Urząd Ochrony Danych Osobowych zakończył już zbieranie uwag do swojego poradnika dla pracodawców dotyczącego ochrony danych osobowych w miejscu pracy i obecnie trwa ich analiza. O samych konsultacjach DGP informował jako pierwszy („UODO zmieni stanowisko w sprawach pracowniczych” – DGP nr 119/2024). Ich efektem ma być aktualizacja dotychczasowego poradnika, pochodzącego z 2018 r. Jak dowiedział się DGP, uwag wpłynęło bardzo dużo. Zgłosiło je ponad 40 podmiotów, z czego każdy z nich od kilku do kilkudziesięciu.
– Poza nielicznymi wyjątkami, co do zasady postulaty zgłoszone w toku konsultacji społecznych są słuszne, gdyż upływ czasu od opracowania pierwszej wersji poradnika zrobił swoje. Czy wszystko uda się zawrzeć w nowej wersji poradnika, to będzie oczywiście decyzja po stronie UODO – wskazuje dr Dominika Dörre-Kolasa, radca prawny, partner w kancelarii Raczkowski, członkini Społecznego Zespołu Ekspertów przy prezesie UODO, który wspiera urząd w pracach nad aktualizacją poradnika. Ekspertka pozytywnie ocenia natomiast zdecydowany wzrost świadomości znaczenia ochrony danych. – Coraz mniej jest wątpliwości, czy podejmować jakieś działania, na rzecz tego, jak je podejmować – wskazuje dr Dörre–Kolasa. – Osobiście zależałoby mi na tym, aby dzięki poradnikowi udało się odczarować postrzeganie ochrony danych osobowych w miejscu pracy jako utrudnienia w funkcjonowaniu pracodawców – dodaje.
Dane osób trzecich
Uwagi zebrane w trakcie konsultacji poradnika UODO o zatrudnieniu pokazują dobitnie, z jak wieloma problemami na gruncie ochrony danych osobowych mierzą się obecnie pracodawcy. Kwestii, które poradnik powinien objąć, jest w ocenie komentujących bardzo wiele. Na niektóre z nich wskazywaliśmy na łamach DGP – głosem ekspertów – już w trakcie trwających konsultacji.
Jednym z zagadnień, które od lat budzą wątpliwości w praktyce, i które – zdaniem komentujących – teraz powinny być wreszcie rozwiane na łamach poradnika, jest kwestia przetwarzania danych osobowych osób trzecich, czyli np. członków rodziny pracownika. Sytuacji, w których trafiają one do pracodawcy, jest wiele. Ma to miejsce w przypadku składania wniosków np. o świadczenia z zakładowego funduszu świadczeń socjalnych (ZFŚS), o opiekę nad dzieckiem do 14. roku życia, o elastyczną organizację pracy czy o urlop opiekuńczy. Problem dotyczy zwłaszcza tego, czy wobec tych osób pracodawca powinien realizować obowiązek informacyjny (czyli powiadomić osobę zainteresowaną o przetwarzaniu jej danych osobowych).
W dotychczasowym poradniku UODO wskazywał, że nie ma takiego obowiązku, gdy dane członków rodziny są zbierane na potrzeby ZFŚS. Brakuje natomiast takiego stwierdzenia wobec innych przypadków przetwarzania danych osób trzecich.
„Rekomendujemy, aby nowa wersja poradnika wskazywała, iż brak takiego obowiązku dotyczy nie tylko ZFŚS, ale również innych sytuacji, w których przetwarzane są dane osób trzecich przez pracodawców” – wskazuje kancelaria CMS w uwagach zgłoszonych w ramach konsultacji.
Z kolei zdaniem Fundacji Instytut ART poradnik powinien również odpowiadać na pytanie, czy należy realizować obowiązek informacyjny wobec osób trzecich w sytuacji wniosków do ZUS o zasiłek opiekuńczy z powodu sprawowania opieki nad dzieckiem lub członkiem rodziny. Spółka Inspektorzy ODO dodaje do tego przypadek przetwarzania danych osób wskazanych do powiadomienia w razie wypadku w pracy. Natomiast w ocenie Polskiego Forum HR powinno to dotyczyć również zgłoszenia członków rodziny do ubezpieczenia zdrowotnego, korzystania z dni wolnych z powodu siły wyższej, złożenia wniosków o urlop macierzyński, rodzicielski czy ojcowski, a także korzystania ze szczególnych przypadków pracy zdalnej (np. wnioski o pracę zdalną rodziców dzieci do lat czterech – red.).
Z kolei spółka KPMG zwraca uwagę, że w większości przypadków administrator nie otrzymuje danych kontaktowych osób trzecich. „Czy należy wówczas zastosować jedno z wyłączeń wskazanych w art. 14 ust. 5 RODO, czy też zobowiązać pracownika do przekazania klauzuli informacyjnej, czy też (w ślad za jedną z koncepcji w tej materii występujących w doktrynie prawa ochrony danych osobowych) należy takie dane traktować jako nierozerwalnie związane z konkretnym pracownikiem, a zatem osobą, wobec której pracodawca realizuje obowiązek informacyjny na gruncie art. 13 RODO?' – dopytuje.
Sprawdzenie (potencjalnego) pracownika
Okazuje się, że tematem, na który jest ogromne zapotrzebowanie w biznesie, a jednocześnie co do którego UODO prezentował dotychczas negatywne stanowisko, jest tzw. background check. To procedura funkcjonująca też pod nazwami background screening czy pre-employment screening (w tym ostatnim przypadku odnosi się wyłącznie do etapu rekrutacji). W jej ramach sprawdzana jest przeszłość kandydata do pracy bądź pracownika, np. gdy aplikuje na wyższe stanowisko. W podstawowej wersji obejmuje weryfikację życiorysu zawodowego, czyli poprzedniego zatrudnienia, wykształcenia, uzyskanych certyfikatów i referencji. W zaawansowanej – również np. badanie historii kryminalnej i kredytowej, a także wpisów w mediach społecznościowych.
W publikacji „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców” UODO wskazuje, że: „Niedopuszczalne jest pozyskiwanie przez potencjalnego pracodawcę informacji o kandydacie na pracownika od jego poprzedniego pracodawcy, jeśli nie posiada on zgody kandydata na powyższe”. Z poradnika UODO wynika też, że rekrutujący nie może kontaktować się z podmiotem, który wystawił referencje. Z kolei dane dotyczące karalności pracodawca może przetwarzać tylko wtedy, gdy wynika to wprost z przepisów prawa. Poradnik wskazuje też, że potencjalny pracodawca nie może zwrócić się do uczelni wyższej z prośbą o potwierdzenie, czy kandydat uzyskał w niej dyplom, ani też gromadzić danych, które kandydat sam zamieścił w internecie, np. w portalu społecznościowym.
Tymczasem dziś praktyka rynkowa często całkowicie odbiega od tego, co urząd uznaje za dozwolone. A prześwietlaniem życiorysów (potencjalnych) pracowników zajmują się już także wyspecjalizowane firmy, w tym nawet biura detektywistyczne.
„Administratorzy będący częścią międzynarodowych grup kapitałowych często borykają się z tłumaczeniem, że w Polsce nie jest możliwe przeprowadzanie żadnych form background checku, w odróżnieniu od innych krajów UE” – zauważa jeden z uczestników konsultacji, który nie wyraził zgody na publikację jego danych.
Eksperci domagają się więc liberalizacji stanowiska UODO.
– Pracodawca jest przesadnie ograniczony w możliwości weryfikowania informacji, które podaje kandydat. Pozbawienie pracodawców możliwości weryfikacji takich informacji nabiera nowego znaczenia w dobie sztucznej inteligencji. Obecne technologie dają bowiem kandydatom choćby możliwość generowania treści czy samych dokumentów, czego pracodawca nie może w żaden sposób zweryfikować – zauważa kancelaria CMS. Jak dodaje, brak narzędzi do potwierdzenia informacji o kandydacie sprzyja nadużyciom.
– Weryfikacja pewnych informacji w procesie rekrutacji powinna być zatem dopuszczalna. Pod warunkiem oczywiście, że pracodawca poinformuje o niej kandydatów, a cały proces będzie transparentny. Dla przykładu, gdy pracodawca w ogłoszeniu wskaże, że o ile kandydat przedłoży referencje od poprzednich pracodawców, to pracodawca będzie mógł podjąć kontakt z osobami je wystawiającymi. W takim wypadku zgoda jest wyrażana poprzez wyraźne działanie kandydata polegające na przedłożeniu referencji – wskazuje kancelaria. – W nowej wersji poradnika należy rozważyć choćby dopuszczenie uzasadnionej weryfikacji np. publicznie dostępnych informacji czy artykułów branżowych rozpowszechnianych przez kandydata. Pozwoli to unikać sytuacji, gdy sami klienci pracodawcy natrafią na takie publikacje w trakcie współpracy kandydata z pracodawcą. Jeśli jest to osoba kluczowa dla pracodawcy, a jej publikacje są niewłaściwe lub wręcz niezgodne z prawem, to mogą nawet zniechęcić klienta do współpracy z firmą – zauważa CMS.
Kancelaria Bird & Bird Szepietowski i Wspólnicy zwraca z kolei uwagę, że poradnik obecnie w sposób niejednoznaczny traktuje kwestię pozyskiwania informacji o kandydatach z portali społecznościowych o charakterze zawodowym, jak np. LinkedIn. „Zakaz sięgania przez pracodawcę czy agencje pracy do źródeł zawierających informacje z obszaru zawodowej, profesjonalnej działalności kandydata podczas procesu rekrutacji pozostaje nieuzasadniony” – stwierdza kancelaria. I dodaje, że możliwość pozyskiwania informacji z portalów społecznościowych o charakterze zawodowym dopuszcza wiele organów ds. ochrony danych osobowych w Unii Europejskiej, m.in. francuski, chorwacki czy w Lichtenstein.
– Background check to jedna z kwestii, które w mojej ocenie będą wymagały pogłębionej dyskusji wewnętrznej w gronie ekspertów zmierzającej do wypracowania stanowiska. Są one złożone i wiele zależy od obszaru działalności, w którym porusza się pracodawca. Wydaje mi się, że konieczne będzie przy tym uporządkowanie terminologiczne różnych procesów sprawdzających, które mogą się odbywać w związku z zatrudnieniem – zaznacza dr Dominika Dörre-Kolasa.
Różne formy monitoringu
Wiele uwag podmiotów biorących udział w konsultacjach dotyczy też kwestii związanych z szeroko pojętym monitoringiem. Kancelaria Hogan Lovells Oddział w Polsce wskazuje, że obecnie poza zakresem poradnika znajdują się kwestie dotyczące monitoringu wizyjnego. „Wskazane jest włączenie tego zagadnienia do poradnika wraz z wyjaśnieniami odnoszącymi się do innych form monitoringu” – stwierdza kancelaria. W jej ocenie w poradniku warto poruszyć kwestię możliwości korzystania przez pracownika z danych zarejestrowanych podczas monitoringu dla celów innych niż cel samego monitoringu. Przykładowo, czy przy zarejestrowanym naruszeniu prawa przez pracownika pracodawca może wyciągnąć w stosunku do niego odpowiednie konsekwencje.
Z kolei zdaniem Andersen Tax & Legal Srokosz i Wspólnicy poradnik w ogóle powinien wskazywać pracodawcom, które z narzędzi mogą stanowić monitoring w rozumieniu kodeksu pracy. „Z doświadczenia wiemy, że często pracodawcy nieświadomie wdrażają rozwiązania mające usprawnić organizację pracy, które jednak okazują się monitoringiem pracowników. Przykładowo chodzi o takie narzędzia jak (…) oprogramowanie sprawdzające aktywność na komputerze (otwarte okna, czas przy komputerze itp.), czy też – ostatnio zyskujące popularność – narzędzia oparte o sztuczną inteligencję, które mogą być wykorzystywane m.in. przy rekrutacji, do wstępnej selekcji pracowników” – wskazuje Andersen Tax & Legal. I dodaje, że warto również wskazać pracodawcom, co decyduje o tym, że dane rozwiązanie monitoringiem nie jest.
Z kolei Biuro Bezpieczeństwa Informacji Urzędu Miejskiego w Białymstoku uważa, że poradnik powinien być uzupełniony o kwestię monitorowania pracowników z wykorzystaniem np. zdalnego pulpitu czy oprogramowania umożliwiającego pozyskiwanie lokalizacji telefonu komórkowego. ©℗
opinia
Nowe zjawiska, ale też problemy, które od lat budzą wątpliwości
Pojawiają się uwagi dotyczące kwestii, które od lat budzą wątpliwości, jak wykorzystanie wizerunku lub prywatnych danych kontaktowych pracownika czy rola podmiotów, którym przekazujemy dane np. w ramach szkoleń (to, czy są odrębnym administratorem, czy podmiotem przetwarzającym, z którym trzeba zawrzeć umowę powierzenia). Wiele uwag dotyczy potrzeby uwzględnienia nowych zjawisk, jak szerokie wykorzystanie AI w miejscu pracy, czy nowych regulacji, które zostały przyjęte po opublikowaniu poradnika, dotyczących np. pracy zdalnej czy badania trzeźwości. Sporo uwag odnosi się także do form monitorowania w miejscu pracy. Pojawiły się również całkowicie nowe tematy, jak kwestia ochrony informacji dotyczących orientacji seksualnej.
Obecnie UODO przygotowuje stanowisko co do poszczególnych uwag (czy należy je uwzględnić). To, jak na nie odpowiedzieć i jakie kierunki zmian w poradniku przyjąć, zostanie poddane dyskusji w ramach Społecznego Zespołu Ekspertów przy Prezesie UODO, który wypracuje swoje stanowisko co do propozycji urzędu. Co zaś do dalszych kroków, przedstawi je UODO. ©℗