Autor: Jacek M. Czyż

Szanowni Państwo,

odnosząc się do treści Poradnika wydanego w 2018 roku mam kilka uwag / sugestii.

Na stronie 12 jest odpowiedź przecząca na pytanie cyt. Czy pracodawca może wykorzystać dane kandydatów do pracy pozyskane w konkretnym procesie rekrutacyjnych do celów przyszłych rekrutacji? Przecząca jest także odpowiedź (strona 17) na pytanie cyt. Czy pracodawca może przetwarzać dane kandydatów do pracy po zakończeniu rekrutacji w celu zabezpieczenia się przed ich ewentualnymi roszczeniami?

Wydaje mi się, że odpowiedzi na powyższe pytania należałoby zaktualizować. Od 2022 roku śledzę dyskusje na ten temat i sprawa wydaje się nie tak jednoznaczna. Chociażby w artykule Łukasza Guzy z Dziennika Gazety Prawnej (9.08.2022) "Można przechowywać dane osobowe kandydatów po zakończeniu rekrutacji", przywołany jest wyrok WSA w Warszawie w którym stwierdzono, że firma ma prawo przetwarzać dane po zakończonym naborze z uwagi na ewentualne roszczenia z tytułu dyskryminacji. W kolejnych artykułach w tym temacie (Dziennik Gazeta Prawna, Rzeczpospolita) w dyskusji praktyków ochrony danych, radców prawnych pada nawet termin przechowywania danych kandydata do pracy - 3 lata. Taki też termin podał NSA w sprawie skargi niedoszłej pracownicy znanej firmy wysyłkowej A. Pani K. (por. artykuł z 20.02.2024 autorstwa Michała Culepy  z Dziennika Gazety Prawnej pt. "NSA: Dane kandydatów do pracy można przechowywać 3 lata:)

Podsumowując ten wątek, myślę, że warto zweryfikować odpowiedzi z 2018 roku, jeżeli jej nie zmieniając to ustosunkowując się do głosów w dyskusji i orzecznictwa z lat 2022-2024. Dotyczy odpowiedzi na pytania nr 2.3 (strona 12)  oraz 3.5 i 3.6 (strony 17-18).

Odnosząc się do odpowiedzi na pytanie 3.12 (strony 20-21) wydaje mi się, że można by ją nieco rozwinąć. Chociażby ostatnie zdanie, które brzmi cyt. Inną kwestią natomiast będzie możliwość kontaktowania się (przetwarzania danych w związku z tym) przez pracodawcę z kandydatem w innej formie np. mailowej (poza portalem, na którym doszło do kontaktu).

Kwestia przetwarzania wizerunku pracownika przewija się w odpowiedzi na pytanie 4.1.2 Myślę, że można by bardziej rozróżnić podstawę prawną przetwarzania (z artykułu 6 RODO). Czyli kiedy  lit. a), a więc zgoda, a kiedy lit. f) czyli prawnie uzasadniony interes. Na stronie 24 kiedy jest napisane o wizerunku na identyfikatorze jest mowa o zgodzie lub jej braku, np w przypadku ochroniarzy). A co z sytuacją jeżeli pracownik działu promocji/marketingu nie pracuje w sektorze prywatnym, ale w zakresie obowiązków ma np. udział w wydarzeniach społecznych, kulturalnych na których reprezentuje pracodawcę, który z kolei "działa" w oparciu o ustawę o  organizowaniu i prowadzeniu działalności kulturalnej? Co jeżeli nie udzieli zgody na przetwarzanie wizerunku? Z odpowiedzi na stronie 25 wynika, że zgoda a nie prawnie uzasadniony interes wchodzi tutaj w grę. Może bardzo wyraźnie podkreślić różnice między sektorem prywatnym a publicznym? Poddaję pod Państwa uwagę.

W odpowiedzi na pytanie 4.3 (strony 29-30) cyt. Czy osoby szkolące z zakresu bhp mogą przetwarzać dane pracowników szkolonych? pada odpowiedź (...) cyt. Z kolei firma zewnętrzna będzie musiała zawrzeć z pracodawcą umowę powierzenia przetwarzania danych osobowych.

Sformułowanie to, moim zdaniem, stoi w częściowej sprzeczności ze stanowiskiem PUODO, które było dostępne 15.10.2020 na Państwa stronie, udostępnione przez Departament Orzecznictwa i Legislacji (https://archiwum.uodo.gov.pl/pl/225/1736). Proszę wybaczyć wklejenie linka. Jeżeli go Państwo nie otworzycie ze względów bezieczeństwa to wklejam na wszelki wypadek pełne pytanie i odpowiedź na nie. W odpowiedzi na pytanie cyt. W związku z koniecznością przeprowadzenia szkolenia BHP dla naszych pracowników planujemy skorzystać z usług firmy szkoleniowej. Zastanawiamy się jednak, jak prawidłowo określić rolę naszą i tej firmy w procesie przetwarzania danych osobowych. Czy pracodawca w każdym przypadku, gdy kieruje pracownika na szkolenie (BHP, podnoszące kwalifikacje), powinien zawrzeć z firmą szkoleniową umowę powierzenia, o której mowa w art. 28 ust. 3 RODO? koniec cytatu

ze strony PUODO w 2020 roku pada taka odpowiedź cyt.

W celu ustalenia, czy w danej sytuacji mamy do czynienia z odrębnym administratorem, czy jednak istnieje konieczność zawarcia umowy powierzenia, należy przede wszystkim dokonać analizy okoliczności faktycznych z uwzględnieniem zadań określonych podmiotów wynikających m.in. z przepisów prawa oraz zawartej pomiędzy nimi umowy. Trzeba brać pod uwagę, jak w szczegółach realizowane są obowiązki przeprowadzenia szkolenia w konkretnym przypadku i jak pracodawca i firma szkoleniowa  uzgodniły swoje role oraz zadania w zakresie przetwarzania danych, a także na ile samodzielnie i w jakich celach podmioty te przetwarzają dane w celach związanych ze szkoleniem. W wielu przypadkach, gdy następuje przekazanie realizacji zadania innemu podmiotowi, który realizuje je (także w zakresie przetwarzania danych) w sposób niezależny, samodzielnie decydując o sposobach i celach przetwarzania, a zadania i obowiązki tego podmiotu są dodatkowo dość szczegółowo określone w przepisach prawa, istnieją podstawy do uznania ich za odrębnych administratorów. Powierzenie przetwarzania powinno mieć natomiast miejsce wówczas, jeśli zewnętrzny podmiot przetwarza dane w imieniu administratora, w celach i w sposób przez niego określony. W niektórych przypadkach warto zwrócić uwagę na rozwiązanie określone w art. 26 RODO, tj. instytucję współadministrowania. Zgodnie z art. 94 pkt 4 ustawy Kodeks pracy, pracodawca jest obowiązany  w szczególności zapewniać bezpieczne i higieniczne warunki pracy oraz prowadzić systematyczne szkolenie pracowników w zakresie bezpieczeństwa i higieny pracy. Natomiast zgodnie z brzmieniem § 4 ust. 1 rozporządzenia Ministra Gospodarki i Pracy z dnia 27 lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy, szkolenie może być organizowane i prowadzone przez pracodawców lub, na ich zlecenie, przez jednostki organizacyjne prowadzące działalność szkoleniową w dziedzinie bezpieczeństwa i higieny pracy. Pracodawca może zatem realizować obowiązek nałożony na niego w art. 94 pkt 4 Kodeksu pracy samodzielnie lub za pośrednictwem firmy zewnętrznej (korzystając z jej usług). Firma zewnętrzna w procesie przetwarzania może występować w roli organizatora szkolenia, o którym mowa w § 4 pkt 1 rozporządzenia Ministra Gospodarki i Pracy z dnia 27 lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy. W § 5 pkt. 1-6 tego rozporządzenia zostały określone obowiązki organizatora szkolenia. Należy do nich zapewnienie: programu poszczególnych rodzajów szkolenia opracowanego dla określonych grup stanowisk; programu szkolenia instruktorów w zakresie metod prowadzenia instruktażu  w przypadku prowadzenia takiego szkolenia; wykładowców i instruktorów posiadających zasób wiedzy, doświadczenie zawodowe i przygotowanie dydaktyczne zapewniające właściwą realizację programów szkolenia; odpowiednich warunków lokalowych do prowadzenia działalności szkoleniowej; wyposażenie dydaktyczne niezbędne do właściwej realizacji programów szkolenia; właściwy przebieg szkolenia oraz prowadzenia dokumentacji w postaci programów szkolenia, dzienników zajęć, protokołów przebiegu egzaminów i rejestru wydanych zaświadczeń. Jednostka organizacyjna prowadząca działalność szkoleniową w dziedzinie bezpieczeństwa i higieny pracy, realizując nałożone na nią w ww. rozporządzeniu obowiązki, przetwarza dane pracownika w związku ze sporządzaniem protokołów z przebiegu egzaminów i rejestru wydanych zaświadczeń oraz w zakresie nawiązania współpracy (zawarcia stosownych umów) z wykładowcami i instruktorami posiadającymi zasób wiedzy, doświadczenie zawodowe i przygotowanie dydaktyczne zapewniające właściwą realizację programów szkolenia (§ 5 pkt. 3 i 6 ww. rozporządzenia Ministra Gospodarki i Pracy). W tym zakresie zasadnie można uznać, że przetwarza dane jako administrator w rozumieniu przepisów o ochronie danych osobowych. koniec cytatu

Myślę więc, że należałoby w jakimś stopniu skorygować / rozwinąć odpowiedzi na pytania z kategorii 4.2.3, ze stron 29-31.