Zostanie uaktualniony poradnik dotyczący ochrony danych osobowych w miejscu pracy. Eksperci uważają, że powinny w nim zostać uwzględnione takie nowinki jak stosowanie w zatrudnieniu sztucznej inteligencji i algorytmów.

Urząd Ochrony Danych Osobowych do jutra zbiera uwagi dotyczące tego, co powinno się znaleźć w poradniku dla pracodawców dotyczącym ochrony danych osobowych w miejscu pracy po jego aktualizacji. Urząd zapewnia, że zebrane głosy zostaną poddane analizie i mogą realnie wpłynąć na kształt dokumentu. W ramach prac nad aktualizacją prezesa UODO ma wspierać Społeczny Zespół Ekspertów.

Zatrzymanie danych z rekrutacji

Eksperci nie mają wątpliwości, że poradnik jest już przestarzały – pochodzi z października 2018 r. – i wymaga gruntownej aktualizacji albo nawet, jak twierdzą niektórzy, przygotowania całkowicie od nowa.

– Rewizja poradnika jest bardzo istotna z kilku względów. Od czasu jego przyjęcia zostały wprowadzone nowe regulacje, jak chociażby te dotyczące pracy zdalnej czy badania trzeźwości. Zaraz będziemy mieć także przepisy dotyczące ochrony sygnalistów, które również wymagają uwzględnienia (w chwili zamknięcia tego wydania DGP ustawa oczekuje na podpis prezydenta – red.). Ponadto w ostatnich latach pojawiły się istotne orzeczenia sądów, które odnoszą się np. do zasad przechowywania danych związanych z rekrutacją – wylicza dr Mirosław Gumularz, radca prawny, przewodniczący Społecznego Zespołu Ekspertów przy prezesie UODO, który zastrzega, że prezentowane tu stanowisko to jego osobisty pogląd, a nie UODO.

Również inni eksperci postulują zmianę treści poradnika, jeśli chodzi o dalsze przechowywanie danych osobowych po zakończonej rekrutacji. Może to ochronić pracodawcę przed ewentualnymi roszczeniami z tytułu dyskryminacji kandydatów, którzy nie zostali wybrani.

– W poradniku zaprezentowano stanowisko, że taki cel nie uzasadnia dalszego przetwarzania danych i że po zakończonym procesie rekrutacji powinny one zostać niezwłocznie usunięte. Było ono jednak krytykowane. W wyroku z 20 lutego 2024 r. (sygn. III OSK 2700/22) Naczelny Sąd Administracyjny zaprezentował odmienny pogląd – wskazuje dr hab. Małgorzata Mędrala, radca prawny, profesor Uniwersytetu Ekonomicznego w Krakowie. Przypomina, że według NSA podstawą przetwarzania danych osobowych w takiej sytuacji może być art. 6 ust. 1 lit. f RODO, tj. prawnie uzasadniony interes administratora danych lub osoby trzeciej.

Poradnik wymaga też zmiany, jeśli chodzi o okres retencji takich danych, czyli czas, przez który ich przechowywanie jest niezbędne dla pracodawcy. NSA uznał, że może to trwać nie dłużej, niż wynosi okres przedawnienia roszczeń kandydatów, czyli trzy lata.

Nowe technologie

Prawnicy są przekonani, że w nowym poradniku nie można również pominąć nowych zjawisk w sferze pracowniczej.

– Przede wszystkim dotyczy to wykorzystywania nowych technologii w zatrudnieniu, co dziś jest już obecne na każdym etapie – zarówno przy rekrutacji, jak i w trakcie trwania zatrudnienia, aż po podejmowanie decyzji o zwolnieniu. UODO powinien wyjaśnić, kiedy mogą być stosowane takie rozwiązania jak: profilowanie, zautomatyzowane podejmowanie decyzji, sztuczna inteligencja i inne narzędzia oparte na działaniu algorytmów – uważa Paweł Sych, radca prawny, partner w kancelarii PCS | Littler. Ekspert podkreśla, że wszystkie te elementy są już wykorzystywane przez pracodawców, jednak ze względu na brak wyraźnych, zrozumiałych i – co najistotniejsze – zgodnych z przepisami wytycznych wielu z nich ma wątpliwości, czy w ogóle mogą z nich korzystać i w jakim zakresie.

Z kolei zdaniem prof. Małgorzaty Mędrali poradnik warto uzupełnić także o kwestie przetwarzania danych osobowych na potrzeby wewnątrzzakładowych postępowań wyjaśniających, np. antymobbingowych czy antydyskryminacyjnych. – W ich przypadku istnieją bowiem przesłanki do ograniczenia obowiązków informacyjnych z zakresu RODO ze względu na cele tych postępowań – zauważa.

Podstawy przetwarzania i praca tymczasowa

W opinii ekspertów z poradnika powinny też zostać wyeliminowane liczne błędy, nieścisłości czy pominięcia. Całkowitej zmiany wymaga m.in. podejście do podstaw prawnych przetwarzania danych oraz zakresu danych, które pracodawca może przetwarzać.

– Dziś z poradnika można wyciągnąć wniosek, że w zasadzie pracodawca może opierać się tylko na dwóch podstawach – tj. że przetwarzać dane można albo wtedy, gdy przepis kodeksu pracy lub innej ustawy wprost wskazuje, że zbieranie i dalsze przetwarzanie jest możliwe, albo w sytuacji, gdy pracownik wyraził zgodę na przetwarzanie. Natomiast zostały pominięte wszelkie inne podstawy przetwarzania wynikające z RODO, przede wszystkim prawnie uzasadniony interes pracodawcy – twierdzi Paweł Sych.

Poradnik warto też zmodyfikować, jeśli chodzi o kwestię pozyskiwania informacji o kandydacie lub pracowniku. – Zdaniem UODO jedynym źródłem informacji może być sam kandydat czy pracownik, a pracodawcy nie mają możliwości weryfikacji przedstawianych informacji ani gromadzenia ich na własną rękę, np. z otwartych źródeł internetowych – zauważa Paweł Sych.

Do weryfikacji jest także definicja administratorów przy zatrudnieniu tymczasowym, bo według obecnego poradnika status administratora ma tylko pracodawca użytkownik.

– W poradniku UODO stoi na stanowisku, że agencja pracy tymczasowej (APT) powinna zawrzeć z pracodawcą użytkownikiem umowę powierzenia przetwarzania danych pracowników tymczasowych, która określałaby zakres i cel przetwarzania. Tymczasem istnieje wiele argumentów za tym, że w przypadku pracodawcy użytkownika i APT mamy do czynienia z dwoma odrębnymi administratorami danych. A w takim przypadku nie ma na ogół potrzeby zawierania umowy powierzenia – wyjaśnia prof. Mędrala.©℗