Reforma ochrony danych osobowych to pytania, problemy, wątpliwości

Problem 1. Jak ustalić, które naruszenie ochrony danych należy zgłosić?

WYJAŚNIENIE

OCENA EKSPERTA

generalny inspektor ochrony danych osobowych

Artykuł 4 pkt 12 RODO stanowi, że naruszenie ochrony danych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. Pomocne w ocenie naruszeń mogą być także wyjaśnienia zawarte w Wytycznych Grupy Roboczej art. 29 w sprawie powiadomień o naruszeniu ochrony danych osobowych na mocy rozporządzenia 2016/670 przyjętych 3 października 2017 r. Zatem administrator, dokonując oceny danego zdarzenia, będzie mógł się nimi posiłkować. GIODO nie jest zaś uprawniony, by konsultować zaistniałe incydenty z administratorem. RODO określa, że zgłoszenie naruszenia ma nastąpić niezwłocznie, jednak nie później niż w ciągu 72 godzin od wykrycia. Ten termin jest wystarczająco długi, by w większości przypadków przeanalizować, czy faktycznie doszło do naruszenia, a jeśli tak, to jakie są lub mogą być jego skutki i jakie należy podjąć działania zaradcze. Wyjątkowo administrator może zgłosić naruszenie po upływie 72 godzin. Jednak wówczas musi przesłać również wyjaśnienie przyczyn opóźnienia. Należy pamiętać, że działania związane z naruszeniem ochrony danych powinny być podejmowane szybko. Chodzi o to, by w jak najkrótszym czasie wdrożyć rozwiązania zabezpieczające, by możliwie szybko ograniczyć skutki np. wycieku danych, zabezpieczyć inne dane oraz podjąć odpowiednie działania naprawcze, a także wówczas, gdy to konieczne, poinformować o zaistniałej sytuacji osoby, których dane dotyczą.

72 godz - Tyle czasu ma przedsiębiorca na zgłoszenie naruszenia danych

Oprac. JAS

Problem 2. Co z certyfikatami RODO w przetargach?

RODO i polska ustawa o ochronie danych osobowych wprowadzają możliwość uzyskania przez przedsiębiorcę specjalnego certyfikatu poświadczającego, że zastosowane procedury przetwarzania danych spełniają wymogi określone w unijnym rozporządzeniu o ochronie danych osobowych (RODO). Nie będzie to dokument obowiązkowy, jego uzyskanie będzie całkowicie dobrowolne. Powstaje pytanie: czy w konkursach o udzielenie zamówienia publicznego mogą być wymagane? Czy ci, którzy uzyskają je wcześniej, mogą mieć przewagę w przetargach?

WYJAŚNIENIE

OCENA EKSPERTA

dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji, koordynator reformy ochrony danych osobowych

Wspólnie z Urzędem Zamówień Publicznych przeanalizowaliśmy tematykę certyfikacji w kontekście zamówień publicznych. W ocenie UZP, z którą nie chcielibyśmy polemizować, treść art. 22 i art. 91 ust. 1 ustawy - Prawo zamówień publicznych prowadzi do wniosku, że certyfikat będzie mógł być warunkiem udziału w postępowaniu - o ile istnieje związek między tym kryterium a przedmiotem zamówienia. Związek taki występuje, gdy przedmiot zamówienia wiąże się z przetwarzaniem danych osobowych, np. dotyczy tworzenia systemów informatycznych służących przetwarzaniu danych osobowych. Nie będzie np. występował, gdy przedmiotem zamówienia jest stworzenie mebli. W przypadku braku takiego związku stawianie wymogu posiadania certyfikatu w ocenie UZP byłoby nadmierne i ograniczające konkurencję.

Oprac. JAS

Problem 3. Czy sołtysi podlegają RODO?

Sołtysi - działający jako jednostki pomocnicze gmin - zbierają wiele danych osobowych mieszkańców. Według ekspertów to, czy podlegają RODO, zależy od ich kompetencji, upoważnień i samodzielności. W ocenie GIODO nie można przesądzić, czy sołtys jest, czy nie jest samodzielnym administratorem danych osobowych, bo istotny jest cel, w jakim będzie zbierał i przetwarzał te informacje.

WYJAŚNIENIE

Sołtys może być administratorem danych osobowych, bo ma swoje własne zadania, cele i jest organem samorządowym. Powinien - w jakimś zakresie - mieć inspektora ochrony danych osobowych. Ale UE wyciągnęła do nas pomocną dłoń i jest możliwość powołania jednego inspektora dla kilku gmin czy powiatów. Zakładam, że na terenie jednej gminy możliwe jest, by kilku sołtysów powołało wspólnego IOD, np. w ramach centrum usług wspólnych

dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji, koordynator reformy ochrony danych osobowych

STANOWISKO URZĘDU

Biorąc pod uwagę definicję administratora zawartą w art. 4 pkt 7 RODO, dla ustalenia, czy dany podmiot można uznać za administratora, istotna będzie jego samodzielność w podejmowaniu decyzji o celach i sposobach przetwarzania danych.

W szeroko rozumianym sektorze publicznym podmiot będący administratorem danych może być wskazany w konkretnym przepisie prawa, jednak najczęściej ta rola wynika z charakteru, kompetencji lub/i zakresu zadań publicznych, jakie przepisy te mu przypisują. Wskazuje na to Grupa Robocza art. 29 w opinii 1/2010 w sprawie pojęć "administrator danych" i "przetwarzający". Jednocześnie w dokumencie tym podkreśla się, że konkretne stosowanie pojęcia administratora staje się obecnie coraz bardziej złożone ze względu na zróżnicowanie form prawnych oraz organizacyjnych różnych podmiotów, które faktycznie decydują o celach i środkach przetwarzania.

Jeśli chodzi o sołectwo, to pamiętać należy, że jest ono jedynie jednostką pomocniczą gminy. Zgodnie z art. 35 ustawy o samorządzie gminnym rada gminy w odrębnym statucie określa organizację i zakres działania jednostki pomocniczej.

Oprac. BŁ

Problem 4. Zgoda nie może być wymuszona. Ale czy można oferować za nią rabaty?

Zgoda na przetwarzanie danych osobowych, aby była ważna, musi spełniać określone przez RODO wymogi, m.in. powinna być dobrowolna. Dotyczy to także zgody na przetwarzanie danych osobowych w celach marketingowych. Wiele firm podpisując umowy z klientami, zachęca ich do udzielenia dodatkowej zgody na przetwarzanie danych w celach marketingowych, oferując im dodatkowy rabat w wysokości np. 5-10 zł miesięcznie. Czy tego typu działania mogą zostać uznane za niezgodne z RODO, a wyrażona w ten sposób zgoda - za wymuszoną?

WYJAŚNIENIE

STANOWISKO URZĘDU

W takich sytuacjach nie należy się doszukiwać naruszeń prawa. Warunkiem jest jednak, aby zgoda była wyrażona dobrowolnie, a klient był świadomy, na co dokładnie się godzi oraz był poinformowany, kto będzie rozporządzał jego danymi. Jeżeli administrator jest w stanie wykazać, że usługa obejmuje możliwość wycofania zgody bez negatywnych konsekwencji dla klienta, np. bez obniżenia jakości wykonania usługi na szkodę użytkownika, może to służyć do wykazania, że zgoda była dobrowolna. Należałoby przyjąć, że wycofanie zgody nie może powodować np. konieczności zwrócenia przyznanego, wykorzystanego już upustu, lecz może wiązać się z tym, że od tego momentu klient będzie obsługiwany na warunkach standardowych, a nie promocyjnych. Utraty udzielonego rabatu od chwili wycofania zgody nie można traktować jako negatywnej konsekwencji takiego postępowania.

WAŻNE

Wycofanie zgody przez klienta nie może być podstawą do odebrania wcześniej przyznanego rabatu

OCENA EKSPERTA

adwokat w kancelarii Barta Litwiński, związany z Instytutem Allerhanda

Motyw 43 RODO mówi, że aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem. W szczególności gdy administrator jest organem publicznym, ale nie tylko. Jak podkreśla europejski inspektor ochrony danych, z brakiem równowagi możemy bowiem mieć do czynienia nie tylko w sytuacji podległości czy wtedy, gdy administrator sprawuje władztwo publiczne, lecz także np. wówczas, gdy taka nierównowaga wynika z braku rozsądnej alternatywy dla danego świadczenia i tym samym wyrażenie zgody jest jedynym sposobem uzyskania dobra czy świadczenia posiadającego znaczenie dla osoby, której dane dotyczą. Jeśli jednak na rynku istnieje wielu dostawców tego samego dobra, którzy nie wymagają od klienta zgody na przetwarzanie danych osobowych w celach marketingowych, to należy przyjąć, że ma on dobrowolność wyboru usługi u innego dostawcy.

Oprac. JAS

Problem 5. Czy sekretarka i informatyk mogą być inspektorem?

Zgodnie z nową ustawą administrator i podmiot przetwarzający dane osobowe są obowiązani do wyznaczenia inspektora ochrony danych. To osoba, która ma być punktem kontaktowym zarówno dla organu nadzorczego, jak i dla wszystkich osób, których dane dotyczą. Czy może to być sekretarka, której dołożymy zadań, albo informatyk, który do tej pory także zajmował się zabezpieczaniem danych? Na jakich zasadach zatrudnić inspektora?

WYJAŚNIENIE

Do 100 tys. Zł - Tyle grozi za naruszenie obowiązków administratora w jednostce sektora finansów publicznych

IOD nie musi to być osoba zatrudniona na etat, może to być podmiot zewnętrzny albo pracownik administracyjny pełniący tę funkcje w części etatu. Ważne, by nie było konfliktu interesów. Nie można łączyć funkcji inspektora z funkcję kierowniczą. Inspektor nie może kontrolować samego siebie

dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji, koordynator reformy ochrony danych osobowych

STANOWISKO URZĘDU

Zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników ww. podmiotów. Możliwe będzie więc nadal pełnienie funkcji inspektora ochrony danych w modelu outsourcingu, na podstawie umowy o świadczenie usług. Mimo że również obecnie funkcję ABI wykonują zarówno osoby będące pracownikami administratorów danych, jak i osoby, które zawarły z administratorem danych umowę cywilnoprawną, ustawa o ochronie danych osobowych nie zawiera przepisu wprost odnoszącego się do tego zagadnienia.

Podkreślenia wymaga jednak, że osoba wykonująca funkcję DPO (IOD) na podstawie umowy o świadczenie usług musi spełniać wszystkie wymogi stawiane przez przepisy RODO, np. wymogi dotyczące unikania konfliktu interesów, gwarancji niezależności, łatwości nawiązania z nim kontaktu, właściwego i terminowego włączania go we wszystkie sprawy dotyczące ochrony danych osobowych.

Grupa Robocza art. 29 w Wytycznych dotyczących inspektorów danych osobowych wskazuje, że funkcja DPO może być również pełniona na podstawie umowy o świadczenie usług zawartej nie tylko z osobą fizyczną, ale też innym podmiotem. W pracy zespołowej można bowiem połączyć indywidualne atuty i umiejętności poszczególnych osób tak, aby zapewnić wydajniejszą obsługę administratora danych. W takim przypadku konieczne jest jednak, aby każdy członek podmiotu sprawującego funkcję DPO spełniał wszystkie istotne wymogi wskazane w Sekcji 4 RODO oraz miał zapewnioną, wynikającą z tych przepisów ochronę. W celu zapewnienia przejrzystości prawnej i dobrej organizacji zalecany jest ponadto wyraźny podział zadań oraz wyznaczenie jednej osoby jako wiodącej osoby kontaktowej i osoby odpowiedzialnej za każdego klienta. Kwestie te powinny być jasno określone w umowie o świadczenie usług.

OCENA EKSPERTA

radca prawny i partner w Sakowska-Baryła Czaplińska Kancelaria Radców Prawnych sp. p. oraz redaktor naczelna "ABI Expert"

Wdrożenie RODO to bardziej projekt organizacyjny niż informatyczny. Kompletnie chybionym pomysłem jest podzielenie etatu np. informatykowi w taki sposób, aby przez cztery godziny wykonywał on obowiązki informatyka, a przez kolejne cztery inspektora. IOD wciąż będzie osoba, która tak naprawdę musiałaby kontrolować, oceniać i zgłaszać naruszenia powstałe w wyniku własnej pracy.

Oprac. BŁ

Problem 6. Co z odpowiedzialnością administratora po ataku hakerów?

Nie ma chyba tygodnia, aby nie pojawiła się wiadomość o atakach hakerów na systemy informatyczne przedsiębiorców, mających na celu kradzież danych osobowych czy wymuszenie okupu. Teraz ataków może być więcej, bo szantażyści mają kolejnego asa w rękawie - RODO, które podnosi drastycznie kary finansowe. Co więcej, zaatakowana firma może mieć problemy ze spełnieniem zobowiązań wobec kontrahentów. Czy przedsiębiorca też jest odpowiedzialny za wyciek danych, jeśli jego przyczyną jest atak hakerski, a nie niefrasobliwość pracowników? Jak postąpić, gdy szantażyści zażądają okupu? Płacić, licząc, że informacja nie dotrze do prezesa UODO, czy zgłaszać naruszenie? Czy firma ponosi odpowiedzialność z tytułu niewywiązania się z umów z kontrahentami, jeżeli przyczynił się do tego atak hakerski?

WYJAŚNIENIE

OCENY EKSPERTÓW

niezależny badacz i konsultant cyberbezpieczeństwa i prywatności

Rozporządzenie RODO to nie tylko przerzucanie papierów i zakup certyfikatów marki "kot w worku". Przede wszystkim trzeba podjąć realne działania praktyczne. Cyberatak nie zwalnia firmy z odpowiedzialności za wyciek danych. W krajach zachodnich kary za takie naruszenia nie są niczym niezwykłym. Przecież to nie jest tak, że cyberataki biorą się znikąd. Zwykle są następstwami świadomych decyzji w odniesieniu do bezpieczeństwa i prywatności. Organy kontrolne krajów UE będą jednak rozpatrywały każdy przypadek osobno. Pod uwagę branych będzie wiele czynników, m.in: zakres wycieku, jego powód, skala, ale także rozmiar firmy czy instytucji oraz zastosowane środki ochronne. Sprawdzane będzie, czy sporządzono analizę ryzyka i zadbano o jej praktyczne wdrożenie (np. wybór rozwiązań technicznych, konfiguracji, projektu). Pod uwagę wzięty będzie też charakter cyberataku. Fakt wykrycia naruszenia danych oraz jego zgłoszenie do UODO jest obowiązkiem administratora. Organ kontrolny będzie brał pod uwagę takie okoliczności w charakterze okoliczności łagodzących.

Tuszowanie naruszeń jest nie tylko etycznie złe, ale nie stanowi też strategii optymalnej. W tym celu przecież istnieje wysoki pułap kar.

radca prawny, partner zarządzający w kancelarii Wierzbowski Eversheds Sutherland

Przedsiębiorcy może być trudno uwolnić się od odpowiedzialności za spowodowane cyberatakiem niewykonanie umowy z kontrahentami. Chyba że odpowiedzialność za takie wydarzenie zostanie umownie ograniczona, co jest dopuszczalne wyłącznie w obrocie B2B. Ograniczenie umowne może zostać wprowadzone albo poprzez uznanie ataku hakerskiego jako jednej z okoliczności siły wyższej, albo poprzez wyłączenie (lub ograniczenie, np. kwotowe) wprost odpowiedzialności kontraktowej z tytułu szkody spowodowanej takim atakiem. Wprowadzenie takich klauzul wymaga oczywiście zgody obu stron kontraktu. Warto zatem zatroszczyć się jednak o to, aby znalazły się w umowach.

Oprac. JAS

Problem 7. Czy samozatrudniony działa w strukturze administratora? A może jest procesorem?

Wielu przedsiębiorców korzysta z usług samozatrudnionych, którzy wykonują zadania w ramach umowy o świadczenie usług. W praktyce niejednokrotnie wykonują swoje zadania jak etatowi pracownicy. Nierzadko przebywają stale na terenie firmy, mają swoje stanowisko pracy i zgadzają się na pewne zasady panujące w zakładzie. Jednak formalnie rzecz biorąc, prowadzą własną działalność gospodarczą i na koniec każdego miesiąca wystawiają fakturę za swoje usługi. Takie osoby mają nierzadko dostęp do danych osobowych przetwarzanych w firmie. Mowa tu np. o informatykach. Czy takie osoby w myśl RODO stoją na równi z pracownikami administratora, którzy przetwarzają dane w ramach jego działalności? A może powinni zawrzeć umowę powierzenia danych i stają się wówczas procesorami danych osobowych?

WYJAŚNIENIE

OCENA EKSPERTA

prawnik z zespołu RODO kancelarii KOLS

Osobę prowadzącą jednoosobową działalność gospodarczą łączy z administratorem danych stosunek współpracy, a nie stosunek podległości służbowej. Współpracownik jest odrębnym podmiotem - przedsiębiorcą, niewchodzącym w skład struktury organizacyjnej administratora danych osobowych.

Każdy przypadek współpracy należy rozważać indywidualnie pod kątem zakresu obowiązków, dostępu do danych osobowych oraz kwestii własności infrastruktury technicznej, z wykorzystaniem której współpracownik przetwarza dane osobowe w ramach wykonywania zleconych przez administratora zadań. Jednakże przy przekazywaniu danych osobowych poza strukturę organizacyjną jednego podmiotu - w tym przypadku administratora - wymagane jest zawieranie umów powierzenia danych osobowych, które legalizują taki transfer danych. W związku z tym ze współpracownikami powinno zawierać się umowy powierzenia przetwarzania danych osobowych i traktować ich jako procesorów. Jako przedsiębiorcy - podmioty profesjonalne - współpracownicy będą odpowiedzialni za naruszenia ochrony danych osobowych bądź na zasadach przewidzianych w przepisach prawa cywilnego, bądź na zasadach przewidzianych w umowie regulującej współpracę.

Inaczej będzie w przypadku osób zatrudnionych na umowę-zlecenie lub umowę o dzieło. Powinno się ich zaś traktować jak osoby włączone do struktur organizacyjnych administratora. Można więc takie osoby upoważnić do przetwarzania danych osobowych na zasadach analogicznych jak obowiązujące etatowych pracowników. Wówczas przetwarzają oni dane osobowe z polecenia administratora. A ten odpowiada bezpośrednio za ich ewentualne błędy. Przy czym może jednak żądać od takich osób pokrycia wynikłej z błędu szkody bądź na zasadach przewidzianych w przepisach prawa cywilnego, bądź na zasadach określonych w umowie.

WAŻNE

Samozatrudniony to odrębny podmiot - działający poza strukturą organizacyjną firmy

Oprac. JAS

Problem 8. Jak odpowiednio zabezpieczyć dane?

RODO odchodzi od praktyki wskazywania konkretnych środków zabezpieczenia danych osobowych. Jakie zatem zabezpieczenia zastosować? Jak prezes UODO będzie oceniał, czy przedsiębiorca zastosował właściwe środki?

WYJAŚNIENIE

STANOWISKO URZĘDU

Mali i średni przedsiębiorcy nie będą łagodniej traktowani w kontekście wykonywania obowiązków RODO. Pod uwagę brane będą przede wszystkim sposób przetwarzania danych czy też skala ewentualnych naruszeń. Ponadto przepisy RODO są sformułowane w sposób na tyle ogólny i elastyczny, że zakres obowiązków, które musi wypełnić dany podmiot, zależy głównie od tego, jakie dane i w jaki sposób przetwarza. To zaś często jest zależne od jego wielkości. Niemniej warto zauważyć, że kary to tylko jeden z instrumentów, który ma do dyspozycji GIODO w celu zapewnienia stosowania nowego prawa. RODO zawiera bowiem całą paletę różnych rozwiązań służących wzmocnieniu instytucji ochrony danych osobowych obywateli, które powinny być umiejętnie zastosowane. Przykładowo należą do nich takie uprawnienia, jak: wydawanie ostrzeżeń administratorowi danych, udzielanie upomnień czy też nakazanie określonego zachowania, takiego jak spełnienie żądania osoby, której dane dotyczą.

W RODO nie znajdziemy podpowiedzi, jakie działania należy podjąć, aby takie ryzyko ocenić, ani żadnej metodyki w tym zakresie. RODO stanowi jednak, że przy ocenie ryzyka i ustanawianiu zabezpieczeń minimalizujących to ryzyko należy uwzględnić stan wiedzy technicznej, koszt wdrażania, a także skutki, jak zidentyfikowane zagrożenia mogą wpływać na naruszenie praw i wolność osób, których dane są przetwarzane.

Uwzględnienie kontekstu przetwarzania danych to niezbędny element podejścia opartego na ryzyku. Tylko pełne informacje o kontekście użycia danej informacji pozwolą na rzetelną ocenę skutków związanych z ich brakiem, przekłamaniem lub nieuprawnionym ujawnieniem. Kontekst to również czynniki, które mogą spowodować utratę, nieuprawnione wykorzystanie lub brak dostępu do przetwarzanych danych.

Dla ułatwienia przyjęcia właściwych rozwiązań w tym zakresie GIODO przygotował dwuczęściowy poradnik, który jest dostępny na stronie internetowej urzędu pod linkiem www.giodo.gov.pl/pl/1520282/10294.

Oprac. JAS

Problem 9. Przetwarzając dane osobowe w zatrudnieniu, zastosujemy RODO czy surowszy kodeks pracy?

W projekcie ustawy dostosowującej polskie przepisy do RODO (projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679) przewidziano m.in. zmiany w kodeksie pracy (k.p.). Proponuje się w nim m.in. nowe regulacje w podstawach przetwarzania danych osobowych pracowników i kandydatów do pracy. W tym zakresie pojawiła się wątpliwość, czy w stosunku do tych osób należy stosować tylko te podstawy, które zostaną wskazane w k.p., czy również te, które wymienia RODO? W k.p. takie podstawy mają być trzy, natomiast art. 6 RODO wskazuje takich podstaw sześć. I tak, według projektowanych regulacji k.p., po pierwsze: będzie można pozyskać dane wyraźnie wymienione w kodeksie, po drugie: te, które są pracodawcy niezbędne do spełnienia obowiązku nałożonego na niego przez prawo, i po trzecie: te, na których przetwarzanie zgodzi się pracownik (w poprzedniej wersji projektu dodatkową przesłanką była tu konieczność odniesienia przez pracownika korzyści z przetwarzania danych). Natomiast według RODO podstawą przetwarzania będzie też m.in. możliwość powołania się na usprawiedliwiony cel albo na konieczność wykonania umowy. Problem wynika stąd, że zgodnie z RODO państwa członkowskie mogą wprowadzić specjalne regulacje dotyczące przetwarzania danych osobowych w związku z zatrudnieniem. Powstaje więc pytanie, czy w tym zakresie nowe przepisy k.p. wyłączą stosowanie RODO, a tym samym podstawy przetwarzania danych niewymienione w kodeksie?

WYJAŚNIENIE

OCENA EKSPERTA

radca prawny, associate w kancelarii Domański Zakrzewski Palinka

W mojej opinii uszczegółowienie kwestii przetwarzania danych osobowych w polskich przepisach oznacza, że podstawy prawne przetwarzania wskazane w RODO są wyłączone w odniesieniu do stosunków z pracownikami. Przyjęcie innej interpretacji oznaczałoby, że przepisy kodeksu pracy nie miałyby racji bytu, skoro RODO zawiera wszystkie podstawy przetwarzania i są one stosowane bezpośrednio.

Po wejściu w życie projektowanych zmian w kodeksie pracy pracodawca będzie miał wyłącznie trzy podstawy do przetwarzania danych pracowników. Tym samym powoływanie się np. na usprawiedliwiony interes pracodawcy i konieczność wykonania umowy nie będzie już możliwe.

Oprac. KTo

Problem 10. Czy testy psychometryczne są dopuszczalne?

Ani w RODO, ani w projekcie ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, która zawiera m.in. zmiany w kodeksie pracy, nie przewidziano regulacji, które wyraźnie odnosiłyby się do kwestii stosowania testów psychometrycznych w procesie rekrutacji. Czy ich przeprowadzanie będzie możliwe?

WYJAŚNIENIE

OCENA EKSPERTA

radca prawny, associate w kancelarii Domański Zakrzewski Palinka

Jeśli test będzie ukierunkowany na zbadanie konkretnej predyspozycji kandydata, która jest niezbędna do wykonywania pracy na określonym stanowisku, bez konieczności badania ogólnie jego stanu psychicznego, taki test będzie dopuszczalny. Przykładowo: firma ogłosiła rekrutację na stanowisko, na którym konieczna jest duża odporność na stres. W celu weryfikacji predyspozycji kandydata pracodawca chciałby przeprowadzić test. Jest on dopuszczalny, jeżeli będzie sprawdzał wyłącznie odporność na stres, ale już nie dodatkowe okoliczności, np. posiadanie cech przywódczych albo to, czy kandydat nie jest przypadkiem cholerykiem.

Oprac. KTo

Problem 11. Certyfikować czy nie? I u kogo?

Urzędy administracji publicznej (jak i przedsiębiorcy), choć nie muszą, to mogą uzyskać certyfikat zgodności systemów przetwarzania danych osobowych z RODO. W razie kontroli i stwierdzenia nieprawidłowości mogłoby to np. zmniejszyć karę. Ustawodawca przewiduje dwa sposoby na uzyskanie tego świadectwa - od prezesa Urzędu Ochrony Danych Osobowych albo od firmy komercyjnej akredytowanej przez Polskie Centrum Akredytacji.

WYJAŚNIENIE

OPINIE EKSPERTÓW

dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji, koordynator reformy ochrony danych osobowych

Jednostki samorządu terytorialnego czy nawet szerzej administracja publiczna, na pewno rozważyć powinny skorzystanie z certyfikacji przez prezesa Urzędu Ochrony Danych Osobowych. Zarówno konstytucja, jak i kodeks postępowania administracyjnego stanowią, że organy administracji publicznej działają co do zasady zgodnie z prawem, tym samym czynności sprawdzające podejmowane wobec nich przez prezesa urzędu wydają się czymś naturalniejszym. Przy podejmowaniu decyzji o wyborze mechanizmu certyfikacji administracja publiczna powinna też uwzględnić element finansowy. Projektowane przepisy prawne nie przesądzają maksymalnej opłaty pobieranej w ramach certyfikacji przez sektor prywatny, co oznacza, że może być ona wyższa niż ta, jaką będzie pobierał prezes UODO, który z założenia nie prowadzi działań komercyjnych.

rzecznik prasowy generalnego inspektora ochrony danych osobowych

Jeżeli resort uważa, że certyfikacja dokonywana przez prywatne firmy może być dla administracji publicznej np. niebezpieczna bądź powodować konflikt interesów, to może należy to zagrożenie ująć w przepisach, np. wyłączając możliwość certyfikacji administracji przez podmioty inne niż UODO. Jeżeli regulacje dopuszczają możliwość certyfikowania przez podmioty prywatne, to należy zakładać, że po przejściu odpowiedniej selekcji będą one działać rzetelnie. Można sobie przecież wyobrazić, że na nasz rynek wejdą podmioty zagraniczne, które będą chciały świadczyć usługę certyfikacji. Stanowisko resortu może podkopać zaufanie do takich firm, wskazując, że korzystanie z ich oferty grozi np. wyciekiem danych osobowych.

Oprac. BŁ

Problem 12. Co z weryfikacją CV?

W projekcie ustawy dostosowującej polskie przepisy do RODO (projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679) przewidziano, że do kodeksu pracy trafi regulacja, zgodnie z którą dane osobowe osób ubiegających się o pracę będzie można przetwarzać m.in. wtedy, gdy pracodawca pozyska dodatkowe dane tylko bezpośrednio od kandydata i za jego zgodą (w poprzedniej wersji projektu była jeszcze jedna przesłanka - przetwarzanie danych musiało być dla kandydata/ pracownika korzystne; w ostatnim etapie prac została ona jednak usunięta). To stawia pod znakiem zapytania weryfikowanie informacji zawartych w dokumentach aplikacyjnych np. z wykorzystaniem portali społecznościowych czy samodzielne pozyskiwanie referencji przez pracodawców.

WYJAŚNIENIE

W praktyce trudno wskazać, komu te rozwiązania mają służyć. Na pewno nie tym osobom, które dobrze wykonują swoją pracę. Dla nich pochlebne referencje są argumentem umożliwiającym np. wynegocjowanie wyższej stawki u kolejnego pracodawcy. Skorzystają na tym raczej ci, którzy nie najlepiej radzą sobie zawodowo lub chcieliby coś ukryć, np. okoliczności zwolnienia

prof. UKSW, radca prawny i ekspert Pracodawców RP

Oprac. KTo