Autor: Kobylańska Lewoszewski Mednis sp. j.

Szanowni Państwo,

w załączeniu oraz poniżej przesyłam uwagi do poradnika „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców”.

Poniższe uwagi zostały przygotowane na podstawie informacji uzyskanych od podmiotów z sektora prywatnych usług zdrowotnych.

Początek uwag:

Uwagi do poradnika „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców.”

Uwagi przygotowane w oparciu o informacje przekazane przez wybrane podmioty z sektora prywatnych usług zdrowia w Polsce.

 

Zagadnienie

Pozyskanie numeru PESEL kandydata do pracy po zakończonym procesie rekrutacji w celu skierowania na badania wstępne medycyny pracy

Punkty w Poradniku

4.1. Konkretne kwestie związane z przetwarzaniem danych w okresie zatrudnienia.

4.2.2. Przetwarzanie danych pracowników w ramach realizacji zadań z zakresu medycyny pracy

Opis proponowanych zmian/spostrzeżenia

Cel rozwiązania:

Zaakcentowanie możliwości pozyskania od kandydata do pracy po zakończonym procesie rekrutacji numeru PESEL, w celu spełnienia obowiązku skierowania go na badania wstępne z zakresu medycyny pracy.

Komentarz:

Pracodawca ma obowiązek skierować wybranego kandydata na wstępne badania lekarskie z zakresu medycyny pracy (art. 229 KP). Wymaga to wpisania w skierowaniu na badanie lekarskie numeru PESEL i adresu zamieszkania osoby. Zgodnie bowiem z KP – art. 221 par. 3, pracodawca ma prawo żądać tych danych, od momentu, od którego kandydat stanie się jego pracownikiem.

Wzór skierowania (załącznik nr 3a do rozporządzenia Ministra Zdrowia i Opieki Społecznej z 30 maja 1996 r. w sprawie przeprowadzania badań lekarskich pracowników, zakresu profilaktycznej opieki zdrowotnej nad pracownikami oraz orzeczeń lekarskich wydawanych do celów przewidzianych w Kodeksie pracy) zawiera także numer PESEL, oraz adres zamieszkania pracownika. Dane te nie zostały wymienione w art. 221 par. 1 KP wśród danych osobowych, których podania pracodawca żąda od kandydata na pracownika.

Na etapie rekrutacjiprzetwarzanie takich danych osobowych kandydata, jak jego PESEL i adres zamieszkania, nawet za jego zgodą nie wydają się niezbędne do realizacji celu, jakim jest proces wyboru osoby do zatrudnienia.

Dodatkowo skierowanie na badania lekarskie wystawione przez pracodawcę stanowi element dokumentacji medycznej prowadzonej przez jednostkę medycyny pracy. To natomiast uprawnia pracodawcę, aby na etapie rekrutacji przetwarzać numer PESEL oraz adres zamieszkania osoby przyjmowanej do pracy. Podmiot leczniczy jako jednostka medycyny pracy ma obowiązek weryfikacji j tożsamości pacjenta.

Na podstawie skierowania jednostka medycyny pracy wystawia orzeczenie o zdolności do pracy, które powinno odzwierciedlać zakres danych na skierowaniu

Zakres danych, jakie powinna zawierać dokumentacja medyczna w odniesieniu do oznaczenia pacjenta, został określony w art. 25 ust. 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta i ma on pozwalać na ustalenie tożsamości pacjenta. Dokumentacja medyczna zawiera, co najmniej, nazwisko i imię, datę urodzenia, oznaczenie płci, adres miejsca zamieszkania oraz numer PESEL, jeżeli został nadany, w przypadku noworodka - numer PESEL matki, a w przypadku osób, które nie mają nadanego numeru PESEL - rodzaj i numer dokumentu potwierdzającego tożsamość.

Strony w Poradniku

22 i 28

Zagadnienie

Zakres danych zbieranych na potrzeby rekrutacji

Punkty w Poradniku

2.1. Dane wymagane od kandydata w toku rekrutacji

Opis proponowanych zmian/spostrzeżenia

Oprócz katalogu danych ujętych w art. 221 KP, pracodawca nie jest uprawniony do zbierania szerszego katalogu danych od kandydata do pracy, podkreślając, że tego typu dane byłyby danymi nadmiarowymi.

Praktyka pokazuje jednak, że w toku prowadzonych czynności rekrutacyjnych zdarza się, że pracodawca potrzebować będzie większego zakresu danych, w celu wybrania odpowiedniego kandydata na konkretne stanowisko.

Stąd pracodawca często żąda od kandydata następujących danych:

  • dyspozycyjność,
  • warunki finansowe,
  • umiejętność podejmowania decyzji w określonych sytuacjach.

Podstawą przetwarzania tego typu danych może być wprost niezbędność przetwarzania danych w celu zawarcia umowy lub uzasadniony interes administratora. Wydaje się więc, że tak restrykcyjne ograniczenie katalogu przetwarzanych danych dla potrzeb rekrutacyjnych jest niezasadne i zdecydowanie odbiega od praktyki rynkowej i uzasadnionych potrzeb pracodawców.

Strony w Poradniku

7 - 9

Zagadnienie

Pozyskiwanie numeru PESEL od jednoosobowych działalności gospodarczych

Wykorzystywanie numerów PESEL dla zarządzania tożsamością pracowników/współpracowników w systemach pracodawcy

Punkty w Poradniku

5.1. Przetwarzanie danych osobowych w związku z wykonywaniem zadań na podstawie umów cywilnoprawnych*

*Dotyczy rozszerzenia zakresu punktów 4.3 i 5.1 Poradnika

Opis proponowanych zmian/spostrzeżenia

Przy jednoosobowych działalnościach gospodarczych, gdzie mamy do czynienia ze zwykłym stosunkiem cywilnoprawnym między pracodawcą a współpracownikiem świadczącym usługi jako jednoosobowa działalność gospodarcza, możliwość zbierania danych w zakresie numeru PESEL takich osób powinna być wyjaśniona w przewodniku.

Numer PESEL będzie bardzo często wymaganym parametrem definiującym tożsamość takiej osoby, który jako unikatowy i jednoznaczny numer stanowi klucz pozwalający na zarządzanie dostępem i tożsamością w systemach przyszłego „pracodawcy”.

W praktyce pracodawcy, na potrzeby zarządzania bazą danych systemów typu Identity and Access Management (IAM) często tworzą własne, unikatowe identyfikatory, (choćby dla minimalizowania przetwarzania danych wewnątrz operacji zachodzących w infrastrukturze pracodawcy) to numer PESEL, jako uniwersalna i co do zasady niezmienna liczba, będzie wartością referencyjną. Tylko tego typu praktyka pozwala pracodawcy na zapewnienie najwyższego stopnia bezpieczeństwa w zakresie zarządzania dostępem do danych jak i rozliczalności działań w systemach.

W sytuacji, w której pracodawca wdrożył zarządzanie dostępem opierające się o budowanie tożsamości wokół numeru PESEL, wydaje się, że właściwą podstawą prawną do zastosowania będzie wprost art. 6 ust 1. lit b) RODO, gdyż w takiej sytuacji przetwarzanie danych jest niezbędne do wykonania umowy opierającej się o prowadzenie określonych czynności w infrastrukturze teleinformatycznej pracodawcy. Taka praktyka powinna znaleźć odzwierciedlenie w poradniku.

Strony w Poradniku

39

Zagadnienie

Brak uprawnień pracodawcy do pozyskiwania informacji o zrealizowanych usługach medycznych zarówno w ramach badań medycyny pracy, jak i oferowanych benefitów w postaci opieki medycznej                         

Punkty w Poradniku

4.2.2. Przetwarzanie danych pracowników w ramach realizacji zadań z zakresu medycyny pracy

4.2.4. Przekazywanie danych w związku z oferowanymi przez pracodawcę dodatkowymi świadczeniami pracowniczymi 

Opis proponowanych zmian/spostrzeżenia

Cel rozwiązania:

Podkreślenie braku uprawnień pracodawcy do pozyskiwania informacji o stanie zdrowia pracowników w postaci informacji dotyczącej realizacji usług medycznych przez pracowników od podmiotu leczniczego będącego jednostka medycyny pracy lub realizującego usługi w ramach pakietów opieki medycznej.

Komentarz:

Pracodawcy często wymagają od podmiotów leczniczych podania informacji kto i w jakim zakresie będzie korzystał z usług medycznych – uzasadniając to kwestiami rozliczeniowymi bądź weryfikacją, czy z usług medycznych będą korzystały uprawnione osoby:

  • w ramach badań profilaktycznych lekarze medycyny pracy często zlecają dodatkowe badania (co wynika z konieczności pogłębienia prowadzonej diagnostyki) – chęć pozyskania informacji jakie badania i kogo dotyczyły,
  • realizacja badań w ramach akcji profilaktycznych organizowanych dla pracowników – chęć pozyskania informacji kto skorzystał z udostępnionych usług,

utylizacja pakietów opieki medycznej - kto i w jakim zakresie korzysta z pakietu opieki medycznej zapewnionego przez pracodawcę w celu weryfikacji zakresu i zasadności tego rodzaju benefitu pracowniczego.

Strony w Poradniku

28 i 31

Zagadnienie

„Benefity” (dodatkowa opieka medyczna)

Punkty w Poradniku

4.2.4 Przekazywanie danych w związku z oferowanymi przez pracodawcę dodatkowymi świadczeniami pracowniczymi

Opis proponowanych zmian/spostrzeżenia

W związku z faktem, iż korzystanie z tych udogodnień jest w pełni dobrowolne, pracodawca nie może udostępnić danych osobowych pracowników bez ich wiedzy i zgody na rzecz podmiotów świadczących te usługi.

Udostępnienie danych osobowych przez pracodawcę odbywa się na podstawie zgody wyrażonej przez pracownika. Przetwarzanie przez podmioty świadczące tego typu usługi danych osobowych pracowników lub innych osób zgłoszonych do programu odbywa się zatem na podstawie uprzednio wyrażonej przez nich zgody, tj. na podstawie art. 6 ust. 1 lit. a) RODO.

Poradnik wskazuje „(…) Zaznaczyć należy, że pracodawca przetwarza dane osobowe pracowników w zakresie i celu niezbędnym dla wykonania ciążących na nim obowiązków wynikających ze stosunku pracy (…)”.

Skoro przystąpienie do dodatkowej opieki medycznej jest kwestią dobrowolną, to czy zbierane zgody zmieszczą się w tym celu przetwarzania?

Obecne brzmienie punktu 4.2.4. w poradniku nie dostarcza precyzyjnej odpowiedzi w zakresie właściwego określenia roli pracodawcy oraz dostawcy usługi (benefitu) na gruncie przepisów RODO, a odpowiedzi mogą sugerować udostępnienie danych osobowych na podstawie zgody jako jedyną poprawną konstrukcję przekazywania danych osobowych. Rodzi to bardzo wiele komplikacji w praktyce zawierania umów pomiędzy pracodawcą, a dostawcą benefitów.

Pominięty został również aspekt przekazywania danych osób najbliższych pracownika jako uprawnionych do skorzystania z oferowanych benefitów.

Możliwe są bowiem dwie prawidłowe konstrukcje przekazywania danych, tj. zarówno udostępnienie, jak i powierzenie danych osobowych w związku z przekazywaniem danych osobowych między pracodawcą, a dostawcą usługi (benefitu).

Punktem wyjściem dla powyższej tezy jest definicja administratora na gruncie art. 4 pkt 7 RODO, tj. określenie który z podmiotów określa cele i sposoby przetwarzania danych osobowych. Jak wskazała Europejska Rada Ochrony Danych (Wytyczne 7/2020 w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO), rola administratora nie wynika z charakteru podmiotu przetwarzającego dane, ale z jego konkretnych działań w określonym kontekście. Innymi słowy, ten sam podmiot może działać jednocześnie jako administrator w przypadku niektórych operacji przetwarzania danych i jako podmiot przetwarzający w przypadku innych tego rodzaju operacji, a to czy kwalifikuje się jako administrator czy podmiot przetwarzający należy oceniać w odniesieniu do każdej konkretnej czynności przetwarzania danych.

W związku z powyższym, pracodawca, będący administratorem danych osobowych pracowników, może jednocześnie występować w niektórych sytuacjach w roli podmiotu przetwarzającego. Będzie to miało miejsce w sytuacjach, gdy dostawca usługi (benefitu) będzie określał sposób przetwarzania poprzez wskazanie pracodawcy zakresu, kategorii osób oraz sposobu przekazania tych danych dostawcy usługi. Innymi słowy, poleci on pracodawcy zebranie na jego rzecz danych osób zainteresowanych skorzystaniem z usługi oferowanej przez tego dostawcę.

Podobnie Prezes Urzędu Ochrony Danych Osobowych wskazuje w poradniku w odniesieniu do szkoleń dla pracowników: jeżeli pracodawca zajmie się rozdysponowaniem ww. formularzy do pracowników i następnie uzupełnione formularze odbierze od nich (by je przekazać firmie szkoleniowej) wówczas firma szkoleniowa będzie musiała zawrzeć z tym pracodawcą umowę powierzenia przetwarzania danych osobowych pracowników (s. 30).

Powyższe nie wyklucza roli pracodawcy jako administratora w relacji z dostawcą usługi. Będzie miało to miejsce np. w przypadku, w którym pracodawca przekaże jedynie informację o możliwości skorzystania z danej usługi i wskaże sposób kontaktu w tej sprawie z dostawcą usługi, a dane osobowe będą zbierane bezpośrednio przez dostawcę usługi.

W tym stanie rzeczy, przykładowo dla uruchomienia benefitu obejmującego opiekę zdrowotną, koniecznym do przekazania do dostawcy (benefitu) jest m.in. imię, nazwisko, numer PESEL czy adres osoby uprawnionej.

Reasumując, pracodawca zgłaszając pracownika do opieki zdrowotnej świadczonej przez inny podmiot, nie przetwarza szerszego zakresu danych osobowych pracownika niż te, które pozyskał we własnym celu i zakresie realizując obowiązki wynikające z przepisów prawa pracy. Zmienia się jednak cel przetwarzania tych danych, a więc są one zbierane w celu uruchomienia benefitu. Niejako za pośrednictwem pracodawcy, dostawca benefitu otrzymuje dane pracownika oraz jego osób najbliższych niezbędne do zgłoszenia w ramach udzielanych mu świadczeń. Nie ma tutaj znaczenia źródło pozyskania danych a fakt ich administrowania, czyli decydowania o celach i środkach tego przetwarzania. Co więcej, po stronie pracodawcy nie ma przesłanki do przetwarzania danych osób najbliższych w charakterze administratora danych, w szczególności w zakresie obejmującym takie dane, jak numer PESEL czy adres zamieszkania osoby najbliższej. Dane te nie są niezbędne do ich przetwarzania po stronie pracodawcy, są natomiast niezbędne do uruchomienia danego benefitu. 

Każdy stan faktyczny należy oceniać indywidualnie, z uwzględnieniem tego, w jaki sposób zorganizowane jest korzystanie z danego benefitu oferowanego przez pracodawcę pracownikom. Dodatkowo, w praktyce obecne zapisy zawarte w poradniku powodują mylną konieczność audytowania dostawcy benefitu (często w ocenie pracodawcy - podmiotu przetwarzającego), co w odniesieniu do m.in. benefitów obejmujących świadczenia zdrowotne byłoby sprzeczne ze statusem podmiotu leczniczego jako odrębnego administratora danych.

Strony w Poradniku

31 i 32

Zagadnienie

Współadministrowanie w ramach grup kapitałowych

Punkty w Poradniku

4.2.5. Przekazywanie informacji o pracownikach pomiędzy spółkami grupy przedsiębiorstw (np. do jakiegoś projektu, zadań albo pracy)

Opis proponowanych zmian/spostrzeżenia

W Poradniku powinny znaleźć się wskazówki mające na celu uproszczenie przekazywania danych osobowych pomiędzy grupami przedsiębiorstw z tej samej grupy kapitałowej, tj. dotyczące wyznaczenia jednego inspektora ochrony danych dla grupy kapitałowej, korzystanie z zatwierdzonych wiążących reguł korporacyjnych przy transgranicznym przekazywaniu danych poza Unię Europejską.

Proces, w którym członkowie grup przekazują między sobą dane osobowe, wymaga zawarcia odpowiednich umów. Należy wówczas przeanalizować, czy w ramach przetwarzania danych osobowych prawidłowo został wypełniony obowiązek informacyjny zgodnie z art. 13 lub art. 14 RODO (niezbędne byłoby także wskazanie podstaw przetwarzania oraz prawnie uzasadnionych interesów, w razie powyżej wskazanego wewnątrzgrupowego przetwarzania danych).

W Poradniku powinny znaleźć się przykłady sytuacji, gdy współadministrowanie jest możliwe (np. w czasie rekrutacji w grupach kapitałowych, ocena pracowników, raportowanie, wspólna tożsamość personelu w systemach informatycznych).

Strony w Poradniku

32 - 34

Zagadnienie

Monitorowanie umów B2B i umów innych niż umowa pracę

Punkty w Poradniku

4.3.2. Ewidencjonowanie czasu pracy przy użyciu nowoczesnych technologii

5. Inne niż określone w Kodeksie Pracy formy zatrudnienia oraz praca tymczasowa

Opis proponowanych zmian/spostrzeżenia

W sytuacji współpracy w ramach umowy o pracę, kwestia monitorowania pracowników, została opisana pobieżnie. Przewodnik powinien jednak odpowiedzieć na pytanie, jakie podejście powinien zastosować pracodawca przy monitorowaniu osób w ramach innych form zatrudnienia niż prawo pracy?

Czy forma „obwieszczenia” i zapisów w klauzuli informacyjnej, będzie wystarczająca do wprowadzenia monitoringu?

Strony w Poradniku

35 - 39

Zagadnienie

Uwagi ogólne

Punkty w Poradniku

Np.:

2. Poszukiwanie pracy

2.2. Czy pracodawca musi poinformować kandydatów do pracy o przetwarzaniu ich danych osobowych?

Opis proponowanych zmian/spostrzeżenia

W niektórych punktach organ posługuje się określeniem „może” zamiast, np. „ma prawo żądać”, „żąda” lub „jest uprawniony do pozyskania danych w zakresie jakim wynika to z przepisów prawa”.

Aktualny wydźwięk może dawać złudne poczucie, że zakres wymaganych przez pracodawców danych osobowych jest działaniem poniekąd uznaniowym, nie mającym oparcia w przepisach prawa.

Strony w Poradniku

7 i 9

Zagadnienie

Uwagi ogólne

Punkty w Poradniku

Np.:

2.3. Znaczenie zgody na przetwarzanie danych osobowych

3.4. Jak długo można przetwarzać dane kandydatów do pracy?

Opis proponowanych zmian/spostrzeżenia

W niektórych miejscach, organ przedstawia rygorystyczne stanowisko odnosząc się merytorycznie wyłącznie do danego akapitu, co skutkuje tym, że czytelnik odnosi mylne wrażenie, iż omawiana materia nie jest poruszana w dalszej części poradnika.

Przykładem jest np. pkt 2.3 wskazujący na konieczność usunięcia danych po wycofaniu zgody, po czym w pkt 3.4 organ przedstawia dalsze przesłanki możliwego przetwarzania.

Strony w Poradniku

13 i 17

Zagadnienie

Weryfikacja na listach sankcyjnych

Punkty w Poradniku

2.1. Dane wymagane od kandydata w toku rekrutacji

Opis proponowanych zmian/spostrzeżenia

W Poradniku został opisany tylko przypadek pozyskiwania informacji o karalności z Krajowego Rejestru Karnego. Pracodawca nie może żądać takich informacji od kandydata oraz nie może przetwarzać informacji o karalności.

Listy sankcyjne są publicznie dostępnym „spisem” do którego każdy ma dostęp. Występuje tutaj problematyka przetwarzania danych osobowych dostępnych w publicznych rejestrach, co byłoby warte opisania w Poradniku.  

Strony w Poradniku

7 - 9

Zagadnienie

Dochodzenie roszczeń a usuwanie danych

Punkty w Poradniku

3.5. Czy pracodawca może przetwarzać dane kandydatów do pracy po zakończeniu rekrutacji w celu zabezpieczenia się przed ich ewentualnymi roszczeniami?

Opis proponowanych zmian/spostrzeżenia

Aktualnie przyjęło się podejście mające oparcie w orzecznictwie polskich sądów administracyjnych (np. II SA/Wa 1340/20), że możliwe jest przetwarzanie, a w tym przechowywanie danych osobowych niezatrudnionych kandydatów do pracy w celu dochodzenia roszczeń.

W takim przypadku podstawą prawną przetwarzania jest art. 291 KP w zw. z art. 6 ust. 1 lit. f) RODO. Stanowisko UODO wyrażone w Przewodniku w pkt 3.5 i 3.6 jest w tym zakresie zdecydowanie odmienne i należy je zmienić w świetle orzecznictwa sądowego.

Strony w Poradniku

17

Zagadnienie

Przetwarzanie numeru PESEL na potrzeby zarządzania tożsamością personelu (pracowników/współpracowników) w systemach informatycznych pracodawcy

Punkty w Poradniku

4. Okres zatrudnienia

4.3. Wykorzystanie wewnętrznych zasobów telekomunikacyjnych

5. Inne niż określone w Kodeksie Pracy formy zatrudnienia oraz praca tymczasowa

Opis proponowanych zmian/spostrzeżenia

Pracodawcy coraz częściej wykorzystują numer PESEL jako niebudzący wątpliwości identyfikator pracowniczy w ramach systemów informatycznych. Praktyką jest, że identyfikator ten podlega tzw. haszowaniu (czyli nieodwracalnej, losowej modyfikacji i nadaniu nowego ciągu cyfr bazującego na podstawie przekazanego numeru PESEL).

Brak jest jasnego stanowiska Prezesa Urzędu Ochrony Danych Osobowych co do możliwości jego wykorzystania w oparciu o art. 6 ust. 1 lit. b) oraz lit. f) RODO tj. w odniesieniu do realizacji umowy zawartej z pracownikiem oraz współpracownikiem w przypadku umowy cywilnoprawnej, a także w ramach prawnie uzasadnionego interesu pracodawcy jakim jest zapewnienie bezpieczeństwa dla zarządzania tożsamością w administrowanych systemach informatycznych.

Tylko tego typu praktyka pozwala pracodawcy na zapewnienie najwyższego stopnia bezpieczeństwa w zakresie zarządzania dostępem do danych jak i rozliczalności działań w systemach typu Identity Access Management.

Strony w Poradniku

22, 34 i 39

 

Wyjaśnienie skrótów:

KP - Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (t.j. Dz. U. z 2023 r. poz. 1465).

Poradnik - Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców. Październik 2018, UODO.

Ustawa i prawach pacjenta i Rzeczniku Praw Pacjenta - Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (t.j. Dz. U. z 2024 r. poz. 581).

RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).

Koniec uwag.

 

 

 

 

 

 

 

 

 

Podmiot udostępniający: Departament Komunikacji Społecznej
Wytworzył informację:
user Karol Witowski
date 2024-07-22
Wprowadził informację:
user Edyta Madziar
date 2024-07-22 12:07:51
Ostatnio modyfikował:
user Edyta Madziar
date 2024-07-22 12:40:36