Autor: Inspektorzy ODO Sp. z o.o. z siedzibą w Warszawie

Szanowni Państwo,

w imieniu Inspektorzy ODO Sp. z o.o. z siedzibą w Warszawie, w związku z ogłoszonymi przez Prezesa Urzędu Ochrony Danych Osobowych konsultacjami dotyczącymi poradnika pt. "Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców", przedkładam nasze sugestie i uwagi związane z opracowywaniem nowego poradnika dotyczącego ww. zagadnień.

O nas

Jesteśmy firmą doradczą świadczącą usługi w obszarze ochrony danych osobowych i compliance. Działamy nieprzerwanie od 2014 roku (w różnych formach organizacyjno-prawnych), a wśród naszych przedstawicieli znajdują się zarówno prawnicy, jak i eksperci od bezpieczeństwa informacji, informatyki i cyberbezpieczeństwa. Obsługujemy administratorów i podmioty przetwarzające z różnych branż - zarówno publicznych, jak i prywatnych, a także o różnej skali działania - mikro, małych i średnich przedsiębiorstw. Towarzyszymy im w rozwiązywaniu codziennych problemów związanych z ochroną danych i to właśnie na podstawie tych doświadczeń przygotowaliśmy poniższe tematy i sugestie zmian lub uzupełnień poradnika.

Wstęp

W pierwszej kolejności chcemy docenić inicjatywę Prezesa Urzędu Ochrony Danych Osobowych, polegającą na zaproszeniu społeczeństwa, w tym przedstawicieli środowisk związanych z ochroną danych, do współpracy w zakresie rewizji poradników. Niewątpliwie powstawały one w innej rzeczywistości prawnej, na którą wpływ ma w istocie nie tylko ustawodawca, ale także judykatura i praktyka stosowania przepisów przez administratorów oraz ich faktyczne potrzeby związane z przetwarzaniem danych osobowych pracowników. Obecne działania Prezesa UODO napawają optymizmem co do wypracowania rozwiązań, które będą odpowiadały faktycznym potrzebom przedsiębiorców (administratorów), a jednocześnie zapewniać będą odpowiedni poziom ochrony danych osobowych.

Propozycje zagadnień

Mamy pełną świadomość, że zmieniająca się rzeczywistość, w szczególności rozwój nowych technologii, w tym tzw. sztucznej inteligencji, stawia przed Prezesem UODO nowe wyzwania. Wiążą się one nie tylko z nowymi zagrożeniami, którym sprzyjać będzie wdrażanie nowych technologii, ale także nowymi oczekiwaniami rynku i podmiotów danych związanymi z postępem technologicznym. Wydaje się jednak, że dla wielu administratorów, w szczególności z sektora publicznego oraz mikro i małych przedsiębiorstw, rozwój nowych technologii nie ma tak istotnego znaczenia, jak w przypadku średnich i dużych przedsiębiorstw. Pierwsze z tych podmiotów mierzą się przede wszystkim z problemami życia codziennego, które nie skupiają się wokół sztucznej inteligencji.

To właśnie ww. zagadnieniom postanowiliśmy poświęcić swoje stanowisko, propozycje zmian i uzupełnień poradnika. Jesteśmy przekonani, że nasi koledzy i koleżanki z branży ochrony danych oraz przedstawiciele nauki zajmą się szczegółowymi zagadnieniami związanymi z nowymi technologiami. My z kolei chcielibyśmy, aby nie umknęły Państwu zagadnienia związane z codziennym funkcjonowaniem większości administratorów zatrudniających pracowników.

Doprecyzowanie podstawy prawnej przetwarzania danych kandydatów do pracy

Dotychczas w praktyce administratorów, inspektorów ochrony danych oraz doktrynie wykształciły się co najmniej trzy stanowiska w zakresie podstawy prawnej przetwarzania danych osobowych kandydatów do pracy na potrzeby przeprowadzenia procesu rekrutacji. Pierwsza z nich zakłada, że dane kandydatów do pracy gromadzone są na podstawie art. 6 ust. 1 lit. c RODO w związku z art. 22(1) Kodeksu pracy. Autorzy tego poglądu wyprowadzają istnienie obowiązku prawnego z brzmienia wskazanego przepisu Kodeksu pracy, który wskazuje, że "pracodawca żąda...". Drugi pogląd zakłada, że dane osobowe kandydatów do pracy pozyskiwane są na podstawie art. 6 ust. 1 lit. b RODO w związku z art. 22(1) k.p., jako czynności podejmowane na żądanie podmiotu danych przed zawarciem umowy. Ostatni z poglądów zakłada przetwarzanie danych osobowych kandydatów do pracy na podstawie prawnie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO) w związku z art. 22(1) k.p.

Brak jednomyślności w tym zakresie wskazuje, że zagadnienie to nie jest proste. Zasadne jawi się zatem zajęcie przez organ nadzorczy jasnego stanowiska w zakresie tego, jaka powinna być prawidłowa podstawa przetwarzania danych kandydatów do pracy.

Uzupełnienie poradnika o kwestie związane ze standardami ochrony małoletnich

Istotne zagadnienia związane z przetwarzaniem danych osobowych wiążą się z nowymi obowiązkami nałożonymi na instytucje i podmioty zajmujące się szeroko pojętą opieką nad małoletnimi. Wynika to z wejścia w życie nowelizacji ustawy z 13.05.2016 r. o przeciwdziałaniu zagrożeniom przestępczości na tle seksualnym i ochronie małoletnich. Ustawa ta nałożyła na administratorów, będących organizatorami opieki nad dziećmi - a więc częstokroć będących również pracodawcami, obowiązki związane z weryfikowaniem swoich pracowników w Rejestrze Sprawców na Tle Seksualnym oraz pozyskiwaniem informacji związanych z ich karalnością. Przepisy te budzą wątpliwości, chociażby co do konieczności weryfikowania w sposób opisany w ustawie osób zatrudnionych przed dniem wejścia w życie znowelizowanych przepisów. Warto zatem poświęcić temu zagadnieniu miejsce w poradniku.

Body Leasing

W dotychczasowym poradniku Prezes UODO odniósł się do kwestii działania agencji zatrudnienia, dokonując oceny ich roli w procesie przetwarzania. Należy jednak zwrócić uwagę, że ostatnie lata wskazują na rosnące zapotrzebowanie na nieco szerzej pojmowane usługi związane z pracownikami, które ujmowane są w kategorii body leasingu, czyli sprzedaży usług, które ściśle wiążą się z oddelegowaniem ("wypożyczeniem") pracownika do świadczenia usług na rzecz innego podmiotu. Usługa taka budzi wątpliwości z perspektywy relacji występujących pomiędzy stronami - usługodawcą, usługobiorcą i wyznaczanym pracownikiem. Zasadnym wydaje się poddanie tego zagadnienia analizie w przygotowywanym przez Prezesa UODO poradniku.

Okresy retencji danych

Aktualizacji w poradniku wymaga kwestia retencji danych osobowych. Praktyka pokazuje, że pracodawcy wielokrotnie potrzebują danych osobowych przez okres dłuższy niż jedynie czas trwania rekrutacji, chociażby aby chronić się przed roszczeniami. Na nieaktualność stanowiska Prezesa UODO w zakresie okresu retencji danych wskazuje też orzecznictwo, w którym przyjęto, że uzasadnione jest przechowywanie danych osobowych kandydatów do pracy do czasu wygaśnięcia roszczeń związanych z rekrutacją (wyrok NSA z 20.02.2024 r. III OSK 2700/22).

Obowiązek informacyjny wobec członków rodziny pracownika

W związku z zatrudnieniem pracownika pracodawca wielokrotnie przetwarza podane przez pracownika dane osobowe podmiotów trzecich, np. osoby wskazanej do powiadomienia w razie wypadku w pracy, czy też dane członków rodziny pozyskiwane w związku z udzielaniem świadczeń z ZFŚS. W obszarze tym pojawiają się praktyczne problemy związane przede wszystkim z realizacją wobec takich osób obowiązków informacyjnych wynikających z art. 14 RODO. Zasadne wydaje się zatem zajęcie przez Prezesa UODO stanowiska w przedmiocie obowiązku realizacji tego obowiązku oraz możliwości skorzystania z wyjątków przewidzianych w art. 14 ust. 5 RODO.

Rewizja kwestii związanych z monitoringiem pracowników

W naszej ocenie poradnik powinien zostać uaktualniony w zakresie dotyczącym monitorowania pracowników. Przede wszystkim postulujemy doregulowanie kwestii stosowania monitoringu GPS w autach służbowych. Obecne brzmienie poradnika w sposób kategoryczny wskazuje na konieczność uzyskania zgody pracownika na prowadzenie monitoringu GPS służbowego pojazdu, gdy może on być wykorzystywany do celów prywatnych. Autorzy poradnika całkowicie pominęli kwestie prawnie uzasadnionego interesu administratora w stosowaniu ww. formy monitorowania pojazdu również po godzinach pracy pracownika, którym to interesem jest ochrona mienia pracodawcy. Korzystanie ze służbowego pojazdu do celów prywatnych jest co do zasady przywilejem pracownika. Pracownik, będąc poinformowany o stosowaniu monitoringu GPS w czasie prywatnych przejazdów, ma świadomość, że pracodawca pozyskuje związane z tym dane osobowe, co może prowadzić do wniosku, że jego prawa i wolności nie mają w tym przypadku nadrzędnego charakteru - dobrowolnie i świadomie podejmuje on zatem decyzję o skorzystaniu z pojazdu w celu prywatnym, wiedząc, że może to być monitorowane przez użyczającego pojazd pracodawcę. Stanowisko Prezesa UODO w zakresie konieczności pozyskania zgody prowadzi z kolei do wielu problemów praktycznych i stawia pracodawcę w niekorzystnej pozycji - uwzględniając możliwość wycofania zgody w dowolnym momencie przez podmiot danych.

Przetwarzanie danych pracowników tymczasowych

Zasadnym wydaje się rewizja poglądu Prezesa UODO w zakresie przetwarzania danych osobowych pracowników tymczasowych. Obecnie brzmienie poradnika wskazuje, że administratorem danych osobowych pracowników tymczasowych pozostaje agencja pracy tymczasowej, która powinna zawrzeć umowę z pracodawcą użytkownikiem. Praktyczne zasady wykonywania pracy tymczasowej wskazują natomiast na zasadność przyjęcia, że zarówno APT, jak i pracodawca użytkownik pozostają odrębnymi administratorami danych, którzy realizują wobec pracowników tymczasowych własne cele przetwarzania. Klasyczny model realizacji usługi pracy tymczasowej nie wymaga bowiem, aby pracodawca użytkownik przetwarzał dane osobowe pracowników tymczasowych w imieniu i na zlecenie administratora.

Kwalifikowane podpisy elektroniczne

Praktycznym problemem, z którym borykają się pracodawcy (głównie w sektorze publicznym), jest wykorzystanie przez pracowników kwalifikowanych podpisów elektronicznych, których sygnatura obejmuje numer PESEL. Pomimo tego, że przepisy prawa (rozporządzenia e-IDAS) nie wymagają, aby kwalifikowany podpis elektroniczny obejmował numer PESEL, to powszechną praktyką dostawców takich narzędzi jest wykorzystanie tego identyfikatora. To z kolei powoduje, że pracodawca posługując się dokumentem elektronicznym podpisanym przez pracownika ujawnia jego dane osobowe innym podmiotom w zakresie obejmującym m.in. numer PESEL, co może być nadmiarowe. Zasadne jest więc omówienie tego problemu w poradniku i zaproponowanie praktycznego rozwiązania tej sytuacji - np. przez wskazanie, na jakiej podstawie prawnej pracodawcy mogą podejmować takie czynności (jaka jest podstawa wykorzystania numeru PESEL w kontekście podpisywania dokumentów w imieniu pracodawcy).

Publikowanie podstawowych informacji o pracowniku oraz jego służbowych danych kontaktowych

Zagadnieniem, które w naszej ocenie powinno stać się też przedmiotem zainteresowania Prezesa UODO w poradniku, jest ujawnienie danych osobowych pracownika (np. imienia, nazwiska i stanowiska pracy) na stronie internetowej administratora (pracodawcy), jak też zobowiązanie pracownika do ujawniania danych osobowych przy odbieraniu służbowego telefonu (podaniu imienia i nazwiska). Możliwość taka częstokroć jest pożądana przez pracodawców, którzy chcą informować swoich klientów o tożsamości pracowników oraz ich służbowych danych kontaktowych. Jednocześnie jednak podawanie takich informacji ogranicza prywatność pracowników. Wątpliwości w tym zakresie nie rozwiewają stanowiska prezentowane za czasów GIODO (np. https://archiwum.giodo.gov.pl/pl/348/3665) - chociażby przez brak informacji o ich podtrzymaniu przez Prezesa UODO.

W razie jakichkolwiek pytań pozostaję do dyspozyzji.