ochrona danych osobowych w kadrach

Ochrona danych osobowych w procesie zatrudnienia

W dniu wczorajszym odbyło się zorganizowane przez Urząd Ochrony Danych Osobowych szkolenie dla pracodawców poświęcone tematyce ochrony danych w procesie zatrudnienia. Na szkoleniu przedstawiono wiele wskazówek dotyczących tego w jaki sposób UODO będzie interpretował określone wymogi RODO.

Poniżej w krótkich punktach zawarłem sporządzane na gorąco notatki z wypowiedzi poszczególnych ekspertów. Na końcu natomiast znajdziecie kilka zdań podsumowania i link do zapisu video z całego kilkugodzinnego szkolenia.

Relacje ADO – ADO oraz ADO – przetwarzający

Samozatrudniony jeżeli korzysta z infrastruktury zleceniodawcy i pracuje pod jego kontrolą, czyli de facto jego sytuacja przypomina bardziej sytuację pracownika może przetwarzać dane na podstawie upoważnienia. W innych przypadkach, gdy jest to jednak bardziej kontrahent zewnętrzny działający z wieloma klientami, konieczna będzie umowa powierzenia danych osobowych.

Agencja pracy jeżeli posiada własne bazy danych zbierane od kandydatów na podstawie zgody jest niezależnym administratorem tych danych. Jeżeli natomiast tylko pośredniczy w rekrutacji na zlecenie pracodawcy, traktowana jest jako przetwarzający dane i należy z nią zawrzeć umowę powierzenia. W przykładach podawanych przez Grupę Roboczą art. 29 występowała też możliwość współadministrowania danymi w relacji pracodawca – agencja pracy.

Pracodawca i jednostka medycyny pracy to odrębni administratorzy danych. Pracodawca nie ma wglądu do dokumentacji medycznej – to jest cel przetwarzania realizowany przez jednostkę medyczną. Nie zawiera się z nią zatem umowy powierzenia, gdyż jest to relacja ADO-ADO.

W przypadku abonamentowych usług medycznych i innych benefitów pracodawca jest traktowany jako pośrednik (powierzenie danych), ale w określonych przypadkach można również potraktować to jako relację dwóch niezależnych ADO.

Podmioty szkoleniowe przetwarzają dane na zlecenie pracodawcy, są więc przetwarzającymi dane (procesorami). Jednakże niektóre instytucje, np. uczelnie muszą prowadzić ewidencje uczniów. Nie „oddadzą” zatem ani nie usuną danych. Należy je wówczas traktować jako oddzielnych administratorów danych.

Z perspektywy prawa pracy w grupach kapitałowych to konkretny pracodawca (spółka, zakład pracy) jest administratorem danych swoich pracowników. Przy centralizacji np. usług IT dane są powierzane danej spółce. Ale jeżeli spółka matka utrzymuje globalne zasoby np. kadrowe – to ona będzie administratorem danych. Przy współadministrowaniu konieczne jest wyraźne zawarcie zakresu odpowiedzialności pomiędzy podmiotami.

Udostępnianie zachodzi nie tylko pomiędzy jednym a drugim administratorem danych. RODO rozszerzyło pojęcie odbiorcy danych.

Centra usług wspólnych przetwarzają dane powierzone są zatem podmiotami przetwarzającymi.

Dane kontaktowe pracowników (służbowy e-mail i telefon) na podstawie orzeczenia sądu z 2003 r. pracodawca może udostępniać swoim kontrahentom – jest to jego prawnie uzasadniony interes. Umieszczanie ich w umowach nie wymaga zatem umów powierzenia.

Dane osobowe w procesie rekrutacji

Podstawą przetwarzania w rekrutacji są art. 6 punkt 2 b) i c), a w przypadku szerszego zakresu, np. e-mail i numer tel. również a) (zgoda). Zgoda wymagana jest również na dalsze przetwarzanie po zakończeniu procesu rekrutacji.

Dane wrażliwe wymagają odrębnej, wyraźnej zgody. Musi się ona wyróżniać jednoznacznym i wyraźnym przyzwoleniem – najlepiej oświadczenie.

Nie powinno się przetwarzać danych, które uległy dezaktualizacji. Okresy przetwarzania powinny być zatem możliwie krótkie.

Pracodawca może żądać zaświadczenia o niekaralności tylko jeżeli wynika to z przepisów prawa, np. karty nauczyciela. Pracodawca nie ma prawa sprawdzać sfery życia prywatnego, np. profili facebookowych i społecznościowych. Background screening – weryfikacja referencji zdaniem UODO również jest niedopuszczalna ponieważ nie ma podstaw prawnych. Kodeks pracy w art. 22.1.3 mówi, iż głównym źródłem danych na temat kandydata do pracy powinien być on sam. Bezprawna jest również weryfikacja dyplomów na uczelniach, można natomiast zażądać od kandydata udokumentowania określonych osiągnięć. Czarne listy pracowników wymieniane pomiędzy pracodawcami z branży również stanowią praktykę niedozwoloną.

Dobrą praktyką jest umieszczenie klauzuli informacyjnej w treści ogłoszenia o pracę lub w autoresponderze. CV przynoszone do firmy lub przesyłane poza procesem rekrutacji należy odesłać lub usunąć, chociaż usunięcie jest również czynnością przetwarzania, ale można znaleźć uzasadnienie tego w innych przepisach. Administratorem nie stajemy się jeżeli dane trafiły do nas nie w ramach ustanowionego przez nas celu.

Sam fakt wysłania CV jest traktowany jako zgoda na przetwarzanie danego zakresu danych w określonym celu (rekrutacji). CV nie jest dokumentem wymaganym do przechowywania w aktach osobowych, ale może być na podstawie zgody, a najlepiej na żądania pracownika.

Podstawa prawna w klauzuli informacyjnej powinna wskazywać na przepis RODO (art. 6) a nie na przepisy dziedzinowe. Dla przejrzystości może być jednak uzupełniona odniesieniem do np. konkretnej ustawy, jeżeli to na jej podstawie dochodzi do przetwarzania danych.

Zakładowy Fundusz Świadczeń Socjalnych oraz kasy zapomogowo-pożyczkowe

Administratorem danych w zakładowym funduszu świadczeń socjalnych jest pracodawca.

Dane w zakładowym funduszu świadczeń socjalnych nie wymagają zgody od wnioskodawcy. Nawet jeżeli dotyczą członków rodziny. Zgoda nie może istotnie ograniczać lub utrudniać wykonywania obowiązku prawnego.

Pracownicze kasy zapomogowo-pożyczkowe nie są instytucją finansową jak fundusz, są mikro stowarzyszeniami. Z punktu widzenia RODO administratorem tych danych jest zatem zarząd kasy. Pracodawca jest tutaj bardziej traktowany jako przetwarzający dane (odciągający składki). Jest to jednak zarazem jego obowiązek prawny i może w pewnym zakresie decydować o środkach i sposobach przetwarzania, można więc uznać go również za administratora.

Okres przechowywania zwolnień będących podstawą do wypłaty świadczeń z ZFŚS – podstawą nie mogą być roszczenia bo fundusz jest nieroszczeniowy – przyznaje świadczenia uznaniowo. Roszczenia są mało prawdopodobne, najlepiej zatem w regulaminie zawrzeć, że dane są przechowywane krótko np. 6 m-cy. W innych przypadkach na cele roszczeniowe natomiast powinno się przyjąć okres 3 lub 6 letni (3-letni wynika z orzeczenia sądu, 6-letni z innych przepisów).

Monitoring wizyjny

Monitoring jest prowadzony na podstawie prawnie uzasadnionego interesu administratora, ale jego zasady szczegółowo określa Kodeks Pracy.

Na podstawie art. 22.2 kodeksu pracy oraz art. 6. ust. 2 f) RODO (jest wystarczającą podstawą do prowadzenia monitoringu również w instytucjach publicznych, nie jest to w sprzeczności z zapisem dotyczącym sprawowania władzy publicznej). Celem jest bezpieczeństwo pracowników i mienia oraz zachowanie poufności. Kodeks pracy dopuszcza jednak wyłącznie zapis obrazu, bez dźwięku, na terenie oraz w bezpośrednim pobliżu zakładu pracy. Należy zadać sobie pytanie czy monitoring jest niezbędny i czy jego celów nie można osiągnąć innymi środkami. Może on mieć charakter dokumentacyjny ale też prewencyjny. Sanitariaty, szatnie, stołówki, palarnie i pomieszczenia związków zawodowych mogą być monitorowane wyłącznie w uzasadnionych przypadkach z zastosowaniem anonimizacji (odpowiednie ustawienie kadru lub jakości zapisu). Uzasadnionym może być np. monitorowanie szatni jeżeli dochodzi do kradzieży. Monitoring nie może naruszać godności. Należy rozróżnić szatnie, gdzie jest tylko pozostawiane odzienie wierzchnie od np. szatni na basenie.

Kodeks pracy mówi o maksymalnym okresie przechowywania zapisów. Są to 3 miesiące, ale zaleca się minimalizację tego okresu może nawet do kilku dni. Ułatwi to też realizację praw osób, np. udostępnianie nagrań na żądanie. Nagrania można przechowywać dłużej jeżeli mają związek z prowadzonym postępowaniem – do czasu prawomocnego rozstrzygnięcia.

Umowa, regulamin lub obwieszczenie powinny regulować zasady monitoringu. Powinien być wskazany zakres, np. numery rejestracyjne pojazdów. Obowiązek informacyjny może być realizowany w sposób warstwowy. W pierwszej kolejności oznaczamy teren monitorowany i obszary objęte monitoringiem. Znaki graficzne lub dźwiękowe mogą odsyłać do dalszych informacji, np. na ulotce. Sygnały dźwiękowe uzasadnione zwłaszcza w obiektach, gdzie przebywają osoby niewidome lub niedowidzące.

Monitoring na podstawie zgody: przykład Grupy Roboczej Art.29 to nagranie z treningu dokonane przez trenera. Mamy wówczas możliwość skorzystać z prawa do przenoszenia danych lub sprzeciwu.

Jeżeli ktoś zgłosi się do nas z żądaniem udostępnienia nagrania, na którym udokumentowano jego szkodę ale występują też inne osoby najlepiej zabezpieczyć dane i polecić mu zgłoszenie się na policję.

Nie możemy odmawiać udostępnienia danych z monitoringu wizyjnego stosując argument o braku środków technicznych do anonimizacji innych osób występujących na nagraniu.

Inne formy monitoringu pracowników

Reguluje je art. 22.3 Kodeksu Pracy, np. monitoring poczty, monitoring czasu pracy, monitoring korzystania z Internetu, monitoring rozmów telefonicznych lub lokalizacji GPS.

Każdy monitoring wymaga wyraźnego określenia celu – może nim być zapewnienie prawidłowego i optymalnego wykorzystania czasu pracy. Monitoring poczty nie może naruszać tajemnicy korespondencji i ingerować w sferę życia prywatnego. Zasady muszą być ustalone w układzie zbiorowym, regulaminie pracy lub obwieszczeniu. Konieczne jest informowanie o miejscach podlegających monitoringowi, podobnie jak w przypadku monitoringu wizyjnego. Również obowiązek informacyjny musi być zrealizowany oraz prawo pozyskania dostępu do danych na podstawie art. 15 RODO. O monitoringu informujemy min. 2 tygodnie przed jego uruchomieniem a nowych pracowników przed przystąpieniem do pracy.

Orzeczenie europejskiego trybunału praw człowieka – udostępnienie narzędzi przez pracodawcę nie daje podstaw do nieograniczonego monitorowania pracownika za ich pomocą. Zwłaszcza, jeżeli naruszane jest prawo do prywatności.

Pracodawca nie może wykorzystywać danych biometrycznych do rejestracji czasu pracy. Nie spełnia to wymogów zasady proporcjonalności. Zabezpieczenia tego typu mogą natomiast być uzasadnione w kontroli dostępu do pomieszczeń szczególnie chronionych.

Europejski trybunał praw człowieka za uzasadnione uznał prowadzenie badań antynarkotykowych w stosunku do pracowników mających dostęp do szczególnie chronionych pomieszczeń elektrowni atomowej.

Wyrok Naczelnego Sądu Administracyjnego zakwestionował zgodę pracowników na wykorzystywanie linii papilarnych do ewidencjonowania czasu pracy. Zgodę taką trudno uznać za udzieloną dobrowolnie jeżeli pomiędzy pracodawcą a pracownikiem nie zachodzi równowaga pozycji.

Przetwarzanie transgraniczne

Państwa trzecie to państwa spoza EOG. Europejski Obszar Gospodarczy = 28 państw UE + Islandia, Liechtenstein i Norwegia. Uwaga, Szwajcaria pomimo iż należy do strefy Schengen nie należy do Europejskiego Obszaru Gospodarczego.

Lista państw bezpiecznych na stronie komisji europejskiej. W najbliższych miesiącach może do nich dołączyć Japonia.

Standardowe klauzule umowne stanowią gotowe zapisy do zastosowania w umowach powierzenia (decyzja 2010/87/UE) oraz w transferach pomiędzy administratorami (decyzja 2001/497/WE oraz decyzja 2004/915/WE). Dostępne są one we wszystkich językach urzędowych UE.

Rejestr czynności przetwarzania

Prowadzenie rejestru czynności w przypadku pracodawców zatrudniających do 250 pracowników, w polskiej wersji tłumaczenia RODO jest konieczne w odniesieniu do czynności związanych z zatrudnieniem ponieważ „administrator przetwarza dane w sposób ciągły”. W oryginale jest natomiast mowa o ciągłym przetwarzaniu danych stwarzających ryzyko naruszenia praw lub wolności. (Nie wynikało z tej wypowiedzi, czy jest to oficjalne stanowisko UODO, czy jedynie opinia prowadzącego prezentację).

Podsumowanie

Szkolenie było na pewno przydatne i pozwoliło rozwiać wiele wątpliwości, z którymi borykali się Inspektorzy Ochrony Danych w ostatnich miesiącach. Z drugiej strony publiczność poruszyła kilka tematów, co do których sami prowadzący rozkładali ręce i przyznawali, iż na chwilę obecną nie wiedzą jak należy postępować w danej sytuacji. Obiecano dalsze interpretacje i opiniowanie problematycznych przypadków. Jedyne czego można żałować, to fakt, że takie szkolenie odbyło się pół roku po wejściu w życie nowych przepisów, a nie pół roku przed ich wprowadzeniem.

Poniżej zamieszczam link do zapisu video z przebiegu całego szkolenia:

 

Podobał Ci się tekst? Pomóż nam w jego promocji.

Leave a Reply

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.