z informacją o swoim doświadczeniu i preferowanym stanowisku. Z punktu widzenia RODO sposób w jaki potencjalny pracodawca otrzymuje dane osobowe nie zwalnia go z realizacji obowiązku informacyjnego. Źródło pozyskania danych osobowych wpływa jednak na treść informacji, którą powinien udostępnić kandydatom do pracy oraz na moment, w którym obowiązek ten powinien wykonać. To jednak na pracodawcy ciąży ustalenie wszystkich dopuszczonych przez niego sposobów zbierania danych osobowych oraz wykazanie prawidłowej realizacji obowiązków informacyjnych.

2. Pracodawca wskazuje moment trwałego usunięcia danych

Określenie czasu przechowywania danych osobowych jest jednym z trudniejszych w realizacji obowiązków administratorów danych osobowych. W opinii UODO okres przechowywania danych kandydata do pracy powinien być dostosowany do zasad przetwarzania danych i z góry określony przez administratora. Co do zasady pracodawca powinien trwale usunąć dane osobowe kandydata (np. poprzez zniszczenie), z którym nie zdecydował się zawrzeć umowy o pracę czyli niezwłocznie po zakończeniu procesu rekrutacji tj. podpisaniu umowy o pracę z nowozatrudnionym pracownikiem, chyba że kandydat ten wyraził zgodę na udział w rekrutacjach organizowanych w przyszłości. Takie stanowisko może budzić wątpliwości wielu przedsiębiorców, bowiem skoro pracodawca będzie miał obowiązek trwale usunąć dane kandydatów po zakończeniu rekrutacji to w jaki sposób będzie mógł się bronić przed zarzutem dyskryminacji? Ten problem prawny w sposób wyczerpujący opisany został w objaśnieniu prawnym z dnia 23 stycznia 2019 roku wydanym przez Ministra Cyfryzacji. Wskazany w nim okres, przez który pracodawca jest uprawniony do przechowywania danych kandydatów do pracy nie jest jednak zgodny z wytycznymi UODO, który będzie przeprowadzał kontrole.

Obowiązek usunięcia danych dotyczy informacji, które pracodawca otrzymał zarówno w formie papierowej, jak i elektronicznej. Wymusza to więc kontrolę również nad źródłami pozyskiwania danych.

3. Pracodawca ma obowiązek sprawdzać czy wszystkie dane są mu potrzebne

Zakres danych jakich pracodawca może żądać od osoby ubiegającej się o zatrudnienie został wymieniony w art. 221 Kodeksu pracy. Często zdarza się, że kandydat do pracy przekazuje z własnej inicjatywy więcej danych, niż jest wskazane w Kodeksie pracy. W takiej sytuacji dane osobowe kandydata, o ile nie należą do szczególnej kategorii danych (tzw. dane wrażliwe jak pochodzenie rasowe, poglądy polityczne, dane dotyczące stanu zdrowia czy przekonania religijne), są przetwarzane przez potencjalnego pracodawcę na podstawie zgody, która może polegać na oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała przetwarzanie w tym zakresie jej danych osobowych. W toku prowadzonej rekrutacji może się jednak zdarzyć, że kandydat z własnej inicjatywy przekaże potencjalnemu pracodawcy informacje o swoim stanie zdrowia. Jeżeli kandydat do pracy nie wyrazi odrębnej zgody na przetwarzanie tego rodzaju danych osobowych, a pracodawca nie legitymuje się przepisem prawa, z których wynika obowiązek zebrania takich danych, pracodawca powinien usunąć te dane ze swoich zasobów.

Jeszcze w dość wielu przypadkach w przedsiębiorstwach transportowych, w akt osobowych kierowców można znaleźć zaświadczenie o niekaralności, które na prośbę pracodawcy kierowca jeszcze przed zatrudnieniem pobrał z Krajowego Rejestru Karnego. Zaświadczenie o niekaralności jest dokumentem zawierającym dane o wyrokach skazujących, czynach zabronionych lub powiązanych środkach bezpieczeństwa zawartych w Krajowym Rejestrze Karnym, którego funkcjonowanie jest uregulowane przepisami ustawy z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym (ustawa o KRK). Zgodnie z art. 6 ust. 1 pkt 10 ustawy o KRK, prawo do uzyskania informacji o osobach, których dane osobowe zgromadzone zostały w rejestrze, przysługuje pracodawcom, w zakresie niezbędnym dla zatrudnienia pracownika, co do którego z przepisów ustawy wynika wymóg niekaralności, korzystania z pełni praw publicznych, a także ustalenia uprawnienia do zajmowania określonego stanowiska, wykonywania określonego zawodu lub prowadzenia określonej działalności gospodarczej.

Każdy przewoźnik, który zbiera od kierowców zaświadczenia o niekaralności powinien więc w przypadku kontroli wskazać podstawę prawną, która go do tego upoważnia.

 

Prawidłowa realizacja wymogów RODO i budowanie systemu ochrony danych osobowych wymaga od przedsiębiorców wprowadzenia rzeczywistych zmian w ich organizacjach. Celem prac nad ochroną danych osobowych nie powinno jednak być wyłącznie ryzyko otrzymania sankcji finansowych za naruszenia, jednak jak wiadomo, działa ono bardzo motywująco. Z doświadczenia wiemy, że wprowadzenie zasad umożliwiających prawidłową realizację obowiązków prawnych wymaga czasu, co potwierdza, że jak ma być dobrze i tanio, to nie będzie szybko.

Warto również przy temacie zatrudnienia pamiętać, że na podstawie porozumienia o współpracy zawartego w dniu 14 grudnia 2012 roku pomiędzy Państwową Inspekcją Pracy i ówczesny Generalny Inspektor Ochrony Danych Osobowych (aktualnie: UODO), PIP zobowiązała się do zawiadamiania UODO o stwierdzonych w czasie kontroli nieprawidłowościach w zakresie zgodności przetwarzania danych z przepisami o ochronie danych osobowych. O tym jak pracodawca powinien przetwarzać dane osobowe kandydatów do pracy i pracowników zgodnie z RODO wyjaśnia UODO w swojej publikacji „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców”, zamieszczonej na stronie internetowej:

https://uodo.gov.pl/pl/p/poradniki

 

Autorem artykułu jest Joanna Arendarska Chief of Legal Support for Business Department w Kancelarii Prawnej Translawyers Widuch i Wspólnicy sp.k.

Najpopularniejsze: