Agencje zatrudnienia wspierają zarówno osoby poszukujące pracy, jaki i pracodawców pragnących szybciej i sprawniej przeprowadzić proces rekrutacji. Budują i wykorzystują własne bazy kandydatów, których selekcjonują, weryfikują i przedstawią klientom. Z drugiej strony działają w mieniu samych klientów zwracając się do osób mogących spełniać wskazane przez nich kryteria.

Rola takich podmiotów przy przetwarzaniu danych osobowych jest szczególnie istotna w kontekście Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). Nowe uprawnienia i nowe obowiązki to nowe ryzyka, a tym samym potrzeba ustrukturyzowania działalności, tak aby klarownie wynikały z niej role stron i towarzyszące temu konsekwencje prawne.

Administrator czy podmiot przetwarzający?

Wychodząc od pojęć podstawowych, zgodnie z art. 4 pkt 7 RODO „administrator” oznacza podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Przez „podmiot przetwarzający” rozumiemy tego, kto przetwarza dane osobowe w imieniu administratora.

Agencjami zatrudnienia są zaś podmioty wpisane do rejestru podmiotów prowadzących agencje zatrudnienia, świadczące usługi w zakresie pośrednictwa pracy, pośrednictwa do pracy za granicą u pracodawców zagranicznych, poradnictwa zawodowego, doradztwa personalnego lub pracy tymczasowej (art. 6 ust. 4 ustawy z dnia 20 kwietnia 2004 r. o promocji zatrudnienia i instytucjach rynku pracy).

W wytycznych brytyjskiego organu nadzorczego – ICO (Information Commissioner’s Office) poświęconych instytucji administratora oraz podmiotu przetwarzającego (Data controllers and data processors: what the difference is and what the governance implications are, https://ico.org.uk/media/for-organisations/documents/1546/data-controllers-and-data-processors-dp-guidance.pdf) wskazano, iż to czy dana organizacja jest administratorem, wynika z jej roli w procesie przetwarzania danych.

Wskazano, iż to właśnie definicja przetwarzania może być użyteczna przy określaniu rodzaju działań, w które dany podmiot jest zaangażowany i określeniu jego pozycji, jako procesora albo administratora. Podkreślono, że definicja „podmiotu przetwarzającego” sugeruje, że czynności związane z przetwarzaniem danych muszą ograniczać się do bardziej „technicznych” aspektów operacji, takich jak przechowywanie, pobieranie lub usuwanie danych.

Działania takie jak planowanie lub istotne decyzje dotyczące danych osobowych muszą być przeprowadzane przez administratora danych. Należy przy tym zaznaczyć, iż część operacji na danych będzie wspólna, zarówno dla administratora, jak i podmiotu przetwarzającego (np. przechowywanie danych). W konsekwencji jeśli organizacja ma status administratora danych, nie może zdejmować z siebie praw i obowiązków nakładanych przepisami prawa, w szczególności w sposób sztuczny dzielić się nimi z innymi podmiotami.

Status administratora lub podmiotu przetwarzającego jest więc stanem obiektywnym, wynikającym ze wzajemnych relacji w procesie przetwarzania danych, mającym oparcie w stosunkach zobowiązaniowych między stronami.

Agencja rekrutacyjna pełni dwie zasadnicze role.

Agencja zatrudnienia jako administrator danych

Agencja administratorem danych kandydatów, w zakresie w jakim pozyskuje ich dane, rozbudowuje swoje bazy oraz prezentuje dane wybranych osób potencjalnym pracodawcom.

Z powyższych względów, zgodnie ze stanowiskiem GIODO, agencje zatrudnienia musiały dotychczas zgłaszać do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbiory danych kandydatów do pracy – osób poszukujących pracy (https://giodo.gov.pl/
pl/1520049/3450).

Podmioty te działają na podstawie ustawy z dnia 20 kwietnia 2004 r.
o promocji zatrudnienia i instytucjach rynku pracy. Nie zatrudniają zwykle pracowników, za wyjątkiem agencji pracy tymczasowej (art. 18 ust. 1 pkt 4). Agencje zatrudnienia przetwarzają dane osobowe zazwyczaj na podstawie zgody osoby, której dane dotyczą – art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych – lub na podstawie zawartej umowy dotyczącej świadczenia usług pośrednictwa pracy, co stanowi podstawę prawną z art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych.

O ile zatem agencje zatrudnienia prowadzą zbiory danych nie dotyczące osób u nich zatrudnionych, to muszą je zgłosić do rejestracji GIODO. Wyjątkiem są tu agencje pracy tymczasowej, które zatrudniają pracowników tymczasowych i w związku z tym podlegają wyłączeniu z obowiązku rejestracji na podstawie ww. przesłanki art. 43 ust. 1 pkt 4 ustawy o ochronie danych osobowych (vide: https://giodo.gov.pl/pl/1520049/3450).

Agencja zatrudnienia jako podmiot przetwarzający

Agencja jest podmiotem przetwarzającym dane kandydatów (procesorem), gdy swoje czynności (zbieranie, selekcja, rozmowy wstępne) agencja podejmuje w imieniu klienta. Przykładem takiej sytuacji będzie:

  • udostepnienie przez klienta listy potencjalnych kandydatów, lub wskazanie konkretnych osób, które klient pragnąłby zatrudnić;
  • publikacja przez agencje ogłoszeń dotyczących rekrutacji na sprecyzowane stanowisko
    u konkretnego klienta.

W obu powyższych przypadkach konsekwencją jest:

  • zamieszczenie obowiązku informacyjnego, w którym wskazane zostanie, iż administratorem danych jest klient;
  • niemożność wykorzystania takich danych w innym celu, np. w celu pozyskania zgód marketingowych, czy też zgód na inne rekrutacje prowadzone przez agencje. W takiej sytuacji agencja stawałaby się administratorem w rozumieniu art. 4 pkt 7 RODO, samodzielnie decydowałaby bowiem o celach i sposobach przetwarzania danych;
  • niemożność rozszerzenia celu, np. przekazania takich danych osobie prowadzącej w agencji rekrutację na identyczne stanowisko, lecz u innego klienta;
  • pełne władztwo klienta nad takimi danymi, może on zatem żądać usunięcia zebranych danych po zakończeniu umowy.

W tej roli, jeszcze na gruncie obecnie obowiązującej ustawy, wskazano, iż podmiot, któremu na podstawie art. 31 UODO powierzono przetwarzanie danych (np. agencja prowadząca rekrutację na zlecenie pracodawcy), jest obowiązany podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39 UODO (https://www.giodo.gov.pl/pl/259/10318).

Wskazać należy, iż rozwiązanie to na gruncie RODO wiąże się ze znaczną zmianą stopnia i rozkładu ryzyka. Dotychczas władztwo klienta nad procesem przetwarzania danych nie wiązało się z istotnymi ryzykami (prawnymi, organizacyjnymi, wizerunkowymi). Na gruncie RODO, obligatoryjne zapisy umowy powierzenia (art. 28 ust. 3 RODO), a także szersza odpowiedzialność (administracyjne kary finansowe, odpowiedzialność cywilna, karna, dyscyplinarna) zmieniają sytuację klienta, jako administratora powierzającego dane do przetwarzania agencji zatrudnienia i odpowiedzialnego za wybór i nadzór nad takim podmiotem przetwarzającym.

Aspekty praktyczne

W praktyce umowy zawierane pomiędzy agencjami zatrudnienia, a klientami miały charakter mieszany. Z jednej strony agencje korzystały z bazy danych wcześniej zarejestrowanych kandydatów, z drugiej prowadziły aktywne poszukiwania potencjalnych pracowników na rynku, bazując na kryteriach wskazanych przez klienta. Często towarzyszyło temu zawarcie umowy powierzenia przetwarzania danych osobowych w zakresie poszukiwania, weryfikacji i rekomendacji kandydatów do pracy.

Często w imieniu klienta nie był spełniany obowiązek informacyjny przedstawiający go jako administratora danych. Agencje pozyskiwały kandydatów do własnych baz, a następnie przedstawiały ich sylwetki potencjalnemu pracodawcy.

Klient niejednokrotnie nie miał więc realnej możliwości weryfikacji jakie skutki przyniosły działania zlecone przez niego w ramach stosunku powierzenia tzn. jakie konkretnie dane zostały pozyskane i były dalej przetwarzane w ramach umowy. Ich administratorem pozostawała bowiem de facto agencja zatrudnienia. Co więcej, zgodnie z zasadą rozliczalności, post factum czasem trudno byłoby przyporządkować poszczególne czynności podejmowane przez agencję do realizacji konkretnej umowy (czy rekruter szukał programisty dla klienta nr 1, klienta nr 2, czy po prostu szukał programisty do bazy).

Również kandydaci nie byli świadomi, że administratorem ich danych jest agencja zatrudnienia (brak obowiązku informacyjnego), nie mogli zatem domagać się realizacji swoich praw od faktycznego administratora, jakim pozostawał klient.

Agencje realizowały też równolegle własne cele, pozyskując kandydatów do baz i zbierając od nich zgody na przesyłanie treści marketingowych, co nie było przedmiotem ustaleń między agencją, a klientem. Jeżeli agencja zatrudnienia działa w imieniu klienta przy rekrutacji nowych pracowników, a umowa przewiduje, że będzie działała jako podmiot przetwarzający, pozycja firmy rekrutacyjnej jest niejasna. Z jednej strony jest administratorem danych osób poszukujących pracy, a z drugiej strony przyjmuje, że działa jako procesor dla klientów poszukujących pracowników za jej pośrednictwem (Opinion 1/2010 on the concepts of „controller” and „processor” Adopted on 16 February 2010, Article 29 Data Protrction Working Party, s 19).  

W tym kontekście „ważne jest przeanalizowanie celu przetwarzania danych na poziomie makro w celu ustalenia, czy podmioty te są współadmnistratorami danych zbieranych w tych samych celach, czy też odrębnymi administratorami w odniesieniu do celów odmiennych” (Crotty S., Processor or controller – the data divide, 2010, https://www.weightmans.com/insights/processor-or-controller-the-data-divide/).

Obecnie przepisy RODO propagują podejście procesowe, a także „wpisanie” problematyki danych osobowych w  przedsięwzięcia biznesowe. Praktyki, które były powszechnie przyjęte na rynku na gruncie ustawy o ochronie danych osobowych z 1997 r. należy zatem zmodyfikować i doprecyzować.

Rekomendacje 

Z powyższego wynikają następujące wnioski:

  • status administratora i podmiotu przetwarzającego jest stanem obiektywnym;
  • stan ten jest konsekwencją roli w procesie przetwarzania danych osobowych;
  • rola stron w procesie jest kształtowana treścią umowy, na podstawie których podejmowane są konkretne działania.

O ile zatem nie możemy zmienić roli poprzez zmianą samej jej nazwy, możemy tak ukształtować proces by role wynikały z niego w sposób jasny i klarowny.

Należy zatem sprecyzować treść umowy w stronę:

  • przyjęcia roli procesora i zawarcia umowy powierzenia, albo
  • przyjęcia roli administratora i udostępniania danych kandydatów.

Wzory umów należy więc doprecyzować, tak by jasno wynikało z nich czy rekrutacja odbywa się w imieniu klienta, przy spełnianiu na jego rzecz obowiązku informacyjnego, wydzieleniu puli powierzonych danych osobowych i jego współodpowiedzialności za ten proces, czy też to agencja udostępnia klientowi dane kandydatów ze swoich baz, spełniając obowiązek informacyjny we własnym imieniu, ponosząc jednocześnie pełną odpowiedzialność na gruncie RODO.

Autor: dr Michał Czarnecki

 

Related Post