- Autor: Adam Lipiński
- •21 gru 2017 18:41
Szczegóły ochrony danych osobowych w rekrutacji i zatrudnieniu bywają problematyczne. Wszystkie kwestie i zawiłości wyjaśnia specjalista ds. ochrony danych z firmy Odo 24 Adam Lipiński.
Działy kadr, obok działów marketingu, gromadzą największą ilość danych - zarówno informacji dotyczących pracowników, jak i dane kandydatów do pracy.
Specjalista ds. ochrony danych z firmy Odo 24 Adam Lipiński wyjaśnia zawiłości danych osobowych związane z takimi tematami, jak:
• Ukryte rekrutacje
• Zakres danych w rekrutacji
• Klauzula w CV
• Zabezpieczenie dokumentów rekrutacyjnych
• Serwisy internetowe w procesie rekrutacji
• Przesyłanie CV między spółkami w grupie kapitałowej
• Opinia od byłego pracodawcy
• Kserowanie dokumentów
• Monitoring
• Publikacja zdjęć
• Biometria
• Benefity pracownicze
• Udostępnianie danych innym organom (policja, prokuratura, komornicy)
• Okres przechowywania danych
Poza zmianami, które ma wprowadzić Rozporządzenie Parlamentu Europejskiego i Rady UE, polski ustawodawca planuje nowelizację wielu aktów prawnych, w celu dostosowania przepisów do powyższego rozporządzenia.
Czytaj też: Firmy nie są przygotowane do reformy RODO?
Rekrutacje „Ślepe”, rekrutacje „Ukryte”
Niekiedy pracodawca nie chce ujawniać swojej tożsamości, publikując ogłoszenie rekrutacyjne. Tego typu rekrutacje nie są zgodne z przepisami o ochronie danych osobowych, zarówno tych wynikających z ustawy o ochronie danych osobowych (dalej uodo), jak i przepisów RODO. Brak w nich dopełnienia obowiązku informacyjnego.
Zgodnie z art. 7 pkt 4 uodo pod pojęciem administratora danych osobowych (dalej ADO) rozumie się organ, jednostkę organizacyjną, podmiot lub osobę decydujące o celach i środkach przetwarzania danych osobowych.
Portale pośredniczące w rekrutacjach, takie jak Pracuj.pl nie są więc ADO. Udostępniają one jedynie narzędzia do publikowania ogłoszeń na portalach internetowych. Mogą być co najwyżej procesorem, czyli przetwarzać dane osobowe na zlecenie ADO. Obowiązek informacyjny spoczywa zatem na pracodawcy.
Spełnienie obowiązku informacyjnego w odpowiedzi na otrzymaną aplikację nie spełnia wymogów przepisów prawa, ponieważ w chwili zbierania danych osoba je przekazująca nie wie, do kogo one trafią. Stanowisko Sądów Administracyjnych w tej sprawie jest jednoznaczne i wyraźnie wskazuje, że tego typu rekrutacje są niezgodne z przepisami.
Jakiego zakresu danych można legalnie żądać od potencjalnego pracownika?
Zgodnie z art. 22 KP pracodawca może żądanych następujących danych: imię (imiona) i nazwisko; imiona rodziców kandydata; data urodzenia; miejsce zamieszkania (adres do korespondencji); wykształcenie; przebieg dotychczasowego zatrudnienia.
To katalog zamknięty. Dopóki zatem kandydat z własnej inicjatywy nie przedstawi pracodawcy, np. certyfikatów, zaświadczeń o znajomości języków obcych, pracodawca nie ma prawa domagać się od niego takich informacji. Wydaje się to nieracjonalne, niemniej jednak takie są przepisy.
Udostępnienie danych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca ma jednak prawo żądać udokumentowania danych podanych przez kandydata, np. poprzez okazanie przez niego świadectwa pracy.
Nie każdy pracodawca ma prawo zbierać informacje dotyczące niekaralności kandydata. Mogą to robić jedynie pracodawcy w sytuacji, kiedy obowiązek zatrudnienia przez nich osób niekaranych wynika wprost z przepisów ustaw.
Powyższy katalog ma ulec zmianie. Znikną z niego imiona rodziców oraz miejsce zamieszkania (zastąpi je adres do korespondencji), dodane zostaną: adres e-mail lub numer telefonu.
Zmieni się również brzmienie Art. 22 KP. Pracodawca będzie mógł, poza powyższymi, żądać: adresu zamieszkania; numeru PESEL (a w przypadku jego braku - rodzaju i numeru dokumentu potwierdzającego tożsamość); innych danych osobowych pracownika, a także danych osobowych dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.
Numer telefonu albo e-mail będą mogły być przetwarzane przez pracodawcę jedynie po wyrażeniu przez pracownika pisemnej zgody w postaci papierowej lub elektronicznej.
W projekcie przepisów ustawodawca bezwzględnie zakazał pracodawcy przetwarzania niektórych danych sensytywnych dotyczących pracowników (nałogów, informacji o stanie zdrowia, życiu seksualnym, orientacji seksualnej), nawet jeśli wyrażą oni na to zgodę.
Kwestie dotyczące CV potencjalnych pracowników
Bez klauzuli zgody na końcu CV pracodawca nie może użyć danych wysłanych przez potencjalnego pracownika. Zgoda wyrażana jest tylko w celu aplikowania na konkretne stanowisko pracy.
Duże firmy często prowadzą równocześnie kilka rekrutacji. Potencjalny pracownik może wydać się pracodawcy dużo bardziej pożądany na innym stanowisku niż to, na które aplikuje. Będąc zgodnym z przepisami prawa, nie można w tym momencie traktować aplikacji tak jakby była złożona na inne stanowisko, niż to na której aplikował kandydat. W takich przypadkach należy poinformować kandydata o zaistniałej sytuacji i poprosić o wyrażenie zgody na przetwarzanie jego danych osobowych na potrzeby innego ogłoszenia.
Niedopuszczalne jest też pozostawienie danych rekrutacyjnych kandydata „na później”. Chcąc zachować CV osoby do późniejszych rekrutacji w treści zgody na przetwarzanie danych osobowych powinien znaleźć się zapis dotyczących „przyszłych rekrutacji”.
Dane osobowe nie powinny być przechowywane dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Zatem w przypadku, gdy potencjalni pracownicy nie wyrażą zgody na przetwarzanie ich danych w dalszych procesach rekrutacyjnych,ich CV powinno zostać usunięte w chwili zakończenia rekrutacji na dane stanowisko.
Nieco inaczej wygląda to w przypadku przechowywania CV osób, które wyraziły zgodę na przetwarzanie ich danych osobowych w celu późniejszych rekrutacji. Celem przetwarzania danych osobowych staje się wtedy zachowanie ich i przetwarzanie w przyszłych procesach rekrutacyjnych. Nie oznacza to jednak, że po wyrażeniu zgody można CV przetwarzać aż do zakończenia działalności firmy. Kluczowym zdaje się być zdrowy rozsądek i branie pod uwagę dynamiki rynku pracy.
Zgodnie z przepisami RODO wydaje się, że aplikowanie osoby na określone stanowisko będzie stanowiło zgodę na przetwarzanie danych osobowych i że ww. klauzule już nie będą potrzebne, gdyż zgoda będzie mogła być też wyrażona w formie „wyraźnego działania potwierdzającego”.
Konieczność odpowiedniego zabezpieczenia dokumentów rekrutacyjnych
CV i list motywacyjny nie powinny krążyć między pracownikami firmy nie biorącymi udziału w rekrutacji. Z dokumentami składanymi przez kandydatów do pracy powinni zapoznawać się tylko pracownicy biorący udział w rekrutacji oraz ewentualnie kierownictwo.
Dane te powinny być traktowane jak każde inne dane osobowe w firmie, powinny być odpowiednio przechowywyane (np. w zamykanych pojemnikach), powinny być też usuwane w odpowiednim czasie i w odpowiedni (skuteczny) sposób np. za pomocą niszczarki lub odpowiednich programów komputerowych kasujących skutecznie dane. Bywa tak, że CV kandydatów, po zakończonym procesie rekrutacji, znajduje się na wielu skrzynkach pocztowych i na wielu urządzeniach elektronicznych - warto pamiętać o usunięciu z nich tych danych. Ponadto każda osoba, która będzie zapoznawać się z danymi osobowymi kandydatów do pracy,powinna posiadać odpowiednie upoważnienie do przetwarzania tych danych osobowych.
Korzystanie z serwisów internetowych w procesie rekrutacji
Portale internetowe zajmujące się publikacją ogłoszeń oferują jedynie narzędzia do ich publikowania lub przetwarzają dane kandydatów w celu przesłania ich dokumentów rekrutacyjnych pracodawcy. W związku z powyższym tego typu organizacje nie są ADO kandydatów, gdyż nie decydują one o celu ich przetwarzania. ADO jest zawsze pracodawca.
Przed rozpoczęciem współpracy z tego typu organizacjami należy zawrzeć z nimi umowę powierzenia przetwarzania danych osobowych, zaś zgodnie z przepisami RODO należy też określić, czy po zakończonej współpracy dane te powinny zostać zwrócone przez procesora ADO, czy trwale usunięte.
Zgodnie z art. 28 ust. 1 RODO administrator danych osobowych może korzystać wyłącznie z usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje, by przetwarzanie chroniło prawa kandydatów. Przed powierzeniem danych ADO musi więc ocenić, czy poziom stosowanych zabezpieczeń jest odpowiedni.
Przesyłanie CV między spółkami w grupie kapitałowej
Na daną chwilę przesyłanie CV między firmami znajdującymi się w tej samej grupie kapitałowej jest niedopuszczalne. Kwestie przesyłania danych można rozwiązać za pomocą odpowiedniej klauzuli zgody, w której należy zawrzeć zgodę na przetwarzanie danych osobowych przez daną firmę oraz inne podmioty wchodzące w skład grupy kapitałowej. Należy też poinformować kandydata, jakie firmy wchodzą w skład takiej grupy.
Kontakt nowego pracodawcy z byłym pracodawcą w celu uzyskania opinii o pracowniku
Udostępnianie informacji przez byłego pracodawcę stanowi wyciek danych osobowych (nieuprawnione udostępnienie). Dane te są udostępniane bez zgody osoby której one dotyczą.
Podczas procedury rekrutacyjnej źródłem informacji o przebiegu pracy zawodowej powinien być sam kandydat. Zgodnie z art. 22 KP udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca jednak ma prawo żądać dokumentów potwierdzających jego wykształcenie jak i też dotychczasowy przebieg pracy.
Kwestia kserowania dowodów/praw jazdy/aktów zgonu/aktów urodzenia /aktów zawarcia związku małżeńskiego
Pracownik ma prawo do tzw. „urlopu okolicznościowego”. Potrzeba spędzenia dnia poza pracą jest często związana z istotnymi sytuacjami życiowymi pracownika, np. zawarcie związku małżeńskiego, urodzenie dziecka czy śmierć członka jego rodziny. W wielu przypadkach pracodawca żąda w tym wypadku przesłania kserokopii aktu zawarcia związku małżeńskiego czy aktu urodzenia dziecka. Taka praktyka jest niedopuszczalna, ponieważ zebrane w ten sposób dane (np. dane dotyczące dziecka pracownika) nie są adekwatne do celu ich przetwarzania, czyli stwierdzenia, czy pracownikowi przysługuje urlop.
Podobnie nie wolno kserować prawa jazdy. Pracodawca może tylko zażądać okazania przez pracownika aktualnego prawa jazdy i podpisania stosownego oświadczenia.
Monitoring w miejscu pracy - gdzie można go stosować i w jakim celu?
Zgodnie z propozycją zawartą w art. 22 § 1 KP pracodawca może stosować nadzór kamer w celu zapewnienia: bezpieczeństwa pracownikom; ochrony mienia; zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.
Monitoring ma zatem zapewniać bezpieczeństwo pracownikom oraz zabezpieczać mienie pracodawcy. Nie może być narzędziem stosowanym w celu nadzoru pracowniczego. O monitoringu pracownik musi zostać poinformowany nie później niż 14 dni przed uruchomieniem monitoringu, zaś nowo zatrudnieni pracownicy muszą zostać poinformowani o nim w chwili dopuszczenia do pracy.
Monitoring nie może być też stosowany w: palarniach, przebieralniach, pomieszczeniach sanitarnych czy stołówkach pracowniczych.
Rozwiązania dotyczące nagrań wideo nie odnoszą się do nagrywania dźwięku. Zdaniem Europejskiego Trybunału Praw Człowieka z art. 8 Europejskiej Konwencji Praw Człowieka wynika prawo każdego do poszanowania swojego życia prywatnego i rodzinnego. Zasada ta dotyczy również pracowników, którzy w miejscu pracy powinni móc liczyć na poszanowanie ich prywatności. W związku z powyższym wydawać się może, iż nagrywanie rozmów pracowników w miejscu pracy może rażąco naruszać ich wolności, gdyż rejestrator dźwięku może nagrać treść prywatnej rozmowy pracownika, co w konsekwencji może doprowadzić do przetwarzania przez pracodawcę zbyt szerokiego katalogu danych dotyczących jego pracownika.
Kwestie związane z monitorowaniem pracowników - nadajniki GPS w samochodach, bilingi, urządzenia namierzające w telefonach i komputerach
Orzecznictwo polskich Sądów Administracyjnych wskazuje, że dane zbierane za pośrednictwem nadajnika GPS też mogą być traktowane jako dane osobowe (Wyrok Naczelnego Sądu Administracyjnego z dnia 19 maja 2011 r., I OSK 1079/2010), zaś przepisy RODO wskazują bezpośrednio, że dane o lokalizacji są danymi osobowymi. Z powyższego wynika, że pracodawca może stosować tego typu zabezpieczenia, jednak musi o nich informować pracownika.
Problematyczna jest sytuacja, kiedy pracownik otrzyma samochód służbowy, który będzie mógł wykorzystywać w celach prywatnych. Niedopuszczalnym jest monitoring położenia pracownika, kiedy ten nie świadczy stosunku pracy. Prostym rozwiązaniem zdaje się możliwość zainstalowania w samochodzie służbowym nadajnika GPS działającego w dwóch trybach - przejazdu służbowego i przejazdu prywatnego (o ile pracodawca zezwolił na użytkowanie samochodu w celach prywatnych).
Podobne rozwiązania należałoby stosować również w przypadku lokalizatorów GPS w telefonach służbowych.
Kwestia bilingów nie budzi większych wątpliwości. Pracownik telefonu służbowego powinien używać wyłącznie w celach służbowych. Pracodawca może więc zabronić używać pracownikowi telefonu służbowego w innych celach niż zawodowe, a w wypadku odnotowania połączeń prywatnych żądać pokrycia ich kosztów przez pracownika.
W jaki sposób poprawnie publikować imiona, nazwiska i zdjęcia pracowników na stronie internetowej pracodawcy oraz identyfikatorach?
Zdjęcie pracownika stanowi jego wizerunek i podlega ochronie, gdyż stanowi tzw. dobra osobiste. Rozpowszechnianie wizerunku wymaga zezwolenia osoby na nim przedstawionej. Zgoda może być wyrażona w dowolnej formie, jednak (ze względów dowodowych) warto zadbać o wyrażenie zgody w formie pisemnej.
Zgoda pracownika jest niezbędna w celu zamieszczenia jego zdjęcia na identyfikatorze lub przepustce. Niemożność żądania zdjęcia od pracownika w celu umieszczenia jego wizerunku na identyfikatorze została potwierdzona przez Generalnego Inspektora Ochrony Danych Osobowych (DOLIS-035-219/07/461/08). Inaczej wygląda sytuacja wtedy, gdy regulamin pracy informuje o konieczności umieszczania zdjęcia na identyfikatorze pracownika. W opinii GIODO wprowadzenie takiego wymogu w regulaminie pracy bądź układzie zbiorowym pracy nie narusza art. 23 uodo. Można wiec „przymusić” pracowników do umieszczenia ich wizerunku na identyfikatorach za pomocą takiego regulaminu.
Zgoda na publikację zdjęcia pracownika nie będzie konieczna, gdy: pracownik otrzymał umówioną zapłatę za pozowanie; pracownik jest osobą powszechnie znaną, a wizerunek wykonano w związku z pełnieniem przez niego funkcji publicznych, w szczególności politycznych, społecznych, zawodowych; wizerunek ten stanowi jedynie część kadru, na przykład gdy ta osoba przypadkiem znajdzie się na zdjęciu lub w grupie osób uczestniczących w zdarzeniu.
Zmiany dotyczące biometrii
Zgodnie z zaproponowanym zapisem art. 22 § 2 KP pracodawca będzie miał prawo przetwarzać dane biometryczne pracownika, jeśli ten wyrazi na to zgodę. Zgoda ta musi być złożona w formie pisemnej - papierowej lub elektronicznej - a przetwarzanie może dotyczyć wyłącznie kwestii związanych z kontrolą dostępu (np. otwierania drzwi do pomieszczenia za pomocą odcisku palca pracownika).
Kwestia outsourcingu usług dla działu HR - czy zawsze jest to powierzenie? (np. Benefit, Medicover, rekrutacja zewnętrzna )
Pracodawcy, chcąc zachęcić pracowników, stosują czasem rozmaite dodatki w postaci niepieniężnej np. możliwość korzystania z prywatnej opieki medycznej.
W wielu przypadkach o celu przetwarzania danych decyduje podmiot zewnętrzny a nie pracodawca. Zewnętrzne kliniki medyczne czy firmy świadczące usługi zajęć sportowych są ADO w zakresie świadczonych przez nie usług, gdyż one decydują o celu i środkach przetwarzania danych osobowych pracowników danego pracodawcy.
Pracodawca nie może więc zażądać od prywatnej kliniki medycznej przekazania danych osobowych na temat zdrowia pracowników.
Udostępnianie danych pracowników innym organom (policja, prokuratura, komornicy)
Komornicy, prokuratorzy czy policjanci są pracownikami organów państwowych. W związku z powyższym pracodawca nie musi uzyskać zgody od pracownika, aby udostępnić powyższym podmiotom dane osobowe, nie musi też informować pracownika o tym fakcie.
Pracownicy organów państwowych w ramach swojej działalności nie muszą też informować osoby, której dane dotyczą o ich przetwarzaniu, gdyż nie stanowią oni tzw. kategorii odbiorców danych. Warto zauważyć, że powyższe rozwiązanie tyczyć będzie się też kuratorów sądowych i społecznych, którzy zbierają dane osobowe w celu realizacji swoich obowiązków zawodowych.
Jak długo przetrzymywać dane byłych pracowników? Prawo do bycia zapomnianym w prawie pracy
Zgodnie z art. 16b ust 2 pkt. 6 Ustawy o narodowym zasobie archiwalnym (Dz. U. z 2016 r. poz. 1506) dokumentację osobową pracownika należy przechowywać przez cały okres zatrudnienia oraz przez 50 lat licząc od dnia zakończenia pracy u danego pracodawcy. Po zakończeniu zatrudnienia pracownika jego akta osobowe należy przekazać z upływem roku kalendarzowego, w którym zakończył się stosunek pracy do archiwum zakładowego.
Adres e-mail byłego pracownika również stanowi jego dane osobowe. Przetwarzanie dalej imienia i nazwiska w ramach służbowego adresu e-mail osoby, która nie jest już pracownikiem jest niezgodne z celem dla którego te dane zostały zebrane. Konto e-mail takiej osoby powinno zostać usunięte lub zablokowane.
W nawiązaniu do powyższych wniosków niemożliwe jest skorzystanie przez byłego pracownika w całości z prawa do bycia zapomnianym. Pracownik nie może zażądać usunięcia wszystkich jego danych z bazy pracodawcy, natomiast może on zażądać usunięcia np. swojego zdjęcia na stronie internetowej pracodawcy znajdującego się w zakładce „pracownicy”.
Jeśli zezwalano na korzystanie ze służbowych urządzeń w celach prywatnych, to w przypadku znalezienia danych prywatnych w miejscu pracy byłego pracownika np. jego prywatnych zdjęć z wakacji, należy go o takim fakcie poinformować i zwrócić znalezione dane. W przeciwnym wypadku należy je usunąć.
Nie należy przekazywać komputera, na którym pracował zwolniony pracownik innemu pracownikowi bez uprzedniego usunięcia wszystkich danych zgromadzonych przez poprzednika.
PODOBAŁO SIĘ? PODZIEL SIĘ NA FACEBOOKU
KOMENTARZE (0)