Autor: Kancelaria CMS
Autor: Zespół Kancelarii CMS w składzie: Tomasz Koryzma, Damian Karwala, Adriana Zdanowicz – Leśniak, Agnieszka Górecka, Dominika Tyc, Magdalena Zajęcka, Agnieszka Czopska, Weronika Piwowarska.
Poradnik o przetwarzaniu danych przy zatrudnianiu „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców” z 2018 r. (“Poradnik”)
Temat uwagi
ZBIERANIE DANYCH „NA WSZELKI WYPADEK” / “NA ZAPAS”
#rekrutacja #zatrudnienie
Obecne stanowisko UODO
Poradnik zakazuje zbierania danych “na wszelki wypadek” pomijając istniejące i możliwe podstawy prawne
Propozycja zmian
Rezygnacja z argumentu opartego o zbieranie danych „na wszelki wypadek” lub co najmniej doprecyzowanie, jak go interpretować
Uwagi dodatkowe
Wielokrotnie na łamach Poradnika (np. punkt 2. Poradnika – str. 7-8, czy punkt 3.5 - str. 17), wskazywane jest, że dane osobowe nie mogą być zbierane na “wszelki wypadek” czy też “na zapas”.
O ile sam zakaz zbierania zbyt dużej ilości danych bez podstawy prawnej jest słuszny, o tyle powyższy pogląd przedstawiony w Poradniku jest zbyt rygorystyczny. Poradnik pomija bowiem m.in. przepisy doprecyzowujące kontekst zbierania danych przez pracodawców, w tym m.in. możliwość przekazania danych przez kandydata z własnej inicjatywy np. w CV (za zgodą kandydata – co dopuszcza sam Poradnik na str. 11) czy w trakcie rozmowy kwalifikacyjnej. Pomijany jest również cel, dla którego przetwarzane są tego typu dane osobowe (np. przeprowadzenie rekrutacji).
Równocześnie, przechowywanie danych osobowych przez okres odpowiadający okresowi przedawnienia roszczeń nie powinno być traktowane jako zbieranie danych “na zapas” czy “na wszelki wypadek”. Pozbawia to pracodawcę ochrony jego praw, czyniąc ochronę danych osobowych pracownika/kandydata absolutną, wbrew ogólnym założeniom (zob. dalsze uwagi w Retencja danych a ochrona przed roszczeniami).
Nowa wersja Poradnika powinna zrezygnować z obecnej, restrykcyjnej i nie do końca zrozumiałej interpretacji zakazu zbierania danych “na wszelki wypadek” albo przynajmniej doprecyzować, co taki “wszelki wypadek” oznacza.
Temat uwagi
RETENCJA DANYCH A OCHRONA PRZED ROSZCZENIAMI
#rekrutacja #porekrutacji
Obecne stanowisko UODO
Kategoryczny zakaz przetwarzania danych w celu ochrony przed roszczeniami kandydatów do pracy
Propozycja zmian
Liberalizacja stanowiska
Uwagi dodatkowe
Zgodnie z najnowszym i prawomocnym orzeczeniem NSA (wyrok z dnia 20.02.2024 r., sygn. III OSK 2700/22), dopuszczalne jest przetwarzanie danych osobowych kandydata do lat 3 w celu ochrony pracodawcy przed roszczeniami kandydatów do pracy. Okres 3-letni został przyjęty na podstawie okresu przedawnienia wskazanego dla roszczeń prawno-pracowniczych zgodnie z przepisami Kodeksu Pracy.
NSA przesądził m.in., że art. 6 ust. 1 lit. f) RODO – tj. uzasadniony interes administratora - jest prawidłową podstawą przetwarzania danych dla “zabezpieczenia się na wypadek konieczności wejścia w spór sądowy”.
Jak wskazał NSA - analizując przepisy Kodeksu Pracy oraz europejskich dyrektyw: “zaprzestanie przetwarzania danych osobowych osoby, która negatywnie przeszła proces rekrutacyjny i tym samym wyzbycie się przez pracodawcę wszelkich dokumentów i danych identyfikujących oraz pozycjonujących tę osobę w tym procesie, może uniemożliwić lub znacznie utrudnić mu skuteczną obronę przed postawionymi przed sądem zarzutami dyskryminacyjnymi”.
Tym samym, aktualne stanowisko - punkt 3.5 Poradnika - str. 17 - zakazujące przetwarzania danych osobowych kandydatów “na wszelki wypadek” w celu ochrony przed roszczeniami kandydatów do pracy nie jest zgodne z orzecznictwem NSA. Co więcej, nie jest też spójne z innymi sekcjami Poradnika. W sekcji 3.6 Poradnik przyznaje bowiem, że są sytuacje, gdy na pracodawcę będzie przerzucony ciężar dowodu. Wówczas musi on wykazać, że nie traktował kandydata gorzej niż innych. Nie jest to jednak możliwe bez dysponowania dokumentacją, w tym danymi osobowymi tego kandydata.
Nowa wersja Poradnika powinna uwzględniać prawomocny wyrok NSA oraz dopuszczać możliwość określenia retencji danych osobowych na podstawie okresu przedawnienia roszczeń pracowniczych.
Temat uwagi
PRZECHOWYWANIE KOPII DOKUMENTÓW
#zatrudnienie
Obecne stanowisko UODO
Brak informacji w Poradniku
Propozycja zmian
Pracodawca powinien mieć możliwość sporządzenia i przechowywania kopii dokumentów, przedstawianych przez pracownika
Uwagi dodatkowe
W związku ze stanowiskiem PUODO dot. nadmiernego kopiowania dowodów tożsamości (w szczególności w sektorze finansowym), zauważalna jest ogólna zmiana podejścia w tym zakresie, która została rozszerzona na inne sektory i dokumenty (np. kwestionowane jest kopiowanie przez pracodawców dokumentów przedstawianych przez pracowników i kandydatów do pracy).
Pomimo, że Kodeks Pracy (art. 221 par. 5) wskazuje na formę oświadczeń - jako preferowaną - to wciąż dopuszcza możliwość udokumentowania danych osobowych w niezbędnym zakresie. Zbyt wąska interpretacja “niezbędnego zakresu” jest szkodliwa dla pracodawców, gdyż nie zabezpiecza wystarczająco ich interesów. Ograniczenie się do samego oświadczenia lub co najwyżej wglądu do dokumentu czy sporządzenia notatek z okazania dokumentacji pozbawia pracodawców skutecznej weryfikacji informacji im przedstawianych, czy nawet obrony w sytuacji zgłaszanych roszczeń.
Dzięki przetwarzaniu kopii z dokumentów (np. w przypadku sporu z pracownikiem), pracodawca będzie miał możliwość weryfikacji prawdziwości informacji przedstawionych przez pracownika – potwierdzenia autentyczności dokumentu, czy też informacji tam zawartych i podpisu. Przykładami takich sytuacji mogą być zwolnienia lekarskie, oświadczenia lekarskie, czy akty urodzenia. Oczywiście kopia danego dokumentu powinna być przetwarzana wtedy, gdy istnieje odpowiednia podstawa prawna oraz wyłącznie tak długo, jak pozwala na to cel przetwarzania.
Nowa wersja Poradnika powinna dostarczać wskazówek, w jakich przypadkach pracodawca może przechowywać kopie dokumentów w odniesieniu do konkretnych przykładów (np. odnośnie do udokumentowania urlopu opiekuńczego, urlopu okolicznościowego).
Temat uwagi
SPOSÓB SPEŁNIANIA OBOWIĄZKU INFORMACYJNEGO
#rekrutacja
#porekrutacji
#politykaprywatności
Obecne stanowisko UODO
Brak informacji w Poradniku
Propozycja zmian
Uzupełnienie Poradnika o rekomendacje Organu
Uwagi dodatkowe
W związku z popularyzacją tzw. warstwowego sposobu realizacji obowiązku informacyjnego, o którym mowa w art. 13 i 14 RODO, uaktualniona wersja Poradnika mogłaby zawierać rekomendację co do tego, w jaki sposób pracodawcy mogą/powinni korzystać z warstwowej realizacji tego obowiązku.
W szczególności, jakiego rodzaju rozwiązania techniczne czy też z zakresu tzw. legal design (np. ilustracje, listy rozwijane, ikony, krótkie filmiki itp.) są dopuszczalne w politykach prywatności, czy wręcz rekomendowane.
Taka sugestia będzie szczególnie cenna w obliczu tegorocznego planu kontroli PUODO obejmującego m.in. kontrolę tego jak spełniany jest obowiązek informacyjny przez administratorów.
Temat uwagi
OBOWIĄZEK INFORMACYJNY WOBEC OSÓB TRZECICH
#zatrudnienie
#politykaprywatności
Obecne stanowisko UODO
Stanowisko PUODO pozwala na wyłączenie obowiązku informacyjnego w stosunku do osób trzecich, których dane są zbierane na potrzeby ZFŚS
Propozycja zmian
Uzupełnienie Poradnika o inne przypadki, w których może być zastosowany wyjątek wyłączający obowiązek informacyjny
Uwagi dodatkowe
15 października 2020 r. PUODO przedstawił korzystne dla pracodawców stanowisko w zakresie braku konieczności spełniania przez pracodawcę obowiązku informacyjnego wobec członków rodziny pracownika korzystającego z ZFŚS (link: https://archiwum.uodo.gov.pl/pl/225/1734).
Rekomendujemy, aby nowa wersja Poradnika wskazywała, iż brak takiego obowiązku dotyczy nie tylko ZFŚS, ale również innych sytuacji, w których przetwarzane są dane osób trzecich przez pracodawców – np. w związku z przetwarzaniem danych rodziny pracownika na potrzeby instytucji urlopu opiekuńczego w świetle art. 1731 Kodeksu Pracy.
Temat uwagi
INFORMOWANIE PRACOWNIKÓW O WYKORZYSTYWANIU SYSTEMÓW SZTUCZNEJ INTELIGENCJI
#AI
#politykaprywatności
Obecne stanowisko UODO
Brak informacji w Poradniku
Propozycja zmian
Uzupełnienie Poradnika o rekomendacje PUODO
Uwagi dodatkowe
Projekt Rozporządzenia unijnego ws. sztucznej inteligencji (AI Akt), który został oficjalnie przyjęty przez Parlament Europejski oraz Radę Europejską, zawiera regulacje, które będą miały istotny wpływ na pracodawców, jak i pracowników.
W szczególności w zakresie systemów sztucznej inteligencji wysokiego ryzyka. Zgodnie z art. 26 ust. 7 AI Aktu, przed oddaniem do użytku lub wykorzystaniem systemu AI wysokiego ryzyka w miejscu pracy podmioty stosujące, będące pracodawcami, informują przedstawicieli pracowników i pracowników, których to dotyczy, że będzie w stosunku do nich wykorzystywany system AI wysokiego ryzyka. Informacje te mają być przekazywane, w stosownych przypadkach, zgodnie z zasadami i procedurami ustanowionymi w prawie Unii Europejskiej i prawie krajowym oraz praktyką w zakresie informowania pracowników i ich przedstawicieli.
Cenne byłoby uwzględnienie w nowej wersji Poradnika rekomendacji co do sposobu (np. czy taka informacja może znaleźć się w polityce prywatności pracodawcy) i zakresu przekazywania pracownikom takiej informacji, dzięki czemu pracodawcy mogliby przygotować się na wejście w życie w/w przepisów i zapewnić zgodność w tym zakresie.
Temat uwagi
PRZEKAZANIE DANYCH Z “WŁASNEJ INICJATYWY” PRACOWNIKA (KANDYDATA)
#rekrutacja
#CV
#danewrażliwe
Obecne stanowisko UODO
Przetwarzanie danych szczególnej kategorii (wrażliwych) na podstawie zgody możliwe jest wyłącznie, gdy dane osobowe zostały podane przez kandydata (pracownika) z “własnej inicjatywy”.
Propozycja zmian
Uzupełnienie Poradnika o interpetację pojęcia “własnej inicjatywy” w zakresie przekazania danych wrażliwych pracodawcy
Uwagi dodatkowe
Zgodnie z art. 221b ust. 1 Kodeksu Pracy, zgoda kandydata do pracy lub pracownika może stanowić podstawę przetwarzania przez pracodawcę szczególnych kategorii danych osobowych, wyłącznie gdy przekazanie takich danych następuje “z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika”.
W praktyce jednak pojawiają się wątpliwości interpretacyjne co do tego, kiedy w relacji pracowniczej jest spełniona przesłanka “własnej inicjatywy” pracownika (kandydata).
W naszej ocenie, o ile pracodawca: (a) jedynie poinformuje pracowników o pewnej wewnętrznej inicjatywie, a pracownik dołącza do niej dobrowolnie przekazując swoje dane wrażliwe lub (b) zada pytanie dotyczące danych wrażliwych, na które odpowiedź pracownika jest dobrowolna – wciąż przesłanka “własnej inicjatywy” przekazania danych jest spełniona.
Odmienna interpretacja - wykluczająca jakąkolwiek zachętę (inicjatywę) ze strony pracodawcy nawet przy zapewnieniu dobrowolności podania danych wrażliwych przez pracownika – jest zbyt rygorystyczna i w praktyce prowadzi do uniemożliwienia realizacji interesów również pracowników, w szczególności w dobie rosnącej roli inkluzywności w miejscu pracy.
Nowa wersja Poradnika powinna zliberalizować zasady dot. podawania wrażliwych danych osobowych “z własnej inicjatywy” pracownika/kandydata z uwzględnieniem w/w uwag.
Temat uwagi
WERYFIKACJA DANYCH KANDYDATA
#rekrutacja
#background checks
Obecne stanowisko UODO
Źródłem informacji o kandydacie powinien być sam kandydat. Weryfikacja przez pracodawcę jest istotnie ograniczona.
Propozycja zmian
Liberalizacja stanowiska
Uwagi dodatkowe
Stanowisko prezentowane obecnie np. w punktach 3.2 czy 3.3 - str. 16 lub punkt 3.11 – str. 20 Poradnika nie znajduje uzasadnienia w RODO, ani realiach społeczeństwa informacyjnego. Pracodawca jest przesadnie ograniczony w możliwości weryfikowania informacji, które podaje kandydat.
Pozbawienie pracodawców możliwości weryfikacji takich informacji nabiera nowego znaczenia w dobie sztucznej inteligencji. Obecne technologie dają bowiem kandydatom choćby możliwość generowania treści czy samych dokumentów, czego pracodawca nie może w żaden sposób zweryfikować.
Brak narzędzi do potwierdzenia informacji o kandydacie sprzyja nadużyciom - np. przy przedkładaniu dyplomów czy certyfikatów potencjalnie wytworzonych przez sztuczną inteligencję. Obecnie Poradnik jedynie sugeruje złożenie zawiadomienia o możliwości popełnienia przestępstwa (punkt 3.3 Poradnika), co zwykle zniechęca do działania pracodawców, którzy niechętnie uciekają się do tak daleko idących rozwiązań.
Nowa wersja Poradnika powinna rozważyć czy i jak pracodawca może uprawdopodobnić, korzystając z innych, wiarygodnych źródeł, że informacje podawane przez kandydata są prawdziwe (np. w sytuacji, gdy ma podejrzenia, że świadectwo pracy zostało wygenerowane przez AI). Teoretycznie potencjalny pracodawca mógłby to łatwo potwierdzić kontaktując się z byłymi pracodawcami – ale obecnie taki kontakt jest możliwy wyłącznie za zgodą kandydata.
Weryfikacja pewnych informacji w procesie rekrutacji powinna być zatem dopuszczalna. Pod warunkiem oczywiście, że pracodawca poinformuje o niej kandydatów, a cały proces będzie transparentny. Dla przykładu, gdy pracodawca w ogłoszeniu wskaże, że o ile kandydat przedłoży referencje od poprzednich pracodawców, to pracodawca będzie mógł podjąć kontakt z osobami je wystawiającymi. W takim wypadku zgoda jest wyrażana poprzez wyraźne działanie kandydata polegające na przedłożeniu referencji. Zgoda jest też ważna z uwagi na świadomość potencjalnego kontaktu z byłymi pracodawcami.
Należy również zwrócić uwagę na pewną niespójność Poradnika w tym zakresie, który z jednej strony np. dopuszcza możliwość pozyskiwania przez pracodawcę danych o kandydatach z branżowych portali społecznościowych (tj. LinkedIn), a z drugiej sugeruje, że źródłem danych powinien być sam kandydat.
Poradnik poświęca także niewiele uwagi nieposzlakowanej opinii, wymaganej na wybrane, kluczowe dla organizacji stanowiska. Warto się temu zagadnieniu na nowo przyjrzeć, gdyż zatrudnienie niewłaściwej osoby może w tym wypadku bardzo negatywnie wpłynąć na wizerunek pracodawcy. W nowej wersji Poradnika należy rozważyć choćby dopuszczenie uzasadnionej weryfikacji np. publicznie dostępnych informacji/artykułów branżowych rozpowszechnianych przez kandydata. Pozwoli to unikać sytuacji, gdy sami klienci pracodawcy natrafią na takie publikacje w trakcie współpracy kandydata z pracodawcą. Jeśli jest to osoba kluczowa dla pracodawcy, a jej publikacje są niewłaściwe lub wręcz niezgodne z prawem, to mogą nawet zniechęcić klienta do współpracy z pracodawcą.
W świetle w/w uwag, rekomendujemy, aby nowa wersja Poradnika złagodziła podejście do weryfikacji informacji o kandydatach w trakcie rekrutacji dopuszczając oparcie jej na uzasadnionym interesie pracodawcy pod warunkiem, że weryfikacja będzie uzasadniona i proporcjonalna, a cały proces transparentny.
Temat uwagi
WERYFIKACJA INFORMACJI PUBLIKOWANYCH W SIECI
#rekrutacja
#background checks
Obecne stanowisko UODO
Zakaz wykorzystania informacji z mediów społecznościowych
Propozycja zmian
Liberalizacja stanowiska
Uwagi dodatkowe
Poradnik przyjmuje dość rygorystyczne podejście w kwestii pozyskiwania przez pracodawcę danych dot. kandydata z portali społecznościowych (punkt 3.11 - str. 20 Poradnika), co również wpływa na negatywną ocenę zastosowania takiej praktyki w stosunku do samych pracowników.
Niemniej, w niektórych przypadkach taka weryfikacja może okazać się uzasadniona. Dla przykładu, gdy pracownik wypowiada się o pracodawcy online w sposób niepochlebny i szkodzi jego reputacji, godzi w dobre imię przedsiębiorstwa - tym bardziej, jeśli taka osoba ma “szerokie zasięgi”. W dzisiejszych czasach takie negatywne wpisy czy filmy z wypowiedziami na temat pracodawców bardzo szybko zyskują na popularności i są w stanie dotrzeć do szerokiego grona odbiorców w stosunkowo krótkim czasie.
W sytuacji, gdy pracodawca otrzymuje wiarygodne sygnały np. od innych pracowników, że jedna z zatrudnionych osób publikuje w sieci na jego temat nieprawdziwe i szkodzące wizerunkowi firmy treści, to powinien mieć możliwość ich weryfikacji chociażby w celu obrony przed naruszeniem jego dobrego imienia. Osoby prawne są bowiem zgodnie z art. 43 KC objęte analogiczną ochroną jak osoby fizyczne w zakresie ochrony dóbr osobistych. Zatem tego typu działania, w postaci weryfikacji treści publikowanych przez pracownika w sieci (w tym w mediach społecznościowych) znajdują oparcie w przesłance uzasadnionego interesu pracodawcy, który ma prawo do dochodzenia swoich praw w takiej sytuacji.
Warto dodać, że już sam ustawodawca dostrzegł problem tzw. hejtu w sieci. Obecnie (czerwiec 2024) trwają nawet w parlamencie prace nad ustawą, która ma na celu ograniczenie hejtu w Internecie. W erze cyfryzacji ochrona praw osobistych nabiera nowego wymiaru. Negatywne opinie wyrażane online szkodzą przedsiębiorcom choćby z uwagi na to, że trudno jest ocenić, czy są obiektywne, czy też stanowią działania odwetowe pracowników lub strategię konkurencji.
Rekomendujemy liberalizację dotychczasowego stanowiska zaprezentowanego w punkcie 3.11 Poradnika. Sugerujemy dopuszczenie uzasadnionej, transparentnej i proporcjonalnej weryfikacji informacji pochodzących z portali społecznościowych kandydata i pracownika. Całkowity zakaz pozyskania informacji z portalów społecznościowych w dobie ich szerokiego wykorzystania jest krokiem w stronę absolutnej ochrony kandydata/pracownika i całkowitym pominięciem potencjalnych interesów pracodawcy.
Temat uwagi
TESTY KOMPETENCYJNE/BEHAWIORALNE
#rekrutacja
Obecne stanowisko UODO
Brak jasnego stanowiska w Poradniku
Propozycja zmian
Uzupełnienie Poradnika o interpretację i stanowisko UODO
Uwagi dodatkowe
Kodeks Pracy wyznacza pewne ramy w jakich pracodawca może poruszać się w zakresie weryfikacji kwalifikacji zawodowych kandydata do pracy w trakcie procesu rekrutacji.
Natomiast, sama weryfikacja informacji na temat wykształcenia, kwalifikacji zawodowych czy przebiegu dotychczasowego zatrudnienia, może nie być dla pracodawcy wystarczająca do podjęcia decyzji o zatrudnieniu danej osoby. Dla pracodawcy często kluczowe znaczenie mają indywidualne uzdolnienia, predyspozycje, wysoka wydajność, jakość pracy czy nastawienie kandydata do pracy, czego nie da się zweryfikować poprzez zapoznanie się jedynie z certyfikatami, dyplomami czy świadectwami pracy od poprzednich pracodawców.
Pracodawcy zależy na odpowiednim doborze pracowników, zarówno pod względem przydatności do pracy, jak i cech osobowości, które czynią ich odpowiednimi na dane stanowisko. Takie szerokie podejście zostało również potwierdzone w wyroku SN, który poprzez pojęcie kwalifikacji pracownika, rozumie nie tylko formalne wykształcenie i doświadczenie zawodowe, ale także właściwości psychofizyczne pracownika, predyspozycje psychiczne oraz zdolności do wykonywania określonych czynności z punktu widzenia zdrowia fizycznego (wyrok SN z 4.10.2000 r., sygn. I PKN 61/00).
Zatem za dopuszczalne należałoby uznać możliwość weryfikacji przez pracodawcę również wskazanych wyżej kwestii np. poprzez przeprowadzanie odpowiednich testów kompetencyjnych czy testów behawioralnych w trakcie procesu rekrutacyjnego, które pozwalałyby pracodawcy na ocenę chociażby zdolności adaptacyjnych pracownika do pracy pod presją czy stopnia autonomii decyzyjnej lub kwestii nastawienia kandydata do zmian i jego motywacji do pracy, a także umiejętności pracy w zespole.
Kodeks Pracy nie zakazuje tego rodzaju praktyk. Stąd uważamy, że przetwarzanie danych na potrzeby takich testów znajduje oparcie w przesłance uzasadnionego interesu administratora (art. 6 ust. 1 lit. f) RODO). Kandydat ma możliwość zgłoszenia sprzeciwu względem takiego przetwarzania danych, a więc dysponuje skutecznym narzędziem kwestionowania zasadności przetwarzania, jeśli w jego ocenie byłoby ono nadmiarowe.
Dlatego, przeprowadzanie testów kompetencyjnych (w tym behawioralnych) przez pracodawcę w trakcie procesu rekrutacyjnego powinno być dopuszczalne, na podstawie przesłanki uzasadnionego interesu, pod warunkiem, że dane pozyskane w ten sposób będą adekwatne dla ustalenia umiejętności kandydata, a zatem także przydatności danej osoby na określone stanowisko, a sama weryfikacja ograniczy się do niezbędnych dla określonej pracy cech kandydata, tak aby pracodawca nie pozyskiwał danych nadmiarowych.
Temat uwagi
DIVERSITY & INCLUSION
(płeć społeczna/ESG)
#D&I
#rekrutacja
#zatrudnienie
Obecne stanowisko UODO
Brak informacji w Poradniku
Propozycja zmian
Określenie podstaw i zasad przetwarzania danych o różnorodności i inkluzywności
Uwagi dodatkowe
Obecnie Poradnik nie obejmuje tematyki przetwarzania danych dot. różnorodności społecznych (diversity & inclusion). W dobie rosnącego poszanowania różnorodności w miejscu pracy stanowisko PUODO nt. podstaw, zasad, a także samej kwalifikacji takich danych jest wysoce pożądane.
Aktualizacja Poradnika jest zatem świetną okazją do przedstawienia przez PUODO propozycji do jakiej kategorii zaliczyć dane dot. różnorodności czy inkluzyjności, w szczególności informacje nt. płci społecznej (tożsamości płciowej).
Wskazujemy, że nie wszystkie dane D&I to dane szczególnej kategorii. Art. 9 RODO wymaga bowiem aby informacje dotyczyły, a nie jedynie ujawniały informacje o seksualności czy też orientacji seksualnej, co wskazuje na silny i jednoznaczny związek pomiędzy taką informacją a jej kwalifikacją. Niezależnie od argumentów prawnych, kwalifikacja informacji jako potencjalnie dotyczącej seksualności i orientacji seksualnej powinna znajdować oparcie w literaturze medycznej.
Dlatego nawet jeśli Poradnik opowie się za uznaniem informacji o płci społecznej za daną szczególnej kategorii to należy to interpretować wąsko. Dla przykładu, wybór rodzajnika “ona”, “on”, “oni” przez pracownika, nie koniecznie dotyczy informacji o jego orientacji seksualnej czy też seksualności.
Uaktualniona wersja Poradnika powinna także odpowiadać na pytanie jak zakwalifikować informację od pracownika, który deklaruje, że jest w procesie zmiany płci i chciałby już być traktowany odmiennie niż to wynika z jego/jej uwarunkowań biologicznych. Pracodawcy powinni mieć możliwość reagowania na tak delikatne potrzeby pracowników, a wytyczne PUODO jasno to umożliwiać.
Wreszcie, w związku z nadchodzącymi zmianami dot. Dyrektywy CSRD (w szczególności raportowanie ESG), pracodawca będzie miał obowiązek przedstawienia danych na temat zatrudnianych osób (m.in. związane z parytetami). Jednak, w naszej ocenie, każde przedsiębiorstwo powinno mieć możliwość przetwarzania danych osobowych na temat różnorodności w miejscu pracy, a nie tylko podmioty zobligowane przez przepisy Dyrektywy CSRD.
Temat uwagi
WEWNĘTRZNE CELE ADMINISTRACYJNE
#wymianadanych
#grupakapitałowa
#rekrutacja
#zatrudnienie
Obecne stanowisko UODO
Zbyt wąska interpretacja “wewnętrznych celów administracyjnych”
Propozycja zmian
Liberalizacja stanowiska
Uwagi dodatkowe
Obecnie brak oficjalnych stanowisk organów dot. możliwości wymiany danych kandydatów do pracy i byłych pracowników pomiędzy spółkami z grupy kapitałowej w oparciu o uzasadniony interes polegający na realizacji wewnętrznych celów administracyjnych (motyw 48 RODO).
Rekomendujemy, aby na podstawie prawnie uzasadnionego interesu możliwa była nie tylko wymiana danych pracowników, ale także kandydatów do pracy czy byłych pracowników spółek z grupy. Poza tym pojęcie „wewnętrznych celów administracyjnych” powinno być rozumiane możliwie szeroko.
Poradnik na str. 33 przedstawia trafne przykłady wewnętrznych celów administracyjnych, w tym np. delegowanie pracownika do innej spółki z grupy, organizacja szkoleń. Powołuje także rekrutację, ale w naszej ocenie w zbyt wąskim zakresie. Klasycznym przykładem wewnętrznych celów administracyjnych jest bowiem także wymiana informacji o kandydacie do pracy, który w przeszłości był zatrudniony w spółce z grupy, chociażby na potrzeby rekrutacji wewnętrznej. Dzisiejsze realia gospodarcze pokazują, że wiedza o zatrudnieniu w spółce z grupy stanowi cenną, a czasem wręcz kluczową informację dla decyzji o zatrudnieniu. Dopuszczenie szerokiej wymiany danych kandydatów do pracy/pracowników wydaje się również uprawnione z perspektywy oceny uzasadnionego interesu. Kandydat, a zwłaszcza pracownik/były pracownik co najmniej przewiduje, że jego dane zostaną przekazane spółkom z grupy, z uwagi choćby na tożsamość firmy spółek z grupy, a w przypadku pracowników przede wszystkim znajomość struktury organizacyjnej grupy kapitałowej (motyw 47 RODO).
Równocześnie, w praktyce często zatrudnienie przez jedną spółkę z grupy kapitałowej wiąże się wykonywaniem usług dla całej grupy. W ramach grup spółek wyodrębniane są podmioty mające jedynie znaczenie kapitałowe/prawne, jednak pod kątem organizacyjnym spółki stanowią jedną zorganizowaną strukturę, pracując wspólnie przy projektach, pomimo formalnego zatrudnienia w spółkach mających siedzibę w różnych krajach UE.
Nowa wersja Poradnika mogłaby taką szerszą wykładnię potwierdzać przy okazji czyniąc Polskę atrakcyjnym miejscem dla rozwoju międzynarodowych przedsiębiorstw.
Temat uwagi
CZARNE LISTY
#czarnelisty
#rekrutacja
#zatrudnienie
#grupakapitałowa
Obecne stanowisko UODO
Kategoryczny zakaz tworzenia „czarnych list”
Propozycja zmian
Doprecyzowanie czym są „czarne listy”
Uwagi dodatkowe
Konieczne jest doprecyzowanie w jaki sposób należy rozumieć „czarne listy” kandydatów do pracy/pracowników. Obecnie Poradnik formułuje jedynie zakaz wymiany danych między pracodawcami w postaci list osób, których zatrudnienie jest niepożądane (sekcja 3.9 Poradnika). Poradnik pomija w tym zakresie choćby specyfikę grup kapitałowych oraz przyjętą w praktyce współpracę pomiędzy spółkami z grupy przy rekrutacji pracownika wcześniej zatrudnionego np. w innej spółce z grupy. Dla przykładu, informacja choćby nt. postępowania dyscyplinarnego lub naruszenia przez pracownika innych zasad obowiązujących w ramach grupy nie powinna zostać uznana za wymianę informacji mogących stanowić “czarną listę”.
Temat uwagi
WYKORZYSTANIE DANYCH BIOMETRYCZNYCH I AI W ZATRUDNIENIU
#AI
#biometria
#zatrudnienie
Obecne stanowisko UODO
Poradnik wskazuje na kategoryczny zakaz wykorzystywania danych biometrycznych w celach ewidencji czasu pracy (str. 36 Poradnika).
Propozycja zmian
Dopuszczenie wykorzystywania danych biometrycznych pracowników w szerszym zakresie.
Uwagi dodatkowe
Dynamiczny rozwój technologii nie pozostaje bez wpływu również na sektor zatrudnienia. W celu ułatwienia i przyśpieszenia procesów rekrutacyjnych i pracowniczych, pracodawcy coraz częściej sięgają po rozwiązania technologiczne (w tym sztuczną inteligencję).
Poradnik zawiera odniesienie do przetwarzania danych biometrycznych. Jednak powołuje restrykcyjny wyrok NSA, który został wydany prawie 15 lat temu (wyrok NSA z dnia 1 grudnia 2009 r., sygn. I OSK 249/09). Należy uznać, że wskazany wyrok nie przystaje do praktyki rynkowej i obecnego rozwoju technologicznego. Biometria twarzy czy palca stała się popularna i “wygodna” choćby poprzez rozwój smartfonów.
Aktualizacja Poradnika w tym zakresie, powinna również otworzyć dyskusję nt. wykorzystywania przez pracodawców innych nowotechnologicznych narzędzi w zatrudnieniu. Obecnie Poradnik niejako wskazuje, że pracodawca nie powinien wykorzystywać nowych technologii, jeżeli starsze rozwiązania spełniają swoją rolę (działają). Takie podejście blokuje jednak rozwój. Dlatego wskazujemy, że powinna zostać wypracowana nowa argumentacja i wytyczne analizy oceny co do stosowania nowoczesnych narzędzi przez pracodawcę.
Rekomendujemy rozważenie bardziej liberalnego podejścia, dopuszczającego wykorzystanie danych biometrycznych w zatrudnieniu.
Temat uwagi
DANE KONTAKTOWE (PRYWATNY NUMER TELEFONU I E-MAIL)
#formakontaktu
#zgoda
#zatrudnienie
Obecne stanowisko UODO
Restrykcyjne stanowisko prezentowane przez PUODO (Aktualności - UODO) umożliwiające przetwarzanie takich danych wyłącznie w oparciu o pisemną zgodę pracownika ze wskazaniem wszystkich celów i zasad kontaktu.
Propozycja zmian
Liberalizacja stanowiska dotychczas prezentowanego na stronie internetowej Urzędu oraz ujęcie go w Poradniku
Uwagi dodatkowe
W jednym z komunikatów opublikowanych na stronie UODO (https://archiwum.uodo.gov.pl/pl/138/1636), PUODO przedstawił swoje stanowisko na temat możliwości korzystania przez pracodawcę z prywatnych danych kontaktowych pracownika (telefon, e-mail).
Wskazał, że w sytuacji, w której podanie danych kontaktowych nie jest niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, przetwarzanie danych kontaktowych pracownika możliwe jest wyłącznie po uzyskaniu jego (jej) pisemnej zgody. Co więcej, taka zgoda powinna określać zasady kontaktu oraz wszystkie cele, dla których dane te będą przetwarzane. PUODO tym samym niejako wyklucza – na potrzeby przetwarzania takich danych - wszelkie inne podstawy prawne dopuszczalne przez RODO, w tym uzasadniony interes administratora-pracodawcy (art. 6 ust. 1 lit. f RODO) pomimo, że są to przecież dane zwykłe.
Jak pokazuje praktyka, w wielu sytuacjach pracodawcy powinni mieć możliwość wykorzystywania danych kontaktowych podanych mu przez pracownika, nawet bez konieczności uzyskania od niego zgody, tym bardziej pisemnej. W szczególności, w sytuacjach nagłych, np. gdy doszło do zatrzymania produkcji, powodzi, pożaru, innych nagłych zdarzeń na terenie zakłady pracy, awarii transportu pracowników do zakładu pracy; w przypadku długotrwałej nieobecności pracownika w pracy, czy też nagłej zmiany grafiku.
Kontakt wskazaną droga powinien być możliwy zwłaszcza przy spełnieniu określonych warunków, np.: bezskuteczne wykorzystanie wszystkich innych kanałów komunikacji z pracownikiem, brak telefonu służbowego pracownika, przekazanie komunikacji ściśle związanej ze stosunkiem pracy - z wyłączeniem kontaktu o późnych i wczesnych porach dnia itp.
Wymóg zgody pisemnej na przetwarzanie tego rodzaju danych jest w naszej ocenie zbyt ograniczający. Nawet zgoda na przetwarzanie danych wrażliwych nie musi być udzielona w formie pisemnej - a jedynie wyraźnej, co nie przesądza o jej obowiązkowo pisemnym charakterze w świetle przepisów RODO. Tym bardziej niezasadne jest zatem kategoryczne wymaganie pisemności zgody na przetwarzanie danych (zwykłych) kontaktowych pracownika.
Aby zapewnić odpowiednią, a w praktyce niezbędną, realizację interesów, zarówno pracowników, jak i pracodawców, zasadne byłoby rozstrzygnięcie – w nowej wersji Poradnika - kwestii możliwości kontaktowania się z pracownikami przy wykorzystaniu podanej przez pracownika formy kontaktu, bez konieczności odbierania od pracownika zgody, tym bardziej pisemnej.
Temat uwagi
PRZETWARZANIE DANYCH DLA CELÓW ZAKŁADOWEGO FUNDUSZU ŚWIADCZEŃ SOCJALNYCH (“ZFŚS”)
#zatrudnienie
#ZFŚS
Obecne stanowisko UODO
Niepełne omówienie zagadnienia przetwarzania danych dla celów ZFŚS
Propozycja zmian
Uzupełnienie Poradnika o stanowiska dostępne na stronie internetowej UODO
Uwagi dodatkowe
Dotychczasowa wersja Poradnika nie zawierała żadnych rekomendacji dot. spełniania obowiązku informacyjnego względem członków rodziny pracowników lub innych bliskich im osób dla celów ZFŚS lub podstaw prawnych przetwarzania danych.
W ostatnich latach PUODO opublikował na stronie internetowej Urzędu liczne komunikaty dot. tego zagadnienia np.: “Czy trzeba dopełniać obowiązku informacyjnego wobec rodziny pracownika korzystającego z ZFŚS?”
(link: https://archiwum.uodo.gov.pl/pl/225/1734); “Jeśli pracodawca prowadzi ZFŚS, dotyczy go także RODO” (link: https://archiwum.uodo.gov.pl/pl/138/1360); czy “Jaka jest podstawa przetwarzania danych członków rodziny pracownika korzystającego z ZFŚŚ?” (link: https://archiwum.uodo.gov.pl/pl/225/1617).
Rekomendujemy uzupełnienie nowej wersji Poradnika o aktualne stanowisko PUODO, aby temat przetwarzania ZFŚS został przedstawiony w sposób kompleksowy.
Temat uwagi
BADANIE TRZEŹWOŚCI
#kontrolatrzeżwości
#zatrudnienie
Obecne stanowisko UODO
Brak informacji w Poradniku
Propozycja zmian
Poradnik powinien zawierać wytyczne w jaki sposób pracodawca powinien przetwarzać dodatkowe dane, które pracownik ujawnia w trakcie badania trzeźwości (m.in. dane dot. przyjmowanych leków, które mogą podważyć wynik badania
Uwagi dodatkowe
W związku z wprowadzeniem do Kodeksu Pracy przepisów odnośnie do możliwości przeprowadzania przez pracodawców badań trzeźwości pracowników (na obecność alkoholu i innych środków odurzających), koniecznie jest, aby Poradnik zawierał informacje, w jaki sposób pracodawca powinien przetwarzać dodatkowe dane pozyskane od pracowników w procesie badań, gdyż przepisy nie regulują tej kwestii.
Pracownik, który kwestionuje dodatni wynik badania na obecność we krwi alkoholu bądź innych środków odurzających, powinien przedstawić odpowiednie dokumenty pracodawcy potwierdzające wadliwość badania. Obecnie brak jednak wytycznych w jakiej formie takie informacje dostarczać pracodawcom (zaświadczenie lekarskie/inna) i czy pracodawcy mają podstawę prawną do przechowywania takiej dokumentacji czy też powinni raczej poprzestać np. na wglądzie do dokumentacji i notatce z takiego wglądu.
Problem ma istotne znaczenie dla praktyki. Nowa wersja Poradnika mogłaby wskazywać, czy i jakie dokumenty oraz jak długo (do kolejnego badania/przez określony okres retencji) może na tę okoliczność przechowywać pracodawca.
Temat uwagi
ZATRUDNIENIE RÓWNOLEGŁE
#zatrudnienie
Obecne stanowisko UODO
Brak informacji w Poradniku
Propozycja zmian
Uzupełnienie Poradnika o rekomendacje w tym zakresie
Uwagi dodatkowe
Nowo dodany przepis art. 261 Kodeksu Pracy dopuszcza możliwość zatrudnienia równoległego. Uważamy, że w/w przepis daje uprawnienie do przetwarzania przez pracodawców informacji o zatrudnieniu równoległym oraz informacji z tym związanych (co najmniej nazwa spółki, stanowisko).
Dlatego powinno to być możliwe w oparciu o uzasadniony interes pracodawcy, a nowa wersja Poradnika mogłaby to wprost potwierdzać.
Temat uwagi
KONFLIKT INTERESÓW
#zatrudnienie
Obecne stanowisko UODO
Brak informacji w Poradniku
Propozycja zmian
Uzupełnienie Poradnika o rekomendacje w tym zakresie
Uwagi dodatkowe
Obecnie w Poradniku brak informacji czy i jakie dane pracowników oraz ich bliskich można przetwarzać celem wykluczenia konfliktu interesów.
Zwłaszcza w organizacjach, którym szczególnie zależy na zachowaniu w poufności informacji chronionych (tj. receptury, analizy) wykluczenie konfliktu interesu samego pracownika oraz jego najbliższych, tj. partner(ka), rodzic, dziecko powinno być dopuszczalne na podstawie uzasadnionego interesu.
Nowa wersja Poradnika powinna wskazywać czy i jakie informacje mogą przetwarzać pracodawcy na potrzeby badania konfliktu interesów oraz w jakiej formie (oświadczenia/dokumentacja).
Karol Witowski
2024-07-03
Edyta Madziar
2024-07-03 10:07:27
Edyta Madziar
2024-07-05 08:57:00