GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

Opinia grupy roboczej dot. ochrony danych pracownika oraz kandydata- podsumowanie

Autor: Redakcja
Udostępnij publikację:
Opinia grupy roboczej dot. ochrony danych pracownika oraz kandydata- podsumowanie

Intensywne prace Grupy Roboczej art. 29, pod przewodnictwem Isabelle Falque-Pierrotin zaowocowały wydaniem opinii, dotyczącej przetwarzania danych osobowych w pracy. Stanowi ona uzupełnienie wcześniej wydanych opinii w sprawach przetwarzania danych osobowych w pracy oraz dokumentu roboczego w sprawie nadzoru komunikacji elektronicznej w miejscu pracy. Grupa Robocza art. 29 składająca się z największych europejskich autorytetów w dziedzinie ochrony danych osobowych podkreśliła aspekt rozwoju technologicznego, jaki nastąpił w ostatnich latach w procesach zachodzących w HR i kadrach.

Co przyniesie nam GDPR?

GDPR w pewnym zakresie powiela założenia Dyrektywy 95/46/EC. W wielu sferach wprowadzono jednak nowe rozwiązania, zwiększające obowiązki pracodawców czyli administratorów danych. Członkiwe Grupy Roboczej skupili się zarówno na ocenie przepisów Dyrektywy 95/46/EC, wdrożonych do porządków prawnych krajów członkowskich UE poprzez akty o randze ustawy, jak i na analizie regulacji GDPR w kontekście pracowniczym.

W wirtualnym świecie zarządzania danymi należy spodziewać się wkrótce rewolucji, którą ma wprowadzić rozporządzenie ePrivacy. Z całą pewnością, jego ostateczny kształt będzie musiał uwzględniać założenia GDPR, jak i specyfikę samego stosunku pracy, zwłaszcza skomplikowanej problematyki z udzielaniem zgód na przetwarzanie danych.

Przed podpisaniem umowy o pracę

Jak słusznie zauważyła Grupa Robocza art.29, do przetwarzania danych osobowych pracownika, a raczej kandydata na jego miejsce, dochodzi już na etapie rekrutacji.

Kandydaci, składając na ręce potencjalnego pracodawcy swoje CV i listy motywacyjne, przekazują wraz z nimi swoje dane osobowe, które w trakcie procesu rekrutacyjnego są przetwarzane. W dobie nowych rozwiązań technologicznych, kanałów umożliwiających pozyskanie informacji o kandydacie jest zdecydowanie więcej niż w chwili ustanowienia Dyrektywy 95/46/EC (np. sieci społecznościowe- facebook, linkedin czy goldenline). Niekiedy także samo pozyskiwanie danych o kandydatach do pracy budzi wiele wątpliwości.

Media społecznościowe, kopalnią wiedzy

Kandydaci do pracy, jako osoby fizyczne, chętnie wykorzystują media społecznościowe w codziennej komunikacji, a dostęp do nich jest powszechny – także dla przyszłych pracodawców. Powszechnie dostępne stają się też dane, nań umieszczane. Pracodawcy coraz chętniej korzystają z tego typu zasobów w procesie rekrutacji, dokonując w ten sposób wstępnej selekcji kandydatów. Podobnie może stać się z innymi, dostępnymi publicznie danymi o potencjalnym pracowniku. Wydawać by się mogło, że dane, które często zamieszcza sam zainteresowany (i za pomocą odpowiednich ustawień prywatności, udostępnia je bliżej nieokreślonemu kręgowi osób), są dostatecznym usprawiedliwieniem dla pracodawcy do korzystania z nich, który chce je przetwarzać dla własnych celów.

Na pewno na krytykę zasługuje uzyskiwanie dostępu do „ukrytych” przez pracownika danych. Za pomocą odpowiednich ustawień konta, osoba fizyczna może ograniczyć krąg osób mających dostęp do wyświetlanych treści wybierając w ustawieniach np. tylko grono swoich „znajomych”. Zwracanie się przez pracodawcę do znajomych kandydata z prośbą o ich udostępnienie bez wiedzy oraz zgody czy wręcz inicjatywy potencjalnego pracownika, stanowi niewątpliwie naruszenie prawa. A pamiętać należy, że na portalach społecznościowych chętnie dzielimy się również danymi wrażliwymi np. poglądami politycznymi, religijnymi, czy nawet upubliczniamy informację o  swojej orientacji seksualnej.

Facebook, LinkedIn  czy Profeo?

W swojej opinii, Grupa Robocza podkreśla wyraźnie, że wymagana jest podstawa prawna do przetwarzania danych pochodzących z mediów społecznościowych – może nią być chociażby „prawnie usprawiedliwiony interes”. Celem prawidłowego przetwarzania danych uzyskanych z profilu społecznościowego kandydata, pracodawca powinien jeszcze przed merytorycznym badaniem zawartości profilu internetowego, określić czy jest to konto przeznaczone do celów zawodowych, czy prywatnych. Jak się okazuje, może to być istotnym czynnikiem do oceny, czy dane zostały zebrane w legalny sposób.

W erze specjalizacji portali społecznościowych, o takie rozróżnienie łatwiej. Okazuje się, że 40% pracodawców sprawdza profile kandydatów. Do kreowanie wirtualnego CV służyć mogą takie portale jak LinkedIn, GoldenLine czy Profeo.

Dodatkowo, pracodawcy wolno zbierać i przetwarzać jedynie dane niezbędne do oceny kwalifikacji danej osoby na wskazane stanowisko pracy. Może też być koniecznym, korzystanie z takiej metody gromadzenia danych w celu identyfikacji ryzyk związanych z zatrudnieniem pracownika na określonym stanowisku. Warunkiem tego jest jednak by kandydaci zostali o tym prawidłowo poinformowani, na przykład w treści ogłoszenia. Podstawą prawną do przeglądania publicznie dostępnych informacji o kandydatach, może być dla pracodawcy art. 7 lit. f. Dyrektywy 95/46/EC (art. 23 ust.1 pkt 5 UODO).

Uzasadniony interes

Jeżeli pracodawca chce się powołać na podstawę prawną przetwarzania danych z art. 7 lit. Fart. 23 ust.1 pkt 5 UODO), cel przetwarzania danych musi być uzasadniony, a wybrany sposób czy też stosowana technologia, za pomocą której dane są przetwarzane, musi być niezbędna do ochrony uzasadnionego interesu pracodawcy. Przetwarzanie musi być też być proporcjonalne do  potrzeb. Regulacja ta ma swoje odzwierciedlenie na gruncie UODO.

Pod tą skomplikowaną i niejasną formułą, kryje się generalna zasada – dane osobowe można przetwarzać, ale w każdym przypadku, należy ważyć interesy jednej i drugiej strony.

Rekrutacja nie zawsze wymaga zgody

Ciekawe brzmienie mają też aktualne przepisy kodeksu pracy. Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie, podania danych osobowych obejmujących imiona i nazwisko, imiona rodziców, datę urodzenia, miejsca zamieszkania oraz adres do korespondencji, wykształcenie, przebieg dotychczasowego zatrudnienia i jeżeli zostanie on zatrudniony – numer PESEL (art. 22 zn. 1 KP). Katalog tych danych nie zawiera jednak informacji takich jak: numer telefonu czy adres e-mail. Oparcie przetwarzania danych osobowych kandydata na powyższym przepisie może mieć miejsce także tylko w przypadku pózniejszego zatrudnienia go na podstawie umowy o pracę. W chwili, gdy pracownikowi przysługują szczególne uprawnienia przewidziane w prawie pracy (np. urolpy okolicznościowe), pracodawca może też żądać podania innych danych, od których zależne jest ich przyznanie. Podobnie w przypadku poszczególnych zawodów, których wykonywanie zależne jest np. od przedłożenia pracodawcy zaświadczenia o niekaralności (np. zawodu ochroniarza lub ABI-ego). Dla przetwarzania tego rodzaju danych konieczny jest jednak przepis innej ustawy, który będzie podstawą legalizująca przetwarzanie. Warto wyraźnie zaznaczyć, że te dane podaje już pracownik, a nie każdy kandydat.

Oprócz tego dane osobowe kandydata, który bedzie zatrudniony w oparciu o umowę cywilnoprawną (np. zlecenia), przyszły „pracodawca” może przetwarzać na podstawie podejmowania działań niezbędnych do zawarcia umowy( art. 23 ust. 1 pkt 3 uodo)

A ja chcę wiedzieć więcej

Praktyka pokazuje jednak, że treść klasycznego CV co do zasady, znacznie wybiega poza ramy ustawowe (np. adresy e-mail i numery telefonów). Jest to naturalną odpowiedzią na zapotrzebowanie pracodawców na informacje o kandydacie. Bynajmniej nie bez obaw, można się tu posługiwać konstrukcją zgody, która w normalnych stosunkach jest najpowszechniejszą z podstaw do przetwarzania danych. Jednak, tak jak wskazuje i orzecznictwo i brzmienie RODO, dobrowolność udzielonej zgody może być w łatwy sposób zakwestionowana. Chodzi tu o stosunek jak występuje pomiędzy pracownikiem, czy kandydatem na jego stanowisko, a pracodawcą, polegający na podległości służbowej (lub swego rodzaju zalężności).

Prześwietlanie przeszłości

Na kolejnych etapach rekrutacji, pracodawca będzie dążył do weryfikacji informacji zawartych w przedłożonym mu życiorysie. Legalność takiego podejścia wzbudza jednak kontrowersje. Zaleca się jednak pracodawcom i rekrutującym, ostrożność co do zakresu danych tylko niezbędnych do przeprowadzenia rekrutacji. Nawet samo udzielanie ewentualnej zgody na np. testy psychologiczne może budzić wątpliwości. Zgoda musi być dobrowolna, tymczasem jej odmówienie, jednak w praktyce może skutkować odrzuceniem aplikacji.

„Przyjmowane będą, jedynie CV ze zdjęciem”

W tym celu pracodawca może oczekiwać od kandydata jedynie danych wskazanych w KP (o ile nie zbieramy odrębnej zgody na szerszy zakres dancyh). Podanie dodatkowych informacji, takich jak umiejętności miękkie, numer telefonu, adres skrzynki mailowej, czy zainteresowania, muszą jednoznacznie wynikać z inicjatywy przyszłego pracownika. Zauważmy, że ustawa nie wspomina też o zdjęciu kandydata, a wizerunek jest niewątpliwie daną osobową. Wymienione prawidłowości będą miały zastosowanie zarówno do CV, listu motywacyjnego… jak i rozmowy kwalifikacyjnej.

GDPR o rekrutacji

W punkcie 155 preambuły oraz w art. 88, przewidziano możliwość tworzenia przepisów szczególnych, regulujących problematykę przetwarzania danych pracowników. Mogą to być w szczególności warunki, na podstawie których można przetwarzać dane osobowe na potrzeby procesu rekrutacyjnego, za zgodą pracownika. Możliwość, którą prawodawca unijny przewidział działa jednak jednokierunkowo. Mają zwiększyć, zapewnić ochronę praw i wolności, a nie ją ograniczać.

Polska, ma obowiązek do dnia 25 maja 2018 roku, powiadomić Komisję o uchwaleniu tego rodzaju przepisów. Aktualnie, trwają prace nad projektem nowej UODO. Jakie będzie finalne brzmienie ustawy i co zmieni się w innych aktach prawnych np. w kodeksie pracy – dowiemy się już w najbliższych dniach.

Rekrutowałem oraz zatrudniłem

Nasuwa się też kolejne pytanie. Co powinniśmy zrobić z danymi zgromadzonymi w procesie rekrutacji? Z opinii Grupy Roboczej wynika, że powinny zostać usunięte zaraz po tym, jak stanie się jasne, że nie złożymy kandydatowi propozycji pracy, bądź, gdy dana osoba ją odrzuci. Kandydat musi być również prawidłowo poinformowany o każdym takim przetwarzaniu danych, zanim zdecyduje się przystąpić do rekrutacji. Brak jest bowiem podstawy prawnej do żądania przez pracodawcę, aby kandydat „dodawał go do znajomych”, celem uzyskania dostępu do danych zgromadzonych na koncie, czy też, aby w inny sposób umożliwił przeglądanie swojego profilu na jakimkolwiek portalu społecznościowym.

W rekomendacji CM/Rec (2015)5, skierowanej do państw członkowskich przez Komitet Ministrów tj. organ decyzyjny Rady Europy, skupiono się na przetwarzaniu danych osobowych w kontekście zatrudnienia. Interpretując wskazany akt, mamy zawsze na uwadze szerokie rozumienie pracownika i pracodawcy, obejmujące także okres przed nawiązaniem stosunku pracy. Na uwagę zasługuje paragraf 13.2 rekomendacji. Dane osobowe które zostały przez pracownika przekazane, przy składaniu aplikacji, powinny być usunięte po jej odrzuceniu.

Zbieranie CV na poczet przyszłych rekrutacji

Częstą metodą pracy HR, jest jednak tworzenie z nadesłanych CV baz danych. Dzieje się tak, gdy pracodawca aktualnie nie dysponuje stanowiskiem pracy, odpowiednim do kwalifikacji danej osoby, czy w razie, gdyby dotychczasowy pracownik zdecydował  się na odejście z firmy. Jak się jednak okazuje, w świetle rekomendacji, działanie takie wcale nie jest bezprawne. Komitet przewidział tu wyjątek. Jeżeli istnieje szansa, na złożenie oferty w późniejszym czasie, już po zamknięciu procesu rekrutacji, dane osobowe kandydata mogą być w dalszym ciągu przechowywane, pod warunkiem, że zostanie on o tym poinformowany. Stanowi to wyłom od obecnej praktyki w której do przetwarzania danych osobowych po zakończeniu rekrutacji niezbędne było wyrażenei zgody na przetwarzanie danych do celów przysżłych rekrutacji. Należy jednka pamiętać, że dane powinny zostać usunięte, gdyby potencjalny pracownik wyraził takie życzenie.

Podsumowanie

Opinia Grupy Roboczej ma charakter niewiążący. Jej członkowie wskazują jednak, że stosunek pracy jest specyficzną podstawą przetwarzania danych osobowych, która ma swój początek już podczas procesu rekrutacji. Nie należy tego bagatelizować. Nowe technologie, utrudniają poszanowanie prywatności, dają też kuszącą sposobność do zgromadzenia zbyt wielu informacji o pracowniku. Kontrowersje i wątpliwości, z którymi się stykamy w związku z przetworzeniem danych kandydatów do pracy należy potraktować jako wyzwanie dla osób które tworzą prawo.

Autor: Anna Tomala

Źródła:
1. Opinion 2/2017 on data processing at work, z dnia 8 czerwca 2017 r.
2. A. Mednis, Wymóg oceny skutków przetwarzania w ogólnym rozporządzeniu o ochronie danych, [w:] Monitor Prawniczy, nr 20, Legalis 2016.
3. M. Wujczyk, Podstawy prawne przetwarzania danych osobowych kandydatów do pracy i pracowników, ze szczególnym uwzględnieniem zgody jako przesłanki uchylającej zakaz przetwarzania danych. Z problematyki wykładni art. 22(1) KP, [w:] Ochrona danych osobowych pracowników w świetle rozporządzenia parlamentu Europejskiego i Rady (UE) 2016/679, red. D. Dörre-Kolasa, Legalis 2017.
4. J. Palonka, T. Porębska- Miąc, Rekrutacja w mediach społecznościowych (social recruiting)
5. J.Sobczak, Udostępnianie danych na podstawie prawnie usprawiedliwionego celu administratora danych, IAP nr 2, Legalis 2016
6. D. Skolimowska, Obowiązki pracodawcy w związku z ochroną danych osobowych, Legalis 2012
7. R. Jezierski, Przetwarzanie danych osobowych podczas czynności sprawdzających kandydata: background screening, testy psychologiczne, dane o karalności, rekomendacje, [w:] Ochrona danych osobowych pracowników w świetle rozporządzenia Parlamentu Europejskiego i Rady(UE) 2016/679, red. D. Dörre-Kolasa, Legalis 2017.

Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter
Ustawienia cookies