UODO proadnik wątpliwości

Analizy

Wątpliwości wokół poradnika Urzędu Ochrony Danych Osobowych dla pracodawców

Strefa pracodawcy: podatki i prawo 21/2018 | 10 października 2018 r.

4 października 2018 r. Urząd Ochrony Danych Osobowych opublikował poradnik dla pracodawców na temat ochrony danych osobowych w miejscu pracy. Poradnik odnosi się do wielu kwestii, które budziły wątpliwości wśród pracodawców dostosowujących swoją działalność do przepisów Ogólnego Rozporządzenia o Ochronie Danych („RODO”). Część wskazówek zawartych w poradniku potwierdza utrwalone na rynku poglądy, jednak niektóre wytyczne zaskakują i zdążyły już wzbudzić kontrowersje, zarówno w zakresie samych interpretacji prawnych UODO, jak i ich praktycznego zastosowania.

Rekrutacje ukryte - czy dopuszczalne?

Wciąż bardzo popularną metodą rekrutacji na rynku są tzw. „rekrutacje ukryte”, czyli postępowania rekrutacyjne, w których pracodawca pozostaje anonimowy. Zgodnie z przewidywaniami, UODO potwierdziło, że tego typu rekrutacje są niezgodne z przepisami dotyczącymi ochrony danych osobowych, ponieważ kandydaci nie posiadają wiedzy na temat tego kto zbiera ich dane osobowe i wobec kogo mogą realizować swoje prawa. Jednocześnie UODO krytycznie odniosło się do stosowanej obecnie powszechnie na rynku praktyki, która miała być pewnego rodzaju „złotym środkiem” legalizującym „rekrutacje ukryte”, tzn. do praktyki, zgodnie z którą pracodawca, mimo iż publicznie pozostaje anonimowy, przesyła do kandydata klauzulę informacyjną w odpowiedzi na otrzymaną aplikację – w ocenie UODO również w przypadku takiego zabiegu nie możemy mówić o prawidłowym wykonaniu obowiązku informacyjnego.

UODO wskazało, że rozwiązaniem, które zapewni pracodawcy możliwość pozostania anonimowym na wstępnym etapie rekrutacji, jest zlecenie jej przeprowadzenia innym podmiotom np. agencjom zatrudnienia. W ocenie UODO w takiej sytuacji to na tym podmiocie (jako administratorze danych) będzie ciążył obowiązek informacyjny wobec kandydata. Może jednak budzić wątpliwości, czy faktycznie w stosunkach pomiędzy pracodawcą a agencją zatrudnienia będziemy mieli do czynienia z relacją pomiędzy dwoma niezależnymi administratorami, z których każdy realizuje swoje własne cele.

Praktyczny Przewodnik po Ogólnym Rozporządzeniu o Ochronie Danych Osobowych (RODO)

Dowiedz się więcej o RODO

Jak długo można przechowywać dane kandydatów po zakończonej rekrutacji?

W ocenie UODO dane osobowe kandydata powinny zostać usunięte niezwłocznie po zakończeniu procesu rekrutacyjnego, czyli po podpisaniu umowy o pracę z wybraną w ramach danej rekrutacji osobą (zakładając, że kandydat nie wyraził zgody na przetwarzanie jego danych dla celów przyszłych rekrutacji). Zdaniem UODO dłuższego przechowywania danych nie uzasadnia nawet cel w postaci zabezpieczenia się przed ewentualnymi roszczeniami ze strony kandydatów, także tymi dotyczącymi dyskryminacji – organ nadzoru postrzega taką praktykę jako nieuzasadnione działanie pracodawców „na wszelki wypadek”. Stanowisko to wzbudziło mocne kontrowersje na rynku - idąc tym tropem można byłoby uznać, że przechowywanie danych na wypadek zabezpieczenia się przed roszczeniami jest uzasadnione jedynie w sytuacji, gdy administrator posiada już wiedzę o konkretnym roszczeniu.
 

Portale społecznościowe

W ocenie UODO niedopuszczalne jest gromadzenie przez pracodawców informacji zamieszczanych przez kandydatów na portalach społecznościowych. UODO zauważa wprawdzie istnienie portali dedykowanych poszukiwaniu zatrudnienia (typu LinkedIn), jednak zostawia nas bez konkretnej konkluzji w tym zakresie.
 

Badania medycyny pracy

UODO kładzie kres toczącym się na rynku sporom co do tego, czy konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych z jednostką służby medycyny pracy. UODO potwierdza, że w relacji pomiędzy pracodawcą a jednostką służby medycyny pracy mamy do czynienia z dwoma niezależnymi od siebie administratorami, a więc umowa taka nie powinna być zawierana.
 

Przekazywanie danych osobowych pomiędzy podmiotami z grupy

UODO zauważa, że administratorzy będący częścią grupy przedsiębiorstw powinni rozważyć współpracę w ramach relacji współadministrowania danymi osobowymi. Jednocześnie UODO wskazuje przykłady wewnętrznych celów administracyjnych, dla których uzasadnione może być przetwarzanie danych pracowników w ramach grupy przedsiębiorstw, takie jak choćby: przeniesienie pracownika do innego miejsca, w tym delegowanie w ramach grupy, działania związane z rozwojem pracownika – organizacja szkoleń, prowadzenie statystyk dotyczących zatrudnienia w grupie.
 

Cywilnoprawne formy współpracy – czy dochodzi do powierzenia danych?

Poradnik porusza także tematy związane ze współpracą na podstawie umów cywilnoprawnych. W ocenie organu nadzoru, jeśli w ramach takiej współpracy dana osoba przetwarza dane na polecenie administratora, korzystając z jego środków i rozwiązań organizacyjnych – nie dochodzi do powierzenia danych i wystarczające będzie udzielenie upoważnienia do ich przetwarzania.

***
Niewątpliwie poradnik jest odpowiedzią UODO na potrzeby rynku pracodawców i porusza szereg istotnych kwestii, nad którymi od dłuższego czasu debatują specjaliści zajmujący się ochroną danych osobowych w obszarze HR. Jednakże po lekturze poradnika rodzi się także wiele nowych pytań, z którymi pracodawcy będą musieli się zmierzyć w praktyce.

RODO - Rozporządzenie o Ochronie Danych Osobowych

Wszystko o wpływie nowego unijnego rozporządzenia na porządek prawny w Polsce.

Przejdź do strony o RODO
Czy ta strona była pomocna?