Autor: Hogan Lovells (Warszawa) LLP (Spółka partnerska) Oddział w Polsce

Autor: Aleksandra Kuc-Makulska,  Weronika Olszewska,  Wiktoria Kossakowska-Wojdaszka,  Hogan Lovells (Warszawa) LLP (Spółka partnerska) Oddział w Polsce 

Tytuł zagadnienia i nr strony Poradnika

Czy pracodawca może wykorzystać dane kandydatów do pracy pozyskane w konkretnym procesie rekrutacyjnych do celów przyszłych rekrutacji? [str. 12]

Opis aktualnych zaleceń

Zgodnie z Poradnikiem pracodawca nie może przetwarzać danych kandydata na pracownika bez jego zgody po zakończonej rekrutacji i powinien je usunąć.

Uwagi dotyczące treści zaleceń

Stanowisko wyrażone w Poradniku wymaga aktualizacji. W szczególności, w świetle najnowszego orzecznictwa, nie jest uzasadnione twierdzenie, że w każdym przypadku po zakończonej rekrutacji pracodawca powinien usunąć dane osobowe kandydata. Należy zauważyć, że zaprzestanie przetwarzania danych osobowych osoby, która nie została zatrudniona i tym samym usunięcie przez pracodawcę wszelkich danych, czy dokumentów identyfikujących oraz pozycjonujących tę osobę w procesie rekrutacji, może uniemożliwić lub znacznie utrudnić skuteczną obronę przed postawionymi przed sądem zarzutami dyskryminacyjnymi (zob. Wyrok Naczelnego Sądu Administracyjnego z dnia 20 lutego 2024 r., III OSK 2700/22).
Wskazane byłoby również zaproponowanie w Poradniku dopuszczalnego okresu, w jakim pracodawca może przetwarzać dane kandydatów.

Tytuł zagadnienia i nr strony Poradnika

Czy pracodawca może umieścić na swojej stronie internetowej wraz z danymi kontaktowymi wizerunek pracownika? [str. 25]

Opis aktualnych zaleceń

Poradnik ogranicza się do informacji, że publikacja wizerunku pracownika na stronie internetowej będzie wymagała uzyskania dobrowolnej zgody pracownika.

Uwagi dotyczące treści zaleceń

Kwestia publikacji wizerunku pracownika w Internecie wymaga dalszego doprecyzowania. Poradnik powinien uwzględnić przepisy  dotyczące ochrony wizerunku zawarte w ustawie o prawie autorskim i prawach pokrewnych. Zgodnie ze wskazaną regulacją, nie ma konieczności uzyskiwania zgody na wykorzystywanie wizerunku, będącego jedynie elementem całości, np. w przypadku zdjęcia ukazującego wiele osób uczestniczących w zgromadzeniu czy imprezie. Poradnik powinien wyjaśnić zatem, czy w takim przypadku wizerunek pracownika może być wykorzystywany na podstawie prawnie uzasadnionego interesu pracodawcy.

Tytuł zagadnienia i nr strony Poradnika

Czy potencjalny pracodawca może pozyskiwać dane kandydata z portali społecznościowych? [str. 20]

Opis aktualnych zaleceń

Zgodnie z brzmieniem Przewodnika, co do zasady niedopuszczalne jest gromadzenie przez pracodawców i agencje rekrutacyjne informacji zamieszczanych przez kandydatów do pracy na swój temat w mediach społecznościowych i innych ogólnodostępnych źródłach. Ponadto Poradnik nie zawiera rozważań dotyczących pozyskiwania danych z mediów społecznościowych dotyczących pracowników.

Uwagi dotyczące treści zaleceń

Korzystanie z portali społecznościowych jest już zjawiskiem powszechnym, a pracodawcy coraz częściej sięgają do mediów społecznościowych w celu pozyskania informacji o kandydacie na pracownika czy o samym pracowniku. Pozyskiwanie takich danych i ich dalsze wykorzystanie przez pracodawcę budzi uzasadnione wątpliwości w świetle obowiązujących przepisów.
Poradnik powinien w związku z tym odnieść się do tej praktyki, przedstawiając wskazówki postępowania, które z jednej strony uwzględniałyby potrzeby pracodawców, a z drugiej strony byłyby zgodne z obowiązującym prawem oraz zabezpieczałyby interesy i prawa kandydatów na pracowników i pracowników, a także chroniłyby ich prywatność.
Kwestia przetwarzania danych osobowych pracowników, które są publikowane w mediach społecznościowych pojawia się, w szczególności, w kontekście treści godzących w interes pracodawcy lub w inny sposób naruszających zasady ustalone przez pracodawcę. Zagadnienie to było niejednokrotnie przedmiotem rozważań w orzecznictwie (np. Wyrok Sądu Okręgowego w Gdańsku VIII Wydział Pracy i Ubezpieczeń Społecznych z dnia 26 lipca 2013 r. VIII Pa 26/13; Wyrok Sądu Rejonowego Szczecin-Centrum w Szczecinie - IX Wydział Pracy i Ubezpieczeń Społecznych z dnia 16 czerwca 2023 r. IX P 154/22; Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 5 grudnia 2022 r. II SA/Wa 495/22; Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 5 sierpnia 2022 r. II SA/Wa 190/22).

Tytuł zagadnienia i nr strony Poradnika

Czy potencjalny pracodawca może zweryfikować kandydata lub komunikować się z nim za pośrednictwem branżowych portali społecznościowych np. LinkedIn? [str. 20]

Opis aktualnych zaleceń

Poradnik skupia się na kwestii podstawy prawnej przetwarzania danych osobowych przez portale społecznościowe (zgoda osoby, której dane dotyczą czy też/lub potrzeba wykonania umowy). Nie udziela natomiast odpowiedzi na pytanie czy potencjalny pracodawca może zweryfikować kandydata lub komunikować się z nim za pośrednictwem branżowych portali społecznościowych.

Uwagi dotyczące treści zaleceń

Zagadnienie, czy potencjalny pracodawca może zweryfikować kandydata lub komunikować się z nim za pośrednictwem branżowych portali społecznościowych wymaga dalszego doprecyzowania w Poradniku.
Wydaje się, że w zakresie dotyczącym kontaktowania się z kandydatami do pracy za pośrednictwem mediów społecznościowych, poradnik powinien wyjaśnić, że kontakt taki jest dopuszczalny, pod warunkiem wykonania obowiązku informacyjnego w stosunku do kandydatów.
Wskazane jest również doprecyzowanie zasad komunikowania się za pośrednictwem portali branżowych z pracownikiem.

Tytuł zagadnienia i nr strony Poradnik

Czy pracodawca może kontrolować służbową pocztę elektroniczną pracownika? [str. 34]

Opis aktualnych zaleceń

Poradnik odnosi do monitorowania aktywności pracowników, np. korzystania z zabronionych stron internetowych. Nie porusza natomiast wprost problematyki monitoringu poczty elektronicznej pracownika.

Uwagi dotyczące treści zaleceń

Sprecyzowania wymagają, w szczególności, kwestie takie jak: 1) możliwość uregulowania w wewnętrznej dokumentacji pracodawcy braku możliwości korzystania przez pracownika z poczty służbowej dla celów prywatnych pracownika; 2) odpowiednie oznaczanie wiadomości email jako prywatnych przez pracownika; 3) możliwość przeglądania przez pracodawcę wiadomości prywatnych zamieszczonych/otrzymanych przez pracownika na służbową skrzynkę elektroniczną.

Uwagi ogólne

Propozycja

Publikacja Poradnika w języku angielskim

Uzasadnienie

Znacznym ułatwieniem dla zagranicznych przedsiębiorców prowadzących działalność w Polsce byłaby publikacja Poradnika w języku angielskim. Tego rodzaju praktyka stosowana jest przez liczne urzędy ochrony danych w Unii Europejskiej (m.in. poradniki CNIL, AEPD). Tłumaczenie poradników na język angielski przez przedsiębiorców zagranicznych „na własną rękę” może prowadzić do rozbieżności, dlatego też wskazane jest stworzenie przez UODO oficjalnej wersji językowej Poradnika.

Propozycja

Aktualizowanie Poradnika na bieżąco

Uzasadnienie

Wskazane jest, aby UODO aktualizował Poradnik na bieżąco, tj. wraz z każdą istotną zmianą prawa, jak również po pojawieniu się nowej linii orzeczniczej istotnej dla danego zagadnienia. Regularne aktualizacje pozwolą na zachowanie wartości merytorycznej i praktycznej Poradnika na dłużej oraz zapewni odbiorcom dostęp do najnowszych i najbardziej adekwatnych informacji.

Propozycja

Zaopatrzenie Poradnika w przykłady

Uzasadnienie

Proponujemy, aby Poradnik, wzorem Poradnika „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”, został wzbogacony o przykłady (tzw. case studies) opisujące konkretne praktyczne problemy związane z danym zagadnieniem. Wprowadzenie case studies pomoże ukazać różnorodność problemów, z jakimi można się spotkać w praktyce, oraz sposoby ich rozwiązywania, co znacząco zwiększy użyteczność Poradnika w praktyce.

Propozycja

Wzbogacenie Poradnika o przykłady z orzecznictwa oraz decyzje UODO

Uzasadnienie

Wprowadzenie do Poradnika przykładów z orzecznictwa pozwoli odbiorcom Poradnika zrozumieć, w jaki sposób przepisy prawa są interpretowane i stosowane w praktyce UODO oraz w praktyce sądowej. Co więcej, przytoczenie konkretnych wyroków lub decyzji pomoże zilustrować teoretyczne zagadnienia prawne w realnych kontekstach i tym samym ułatwi ich zastosowanie w analogicznych sytuacjach. Wreszcie, orzecznictwo stanowi cenne źródło wiedzy o aktualnych tendencjach i kierunkach rozwoju prawa, co jest kluczowe dla skutecznego poruszania się w dynamicznie zmieniającym się środowisku prawnym.

Propozycja

Monitoring wizyjny

Uzasadnienie

Obecnie, poza zakresem Poradnika znajdują się kwestie dotyczące monitoringu wizyjnego. Wskazane jest włączenie tego zagadnienia do Poradnika wraz z wyjaśnieniami odnoszącymi się do innych form monitoringu. W szczególności, warto w Poradniku uregulować kwestię możliwości korzystania przez pracownika z danych zarejestrowanych podczas monitoringu dla celów innych niż cel samego monitoringu (np. czy przy zarejestrowanym naruszeniu przez pracownika prawa pracodawca może wyciągnąć w stosunku do pracownika odpowiednie konsekwencje).

Propozycja

Poszerzenie części Poradnika dotyczącej innych form zatrudnienia

Uzasadnienie

Biorąc pod uwagę, że coraz częściej spotykaną praktyką jest zatrudnienie pracownika na podstawie umów cywilnoprawnych, w szczególności umów B2B, konieczne jest uwzględnienie tej problematyki w treści Poradnika.

Propozycja

Aktualizacja Poradnika o nowe regulacje prawne w zakresie AI, cyberbezpieczeństwa oraz sygnalistów

Uzasadnienie

Mając na uwadze dynamiczny rozwój przepisów prawnych w obszarach mających wpływ na ochronę danych osobowych, konieczna jest aktualizacja Poradnika o nowe regulacje prawne. Przykładowo, niezwykle istotne z perspektywy ochrony danych osobowych są nowe regulacje dotyczące sztucznej inteligencji, cyberbezpieczeństwa oraz sygnalistów. Zalecane jest uwzględnienie ich w Poradniku, który ponadto powinien być na bieżąco aktualizowany wraz z rozwojem wskazanych zagadnień.

Propozycja

Aktualizacja Poradnika o nowelizację Kodeksu pracy

Uzasadnienie

Poradnik nie uwzględnia nowelizacji przepisów Kodeksu Pracy dotyczących pracy zdalnej, jak również badania trzeźwości pracowników. Wobec wprowadzenia nowych rozwiązań, pracodawcy powinni mieć dostęp do jasnych wytycznych dotyczących zarządzania danymi pracowników we wskazanym zakresie, tak, by móc zapewnić jego zgodność z prawem.