W dniu 18 marca 2021 r. odbyła się konferencja pt. „Zatrudnienie pracowników tymczasowych a RODO” zorganizowana przez Katedrę Prawa Pracy i Polityki Społecznej Uniwersytetu Jagiellońskiego oraz portal GDPR.pl. Patronatem honorowym wydarzenie objęli Prezes Urzędu Ochrony Danych Osobowych (wsparcie merytoryczne Pani Monika Krasińska Dyrektor Departamentu Orzecznictwa i Legislacji) oraz Okręgowa Izba Radców Prawnych w Krakowie.
Spotkanie poprowadzili dr Dominika Dorre-Kolasa, dr Michał Czarnecki oraz mec. Tomasz Osiej.
Część merytoryczną konferencji rozpoczęło wystąpienie prof. Arkadiusza Sobczyka pt. „Przetwarzanie danych osobowych a zatrudnienie pracowników tymczasowych. Zagadnienia systemowe”, który przedstawił swoją koncepcję miejsca i roli RODO w systemie prawa. Prelegent podkreślił, że RODO jako akt prawa administracyjnego pozwala ingerować w autonomię informacyjną jednostki na podstawie norm kompetencyjnych wskazanych w Rozporządzeniu, gdy dany podmiot realizuje cele zbiorowości. RODO jest zatem przestrzenią władzy publicznej, nad którą nadzór sprawuje Prezes Urzędu Ochrony Danych Osobowych.
Omówiono także kwestię ochrony autonomii informacyjnej w relacjach nieprywatnych (poza RODO). Odpowiedzi na pytania w tym zakresie można odnaleźć w przepisach szczególnych (finansowych), ustalonych granicach kompetencji (zakaz gromadzenia danych osobowych przez organ), zakreślonych granicach wykorzystania przez podmiot danych, czy w art. 266 Kodeksu Karnego.
Odnosząc się do tematu przewodniego konferencji, Profesor wskazał, że agencja pracy tymczasowej i pracodawca użytkownik wykonują własne zadania publiczne. To –zdaniem Prelegenta – eliminuje dylematy w zakresie przekazywania danych między tymi podmiotami.
W drugim wystąpieniu pt. „Model ochrony danych osobowych w kontekście zatrudnienia pracowników tymczasowych w krajach członkowskich – stanowiska organów nadzoru” przedstawiciele portalu GDPR.pl mec. Tomasz Osiej i dr Michał Czarnecki przedstawili stanowiska europejskich organów nadzorczych w zakresie relacji między agencją pracy tymczasowej a pracodawcą użytkownikiem.
Portal GDPR.PL, otrzymał odpowiedzi od większości organów nadzoru, którymi zechciał się podzielić podczas konferencji i które można podzielić na trzy grupy:
- część organów w ogóle nie spotkała się z takim problemem;
- przedstawiciele islandzkiego, węgierskiego i bułgarskiego organu nadzorczego odesłali do pkt 66 wytycznych Europejskiej Rady Ochrony Danych nr 7/2020;
- kilka organów natomiast przesłało jednoznaczne stanowiska wskazujące na role w procesie przetwarzania.
W tej trzeciej grupie znalazły się organy nadzorcze z Finlandii, Chorwacji i Hiszpanii które wskazały wprost, że relacja pomiędzy pracodawcą użytkownikiem a agencją pracy tymczasowej kształtuje się jako administrator –administrator.
Hiszpanie dodatkowo wskazali na możliwość występowania klauzuli poufności oraz kwestie doboru pracowników. Jednak nawet w takich sytuacjach – w ocenie Hiszpanów – umowa powierzenia danych osobowych wydaje się zbędna.
Finlandczycy wyrazili bardzo jednoznaczną opinię, że obie strony są niezależnymi administratorami, na których spoczywają obowiązki wskazane w RODO, podkreślając jednocześnie, że cele i sposoby są jasno wskazane w przepisach prawa.
Organ chorwacki także jednoznacznie potwierdził, że oba podmioty są odrębnymi administratorami, ponieważ pracodawca użytkownik nie przetwarza danych osobowych pracowników w imieniu agencji pracy tymczasowej. To zresztą stwierdzenie, zdaniem prowadzących, w sposób nie budzący wątpliwości wskazuje, że również na rodzimym gruncie, jeśli pochylimy się nad zagadnieniem i dokonamy szczegółowej analizy czynności przetwarzania to finalnie dojdziemy do konkluzji, iż właściwą będzie relacja ADO-ADO.
Przedstawiciel polskiego organu nadzorczego Dyrektor Departamentu Orzecznictwa i Legislacji UODO Pani Monika Krasińska przedstawiła w części pt. „Ochrona danych osobowych w warunkach pośrednictwa pracy – stanowiska organu nadzorczego” szerszy kontekst zagadnienia, podkreślając, iż system ochrony danych osobowych tworzy nie tylko RODO, ale także akty prawa międzynarodowego i system krajowych przepisów prawnych. Te ostatnie powinny spajać wszystkie rozwiązania na poziomie lokalnym. Proces dostosowywania tych regulacji do RODO powinien już być zresztą dawno zakończony.
Prezes Urzędu opiniował projekt ustawy o zatrudnieniu pracowników tymczasowych. Regulacja ta wskazuje, jakie są prawa i obowiązki pracodawcy użytkownika oraz agencji pracy tymczasowej. Jednak stwarza również wątpliwości w zakresie kształtowania relacji między tymi podmiotami, co może być uszczegółowione w zawartej umowie.
Pani Dyrektor jednoznacznie jednak wskazała, że agencja pracy tymczasowej jest administratorem danych przetwarzanych dla realizacji obowiązków wskazanych w ustawie.
Agencja pracy tymczasowej dla potrzeb zawarcia umów związanych z zatrudnieniem pracowników tymczasowych pozostaje administratorem danych. Realizuje także szereg innych zadań. Jej roli nie można więc kształtować inaczej niż wynika to z ustawy, w tym umową z pracodawcą użytkownikiem. Z drugiej strony również pracodawca użytkownik ma określone ustawowo zadania i obowiązki. Każdy z tych podmiotów odpowiada autonomicznie za realizację swoich celów. Zgodnie z zasadą legalizmu, gdyby podmiot chciał wykonywać inne zadania musiałby wykazać na jakiej podstawie prawnej przetwarza te dane osobowe.
Z uwagi na fakt, że zarówno pracodawca użytkownik, jak i agencja pracy tymczasowej realizują w większości swoje własne zadania i cele – ich relacje w przeważającej mierze będą się kształtowały w układzie administrator – administrator.
Co istotne wskazano także na potrzebę weryfikacji stanowisk Urzędu zawartych w poradniku dla pracodawców, co wydaje się bardzo cenną inicjatywą, na którą czeka cały rynek HR.
Pierwszy panel dyskusyjny „Kto jest kim w procesach przetwarzania danych osobowych z perspektywy RODO? Udostępnianie danych, powierzenie przetwarzania w relacjach agencja zatrudnienia – pracodawca użytkownik” poprowadziła dr Dominika Dorre-Kolasa przy udziale dr Marleny Sakowskiej–Baryły, dr Pawła Litwińskiego i dr Krzysztofa Wygody.
Dr Paweł Litwiński przedstawił tezy polemiczne do wystąpień prof. Arkadiusza Sobczyka i Pani Dyrektor Moniki Krasińskiej. Docenił jednocześnie publiczno-prawne zakorzenienie ochrony danych osobowych. Zdaniem dr Litwińskiego nie można osiągnąć równości stron jedynie przy instrumentarium prywatnoprawnym. Ochrona nie jest tu bowiem horyzontalna i jest wtórna a powinna być postrzegana jako proaktywny obowiązek.
Prelegent wskazał, że bardziej przychyla się do tez stawianych przez Panią Dyrektor Krasińską. Status stron należy zatem wyprowadzać z przepisów prawa. Podzielił także zdanie przedmówczyni w zakresie ról stron oraz okoliczności. Prawo może co prawda ustalać, kto jest administratorem, ale władztwo nad danymi może wynikać z przyznanych kompetencji.
Dr Krzysztof Wygoda podniósł, że powierzenie danych osobowych może pojawić się, tam gdzie wychodzimy wprost poza ustawę i gdzie ustawodawca nie wskazał jakie dane osobowe mogą być przekazane. Określone będzie to w stosownej umowie zawartej pomiędzy stronami. W stosunku do praw i obowiązków wskazanych w ustawie nie ma możliwości zawierania umów powierzenia. Może ono mieć miejsce jedynie w zakresie wykraczającym poza ustawę.
Dr Marlena Sakowska-Baryła w kontekście obowiązków informacyjnych wskazała, że ich celem jest w głównej mierze ochrona prewencyjna słabszej strony stosunku informacyjnego, czyli osoby fizycznej, której prawa i wolności chroni RODO.
Zdaniem Prelegentki, należy także dokonać rzeczowej inwentaryzacji zasobów i tego, kto jaką pełni rolę w procesie przetwarzania danych oraz jakie ciążą na nim obowiązki. Nie istnieje bowiem jeden uniwersalny model i zawsze należy odnieść się do konkretnej relacji między podmiotami. Zawarcie umowy powierzenia nie zmienia stanu faktycznego istniejącego między stronami. Błędna ocena relacji skutkować może nie tylko sankcjami wskazanymi w RODO, ale także odpowiedzialnością cywilną.
Drugi panel dyskusyjny „Rekrutacja a zatrudnienie pracowników tymczasowych: podstawy prawne przetwarzania danych, problemy praktyczne” poprowadzili mec. Tomasz Osiej i dr Michał Czarnecki, przy udziale dr Magdaleny Rycak, dr Iwony Jaroszewskiej-Ignatowskiej, dr Arlety Nerki oraz mec. Joanny Jarguz.
Dr Magdalena Rycak podzieliła pogląd przedmówców, zgodnie z którym, relacja między pracodawcą użytkownikiem a agencją pracy tymczasowej to relacja między dwoma administratorami danych osobowych. Wskazała również, że w procesie rekrutacji trudniej ocenić relacje między podmiotami, ze względu na różne jej rodzaje. W sytuacji, gdy grupa pracowników jest rekrutowana do kilku pracodawców dochodzi do powierzenia danych.
Dr Arleta Nerka omówiła problemy podstaw prawnych w procesie rekrutacji i możliwość przekazania pracodawcy użytkownikowi dodatkowych informacji (za zgodą pracownika) w sytuacji, gdyby pracodawca użytkownik byłby zainteresowany zatrudnieniem takiej osoby już na podstawie umowy o pracę.
Dr Iwona Jaroszewska – Ignatowska w kontekście kwestii konieczności nadawania upoważnień do przetwarzania danych zatrudnionemu pracownikowi zwróciła uwagę, że poprzednia ustawa o ochronie danych osobowych jasno stanowiła, że nadanie takiego upoważnienia jest niezbędne. Aktualnie pozostaje to konieczne jedynie w sytuacji przetwarzania danych szczególnej kategorii, przy czym w takim przypadku nadaje je pracodawca użytkownik.
Mec. Joanna Jarguz poruszyła kwestię konieczności uzyskania odrębnych zgód na każdorazowe przekazywanie danych kandydata do potencjalnego pracodawcy użytkownika podczas rekrutacji. Jak wskazała – konkretna zgoda kandydata jest potrzebna za każdym razem. Ma to znaczenie także przy określeniu, czy pracownik tymczasowy w ogóle wyraża chęć podjęcia pracy u danego pracodawcy użytkownika.
Podsumowanie
Podczas konferencji zidentyfikowano i dyskutowano nad kilkoma kwestiami problemowymi pojawiającymi się na styku pracy tymczasowej i ochrony danych osobowych. Co najważniejsze i co naszym zdaniem jest największym sukcesem konferencji, udało się jednoznacznie określić wynikające z ustawy wiodące relacje między pracodawcą użytkownikiem a agencją pracy tymczasowej jako relacje zachodzące między dwoma odrębnymi administratorami danych osobowych.
Na uwagę zasługuje jednoznaczne stanowisko UODO w tym obszarze, a także zapowiedź planowanej aktualizacji poradnika dotyczącego ochrony danych osobowych w miejscu pracy.
W imieniu organizatorów Uniwersytetu Jagiellońskiego oraz portalu GDPR.pl dziękujemy za udział w wydarzeniu i już teraz zapowiadamy kolejne konferencje, których tematy określi rozesłana ankieta.