Prezes Urzędu Ochrony Danych Osobowych w planie kontroli sektorowych urzędu na 2024 r. jako obszar podlegający kontroli wymienił prawidłowość spełniania obowiązku informacyjnego określonego w art. 13 i 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 29 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) (Dz.U. UE L z 2016 r. nr 119, s. 1) przez administratorów danych w sektorze prywatnym.

Obszar ten jest szczególnie istotny w odniesieniu do HR, gdzie obowiązek informacyjny spoczywa na administratorze w szerokim zakresie, tj. od rekrutacji po wiele procesów związanych z zatrudnieniem. Jednocześnie jest to obszar wymagający dużego zaangażowania, niezależnie od profilu przedsiębiorstwa i przedmiotu jego działalności. Dziś więc podpowiadamy, jak zapewnić realizację obowiązku informacyjnego w sposób kompletny, zgodnie ze standardami RODO oraz jak należy się przygotować na potencjalną kontrolę inspektorów UODO.

I. REKRUTACJA

Przepisy RODO wprost określają, że administrator ma zrealizować obowiązek informacyjny najpóźniej na etapie gromadzenia danych osobowych. Takim momentem jest wpłynięcie aplikacji kandydata do zatrudnienia – niezależnie od tego, czy mówimy o zatrudnieniu pracowniczym czy na podstawie umowy cywilnoprawnej.

W praktyce, by zapewnić pełną realizację tego obowiązku, najlepszym rozwiązaniem jest zamieszczenie klauzuli informacyjnej na stronie internetowej w zakładce „kariera”, bezpośrednio w ogłoszeniu o pracę lub w automatycznej odpowiedzi na e-mail ze zgłoszeniem.

Co ważne, w zależności od tego, w jaki sposób prowadzimy proces rekrutacyjny, konieczne może stać się przyjęcie różnych rozwiązań, które będą odpowiednie do stosowanego narzędzia, np. platform agregujących ogłoszenia o pracę, portali społecznościowych (m.in. LinkedIn), targów pracy itp. Kluczowe jest to, by potencjalny kandydat miał możliwość łatwego i realnego zapoznania się z treścią klauzuli, najlepiej przed podjęciem decyzji o złożeniu swojej aplikacji.

ii. odpowiednia podstawa prawna

Identyfikacja odpowiednich podstaw przetwarzania danych osobowych jest jednym z częstych problemów przy konstruowaniu klauzul informacyjnych. Jednym z podstawowych „grzechów” administratorów danych jest opieranie przetwarzania danych w związku z rekrutacją i zatrudnieniem na zgodzie zainteresowanego. Jednak nie zawsze będzie to prawidłowe działanie. Powoływanie się na zgodę pracownika stanowi istotny błąd zwłaszcza w obszarach, w których pracodawca realizuje swoje uprawnienia np. poprzez nadzór za pomocą monitoringu lub obowiązki wynikające z przepisów np. w zakresie bhp, ewidencji czasu pracy itp. Po pierwsze, wprowadza bowiem zatrudnionego w błąd co do swobody decyzyjnej w zakresie tego, czy i jakie jego dane osobowe i w jakich celach będzie przetwarzała organizacja oraz komu będą one przekazywane, a nadto mylnie sugeruje możliwość skutecznego wycofania udzielonej zgody w każdym czasie. Po drugie, naruszenie podstawowych zasad przetwarzania, w tym warunków zgody, pociąga za sobą ryzyko odpowiedzialności administratora, w tym odpowiedzialności finansowej. Dlatego przy konstruowaniu klauzul informacyjnych tak ważne jest odpowiednie zidentyfikowanie i przypisanie dla każdego z celów przetwarzania odpowiedniej podstawy prawnej.

Niejednokrotnie może również się zdarzyć, że w ramach tego samego przedsięwzięcia pojawi się kilka celów oraz podstaw przetwarzania (np. realizacja obowiązku prawnego oraz określnego uzasadnionego prawnie interesu pracodawcy). Kompletna klauzula informacyjna powinna zawierać informacje na temat konkretnych celów przetwarzania danych zatrudnionych oraz wszystkich towarzyszących im podstaw prawnych przetwarzania.

iii. nowe przedsięwzięcia w obszarze hr mogą wymagać aktualizacji klauzul

Wprowadzenie monitoringu (wizyjnego, aktywności w sieci, GPS itp.), kontrola trzeźwości, zakładowego funduszu świadczeń socjalnych, korzystanie z outsourcingu usług czy organizacja innych procesów w organizacji mogą się wiązać z koniecznością aktualizacji lub opracowania nowych klauzul informacyjnych. Bardzo ważne jest to, by zawierały one wyczerpujące informacje na temat celów i podstaw przetwarzania, a także okresu wykorzystywania danych i podmiotów, jakim dane mogą zostać przekazane.

Co bardzo ważne, niektóre z nich będą się również wiązać z obowiązkiem poinformowania o zasadach przetwarzania danych innych osób niż tylko pracownicy. Taka sytuacja ma miejsce np. w przypadku przetwarzania danych osobowych członka rodziny pracownika, które przetwarza pracodawca w związku z organizowaniem wydarzeń integracyjnych, w których brać mogą udział również bliscy pracowników, o ile będzie się to wiązać z przetwarzaniem ich danych osobowych.

W takich przypadkach obowiązkiem organizacji jako administratora jest zapewnienie, by osoby te miały możliwość zapoznania się z odpowiednią dostosowaną do nich klauzulą informacyjną, np. przekazaną im za pośrednictwem samego pracownika.

W tym miejscu pamiętać musimy, że dane osobowe bliskich pracownika nie są jego danymi osobowymi, a danymi dotyczącymi poszczególnych członków jego rodziny. Jakkolwiek mogą one jednocześnie stanowić dane osobowe dotyczące stanu rodzinnego pracownika, to realizacja obowiązku informacyjnego adresowanego tylko do zatrudnionego w sytuacji, w której pracodawca przetwarza również dane innych osób, będzie niewystarczająca i naraża organizację na odpowiedzialność w razie kontroli inspektorów UODO.

iv. pozyskanie danych z zewnętrznego źródła

System poleceń pracowniczych, rekrutacja za pośrednictwem headhunterów, agencji pośrednictwa pracy, korzystanie z outsourcingu usług – to tylko niektóre przykłady sytuacji w obszarze zatrudnienia, w których organizacja pozyskuje dane osobowe nie bezpośrednio od osoby, której dotyczą. W takich okolicznościach obowiązek informacyjny administratora rozszerza się o dodatkowe aspekty. Zgodnie z art. 14 RODO obok podstawowych informacji na temat przetwarzania danych konieczne jest również wskazanie:

  • źródła pochodzenia danych osobowych, jakie administrator pozyskał – najczęściej źródłem będzie sam pracownik, który przekazał CV kandydata do działu HR; agencja zatrudnienia, z którą współpracuje organizacja lub kontrahent świadczący na naszą rzecz usługi outsourcingu, którego pracownicy wykonują faktyczne zadania w ramach realizacji tego procesu;
  • kategorii tych danych osobowych (a więc, czy są to dane identyfikacyjne, kontaktowe, dotyczące wykształcenia, dane szczególnych kategorii itp.).

Analogiczna sytuacja będzie dotyczyła osób trzecich, których dane pozyskaliśmy od pracownika, jak ma to miejsce w przypadku opisywanego wyżej wsparcia ze środków ZFŚS.

Istotny jest również czas przekazania takich informacji. Zgodnie z przepisami RODO powinno to nastąpić w rozsądnym terminie po pozyskaniu danych osobowych, co do zasady najpóźniej w ciągu miesiąca. Jednak jeżeli dane osobowe mają być stosowane do komunikacji z daną osobą, powinno to nastąpić najpóźniej przy pierwszej takiej komunikacji.

v. osobne klauzule dla pracowników i umów cywilnoprawnych

Kolejnym nierzadko spotykanym błędem jest adresowanie jednakowych treściowo klauzul informacyjnych dla kandydatów lub osób zatrudnionych na podstawie umowy o pracę i umów cywilnoprawnych. Tymczasem musimy pamiętać, że tylko wobec pracowników (i kandydatów do zatrudnienia pracowniczego) znajdują zastosowanie przepisy kodeksu pracy i pozostałe przepisy prawa pracy. Wyjątki w tym zakresie są nieliczne (np. dotyczące zasad bhp).

Dlatego prawidłowo realizowany obowiązek informacyjny, powinien uwzględniać prawidłowe podstawy prawne przetwarzania odrębnie danych pracowników i osób wykonujących pracę na innej podstawie.

W praktyce bowiem prawo pracy przewiduje wiele gwarancji odnoszących się tylko do pracowników i reguluje odmiennie zasady przetwarzania danych osobowych tylko tej grupy.

Dotyczy to np. informacji, jakich może żądać pracodawca, ograniczonej możliwości powoływania się na zgodę pracownika, okresów przechowywania poszczególnych kategorii danych, działań jakie podejmować w oparciu o pracownicze podporządkowanie itp.

Techniczne rozdzielenie tych informacji staje się bardzo ważne w kontekście realizacji zasady przejrzystości i rzetelności wyrażonej w art. 5 RODO. Zgodnie z nią adresat (odpowiednio osoba zatrudniona w oparciu o umowę o pracę lub umowę cywilnoprawną) powinien otrzymywać jedynie informacje, które faktycznie go dotyczą. Oznacza to w szczególności, że współpracownik zatrudniony w organizacji na podstawie umowy B2B nie powinien być wprowadzany w błąd, że jego dane osobowe przetwarzane są na podstawie przepisów kodeksu pracy.

vi. jasność przekazu, kompletność i dostępność

Istotnym, a często pomijanym w praktyce wymogiem jest, by informacja kierowana do podmiotu danych przedstawiana była w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem (art. 12 ust. 1 RODO).

Jasność i konkretność przekazu z pewnością należy oceniać pod kątem prawidłowości realizacji obowiązku informacyjnego. Niezrozumiały dla odbiory komunikat jest de facto równoznaczny z jego brakiem.

Przejrzystość i jasność komunikacji są niezwykle istotnym elementem zwłaszcza w obszarze HR. Płaszczyzna danych osobowych nie powinna być wyjątkiem od zasady, że komunikat pracodawcy jest odpowiednio dostosowany do specyfiki odbiorców. Niewątpliwie informacja na temat przetwarzania danych osobowych przedstawiona jasnym, nieskomplikowanym i nieprawniczym językiem spełni swoją funkcję o wiele bardziej efektywnie niż wielostronicowe oświadczenia cytujące szczegółowe przepisy. Uwagę na to zwracała Grupa Robocza Art. 29 (tj. Grupa Robocza ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, ustanowiona w art. 29 dyrektywy 95/46/WE), która zaznaczała, że przekazanie podmiotowi danych wszystkich wymaganych prawem informacji może prowadzić do powstania po jego stronie stanu „przeładowania informacyjnego”.

Pod kątem weryfikacji przez inspektorów UODO prawidłowości spełniania obowiązku informacyjnego wynikającego z RODO istotna jest również kompletność klauzuli informacyjnej. Jej zakres treściowy zakreślają szczegółowo art. 13 i 14 RODO. Tylko uwzględnienie wszystkich z wymienionych tam elementów oznacza pełną realizację obowiązku informacyjnego.

vii. kary za brak realizacji obowiązku

Zidentyfikowanie wszystkich obszarów wymagających realizacji obowiązku informacyjnego jest kluczowym elementem i powinno inicjować proces weryfikacji tego, czy nasza organizacja wypełnia go w sposób prawidłowy. Monitoring w tym zakresie powinien być jednak stałym procesem. Tylko w ten sposób pozwala zapewnić realizację tego obowiązku przy okazji pojawienia się nowych procesów w firmie.

Jest to istotne, biorąc pod uwagę wysokość kar, jakie RODO przewiduje za naruszenie w tym zakresie. Równowartość 20 mln euro lub 4 proc. całkowitego rocznego obrotu, to maksymalne kary, jakie nałożyć może prezes UODO. W dotychczasowej praktyce polskiego organu najwyższa kara za brak właściwej realizacji obowiązku informacyjnego wyniosła niemal 1 mln zł. Każdorazowo jednak okoliczności danej sprawy badane są indywidualnie, a wpływ na ocenę naruszenia mają takie okoliczności jak m.in. skala naruszenia i poziom zawinienia administratora.

Biorąc jednak pod uwagę, że prawidłowość realizacji obowiązku informacyjnego jest jednym z kluczowych elementów planu kontroli UODO na ten rok, spodziewać się można skrupulatnej weryfikacji organu w tym zakresie. ©℗