Autor: J.K.

Dzień dobry,

dziękuję za możliwość podzielenia się z Państwem uwagami.
Biorąc pod uwagę, że pomocy najbardziej potrzebują "najsłabsi", a UODO wiele narzędzi przygotował dla szkół i przedszkoli, ja uwzględniłam w swoim tekście pracowników samorządowych innych jednostek organizacyjnych niż szkoły, ale na tym samym szczeblu administracji.

Przesyłam propozycje zmian do poradnika "Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców":

1. W punkcie 2.1 nie powinniśmy sugerować, by zbierać w "KWESTIONARIUSZU OSOBOWYM DLA KANDYDATA UBIEGAJĄCEGO SIĘ O ZATRUDNIENIE" danych w postaci "imiona rodziców". Ta dana została już nawet usunięta ze wzoru świadectwa pracy (patrz: Rozporządzenie Ministra Rodziny i Polityki Społecznej z dnia 11 maja 2023 r. zmieniające rozporządzenie w sprawie świadectwa pracy) oraz ze wzoru protokołu powypadkowego (Rozporządzenie Ministra Rodziny i Polityki Społecznej z dnia 11 maja 2023 r. zmieniające rozporządzenie w sprawie świadectwa pracy). Nie występuje również w art. 22(1) kp.

2. W akapicie "Czy pracodawca może zbierać informacje o karalności kandydata do pracy?" powinien pojawić się zapis w tabelce, iż także
- pracownicy samorządowi - art. 6 ust. 2, ust. 3 pkt 2), ust. 4 ustawy z dnia 21 listopada 2008 r. o pracownikach samorządowych
- pracownicy służby cywilnej - art. 4 pkt 3), art. 11 ust. 1 pkt 3) ustawy z dnia 21 listopada 2008 r. o służbie cywilnej.

3. W punkcie 2.3 "Znaczenie zgody na przetwarzanie danych osobowych" warto podkreślić naganne działania w postaci:
- odrzucenie ofert kandydatów do pracy (szczególnie jako pracowników samorządowych) ze względu na brak odręcznego podpisu pod CV, zgodą na przetwarzanie danych osobowych i klauzulą informacyjną
- odrzucanie wysyłanych na platformy rekrutacyjne CV bez wklejonej formuły zgody na przetwarzanie danych osobowych.
Powinniśmy podkreślić, że dołączanie zgody do CV może dotyczyć tylko wykorzystania danych kandydata do pracy do celów przyszłych rekrutacji. Bardzo niekorzystne jest dla tych wszystkich kandydatów odrzucanie CV, bo "nie ma zgody na przetwarzanie danych".
Przy okazji dodam, że jestem osobą, której odmówiono świadczenia usługi medycznej, ponieważ nie podpisałam się pod treścią obowiązku informacyjnego. Wydaje się to być już patologią prawa, chciałabym, żeby takie rzeczy przeszły do historii (tym bardziej, że dwa kodeksy dla tej branży zostały zatwierdzone).

4. W akapicie "Osoba ubiegająca się o pracę umieściła w CV szczególne kategorie danych (tzw. dane wrażliwe). Czy pracodawca może je przetwarzać?" można również zamieścić informację, że w przypadku pracowników samorządowych nie powinno się gromadzić zgody na przetwarzanie danych wrażliwych - dotyczących niepełnosprawności. Informacja ta jest wymagana na podstawie art. 13 ust. 2b ustawy z dnia 21 listopada 2008 r. o pracownikach samorządowych.

5. Pkt 3.4 "Jak długo można przetwarzać dane kandydatów do pracy?" - najnowszy wyrok sądu NSA z 20 lutego 2024 r., III OSK 2700/22 mówi, iż przechowywanie danych osobowych kandydatów do pracy, którzy nie uzyskali zatrudnienia jest dozwolone, aż do upływu terminu przedawnienia potencjalnych roszczeń związanych z dyskryminacją w procesie rekrutacji, czyli przez maksymalnie 3 lata. Może warto jakoś odnieść się do tego terminu w kontekście pkt. 3.5 "Czy pracodawca może przetwarzać dane kandydatów do pracy po zakończeniu rekrutacji w celu zabezpieczenia się przed ich ewentualnymi roszczeniami?" oraz pkt. 3.6 "Czy możliwość wystąpienia roszczeniem z tytułu dyskryminacji uzasadnia dłuższe przechowywanie danych?".
Ważnym rozstrzygnięciem, na które wszyscy czekają, jest ustalenie czy administracja państwowa/samorządowa może używać art. 6 ust. 1 lit. f RODO w kontekście dochodzenia roszczeń, czy powinna jednak wskazywać art. 6 ust. 1 lit. e RODO (jeśli brakuje konkretnego przepisu prawa z lit. c).

6. Pkt. 3.7 "Jak powinien się zachować pracodawcą z sektora służby cywilnej, gdy wpływa do niego CV (lub inne dokumenty rekrutacyjne), choć nie jest przeprowadzany nabór?" powinniśmy zwrócić uwagę, że np. w przypadku jednostek organizacyjnych (pracownicy samorządowi) najwięcej podań wpływa od potencjalnych pracowników fizycznych, w stosunku do których nie są prowadzone nabory w takiej formie jak na stanowiska urzędnicze. Zazwyczaj osoby te pozostawiają wersje papierowe CV bez zgody na przetwarzanie danych w celach przyszłych rekrutacji, a aktualna rekrutacja nie istnieje. Na niekorzyść tych osób CV bez ww. pisemnej zgody są niszczone. Może jednak można byłoby wypracować korzystniejszą niż w pkt. 3.10 dla takich osób formułę postępowania z ich CV, ponieważ intencją tych osób jest uzyskanie często jakiejkolwiek pracy fizycznej. W pkt. 3.10 wymagane jest proaktywne zachowanie przyszłego pracodawcy, a w tym wypadku często to pracownikowi zależy bardziej niż pracodawcy, więc zazwyczaj kończy się to zniszczeniem CV kandydata. Faktem jest także to, że kandydat na stanowisko nieurzędnicze zostawia w CV jedynie nr telefonu, więc przedstawienie treści obowiązku informacyjnego staje się coraz trudniejsze, biorąc pod uwagę skalę oraz fakt braku udokumentowania realizacji obowiązku.

7. Pkt 4.1 - zmienione zostały przepisy kp, więc ten akapit wymaga aktualizacji.

8. Pkt. 4.1.1 - uchylono rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika w związku z wprowadzeniem ustawy z dnia 10 stycznia 2018 r. o zmianie niektórych ustaw w związku ze skróceniem okresu przechowywania akt pracowniczych oraz ich elektronizacją.
W odniesieniu do nr dowodu osobistego pracownika najczęstszym zjawiskiem jest podawanie numeru, serii i daty ważności dowodu osobistego pracownika (oraz często informacji o organie wydającym dowód) na Kwestionariuszu osobowym pracownika, pod oświadczeniem o podaniu prawdziwych danych. W związku z tym, że jest to dodatkowa dana osobowa pracownika (nie wynikająca z przepisów prawa), to niektórzy pracodawcy proszą o wyrażenie zgody na podanie danych w postaci nr, serii itd. dowodu osobistego....

9. Pkt. 4.1.2 - czy jest to ta wyjątkowa sytuacja, w której jednostka organizacyjna administracji samorządowej może powołać się na art. 6 ust. 1 lit. f RODO, by w intranecie publikować zdjęcia pracowników samorządowych?

10. Pkt 4.2.3 - "Czy osoby szkolące z zakresu bhp mogą przetwarzać dane pracowników szkolonych?". Z uwagi na fakt, iż firma szkoląca z BHP i wydająca kartę szkolenia wstępnego lub ZAŚWIADCZENIE o ukończeniu szkolenia w dziedzinie bezpieczeństwa i higieny pracy (ROZPORZĄDZENIE MINISTRA RODZINY, PRACY I POLITYKI SPOŁECZNEJ z dnia 29 maja 2019 r. zmieniające rozporządzenie w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy) jest zobowiązana do wydania duplikatu ww. dokumentów, to wydaje się jednak, że mamy do czynienia z udostępnieniem danych osobowych firmie BHP.
Z podobną sytuacją mamy do czynienia w przypadku szkoleń kończących się uzyskaniem np. uprawnień elektrycznych SEP, pracownik otrzymuje uprawnienia, które stają się jego własnością, mimo iż zapłacił pracodawca, egzamin i wzór książeczki uprawnień jest ustalony przepisami - Rozporządzenie Ministra Klimatu i Środowiska z dnia 1 lipca 2022 r. w sprawie szczegółowych zasad stwierdzania posiadania kwalifikacji przez osoby zajmujące się eksploatacją urządzeń, instalacji i sieci.
Obecnie na rynku szkoleń trwa proceder oszukiwania pracodawców/pracowników - jak informuje Ministerstwo Edukacji i Nauki, docierają do niego sygnały o kursach oferowanych na portalach internetowych, których organizatorzy zapewniają o otrzymaniu "zaświadczenia na druku MEN/MEiN" potwierdzającego kwalifikacje zawodowe. Wielokrotnie spotkałam się z tym stwierdzeniem, a za tym kryje się także pozyskanie nr PESEL uczestnika szkolenia. Jeśli pracodawca nie udostępni nr PESEL (albo sam pracownik), to nie uzyska zaświadczenia o ukończeniu kursu.
MEiN informuje, iż w rozporządzeniu ministra edukacji i nauki z dnia 6 października 2023 r. w sprawie kształcenia ustawicznego w formach pozaszkolnych określono wzory zaświadczeń o ukończeniu kursów prowadzonych przez takie jednostki systemu oświaty jak: szkoły prowadzące kształcenie zawodowe, placówki kształcenia ustawicznego, centra kształcenia zawodowego, branżowe centra umiejętności. "W aktualnym stanie prawnym nie ma regulacji uprawniających placówkę kształcenia ustawicznego do wydawania "certyfikatu" lub "legitymacji", jak również nie ma podstaw formalnych i faktycznych uzasadniających twierdzenie, że zaświadczenie o ukończeniu kursu jest wydawane "na druku MEN/MEiN".
Niestety, nawet mimo iż wydanie ww. zaświadczenia jest nadużyciem, to posiada ono swój numer i również można otrzymać jego duplikat w sytuacji zgubienia/zniszczenia, nie posiadamy "narzędzi", by zmusić firmy do niszczenia takich zaświadczeń, stąd trudno mówić o "prawdziwym" powierzeniu danych.
Wydaje mi się, że cały ten moduł o powierzeniu/udostępnieniu danych firmom szkoleniowym powinien zostać usystematyzowany. Zdecydowanie łatwiej byłoby zrozumieć takie procesy rozpisane na grafach. Myślę, że można byłoby ustalić rozsądne wytyczne, biorąc jednak pod uwagę, że firmy szkoleniowe też chcą zapewnić rozliczalność i wydawanie duplikatów zaświadczeń dla swoich klientów, dlatego grupa podmiotów, którym powierzamy dane, tak naprawdę jest bardzo wąska, zdecydowana większość wygląda na udostępnienie danych.

11. Pkt 4.2.4 "Przekazywanie danych w związku z oferowanymi przez pracodawcę dodatkowymi świadczeniami pracowniczymi", co prawda nie mówi o wyrażeniu pisemnej zgody, ale można byłoby jednak nadmienić, iż jednoznaczne okazanie woli pracownika w formie wyraźnego działania potwierdzającego przyzwalającego na przetwarzanie dotyczących go danych osobowych = wyrażenie zgody. Można przecież w formie mailowej zgłosić w kadrach chęć uczestnictwa w jakimś dodatkowym świadczeniu, zbędne jest przesyłanie formułki zgody takim osobom do podpisania.

Luźne przemyślenia:
•    Być może dobrym podejściem byłoby wydanie poradnika dla sfery prywatnej i budżetowej osobno, są to jednak zupełnie inne realia funkcjonowania.
•    Brakuje mi także unormowania i ułatwienia wydawania upoważnień do przetwarzania danych dla pracowników. Zawsze wynika ono z określonych zadań pracownika na danym stanowisku. Ten dodatkowy formalizm w postaci odrębnego upoważnienia powinien być zbędny, jak w pozostałej części świata - wynika z zakresu obowiązków lub z zarządzeń powołujących zespoły (ds. ZFŚS, ryzyka itd.) i to szkolenie jest od uświadomienia mu tego. Przy każdej zmianie obowiązków na danym stanowisku zmienia się zakres upoważnienia, dlaczego by nie połączyć tych dwóch rzeczy razem - w jednym dokumencie.
•    Przy okazji można nadmienić, że ustawa z dnia 11 sierpnia 2021 r. o kasach zapomogowo-pożyczkowych wymaga interwencji w temacie "zgody", która pojawiła się jako podstawa przetwarzania danych osobowych członka.
•    Myślę, że dobrym źródłem informacji jest infolinia i jej pracownicy mogliby wskazać, co sprawia trudność pracodawcom/pracownikom.
•    Muszę także przyznać, że analizując różne procesy i sięgając do przepisów prawa, z dużym zdziwieniem przyjmuję, że jest jeszcze tyle wzorów dokumentów dołączonych do ustaw/rozporządzeń, w których zbiera się wciąż dodatkowo: miejsca urodzenia, imiona rodziców, nr dowodów osobistych i PESEL (który jednak jednoznacznie identyfikuje osobę), zbędne jest więc zbieranie tak szerokich danych.
•    Przydałoby się również omówienie przetwarzania danych osób, które kieruje na staż Urząd Pracy oraz osób wykonujących prace społecznie użyteczne na podstawie wyroku sądowego (gdzie kurator sądowy przesyła informacje o przestępstwie z kk).
•    W odniesieniu do nadmiarowych danych np. wrażliwych, które przekaże z własnej woli kandydat/pracownik (a w dalszych przewodnikach - klient) - w przypadku administracji publicznej istnieje obawa pracowników, iż nie można usuwać/zaczerniać przesłanej dokumentacji do urzędu, dokument (i załaczniki) tracą wtedy swoją integralność, a instrukcje kancelaryjne nie przewidują takich sytuacji.

Chciałabym dodać, jeśli można, że od 1 października br. rozpoczynają swoje funkcjonowanie e-Doręczenia, a co za tym idzie - zakup wielu kwalifikowanych podpisów elektronicznych dla pracowników urzędów, co wiąże się z udostępnieniem ich numeru PESEL odbiorcom korespondencji. Dane w postaci imię, nazwisko, PESEL można zobaczyć, otwierając podpisany elektronicznie plik pdf w programie Acrobat Reader, a następnie klikając na "Panel Podpis" > Szczegóły podpisu > Szczegóły zatwierdzenia > w nowo otwartym oknie "Przegląd certyfikatów" - Szczegóły>Temat lub w dowolnym momencie przez kliknięcie "Pokaż certyfikat autora podpisu".

A jeśli pracownik odmówi, ponieważ nie będzie chciał, by jego PESEL był widoczny dla innych? Czy może? Czy nie sparaliżuje to pracy?

Myślę, że to bardzo ważny temat i niewiele czasu.