Autor: KPMG spółka z ograniczoną odpowiedzialnością

Szanowni Państwo,

Na wstępie podziękowania dla Prezesa Urzędu Ochrony Danych Osobowych za inicjatywę rewizji poradnika dotyczącego zatrudnienia oraz za zaproszenie rynku ochrony danych osobowych do konsultacji.

W KPMG śledzimy na bieżąco działalność Prezesa UODO, co niejednokrotnie pomaga odnaleźć się w niejednokrotnie skomplikowanej rzeczywistości przepisów o ochronie danych osobowych. W związku z ogłoszonymi konsultacjami, pozwalamy przekazać Prezesowi UODO wskazane poniżej uwagi, pytania i sugestie. Część z nich odnosi się bezpośrednio do treści aktualnego Poradnika. Inne kwestie podnosimy również, ponieważ ta problematyka jest aktualna w obszarach rekrutacji, zatrudnienia czy zakończenia współpracy z członkami personelu.

1. Czy w przypadku kandydatów do pracy zastosowanie znajdzie podstawa prawna prawnie uzasadnionego interesu, biorąc pod uwagę treść art. 22¹ § 1 Kodeksu pracy?
2. Jakie są przykłady prawnie uzasadnionych interesów pracodawcy w procesie rekrutacji, wyłączając ustalenie, dochodzenie i obronę przed roszczeniami?
3. Czy dopuszczalnym jest przetwarzanie w procesie rekrutacji innych kategorii danych osobowych niż wskazane w art. 22¹ § 1 Kodeksu pracy, jeżeli nie istnieją przepisy nadające uprawnienie lub nakładające obowiązek pozyskania konkretnych kategorii danych osobowych? W szczególności, mogą to być dane dotyczące kompetencji kandydatów w obszarach merytorycznych (pozyskane np. poprzez rozwiązanie przykładowych zadań w procesie rekrutacji), językowych (np. testy z języka obcego) czy przywódczych w stosunku do osób mających pełnić kierownicze stanowiska w organizacji (np. ocena zdolności podejmowania decyzji).
4. Czy Prezes UODO zrewiduje swoje stanowisko, określone w obecnie funkcjonującym Poradniku, w kwestii okresu przechowywania danych osobowych kandydatów do pracy, w świetle wyroku Naczelnego Sądu Administracyjnego z dnia 20 lutego 2024 r. (III OSK 2700/22) zgodnie z którym dopuszczalne jest przechowywanie danych osobowych przez okres 3 lat po zakończeniu procesu rekrutacji, zgodnie z terminem przedawnienia roszczeń związanych z dyskryminacją lub nierównym traktowaniem na podstawie przepisów Kodeksu pracy?
5. Jakie jest stanowisko Prezesa UODO w kontekście sytuacji, gdy podmiot trzeci żąda od pracodawcy zgromadzenia i przekazania danych osobowych członków swojego personelu w zakresie wykraczającym poza służbowe dane kontaktowe (imię, nazwisko, stanowisko, służbowy adres email, służbowy nr telefonu) z powołaniem się na wewnętrzne procedury np. bezpieczeństwa fizycznego, weryfikacji personelu (np. Staff Vetting) czy w celu nadania dostępu do systemów informatycznych podmiotu trzeciego?
6. W jaki sposób Prezes UODO rekomenduje weryfikować tożsamość osoby, z którą pracodawca nawiązuje stosunek pracy lub zatrudnia ją na innej podstawie prawnej?
7. Jak bardzo szczegółowo, w ocenie Prezesa UODO, powinien być formułowany obowiązek informacyjny względem pracowników w kontekście wskazania osobom, których dane dotyczą, celów przetwarzania? W jaki sposób wyważyć zasadę przejrzytości, aby z jednej strony poinformować w sposób rzetelny pracowników o przetwarzaniu ich danych osobowych, a jednocześnie nie spowodować, aby przekazać podmiotom danych nadmiar treści?
8. Czy informacja o przebywaniu na zwolnieniu lekarskim (bez wskazania kodu choroby) stanowi dane dotyczące zdrowia? Czy w narzędziach IT, służących do planowania pracy w konkretnych departamentach lub zespołach, można umieścić taką informację?
9. Czy pracodawca może stosować na służbowych smartfonach uwierzytelnianie dwuskładnikowe, w szczególności, gdy jednym z możliwych dodatkowych składników uwierzytelniania są dane biometryczne, które zapisywane są wyłącznie na urządzeniu służbowym (np. FaceID)? Czy opisany scenariusz, zdaniem Prezesa UODO, wypełnia przesłankę określoną w art. 22^1b § 2 Kodeksu pracy?
10. Aktualnie dość często oferowanym benefitem dla pracowników jest możliwość skorzystania z preferencyjnych warunków najmu długoterminowego samochodów osobowych, które mogą być użytkowane również w celach prywatnych. W sytuacji, gdy wykonane zostaje zdjęcie z fotoradaru, dołączane jest wezwanie do wskazania sprawcy wykroczenia. Takie pismo wraz ze zdjęciem (zdjęciami) trafia do leasingodawcy, a następnie często do pracodawcy, który leasinguje flotę samochodów udostępnianych następnie pracownikom. Czy w ocenie Prezesa UODO dostarczone pismo wraz ze zdjęciem z fotoradaru stanowi dane dotyczące czynów zabronionych, o których mowa w art. 10 RODO? Jeżeli tak, czy pracodawca może przetwarzać takie dane i na jakiej podstawie prawnej?
11. Zgłaszamy również do Prezesa UODO postulat de lege ferenda dotyczący przesłanki możliwości wprowadzenia monitoringu poczty elektronicznej oraz innych form monitoringu analogicznej jak w art. 22² § 1 Kodeksu pracy - jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Wydaje się, że w szczególności zachowanie w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę jest przesłanką, która powinna uzupełnić dotychczasowe.
12. Uprzejmie prosimy, w kontekście przyjętego niedawno Aktu o sztucznej inteligencji, o wytyczne organu nadzorczego dotyczące stosowania rozwiązań opartych o systemy sztucznej inteligencji w środowisku pracy.
13. W kontekście rozpowszechniania wizerunku personelu, jaka jest opinia Prezesa UODO w kwestii zbiegu podstaw prawnych do przetwarzania danych osobowych na gruncie RODO oraz zezwolenia na rozpowszechnianie wizerunku w trybie art. 81 ustawy o prawie autorskim i prawach pokrewnych? Czy osoba, która udzieliła stosownego zezwolenia może zostać przypisana do kategorii osób, o których mowa w Motywie 47 preambuły do RODO, to jest, iż osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu.
14. Czy pracodawca, wobec braku obowiązujących przepisów w zakresie tzw. sygnalistów, może przetwarzać dane osobowe w procesie zgłaszania naruszeń prawa, wewnętrznych procedur i innych nieprawidłowości?
15. Czy zgoda jest jedyną dopuszczalną podstawą prawną do przetwarzania prywatnych danych kontaktowych pracownika? Czy można wykorzystać inną podstawę prawną, jeżeli takiej zgody nie można pozyskać, a kontakt jest niezbędny w tym w szczególności w celu ochrony interesów pracownika (np. ochrona żywotnych interesów) lub jeśli pilnie trzeba uzyskać dokument, stanowisko czy informację, a kontakt pisemny na adres wskazany do korespondencji jest utrudniony lub powodowałby zwłokę?
16. Czy można wymagać od pracownika aktualizacji danych osobowych? Obowiązek taki jest jedynie pośrednio wywodzony z przepisów szczególnych np. o ubezpieczeniach społecznych. Co w sytuacji, gdy pracownik takich danych nie aktualizuje, a pracodawca musi spełnić konkretne obowiązki wynikające z przepisów Kodeksu pracy oraz przepisów szczególnych np. wysyłka świadectwa pracy?
17. Czy należy spełniać obowiązek informacyjny z art. 14 RODO w przypadkach, gdy pracownik podaje administratorowi danych (pracodawcy) dane osobowe członków rodziny, osób najbliższych lub osób, które np. należy poinformować w razie wypadku, skoro w większości przypadków administrator nie otrzymuje danych kontaktowych do tej osoby? Czy należy wówczas zastosować jedno z wyłączeń wskazanych w art. 14 ust. 5 RODO, czy też zobowiązać pracownika do przekazania klauzuli informacyjnej, czy też (w ślad za jedną koncepcji w tej materii występujących w doktrynie prawa ochrony danych osobowych) należy takie dane traktować jako dane nierozerwalnie związane z konkretnym pracownikiem, a zatem osoby, wobec której pracodawca realizuje obowiązek informacyjny na gruncie art. 13 RODO?
18. Jaka jest rola podmiotu świadczącego usługi tzw. body leasing? Czy należy stosować w tym zakresie analogię do pracodawcy tymczasowego oraz pracodawcy użytkownika?
19. Czy podmiot zatrudniający w ramach praktyk może gromadzić kopie legitymacji studenckich od osób kierowanych na praktyki na potrzeby kontroli ZUS, czy też wystarczającą formą jest oświadczenie studenta o posiadaniu statusu studenta wraz z okazaniem legitymacji studenckiej do wglądu lub zaświadczenie o statusie studenta przedkładane przez uczelnię?

Z góry dziękujemy za wszelkie udzielone wskazówki, odpowiedzi oraz wytyczne.

Pozostajemy do dyspozycji w razie dodatkowych pytań ze strony Prezesa UODO.