Urząd Ochrony Danych Osobowych (UODO) opublikował w styczniu plan inspekcji sektorowych na 2019 rok. Kontrole UODO skupią się na pracodawcach korzystających z systemu monitoringu wizyjnego oraz przetwarzających dane osobowe w związku z rekrutacją. O czym więc należy wiedzieć przetwarzając dane kandydatów do pracy?
Pracodawca podejmując decyzję o uruchomieniu procesu rekrutacji lub zatrudnieniu decyduje jednocześnie o celach i sposobach przetwarzania danych osobowych. Każdy pracodawca jest więc administratorem danych osobowych zarówno kandydatów do pracy, jak i pracowników i musi wypełniać obowiązki przewidziane przez Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – RODO.
1. Pracodawca musi poinformować kandydatów o celu przetwarzania danych
RODO nakłada obowiązek informacyjny na każdy podmiot zbierający dane osobowe. W procesie rekrutacji dane osobowe zawiera dokument CV, który jest udostępniany potencjalnym pracodawcom w odpowiedzi na ofertę pracy lub poza procesem rekrutacyjnym. Ta druga sytuacja dość często występuje w branży transportowej, gdzie zatrudnia się pracowników z polecenia albo osoby zainteresowane pracą dostarczają swoje aplikacje bezpośrednio do siedziby firmy lub wysyłają wiadomości e-mail z informacją o swoim doświadczeniu i preferowanym stanowisku.
Z punktu widzenia RODO, sposób w jaki potencjalny pracodawca otrzymuje dane osobowe nie zwalnia go z realizacji obowiązku informacyjnego. Źródło pozyskania danych osobowych wpływa jednak na treść informacji, którą powinien udostępnić kandydatom do pracy oraz na moment, w którym obowiązek ten powinien wykonać. To jednak na pracodawcy ciąży ustalenie wszystkich dopuszczonych przez niego sposobów zbierania danych osobowych oraz wykazanie prawidłowej realizacji obowiązków informacyjnych.
2. Pracodawca wskazuje moment trwałego usunięcia danych
Określenie czasu przechowywania danych osobowych jest jednym z trudniejszych w realizacji obowiązków administratorów danych osobowych. W opinii UODO okres przechowywania danych kandydata do pracy powinien być dostosowany do zasad przetwarzania danych i z góry określony przez administratora.
Co do zasady pracodawca powinien trwale usunąć dane osobowe kandydata (np. poprzez zniszczenie), z którym nie zdecydował się zawrzeć umowy o pracę. Zatem powinno to nastąpić niezwłocznie po zakończeniu procesu rekrutacji tj. po podpisaniu umowy o pracę z nowozatrudnionym pracownikiem, chyba że kandydat ten wyraził zgodę na udział w rekrutacjach organizowanych w przyszłości.
Takie stanowisko może budzić wątpliwości wielu przedsiębiorców, bowiem skoro pracodawca będzie miał obowiązek trwale usunąć dane kandydatów po zakończeniu rekrutacji, to w jaki sposób będzie mógł się bronić przed zarzutem dyskryminacji? Ten problem prawny w sposób wyczerpujący opisany został w objaśnieniu prawnym z 23 stycznia 2019 roku wydanym przez Ministra Cyfryzacji. Wskazany w nim okres, przez który pracodawca jest uprawniony do przechowywania danych kandydatów do pracy nie jest jednak zgodny z wytycznymi UODO, który będzie przeprowadzał kontrole.
Obowiązek usunięcia danych dotyczy informacji, które pracodawca otrzymał zarówno w formie papierowej, jak i elektronicznej. Wymusza to więc kontrolę również nad źródłami pozyskiwania danych.
3. Pracodawca ma obowiązek sprawdzać, czy wszystkie dane są mu potrzebne
Zakres danych, jakich pracodawca może żądać od osoby ubiegającej się o zatrudnienie, został wymieniony w art. 221 Kodeksu pracy. Często zdarza się, że kandydat do pracy przekazuje z własnej inicjatywy więcej danych, niż jest wskazane w Kodeksie pracy. W takiej sytuacji dane te, o ile nie należą do szczególnej kategorii (tzw. dane wrażliwe jak: pochodzenie rasowe, poglądy polityczne, dane dotyczące stanu zdrowia czy przekonania religijne), są przetwarzane przez potencjalnego pracodawcę na podstawie zgody. Zgoda zaś może polegać na oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała przetwarzanie w tym zakresie jej danych osobowych.
W toku prowadzonej rekrutacji może się jednak zdarzyć, że kandydat z własnej inicjatywy przekaże potencjalnemu pracodawcy informacje o swoim stanie zdrowia. Jeżeli kandydat do pracy nie wyrazi odrębnej zgody na przetwarzanie tego rodzaju danych osobowych, a pracodawca nie legitymuje się przepisem prawa, z których wynika obowiązek zebrania takich danych, pracodawca powinien usunąć te dane ze swoich zasobów.
Jeszcze w dość wielu przypadkach w przedsiębiorstwach transportowych, w akt osobowych kierowców można znaleźć zaświadczenie o niekaralności, które na prośbę pracodawcy kierowca jeszcze przed zatrudnieniem pobrał z Krajowego Rejestru Karnego. Zaświadczenie o niekaralności jest dokumentem zawierającym dane o wyrokach skazujących, czynach zabronionych lub powiązanych środkach bezpieczeństwa zawartych w KRK, którego funkcjonowanie jest uregulowane przepisami ustawy z 24 maja 2000 r. o Krajowym Rejestrze Karnym (ustawa o KRK).
Zgodnie z art. 6 ust. 1 pkt 10 ustawy o KRK, prawo do uzyskania informacji o osobach, których dane osobowe zgromadzone zostały w rejestrze, przysługuje pracodawcom, w zakresie niezbędnym dla zatrudnienia pracownika, co do którego z przepisów ustawy wynika wymóg niekaralności, korzystania z pełni praw publicznych, a także ustalenia uprawnienia do zajmowania określonego stanowiska, wykonywania określonego zawodu lub prowadzenia określonej działalności gospodarczej.
Każdy przewoźnik, który zbiera od kierowców zaświadczenia o niekaralności powinien więc w przypadku kontroli wskazać podstawę prawną, która go do tego upoważnia.
Inspekcja pracy też może sprawdzać ochronę danych osobowych
Prawidłowa realizacja wymogów RODO i budowanie systemu ochrony danych osobowych wymaga od przedsiębiorców wprowadzenia rzeczywistych zmian w ich organizacjach. Celem prac nad ochroną danych osobowych nie powinna jednak być wyłącznie chęć uniknięcia kar finansowych za naruszenia. Z drugiej strony wiadomo, że działają one bardzo motywująco. Z doświadczenia wiemy, że wprowadzenie zasad umożliwiających prawidłową realizację obowiązków prawnych wymaga czasu, co potwierdza, że jak ma być dobrze i tanio, to nie będzie szybko.
Warto również przy temacie zatrudnienia pamiętać, że na podstawie porozumienia o współpracy zawartego 14 grudnia 2012 roku między Państwową Inspekcją Pracy i ówczesnym Generalnym Inspektorem Ochrony Danych Osobowych (aktualnie: UODO), PIP zobowiązała się do zawiadamiania UODO o stwierdzonych w czasie kontroli nieprawidłowościach dotyczących zgodności przetwarzania danych z przepisami o ochronie danych osobowych.
O tym jak pracodawca powinien przetwarzać dane osobowe kandydatów do pracy i pracowników zgodnie z RODO – wyjaśnia UODO w swojej publikacji „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców”, zamieszczonej na stronie internetowej urzędu.
Fot. Pixaby/mohamed_hassan