Autor: Ludmiła Łuczak, Bartosz Kolarz, Katarzyna Serwatka, Olesiński i Wspólnicy sp.k.

Szanowny Panie Prezesie,

nawiązując do ogłoszenia o prowadzeniu konsultacji społecznych dotyczących aktualizacji poradników Urzędu, w tym poradnika pt.: „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców” opracowanego przez Urząd w październiku 2018 roku (dalej: „Poradnik”), poniżej przedstawiamy stanowisko Olesiński i Wspólnicy sp.k. z siedzibą we Wrocławiu (dalej: „OW”) obejmujące uwagi co do treści Poradnika oraz potencjalne kwestie, które w ocenie OW wymagają zajęcia stanowiska przez Prezesa Urzędu Ochrony Danych Osobowych (dalej: „Urząd”).

Nasze rekomendacje wynikają z wieloletniego doświadczenia w bieżącym doradztwie z zakresu ochrony danych osobowych dla średnich i dużych przedsiębiorstw. Dzięki temu znamy mechanizmy funkcjonujące na rynku oraz trudności, jakie przedsiębiorcy napotykają w ramach prowadzenia działalności, w których ich wspieramy.

Podkreślenia wymaga, że częściowo przedstawione w Poradniku zalecenia są nadal aktualne i uzasadnione z uwagi na brak zmian legislacyjnych w poszczególnych obszarach. Poradnik niewątpliwie stanowi dla przedsiębiorców dobre źródło podstawowej wiedzy w obszarze ochrony danych osobowych swoich pracowników oraz współpracowników.

W naszej ocenie, w ramach aktualizacji Poradnika należałoby uwzględnić zmiany zachodzące na rynku. Szybki rozwój technologiczny skutkuje wdrożeniem narzędzi opartych o działanie nowych technologii, w których często przetwarzane są dane osobowe, w tym z wykorzystaniem innowacyjnych rozwiązań prowadzących do częściowych automatyzacji procesów oraz AI.

Mamy nadzieję, że otwarta postawa Urzędu w zakresie przeprowadzenia konsultacji społecznych oraz intencję wprowadzenia zmian dostosowujących Poradnik do aktualnej sytuacji prawnej i rynkowej oraz współpraca ze środowiskiem praktyków doprowadzi do wypracowania optymalnego brzmienia Poradnika.

REKRUTACJA

ZAGADNIENIE

Przetwarzanie danych osobowych należących do szczególnych kategorii danych kandydatów do pracy (m.in. zagadnienie nr 2.1 i 2.3 w Poradniku)

KOMENTARZ

Co do zasady, zgadzamy się z wyrażonym w Poradniku stanowiskiem co do możliwości przetwarzania danych osobowych należących do szczególnych kategorii danych o których mowa w art. 9 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych, dalej: „RODO”), kandydatów do pracy wyłącznie w przypadku ciążącego na administratorze obowiązku prawnego lub w razie uzyskania w tym zakresie zgody kandydata.

Przy czym, już przekazanie przez kandydata z własnej inicjatywy określonych szczególnych kategorii danych osobowych powinno być rozumiane jako zgoda na ich przetwarzanie (wyrażona poprzez wyraźne działanie potwierdzające). W naszej ocenie, zawarte w Poradniku stanowisko, że zgoda na przetwarzanie tych danych powinna być wyrażona w formie odrębnego oświadczenia jest za daleko idące i może powodować niedogodności – zarówno z perspektywy pracodawcy jak i kandydata.

Jako przykład, wskazać można obszar wzrastającej świadomości społeczeństwa w obszarze identyfikacji osobowościowej. Niewątpliwie, co znajduje potwierdzenie m.in. w stanowisku hiszpańskiego organu nadzorczego (decyzja Agencia Española de Protección de Datos, sygn. EXP202202954), takie dane osobowe mogą zostać uznane za ujawniające tożsamość płciową (np. w razie zawarcia przez kandydata w CV informacji o zaimku niebinarnym), a więc powinny zostać zakwalifikowane jako szczególne kategorie danych. Przekazanie takich informacji przez kandydata ma na celu poinformowanie osób rekrutujących o sposobie w jaki kandydat chciałby być adresowany i w konsekwencji – zapewnienie kandydatowi komfortu podczas procesu rekrutacyjnego. Mechanizm odbioru dodatkowego oświadczenia o wyraźnej zgodzie w tym zakresie, w takiej sytuacji, byłby nie tylko nadmiernym i niewynikającym z obowiązujących przepisów utrudnieniem, ale również powodowałby dyskomfort i poczucie stygmatyzacji na tle tożsamości płciowej.  

Podkreślić należy, że powyższe ma zastosowanie do przekazania danych osobowych szczególnych kategorii z inicjatywy kandydata (np. w przesłanych dokumentach aplikacyjnych). Komentujący popierają w tym zakresie stanowisko francuskiego organu nadzorczego (Commission Nationale de l’Informatique et des Libertés, dalej: „CNIL”), który w wydanym poradniku dotyczącym rekrutacji (dostępny tutaj: https://www.cnil.fr/fr/recrutement-et-donnees-personnelles-dans-les-tpepme-cinq-questions-incontournables-se-poser) wskazał, że jeżeli kandydat spontanicznie przekazuje informacje osobiste na swój temat (np. przynależność do związku wyznaniowego), które choć ujawniają wrażliwy charakter to umożliwiają mu wykazanie się pewnymi umiejętnościami (np. zaangażowanie w związek wyznaniowy) – to rekruter może je przetwarzać tak długo jak jest to niezbędne do przeprowadzenia procesu rekrutacyjnego (można uznać, że kandydat faktycznie wyraził zgodę). Jeżeli jednak rekruter pyta kandydata o dane wrażliwe, które nie mają bezpośredniego i niezbędnego związku z pracą, przetwarzanie należy uznać za zabronione – z czym komentujący w pełni się zgadzają.

ZAGADNIENIE

Przechowywanie danych osobowych po zakończeniu rekrutacji (m.in. zagadnienie nr 2.3, 3.5 i 3.6 w Poradniku).

KOMENTARZ

W naszej ocenie, możliwe jest przetwarzanie danych osobowych kandydatów do pracy po zakończonej rekrutacji, nie tylko w sytuacji przetwarzania na potrzeby kolejnych rekrutacji, na podstawie wyrażonej przez kandydata zgody (w tym zakresie podziela się stanowisko wyrażone w Poradniku), ale również w celu ustalenia, dochodzenia lub obrony przed roszczeniami – na następujących zasadach (uwagi w kontekście stanowiska wyrażonego w Poradniku).
 
Pracodawca powinien mieć możliwość przetwarzania danych osobowych kandydatów po zakończonej rekrutacji w celu ustalenia, dochodzenia lub obrony przed roszczeniami – na podstawie prawnie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO). Natomiast, błędnym byłoby zawężanie możliwości przetwarzania danych osobowych w ww. celu wyłącznie do roszczeń rzeczywistych (np. już zgłoszonych w toku lub bezpośrednio po zakończeniu procesu rekrutacyjnego). W ocenie komentujących, należałoby dopuścić możliwość przetwarzania danych w celu ustalenia, dochodzenia lub obrony przed potencjalnymi roszczeniami (które mogą, ale nie muszą zaistnieć w przyszłości). Uzasadnionym okresem przechowywania danych osobowych w tym celu będą 3 lata od dnia zakończenia danego procesu rekrutacyjnego.
 
Wyjaśniając: osoby biorące udział w procesie rekrutacyjnym mogą wystąpić m.in. z roszczeniami wynikającymi z art. 183b w związku z art. 183d Ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. z 2023 r. poz. 1465, dalej: „Kodeks pracy”), tj. związanymi z naruszeniem zasady równego traktowania. Jest to szczególnie ważne w kontekście reguły odwróconego ciężaru dowodu, tzn. ciężar udowodnienia, że nie doszło do naruszenia zasady równego traktowania, spoczywa na pracodawcy. Takie roszczenia mogą być skutecznie dochodzone przez okres przedawnienia roszczeń ze stosunku pracy zgodnie z art. 291 Kodeksu pracy, tj. okres 3 lat od dnia, w którym roszczenie stało się wymagalne. W takim przypadku, jeżeli roszczenie może być skutecznie dochodzone, pracodawca powinien dysponować materiałem dowodowym poświadczającym brak naruszenia zasad równego traktowania. W odmiennym przypadku, pracodawca który całkowicie usunął wszystkie dane osobowe osób biorących udział w rekrutacji, nie miałby nawet możliwości identyfikacji czy konkretna osoba występująca z roszczeniem faktycznie brała udział w rekrutacji. Co więcej – nie dysponowałby żadnym materiałem dowodowym potwierdzającym twierdzenia o braku zasadności roszczenia, tj. nienaruszenia zasady równego traktowania.
 
Przedstawione stanowisko zostało potwierdzone w wyroku Naczelnego Sądu Administracyjnego z dnia 20.02.2024 r., III OSK 2700/22, w którym Sąd wskazał, że „w procesie o dyskryminację pracownik powinien wskazać fakty, które ją uprawdopodobniają, a pracodawca, chcąc uwolnić się od odpowiedzialności, musi udowodnić, że kierował się obiektywnymi powodami. Z powyższego wynika zatem, że zaprzestanie przetwarzania danych osobowych osoby, która negatywnie przeszła proces rekrutacyjny i tym samym wyzbycie się przez pracodawcę wszelkich dokumentów i danych identyfikujących oraz pozycjonujących tę osobę w tym procesie, może uniemożliwić lub znacznie utrudnić mu skuteczną obronę przed postawionymi przed sądem zarzutami dyskryminacyjnymi.”

ZAGADNIENIE

Przetwarzanie danych osobowych z portali społecznościowych, które nie mają biznesowego charakteru (zagadnienie nr 3.11 w Poradniku)

KOMENTARZ

W Poradniku zaprezentowano stanowisko, zgodnie z którym akceptowalna jest wyłącznie weryfikacja tych profilów kandydata w mediach społecznościowych, które mają biznesowy charakter (w tym LinkedIn).

W ocenie komentujących, ze względu na możliwe wykorzystanie innych popularnych portalów społecznościowych, w tym m.in. Facebook, Instagram, TikTok – w zależności od stanowiska, którego dotyczy rekrutacja, jeżeli informacja o prowadzeniu konta w danym portalu lub link do niego zawarte zostały w dokumentach aplikacyjnych przez kandydata – pracodawca powinien być uprawniony do ich przeglądania i oceny kandydata w oparciu o treści tam zawarte (w tym np. traktowanie ich jako formę „portfolio” dla stanowisk marketingowych – kandydat może wyjść z inicjatywą wykazania doświadczenia oraz umiejętności w tej formie).

Podkreślenia wymaga, że informacje zbierane online powinny mieć bezpośredni i niezbędny związek z oceną zdolności i predyspozycji kandydata do zatrudnienia na danym stanowisku lub z oceną jego umiejętności zawodowych. W przypadku natrafienia na informacje o charakterze prywatnym, ich pozyskanie w dalszym ciągu nie powinno być dozwolone.

Przedstawione stanowisko zostało zaaprobowane przez CNIL, który wskazał, że rekruter może sięgnąć po dane internetowe w następujących sytuacjach:

  • gdy konsultacja odbywa się z inicjatywy samego rekrutera i ma na celu uzupełnienie lub ocenę spójności informacji przekazanych przez kandydata, a nawet ew. wyszukanie nowych profili. Rekruter powinien jednak zachować szczególną ostrożność, aby konsultować tylko treści ściśle związane z działalnością zawodową kandydata, takie jak profile na profesjonalnym portalu społecznościowym.
  • gdy kandydat spontanicznie udostępnił rekruterowi pewne treści online w celu uzupełnienia lub zilustrowania pewnych umiejętności lub informacji przekazanych rekruterowi. Rekruter powinien się upewnić, że są one istotne w kontekście rekrutacji.

ZAGADNIENIE

Możliwość weryfikacji autentyczności przedłożonych dokumentów (zagadnienie nr 3.3 w Poradniku)

KOMENTARZ

W Poradniku zaprezentowano stanowisko zgodnie, z którym zabronione jest sprawdzanie autentyczności przedstawionych przez kandydata do pracy dokumentów potwierdzających wykształcenie lub doświadczenie. W przypadku wątpliwości co do autentyczności dokumentów, pracodawcy powinni zgłosić swoje podejrzenia do organów ścigania. Takie stanowisko może być uznane za zbyt restrykcyjne oraz ograniczające możliwości pracodawców co do uzyskania potwierdzenia o autentyczności przedłożonych dokumentów.

W naszej ocenie, zasadne byłoby umożliwienie pracodawcom weryfikacji autentyczności przedłożonych dokumentów potwierdzających wykształcenie lub doświadczenie, w szczególności w przypadku kandydatów do pracy aplikujących na stanowiska wymagające szczególnych uprawnień lub wykształcenia, a także osób zajmujących kluczowe stanowiska z perspektywy pracodawcy. Przedstawione stanowisko jest zasadne w szczególności biorąc pod uwagę szybki postęp technologiczny, który umożliwia sfabrykowanie dokumentu w łatwy i szybki sposób korzystając z ogólnodostępnych narzędzi lub programów. Pozwoli to na zwiększenie kontroli nad dokumentami funkcjonującymi w powszechnym obiegu oraz wyeliminowanie dokumentów podrobionych.

ZAGADNIENIE

„Czarne listy” / przetwarzanie danych dotyczących możliwości ponownego zatrudnienia (zagadnienie nr 3.9 w Poradniku)

KOMENTARZ

Do rozważenia Urzędu przedstawić należy złagodzenie wyrażonego w Poradniku stanowiska co do braku możliwości tworzenia tzw. „czarnych list” kandydatów do pracy.

W naszej ocenie, odnotowanie braku możliwości nawiązania współpracy z daną osobą może mieć praktyczne uzasadnienie w sytuacjach szczególnych / skrajnych. Przykładowo, w sytuacji gdy w ramach prowadzonych procesów rekrutacyjnych kandydat do pracy pojawił się na rozmowie rekrutacyjnej pod wpływem alkoholu i zachowywał się agresywnie – w sposób zagrażający bezpieczeństwu osób przeprowadzających rekrutację. Szczególne sytuacje powinny być ograniczone do sytuacji obiektywnie kontrowersyjnych, np. nieuzasadnionym byłoby wpisanie osoby na listę z powodu spóźnienia się na spotkanie rekrutacyjne lub brak akceptacji oferty złożonej w toku procesu rekrutacyjnego.

Podstawą przetwarzania ww. danych osobowych powinien być prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO), co uzasadniałoby przetwarzanie m.in. tożsamości osoby, której dane dotyczą oraz informacji o przyczynach wpisania na listę (przy czym zakres danych powinien być ograniczony wyłącznie do informacji niezbędnych).

Opisane, łagodniejsze stanowisko co do „czarnych list” zostało zaaprobowane przez CNIL, który wskazał, że przetwarzanie ww. danych jest dopuszczalne w sytuacjach szczególnych, przy czym rekruter powinien każdorazowo powoływać się na obiektywne przesłanki reprezentujące pewien poziom powagi.

ZAGADNIENIE

Przeprowadzanie testów osobowościowych (nieuregulowane obecnie w Poradniku)

KOMENTARZ

Powszechną praktyką rynkową staje się przeprowadzanie testów osobowościowych podczas procesów rekrutacyjnych. Badana może być m.in. zdolność analitycznego myślenia, jeżeli jest ona niezbędna do realizacji obowiązków na stanowisku, którego dotyczy rekrutacja.

W naszej ocenie, podstawą przetwarzania danych osobowych ww. zakresie jest prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) w postaci konieczności przeanalizowana umiejętności kandydata do pracy na aplikowane stanowisko. Nieprawidłowym byłoby poszukiwanie podstawy przetwarzania w zgodzie podmiotu danych (art. 6 ust. 1 lit. a RODO), m.in. z uwagi na brak możliwości wyeliminowania negatywnych konsekwencji w przypadku odmowy jej udzielenia (potencjalnie w przypadku odmowy wykonania testu osobowościowego kandydat może zostać wykluczony z dalszych etapów rekrutacji).

Podzielić należy w tym zakresie stanowisko wyrażone przez CNIL, który wskazał, że z wykorzystaniem testów w procesie rekrutacji mogą być oceniane tylko te cechy osobowości, które mają bezpośredni i konieczny związek ze zdolnością kandydata do zajmowania proponowanego stanowiska lub z jego predyspozycjami zawodowymi. CNIL zwraca przy tym uwagę, aby nie stosować metod, których zasadność lub skuteczność można kwestionować, a w każdym przypadku zaleca się zapewnienie naukowej zasadności stosowanego procesu. Kandydaci powinni być poinformowani o stosowanej metodzie, a wyniki powinny być przekazywane kandydatom wraz z wyjaśnieniem.

ZATRUDNIENIE

ZAGADNIENIE

Dane osobowe pracownika, których przekazania może żądać pracodawca (zagadnienie nr 4.1 w Poradniku) 

KOMENTARZ

Zasadne jest stanowisko Urzędu dotyczące możliwości przetwarzania danych osobowych pracowników, które zostały określone w art. 221 Kodeksu pracy. Podkreślenia wymaga, że zgodnie z art. 221 § 4 Kodeksu pracy, pracodawca może żądać podania innych danych osobowych, gdy jest to niezbędne do zrealizowana uprawnienia lub spełniania obowiązku wynikającego z przepisu prawa. Stanowisko Urzędu w tym przedmiocie jest prawidłowe.

Jednocześnie, mając na względzie praktykę i często pojawiające się wśród pracodawców wątpliwości w zakresie możliwości przetwarzania np. numeru i serii dokumentu tożsamości, z uwagi na brak uwzględniania tych danych bezpośrednio w Kodeksie pracy, a jednocześnie konieczność ich uwzględnienia w zgłoszeniu pracownika do ubezpieczenia społecznego (druk ZUS ZUA lub ZUS ZZA) - dobrym rozwiązaniem byłoby wyrażenie przez Urząd stanowiska o możliwości przetwarzania tego typu danych osobowych w związku z koniecznością wypełnienia obowiązków ciążących na administratorach, co pozwalałoby wyeliminować pojawiające się wątpliwości.

ZAGADNIENIE

Zgoda pracowników na przetwarzanie danych osobowych

KOMENTARZ

Zasadnym będzie aktualizacja w ramach Poradnika stanowiska prezentowanego historycznie przez Urząd (jak i wcześniej Generalnego Inspektora Ochrony Danych Osobowych) odnośnie do kontrowersyjności możliwości opierania przetwarzania danych osobowych pracownika lub kandydata do pracy na podstawie zgody podmiotu danych. Podkreślano, że zgodę wyrażoną przez pracowników lub kandydatów do pracy cechuje brak dobrowolności – z uwagi na charakter łączącej strony relacji (podporządkowanie pracownika / nadrzędność pracodawcy).

Aktualnie na rynku zauważyć można powszechną świadomość w obszarze konieczności zapewnienia pełnej dobrowolności wyrażanych zgód. Co istotne, często zgoda pracownika warunkuje możliwość przetwarzania danych osobowych w ramach konkretnego systemu lub narzędzia, które działa na korzyść pracownika (np. umożliwiając lepsze zarządzanie czasem pracy). Z obserwacji rynku wynika, że pracodawcy prawidłowo komunikują brak negatywnych konsekwencji w sytuacji niewyrażenia lub wycofania zgody (nie traktują odmowy jej udzielenia jako aspekt negatywny, akceptując dokonany przez pracownika wybór) i zapewniają metody alternatywne umożliwiające (np. w razie odmowy wyrażenia zgody na przetwarzanie prywatnego numeru telefonu – możliwe otrzymywanie alertów w aplikacji lub w formie e-mail).

W tym kontekście, biorąc pod uwagę zmianę optyki środowiska w zakresie odbierania zgód pracowników i kandydatów do pracy – aktualizacja Poradnika jest dobrym momentem na złagodzenie podejścia Urzędu.

ZAGADNIENIE

Przetwarzanie wizerunku pracownika (m.in. zagadnienie nr 4.1.2 w Poradniku)

KOMENTARZ

Zgodnie z aktualnym podejściem Urzędu, umieszczenie wizerunku pracowników na identyfikatorach pracowniczych wymaga zgody pracowników. W naszej ocenie, przyjęte stanowisko nie jest prawidłowe i wymaga zmiany, w szczególności uwzględniając powszechną praktykę rynkową w tym zakresie.

W naszej ocenie, zasadnym byłoby przyjęcie, że przetwarzanie wizerunku pracowników jest możliwe na podstawie prawnie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO) = nie wymaga pozyskiwania zgody podmiotów danych, w szczególności w ramach:

  1. intranetu – w tym zakresie aktualne pozostaje dotychczasowe stanowisko Urzędu, które nie wymaga zmiany,
  2. identyfikatorów pracowniczych – w tym zakresie wskazujemy, że umieszczenie wizerunku pracowników na identyfikatorach pracowniczych służy wyłącznie podwyższeniu poziomu bezpieczeństwa zakładu pracy, w szczególności w przypadku dużych zakładów produkcyjnych, w których ilość pracowników nie pozwala na swobodne zapamiętanie ich wizerunku np. przez innych pracowników lub osoby odpowiedzialne za zapewnienie bezpieczeństwa zakładu pracy (np. pracowników firmy ochroniarskiej). Przyjęcie, że każda osoba posiadająca identyfikator pracowniczy jest uprawniona do wstępu na teren zakładu pracy, w przypadku identyfikatorów bez zdjęcia, byłoby wysoko ryzykowne, ze względu na możliwość ich kradzieży oraz intencjonalnego użycia do nieuprawnionego wstępu na teren zakładu pracy przez osobę niebędącą właścicielem identyfikatora. Pracodawcy muszą mieć możliwość zapewnienia bezpieczeństwa zakładu pracy poprzez umieszczenie wizerunku na identyfikatorach pracowniczych i umożliwieniu bezpośredniej identyfikacji osób uprawnionych do ich użycia, nawet bez zgody pracowników. Podstawą przetwarzania ww. danych osobowych powinien być prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) w postaci konieczności zapewnienia bezpieczeństwa zakładu pracy,
  3. tablic informacyjnych dotyczących kwestii zapewnienia bezpieczeństwa i higieny pracy (np. tablice informujące o osobach wyznaczonych do udzielenia pierwszej pomocy) – podkreślenia wymaga, że udostępnienie listy osób odpowiedzialnych do udzielenia pierwszej pomocy w miejscu ogólnodostępnym w zakładzie pracy jest obowiązkiem pracodawcy wynikającym z art. 2071 §2 Kodeksu pracy. Zasadniczo większość pracodawców decyduje się na umieszczanie poza samymi danymi identyfikacyjnymi oraz danymi kontaktowymi, również wizerunku pracowników odpowiedzialnych. Pozwala to na zwiększenie świadomości pracowników w obszarze osób wyznaczonych do udzielania pierwszej pomocy, co jest szczególnie istotne w sytuacji zagrożenia życia lub zdrowia (wpływa na szybkość reakcji oraz szybkość udzielenia pierwszej pomocy co w większości przypadków jest kluczowe). Podstawą przetwarzania ww. danych osobowych powinien być prawnie uzasadniony interes administratora (art. 6 ust.1 lit. f RODO) w postaci konieczności zapewnienia bezpieczeństwa zakładu pracy,
  4. tablic informacyjnych dotyczących osób na stanowiskach kierowniczych odpowiedzialnych za określony dział (np. szef zmiany na magazynie logistycznym) – powszechnie stosowaną praktyką szczególnie u pracodawców prowadzących większe zakład produkcyjne jest umieszczanie wizerunku pracowników zajmujących stanowiska kierownicze na ogólnodostępnych tablicach umieszczonych np. na magazynie. Działanie jest uzasadnione faktem, że z uwagi na wielkość przedsiębiorstwa część pracowników może nie znać konkretnych danych oraz wizerunku pracowników na kierowniczych stanowiskach, a ich znajomość jest konieczna w szczególnych sytuacjach (np. wystąpienia niebezpieczeństwa). Podstawą przetwarzania ww. danych osobowych powinien być prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) w postaci konieczności zapewnienia bezpieczeństwa zakładu pracy.

Należy zwrócić uwagę na brak spójności w dotychczasowych stanowiskach Urzędu w Poradniku dotyczących możliwości przetwarzania wizerunku pracowników dla celów wewnętrznych, co może być mylące dla pracodawców poszukujących wskazówek Urzędu i potwierdzenia prawidłowości swojej praktyki. W zakresie możliwości przetwarzania wizerunku pracowników w ramach wewnętrznego intranetu, Urząd stoi na stanowisku, że działanie jest dopuszczalne na podstawie prawnie uzasadnionego interesu administratora, a więc nie jest konieczne pozyskiwanie zgody podmiotu danych na takie działanie. Uzasadnieniem jest działanie w celu polepszenia i usprawnienia zarządzania firmą oraz brak dostępu do danych dla osób z zewnątrz. Zaprezentowane stanowisko zasługuje na aprobatę, jednak należałoby również uwzględnić, że w przypadku identyfikatorów pracowniczych oraz tablic informacyjnych, cel przetwarzania wizerunku pracowników jest analogiczny. W każdym przypadku, pracodawca działa w ramach prawnie uzasadnionego interesu w postaci konieczności zapewnienia bezpieczeństwa zakładu pracy, a także polepszenia i usprawnienia zarządzania firmą. W naszej ocenie, przedstawione działania mieszczą się w katalogu celów wewnętrznych pracodawcy, a więc należałoby przyjąć możliwość umieszczenia wizerunku pracownika na analogicznych zasadach, jak w przypadku wewnętrznego intranetu, tj. brak konieczności pozyskiwania zgody pracownika.

Podkreślenia wymaga, że gdyby przetwarzanie danych osobowych w ww. zakresie oparte było na zgodzie, to koniecznym byłoby zapewnienie dobrowolności jej udzielenia, tj. w przypadku jej niewyrażenia, pracownika nie mogłyby spotkać żadne negatywne konsekwencje. Tymczasem, w przypadku braku wyrażenia zgody na umieszczenie wizerunku na identyfikatorze pracowniczych lub tablicach informacyjnych, pracodawca narażałby się na wzrost ryzyka powstania niebezpieczeństwa w zakładzie pracy np. poprzez możliwość wstępu osób nieuprawnionych w przypadku kradzieży identyfikatora. W takiej sytuacji, konieczna byłaby każdorazowa weryfikacja przez pracowników ochrony tożsamości osoby wchodzącej na teren zakładu (na podstawie okazania dokumentu ze zdjęciem), a następnie potwierdzenie możliwości wpuszczania osoby o danych personaliach na teren zakładu – co generowałoby problemy praktyczne i istotnie wydłużało proces wpuszczenia pracownika na teren zakładu.

ZAGADNIENIE

Możliwość dostępu do służbowego sprzętu byłych pracowników (zagadnienie nr 4.1.2 w Poradniku)

KOMENTARZ

Stanowisko Urzędu w zakresie możliwości dostępu do poczty elektronicznej byłych pracowników oraz wyeksportowanie dokumentów zawierających dane osobowe, należy uznać za uzasadnione. Natomiast, mając na względzie rozwój technologiczny i dostęp pracowników do określonych narzędzi udostępnianych przez pracodawcę, należałoby rozszerzyć zakres stanowiska o możliwość dostępu do innych systemów, w ramach których mogą być przetwarzane dane osobowe (rozwiązań chmurowych etc).

Dodatkowo, zasadne byłoby potwierdzenie możliwości stosowania zasad dostępu do poczty elektronicznej jw. analogicznie w przypadku pracowników przebywających na dłuższych nieobecnościach (np. urlop wychowawczy / rodzicielski).

ZAGADNIENIE

Przetwarzanie danych o karalności + Dane o karalności w związku z tzw. Lex Kamilek (nieuregulowane aktualnie w Poradniku)

KOMENTARZ

W pierwszej kolejności zrewidowania wymaga stanowisko prezentowane przez Urząd, zgodnie z którym dane zawarte w informacji z rejestru karnego (w tym m.in. Krajowego Rejestru Karnego) stanowią dane osobowe, o których mowa w art. 10 RODO – dane osobowe dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa.

W tym kontekście wskazać należy, że o ile w przypadku informacji (zaświadczenia) z rejestru karnego faktycznie wynika informacja, że dany podmiot posiada historię kryminalną takie podejście jest uzasadnione, o tyle w przypadku informacji (zaświadczenia), z której wynika informacja o braku karalności (np. adnotacja „nie figuruje” lub podobna) takie podejście jest nieuzasadnione (tego typu dane należałoby uznać za dane „zwykłe”). Takie podejście wynika chociażby z literalnego brzmienia przepisu art. 10 RODO, który stanowi o danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa, a nie o ich braku.

***

W przypadku nieuwzględnienia powyższej argumentacji przez Urząd oraz utrzymania dotychczasowego podejścia (tj. każda informacja z rejestru karnego stanowi dane określone w art. 10 RODO) konieczne zdaje się zajęcie przez Urząd stanowiska w poniższym zakresie.

W związku z wejściem w życie przepisów (tzw. Lex Kamilek) nowelizujących Ustawę z dnia 13 maja 2016 r. o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym i ochronie małoletnich (tj. Dz.U z 2024 r. poz. 560, dalej: „Ustawa”), w tym w szczególności jej art. 21, który nakłada m.in. obowiązek weryfikowania określonych osób, których czynności zawodowe będą związane z kontaktem z małoletnimi w Rejestrze Sprawców Przestępstw na Tle Seksualnym, odbierania oświadczeń oraz zbierania informacji z Krajowego Rejestru Karnego lub rejestrów karnych innych państw, z uwagi na nieprecyzyjną treść znowelizowanych przepisów w praktyce u wielu przedsiębiorców pojawiły się wątpliwości co do zakresu uprawnienia do przetwarzania tego typu danych.

Mając powyższe na uwadze oraz fakt, że dane osobowe, do których przetwarzania zobowiązani są pracodawcy w oparciu o ww. przepis stanowią dane, o których mowa w art. 10 RODO (zgodnie ze stanowiskiem Urzędu oraz niezależnie od powyższej argumentacji), rozważenia przez Urząd oraz wyjaśnienia wymagają następujące kwestie:

1.   Czy art. 21 Ustawy wymaga, aby pracodawcy wykonywali obowiązki w nim określone (tj. m.in. weryfikacja osób w rejestrach, zbieranie zaświadczeń z rejestrów karnych) wyłącznie w stosunku do osób biorących udział w rekrutacji na określone wyżej stanowiska po dniu wejścia w życie przepisów, czy również w stosunku do aktualnych pracowników, którzy zawarli umowy o pracę przed tym dniem – i w tym zakresie stanowi podstawę do przetwarzania danych o karalności określonych w art. 10 RODO?

Z uwagi na nieprecyzyjną treść przepisów (art. 21 ust. 1 Ustawy posługuje się sformułowaniem „przed nawiązaniem z osobą stosunku pracy lub przed dopuszczeniem osoby do innej działalności …”) wydaje się, że przepisy wymagają wykonania ww. obowiązków również w stosunku do aktualnych pracowników i w tym zakresie powinny stanowić podstawę do przetwarzania danych określonych w art. 10 RODO.

2.   Czy w sytuacji, w której pracodawca korzysta z usług podmiotu zewnętrznego w zakresie wykonywania czynności związanych z kontaktem z osobami małoletnimi (np. usługi agencji eventowej, której pracownicy w trakcie imprezy firmowej dla pracowników pracodawcy oraz ich rodzin będą wykonywali np. animacje dla dzieci, atrakcje w postaci malowania twarzy itp.) jest zobowiązany i jednocześnie uprawniony na podstawie art. 21 Ustawy do przetwarzania danych określonych w art. 10 RODO również w stosunku do pracowników tego innego podmiotu, czy też w tym zakresie uprawnienie do przetwarzania tego typu danych osobowych przysługuje temu innemu podmiotowi (tj. agencji eventowej z przykładu powyżej)?

Z uwagi na zagrożenie odpowiedzialnością karną za niewykonanie obowiązków wynikających z art. 21 Ustawy uzasadnione jest stanowisko, że pracodawca w sytuacji opisanej powyżej jest uprawniony do przetwarzania tych danych oraz ich przechowywania w celu wykazania spełnienia powyższych obowiązków na wypadek ew. kontroli uprawnionych organów.

 ZAGADNIENIE

Korzystanie z nowych technologii, w tym środków porozumiewania się na odległość (nieuregulowane aktualnie w Poradniku)

KOMENTARZ

Biorąc pod uwagę szybki postęp technologiczny oraz wprowadzenie do Kodeksu pracy możliwości świadczenia pracy w formie zdalnej, zasadnym byłoby uregulowanie ram umożliwiających korzystanie z nowych technologii przez pracodawców oraz kwestie związane z ochroną danych osobowych pracowników wykonujących pracę w formie zdalnej.

W naszej ocenie, uzasadnione byłoby uwzględnienie co najmniej następujących zagadnień:

  1. przeprowadzanie rozmów rekrutacyjnych w formie zdalnej za pomocą wideokonferencji i potencjalne nagrywanie przeprowadzonej rozmowy dla celów oceny konkretnego kandydata do pracy przez inne osoby zaangażowane w proces decyzyjny, w szczególności uwzględniając, że powszechnie stosowane narzędzia do wideokonferencji posiadają opcję nagrywania, w tym możliwość odbierania zgody uczestników na uruchomienie nagrywania. Takie działanie powinno zostać oparte na zgodzie podmiotów danych (art. 6 ust. 1 lit. a RODO),
  2. umożliwienie pracodawcom zobowiązania pracowników wykonujących pracę w formie zdalnej do włączenia kamery oraz mikrofonu w sytuacjach, gdy jest to niezbędne do wypełnienia obowiązków pracowniczych (np. uczestnictwo w wideokonferencji), z zastrzeżeniem poszanowania prawa do prywatności pracowników oraz miru domowego np. poprzez umożliwienie wykorzystywania tła dostępnego w ramach danego narzędzia lub ew. zapewnionego przez pracodawcę do instalacji w programie,
  3. podkreślenia wymaga również, że z uwagi na wielość rozwiązań związanych z porozumiewaniem się na odległość, dostępnych obecnie na rynku, pracodawcy powinni dokonywać wyboru takich narzędzi, których działanie jest przejrzyste i gromadzą wyłącznie minimalną ilość danych, a także nie przekazują danych osobowych do państw trzecich bez odpowiednich zabezpieczeń.

ZAGADNIENIE

Kontrola trzeźwości pracowników a dane szczególnych kategorii

KOMENTARZ

Zrewidowania wymaga również stanowisko wyrażone przez Urząd, zgodnie z którym informacja o trzeźwości pracownika (wynik badania przeprowadzonego w toku kontroli trzeźwości) stanowi dane dotyczące zdrowia, a zatem dane szczególnych kategorii, o których mowa w art. 9 ust. 1 RODO.

Za przyjęciem, że wynik badania przeprowadzonego w toku kontroli trzeźwości (co dotyczy zarówno badania na obecność alkoholu, jak i innych środków działających podobnie do alkoholu) stanowi dane osobowe „zwykłe”, czyli dane, które mogą być przetwarzane na podstawie jednej z przesłanek wskazanych w art. 6 ust. 1 RODO przemawiają m.in. następujące argumenty:

  • Wynik badania trzeźwości wskazuje jedynie stan aktualny na chwilę przeprowadzenia badania (charakter przejściowy) – w żaden sposób nie wskazuje jakichkolwiek informacji o zdrowiu osoby badanej. Wskazuje jedynie, że dana osoba spożywała alkohol.

Teoretycznie dopiero powtarzające się i długotrwałe przypadki nietrzeźwości mogą prowadzić do podejrzenia, że pracownik jest uzależniony od alkoholu lub innych środków odurzających, co może mieć wpływ na jego zdrowie. Jednorazowa sytuacja nie dostarcza jednak pracodawcy informacji o zdrowiu pracownika w tym zakresie. W konsekwencji trudno przyjąć, że każda informacja o trzeźwości (jednorazowy wynik badania) stanowi dane dotyczące zdrowia.

  • Regulacje dotyczące danych osobowych szczególnych kategorii to wyjątek od ogólnych zasad i powinny być interpretowane wąsko – nie ma podstaw do rozszerzania definicji danych szczególnych kategorii, w tym danych dotyczących zdrowia na informacje o wyniku kontroli trzeźwości. Dodatkowo warto wskazać, że RODO wprost nie wskazuje informacji o nałogach jako jednego z rodzajów danych dotyczących zdrowia lub innych danych osobowych szczególnych kategorii.
  • Informacja o trzeźwości nie została wprost wskazana w przepisach RODO jako dane osobowe szczególnych kategorii, ani też zaliczona do danych dotyczących zdrowia. Co istotne, informacja o wyniku badania trzeźwości nie został również wskazana w motywie 35 RODO, który zawiera uszczegółowienie informacji, które mogą być traktowane jako dane dotyczące zdrowia.

W tym zakresie podkreślenia wymaga, że pomimo pojawiających się stanowisk jakoby informacja o trzeźwości stanowiła informacje o stanie fizjologicznym, o których mowa w motywie 35 RODO, brak jest uzasadnienia dla takiej ich kwalifikacji, ponieważ:

  • jak już wyżej wskazano – regulacje dotyczące danych szczególnych kategorii stanowią wyjątek, a zatem należy je interpretować i rozumieć wąsko,
  • zgodnie ze słownikowym rozumieniem „stanu fizjologicznego” jest to stan związany z fizjologią, procesami życiowymi organizmu – trudno przyjąć, że stan po spożyciu alkoholu lub zażyciu innych środków odurzających stanowi stan związany z procesami życiowymi organizmu.

ZAGADNIENIE

Przekazywanie danych pracowników w związku z nałożeniem mandatów / opłat dodatkowych (nieuregulowane aktualnie w Poradniku)

KOMENTARZ

W praktyce wielu pracodawców, którzy udostępniają pracownikom samochody w celach służbowych, pojawiają się sytuacje, w których:

  • pracodawcy otrzymują mandaty / wezwania do zapłaty dodatkowych opłat parkingowych (np. za nieuiszczenie opłaty parkingowej), w tym wystawianych przez podmioty prywatne zarządzające parkingami, które dotyczą zdarzeń spowodowanych przez pracowników korzystających z samochodów służbowych,
  • ww. mandaty / wezwania skierowane są bezpośrednio do pracodawcy i nie zawierają zobowiązania do wskazania danych osoby, która w chwili zdarzenia kierowała pojazdem,
  • zdarza się, że mandaty / wezwania są doręczane pracodawcom po upływie dłuższego czasu i w związku z tym, osoba, która spowodowała zdarzenia objęte mandatem / wezwaniem nie jest już pracownikiem pracodawcy (niezależnie od przyczyny).

Powyższa sytuacja wymaga zajęcia stanowiska czy w takiej sytuacji możliwe jest przekazanie (udostępnienie) danych pracownika lub byłego pracownika podmiotowi, który jest wystawcą mandatu wezwania w oparciu o uzasadniony interes pracodawcy (art. 6 ust. 1 lit. f RODO). W naszej ocenie:

  • przekazanie danych pracownika / byłego pracownika w oparciu o uzasadniony interes pracodawcy jest działaniem uzasadnionym – brak jest jakichkolwiek podstaw, aby uniemożliwić udostepnienie danych w oparciu o tę przesłankę, ponieważ takie podejście doprowadziłoby do obciążania pracodawcy (administratora) nadmiernym obciążeniem w postaci konieczności uiszczania mandatów / opłat dodatkowych za działania spowodowane przez pracownika / byłego pracownika,
  • zgoda podmiotu danych nie jest adekwatną podstawą do przetwarzania (udostępnienia) danych, ponieważ w praktyce może dochodzić do sytuacji braku wyrażenia zgody i braku możliwości przekazania danych, a w konsekwencji – konieczności poniesienia straty finansowej przez pracodawcę.

Powyższe nie dotyczy sytuacji, w której mandat wystawiony przez uprawniony organ zawiera zobowiązanie do wskazania danych kierowcy – w takiej sytuacji dochodzi do udostepnienia danych osobowych w celu realizacji obowiązku prawnego pracodawcy (art. 6 ust. 1 lit. c RODO).

WSPÓŁPRACA Z PODMIOTAMI ZEWNĘTRZNYMI

ZAGADNIENIE

Szkolenia zewnętrzne (zagadnienie nr 4.2.3 w Poradniku)

KOMENTARZ

W Poradniku Urząd przedstawił stanowisko, zgodnie z którym w przypadku przekazywania listy uczestników szkolenia zleconego przez pracodawcę, firma szkoleniowa jest podmiotem przetwarzającym dane osobowe we wskazanym zakresie. Dodatkowo, w Poradniku pojawia się stwierdzenie, że w sytuacji gdy pracodawca zbiera formularze zgłoszeniowe na szkolenie i przekazuje je firmie szkoleniowej – to pracodawca pełni rolę podmiotu przetwarzającego dane osobowe zawarte w formularzach. Opisane stanowiska należy uznać za wewnętrznie sprzeczne i wymagające ujednolicenia w nowej wersji Poradnika.

W naszej ocenie na uwzględnienie zasługuje pogląd zgodnie z którym, w przypadku realizacji szkoleń, przetwarzanie danych osobowych uczestników szkolenia jest obowiązkowe do prawidłowej realizacji szkolenia. Obie strony, zarówno podmiot zlecający przeprowadzenie szkolenia, jak i firma szkoląca pozostają odrębnymi administratorami danych osobowych, a pozyskanie danych osobowych przez firmę szkoleniową jest uzasadnione koniecznością prawidłowej realizacji umowy łączącej strony (firma szkoląca musi mieć informacje o tożsamości osób uprawnionych do uczestnictwa w szkoleniu). W konsekwencji, gdy obszar wymiany danych ogranicza się do przekazania listy uczestników szkolenia, brak jest podstaw do zawarcia umowy powierzenia przetwarzania danych osobowych pomiędzy pracodawcą a podmiotem realizującym szkolenie.

Ponadto, w przypadku szkoleń nieobowiązkowych np. których celem jest podnoszenie świadomości pracowników, ale których przeprowadzenie nie wynika z powszechnie obowiązujących przepisów prawa, wydanie certyfikatów uczestnictwa również powinno zostać zakwalifikowane jako niezbędność do realizacji umowy, a czynność nie powinna być kwalifikowana jako działanie w charakterze podmiotu przetwarzającego. Celem przetwarzania danych osobowych przez firmę szkoleniową jest prawidłowa realizacja przedmiotu umowy, w skład którego wchodzi organizacja szkolenia, jego przeprowadzenie oraz wydanie certyfikatów poświadczających przeprowadzenie szkolenia dla określonych osób (strony mogą dowolnie kształtować zakres umowy o przeprowadzenie szkolenia, w szczególności mogą zrezygnować z wydania certyfikatów poświadczających przeprowadzenie szkolenia co spowoduje wyłączenie możliwości przetwarzania danych osobowych osób biorących udział w szkoleniu na podstawie niezbędności do wykonania umowy). Przyjęcie, że wydanie certyfikatów z przeprowadzonego szkolenia jest celem podmiotu zlecającego jego przeprowadzenie, powinno zostać uznane za błędne – głównym celem podmiotu zlecającego szkolenie jest podniesienie świadomości lub wiedzy pracowników, którzy zostają skierowani na szkolenie, a nie samo wydanie certyfikatów (co dla części podmiotów może oczywiście stanowić element niezbędny w ramach zawartej umowy, ale nie stanowi głównego celu przetwarzania danych osobowych).

ZAGADNIENIE

Współpraca z agencją pracy tymczasowej lub agencją zatrudnienia (m.in. zagadnienie nr 5.2 w Poradniku)

KOMENTARZ

Aktualnie zawarte w Poradniku instrukcje dotyczące współpracy pracodawcy z agencją pracy tymczasowej (dalej: „APT”) wydają się niespójne. Poradnik wskazuje na przysługujący obu stronom status administratora, natomiast jednocześnie wskazuje, że stosunek pracy tymczasowej wymaga, aby APT zawarła z pracodawcom użytkownikiem umowę powierzenia przetwarzania danych pracowników tymczasowych.

Biorąc pod uwagę aktualną praktykę rynkową, stanowisko wymaga aktualizacji. Powszechnie obowiązujące przepisy prawa, w tym Ustawa z dnia 9 lipca 2003 r. o zatrudnianiu pracowników tymczasowych (t.j. Dz. U. z 2023 r. poz. 1110, dalej: „Ustawa o zatrudnianiu pracowników tymczasowych”), nakładają na pracodawcę użytkownika szereg obowiązków, w tym m.in. prowadzenie ewidencji czasu pracy pracownika tymczasowego. Z uwagi na nałożenie obowiązków związanych z koniecznością przetwarzania danych osobowych pracowników tymczasowych na obie współpracujące strony, tj. APT oraz pracodawcę użytkownika, zasadnym byłoby przyjęcie, że relacja przetwarzania danych pomiędzy stronami polega na udostępnieniu danych osobowych pomiędzy dwoma, niezależnymi administratorami danych osobowych. W rzeczywistości, obie strony współpracują ze sobą na równych zasadach, a przetwarzanie danych osobowych pracowników tymczasowych jest związane z realizacją obowiązków nałożonych na każdą stronę odrębnie. W klasycznej relacji współpracy pracodawcy użytkownika i APT nie identyfikuje się przy tym czynności wymagających umowy powierzenia przetwarzania danych osobowych – co znajduje potwierdzenie m.in. w „Małym kodeksie postępowania dla agencji zatrudnienia” wydanym przez Polskie Forum HR (dostępny tutaj: https://www.polskieforumhr.pl/wp-content/uploads/2018/07/RODO_ma%C5%82y_kodeks_postepowania_PFHR.pdf).

ZAGADNIENIE

Outsourcing usług (nieuregulowane aktualnie w Poradniku)

KOMENTARZ

Poradnik nie uwzględnia przetwarzania danych osobowych osób wykonujących usługi na terenie zakładu pracy prowadzonego przez podmiot A przez pracowników podmiotu B. Taki model współpracy jest bardzo często wykorzystywany w praktyce, dlatego istotnym byłoby potwierdzenie modelu przetwarzania danych osobowych w treści nowego Poradnika.

W takim przypadku należałoby przyjąć, że oba podmioty działają jako niezależni, odrębni administratorzy danych osobowych, a samo udostępnienie danych osobowych pomiędzy podmiotami następuje na podstawie prawnie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO) w postaci konieczności realizacji łączącej administratora umowy z kontrahentem.

ZAGADNIENIE

Przetwarzanie danych osobowych w zakresie certyfikatów i szkoleń personelu podmiotu zewnętrznego (nieuregulowane aktualnie w Poradniku)

KOMENTARZ

Poradnik nie uwzględnia sytuacji przekazywania danych osobowych osób realizujących usługi (outsourcing usług) skierowanych do wykonania określonych czynności na terenie zakładu pracy innego podmiotu – w zakresie posiadanych przez te osoby certyfikatów lub szkoleń. Obowiązek przedłożenia określonych dokumentów może wynikać z charakteru realizowanych prac, np. z konieczność wykonania prac serwisowych na wysokości. Skala zjawiska uzasadniania wydanie w tym zakresie rekomendacji Urzędu.

W naszej ocenie zasadne byłoby przyjęcie, że w takim przypadku relacja przetwarzania kształtuje się jako udostępnienie danych osobowych pomiędzy dwoma, niezależnymi administratorami danych osobowych z uwagi na fakt, że każdy z podmiotów ma swój własny cel, dla którego przetwarza dane osobowe. Podmiot udostępniający dane osobowe swoich pracowników działa w ramach konieczności nawiązania relacji biznesowych (prowadzenia działalności) lub konieczności realizacji łączącej go umowy z kontrahentem. Podmiot, który otrzymuje dane osobowe działa w celu zapewnienia bezpieczeństwa zakładu pracy oraz bezpiecznych i higienicznych warunków pracy (częściowo uzasadnione jest to również realizacją obowiązku prawnego ciążącego na administratorze w postaci konieczności dopuszczenia do prac na terenie zakładu pracy wyłącznie osób posiadających odpowiednie kwalifikacje).

ZAGADNIENIE

Współpraca z podmiotami oferującymi benefity pracownicze (zagadnienie nr 4.2.4 w Poradniku)

KOMENTARZ

Aktualne stanowisko Urzędu wskazuje, że w przypadku przekazywania danych osobowych pracowników do firm oferujących dodatkowe benefity pracownicze, pracodawca powinien pozyskać zgodę pracowników na udostępnienie danych do podmiotu zewnętrznego. Uregulowania wymagają szczególne sytuacje związane z oferowaniem benefitów pracowniczych. W praktyce rodzaj oferowanych benefitów pracowniczych jest różny, a pracodawcy dążąc do zapewnienia konkurencyjności na rynku pracy, decydują się na zapewnienie bardziej niszowych benefitów.

Przykładowo: pracodawca może zaoferować benefit w postaci bezpłatnego przeprowadzania konsultacji psychologicznej dla swoich pracowników, jednak nie zamierza pozyskiwać dodatkowych informacji, w tym dotyczących tego który z pracowników skorzystał z konsultacji (jako informacji potencjalnie mogącej pośrednio wskazywać na stan zdrowia psychicznego pracowników). W tym celu, pracodawca udostępnia podmiotowi zewnętrznemu wyłącznie informacje o osobach uprawnionych do skorzystania z benefitu (lista pracowników) – cel: specjalista realizuje usługę w stosunku do osób, których dane identyfikacyjne są na liście. Gdyby uzależnić możliwość przekazania listy jw. od udzielenia przez pracownika zgody na przekazanie ich danych do pomiotu zewnętrznego, pracodawca mógłby potencjalnie pozyskać informacje, który z pracowników jest zainteresowany skorzystaniem z konsultacji psychologicznej (co potencjalnie mogłoby pośrednio wskazywać na stan zdrowia psychicznego pracowników, czego pracodawca chce uniknąć).

Przyjąć zatem należy, że pozyskanie zgody pracownika nie jest wymagane, a podstawą udostępnienia danych osobowych w takiej sytuacji powinien być prawnie uzasadniony interes pracodawcy w postaci zapewnienia pracownikom dodatkowych świadczeń pracowniczych / benefitu. Niewątpliwie w takim przypadku należałoby przeprowadzić test równowagi, który z uwzględnieniem szczególnych okoliczności, pozwoliłby na wykazanie czy prawa i wolności podmiotów danych nie mają charakteru nadrzędnego nad prawnie uzasadnionym interes pracodawcy.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Podmiot udostępniający: Departament Komunikacji Społecznej
Wytworzył informację:
user Karol Witowski
date 2024-07-03
Wprowadził informację:
user Edyta Madziar
date 2024-07-03 13:07:55
Ostatnio modyfikował:
user Edyta Madziar
date 2024-07-04 13:25:44