Kontrowersyjna praktyka, czyli firma bez nazwy szuka pracownika

Wyłudzenia danych są dziś na porządku dziennym. Łatwą metodą ich pozyskania przez przestępców jest zamieszczenie oferty pracy. Media często informują o takich sprawach, w których oszuści przy okazji rekrutacji proszą o podanie nie tylko takich informacji jak wykształcenie czy przebieg dotychczasowego zatrudnienia, lecz także np. numerów PESEL, dowodu osobistego czy rachunku bankowego.

Idealną sposobnością do wyłudzenia danych mogą być rekrutacje ukryte, czyli takie, w których pracodawcy na początku nie ujawniają swoich danych. Potwierdza to generalny inspektor ochrony danych osobowych i przestrzega przed korzystaniem z usług nieznanych podmiotów, a w szczególności przed udostępnianiem w sposób nieprzemyślany szerokiego zakresu informacji o sobie. Wskazuje przy tym, że wprawdzie osoba, której dane dotyczą, może z własnej woli przekazać w CV więcej informacji o sobie, ale pracodawca nie ma prawa żądać od kandydata do pracy przekazania w procesie rekrutacji informacji w zakresie szerszym, niż wskazuje na to art. 22¹ ustawy z 26 czerwca 1974 r. - Kodeks pracy (t.j. Dz.U. z 2016 r. poz. 1666; dalej: k.p.). W ogłoszeniu można zatem wymagać podania wyłącznie takich danych, jak: imię (imiona) i nazwisko, imiona rodziców, data urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie i przebieg dotychczasowego zatrudnienia.

GIODO radzi więc, by przy udostępnianiu danych potencjalnym pracodawcom zachować szczególną ostrożność.

- Zamieszczanie ogłoszeń o rekrutacji jedynie w celu zdobycia danych osobowych osób ubiegających się o pracę, a nie ich zatrudnienia, to wyjątkowo perfidny sposób wyłudzania danych. Osoby zainteresowane znalezieniem pracy są bowiem w stanie udostępnić bardzo wiele informacji o sobie, pomijając związane z tym zagrożenia, chociażby takie jak kradzież tożsamości. Tymczasem podmioty dysponujące kompletem dotyczących nas informacji mogą się podszyć pod nas, zaciągając w naszym imieniu chociażby kredyt w banku - mówi dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych.

Dodaje, że przy udostępnianiu danych należy być ostrożnym i zwracać uwagę m.in. na to, czy prowadzący rekrutację potencjalny pracodawca podaje swoją nazwę i adres, tak by można było sprawdzić jego wiarygodność oraz - w razie potrzeby - wyegzekwować przysługujące nam prawa.

- Warto też przeanalizować, jakich danych się od nas żąda, pamiętając, że ich zakres określa art. 22¹ k.p., i żadnych dodatkowych informacji wykraczających poza określony w nim katalog nie musimy udostępniać - przypomina.

GIODO radzi ponadto, by przed przesłaniem swojej aplikacji bardzo dokładnie zapoznać się z treścią oferty pracy, a w sytuacjach gdy pracodawca np. w niejasny sposób opisuje rodzaj swojej działalności lub oferuje natychmiastowe zatrudnienie, nawet bez telefonicznej rozmowy kwalifikacyjnej, nie przesyłać informacji o sobie. Przestrzega również, by w przesyłanych na potrzeby rekrutacji dokumentach nie umieszczać numerów kart kredytowych, kont bankowych czy numerów dokumentów tożsamości. Niebezpieczne może być również dokonywanie przelewu weryfikacyjnego, może on bowiem posłużyć do zaciągnięcia w naszym imieniu zobowiązań finansowych.

Tajne przez poufne

Kandydaci do pracy powinni być szczególnie wyczuleni na ryzyka wynikające z rekrutacji ukrytych, zwłaszcza że są one powszechne. Aby to stwierdzić, wystarczy przyjrzeć się chociażby ogłoszeniom rekrutacyjnym na portalach internetowych. Ogłoszenia o pracę, w których do składania aplikacji zachęcają "firma będąca wiodącym dostawcą oprogramowania i rozwiązań telekomunikacyjnych", "międzynarodowe centrum finansowo-księgowe" czy po prostu "firma produkcyjna z branży handlowej", można spotkać niemal na każdym kroku. Istnienie znacznego odsetka rekrutacji tajnych potwierdzają też firmy z branży HR.

- Obecny trend na rynku jest taki, że 25-30 proc. stanowią rekrutacje ukryte - wskazuje Adrian Stolarski, lider zespołu sprzedaży i logistyki w LeasingTeam Group.

- Takie rekrutacje to ok. 50 proc. realizowanych projektów na stanowiska specjalistów i menedżerów średniego i wyższego stopnia - podaje Karolina Korzeniewska, ekspert ds. rekrutacji w Antal.

Oczywiście nie każda rekrutacja ukryta jest fikcyjna. Z reguły jest to wykluczone, gdy agencja HR bierze aktywny udział w rekrutowaniu pracownika. Pracodawcy mają zaś wiele powodów, dla których decydują się na taki, a nie inny sposób pozyskania pracownika. Jak wyjaśnia Adrian Stolarski, firmy decydują się na nie najczęściej wtedy, gdy stanowisko, na które rekrutacja jest przeprowadzana, jest jeszcze zajęte przez dotychczasowego pracownika, a pracodawca nie chce, by za wcześnie dowiedział się on o planowanym zwolnieniu. W ten sposób pracodawca chce uniknąć wprowadzania złej atmosfery do pracy czy też ustrzec się przed wcześniejszym odejściem pracownika lub jego ucieczką na zwolnienie lekarskie. Powód ten jako najczęstszy podaje też Karolina Korzeniewska. Wskazuje ona także, że gdy pracownik, z którym pracodawca zamierza się rozstać, zbyt szybko dowiaduje się o swoim rychłym zwolnieniu, zdarzają się nawet przypadki działania na szkodę firmy.

Zdaniem Adriana Stolarskiego ważnym powodem, dla którego firmy są zainteresowane tajnymi rekrutacjami, jest też obawa o działania konkurencji. Jeśli rekrutacja dotyczy kluczowego stanowiska, np. dyrektora handlowego, informacja o wakacie mogłaby zachęcić konkurencję do przejęcia danego segmentu rynku (np. na określonym terytorium), za który poprzedni dyrektor był odpowiedzialny. Kolejny jest taki, że część pracodawców chce w ten sposób podnieść prestiż rekrutacji. Gdy są one tajne, niektórzy kandydaci w pewnym momencie rezygnują, a pozostają tylko najbardziej zmotywowani. Wreszcie tajna rekrutacja zwiększa szansę na zatrudnienie lepszego specjalisty dla firm, które mają gorszą opinię na rynku, np. z powodu niższych wynagrodzeń niż u konkurencji. Dzięki temu na samym początku kandydaci nie uprzedzają się do danej rekrutacji i po zapoznaniu się z jej szczegółami mogą dokonać miarodajnej oceny oferty.

Krok po kroku

Rekrutacja ukryta może mieć charakter prosty - wystarczy, że pracodawca w ogłoszeniu o pracę nie poda nazwy i adresu. Procesy te są dużo bardziej złożone wtedy, gdy w rekrutacji aktywny udział bierze firma rekrutacyjna.

- W przypadku rekrutacji ukrytych w ogłoszeniach o pracę wskazywane są tylko zakres obowiązków na danym stanowisku pracy i branża, w której działa pracodawca. Dane klienta pozostają tajne w pierwszych dwóch etapach rekrutacji, którymi są rozmowa telefoniczna i spotkanie z kandydatem, a udział w nich biorą tylko pracownicy działu rekrutacji naszej firmy. Ujawnienie danych pracodawcy następuje dopiero wtedy, gdy jest on pewien, że chce podjąć współpracę z danym kandydatem. Mniej więcej w 80 proc. przypadków odbywa się to w trzecim etapie rekrutacji, którym jest rozmowa z kandydatem z udziałem przedstawiciela pracodawcy, w pozostałych 20 proc. dopiero przy drugiej rozmowie z pracodawcą, jeżeli przy pierwszej nie był on jeszcze zdecydowany na współpracę z daną osobą - wyjaśnia Adrian Stolarski.

Podobną procedurę stosuje firma Antal.

- Na pierwszym spotkaniu zwykle nie możemy o pracodawcy i projekcie powiedzieć czegokolwiek. Pozytywnie zweryfikowany kandydat na koniec spotkania wyraża (bądź nie) zgodę na przekazanie jego CV na ręce anonimowego potencjalnego pracodawcy. Gdy pracodawca zaaprobuje kandydata i zaprosi go do dalszych etapów rekrutacji, w 85 proc. przypadków procesów tajnych możemy już ujawnić nazwę firmy. Są jednak procesy, w których kandydaci nawet podczas pierwszej rozmowy bezpośredniej z potencjalnym pracodawcą nadal nie znają ani marki firmy, ani nazwiska osoby, z którą się właśnie widzą. Wówczas zazwyczaj na koniec spotkania przedstawiciel firmy przedstawia się kandydatowi, którego chce zaprosić do dalszych rozmów - relacjonuje Karolina Korzeniewska.

Dodaje przy tym, że kandydaci, którzy w którymś punkcie rekrutacji nie zostali zaproszeni do udziału w dalszych etapach, są przez headhunterów informowani o tożsamości klienta i miejscu, gdzie dotarło CV, w momencie gdy projekt zostaje sfinalizowany i wybrany kandydat zajmuje dane stanowisko. O tym zaś, jak będzie wyglądać proces i kiedy zostanie odtajniony, kandydat jest informowany przed podjęciem decyzji o przystąpieniu do procesu rekrutacyjnego.

Pytanie o legalność

Zagrożenia płynące z przekazania danych nieznanemu rekruterowi to tylko jedna strona medalu. Osobną kwestią jest legalność prowadzenia takich rekrutacji. Co ciekawe, GIODO - choć przestrzega przed ryzykiem - co do zasady dopuszcza prowadzenie rekrutacji ukrytych. Zastrzega jednak, że warunkiem zgodnego z prawem prowadzenia rekrutacji jest ujawnienie tożsamości podmiotu gromadzącego dane osobowe najpóźniej w momencie ich pozyskania (gdy dane są zbierane bezpośrednio od osób, których dotyczą) albo bezpośrednio po utrwaleniu zebranych danych (gdy dane są zbierane od innych podmiotów). W przekazanym nam stanowisku GIODO nie wyjaśnia jednak, kiedy następuje chwila pozyskania czy utrwalenia danych. W swojej opinii powołuje się na wydaną niedawno decyzję, w której w jego ocenie nie doszło do naruszenia ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922; dalej: u.o.d.o.) przy rekrutacji ukrytej - postępowanie było jednak prowadzone tylko przeciwko firmie rekrutacyjnej działającej na zlecenie pracodawcy.

Obecna opinia GIODO zdaje się być niespójna z wcześniejszym jego stanowiskiem. W komunikacie z 28 lipca 2011 r. opublikowanym na stronie internetowej GIODO wskazano bowiem, że praktyka przetwarzania przez firmy rekrutacyjne danych osobowych kandydatów do pracy pozyskiwanych na podstawie ogłoszeń zamieszczanych w prasie, w których potencjalny pracodawca zlecający firmie rekrutacyjnej przeprowadzenie postępowania rekrutacyjnego zastrzega sobie anonimowość, jest niezgodna z ustawą o ochronie danych osobowych. GIODO uznał przy tym, że w ten sposób nie jest spełniony obowiązek informacyjny wobec osób, których dane są gromadzone. Osoba ubiegająca się o zatrudnienie nie uzyskuje bowiem wówczas informacji o podmiocie, któremu dane będą udostępnione, pomimo że firma rekrutacyjna takimi informacjami dysponuje.

Dwa modele

Eksperci mają wątpliwości co do legalności rekrutacji ukrytych i obecnego stanowiska GIODO w tym zakresie. Wskazują przy tym, że zgodność z prawem procesów rekrutacyjnych zależy od przyjętego modelu zbierania danych.

- Problem z rekrutacjami ukrytymi dotyczy zwłaszcza momentu, w którym obowiązek informacyjny powinien być spełniony. Należy uznać je za dopuszczalne w takim modelu, gdy firma rekrutacyjna sama jest administratorem danych osobowych, tworzy własną bazę takich danych, które gromadzi na potrzeby ewentualnych przyszłych rekrutacji. Wówczas bowiem obowiązek informacyjny może być spełniony po pozyskaniu danych przez rekrutującego pracodawcę. Oczywiście w takiej sytuacji podmiot rekrutujący musi dysponować odpowiednią podstawą prawną, np. zgodą na udostępnienie tych danych pracodawcy - zauważa Mirosław Gumularz, radca prawny, specjalista ds. ochrony danych osobowych i prawa nowych technologii.

Wskazuje przy tym, że wątpliwości pojawiają się wtedy, gdy agencja HR nie ma statusu administratora danych osobowych, a przetwarza je na zlecenie pracodawcy jako tzw. procesor, na podstawie umowy powierzenia danych.

- Ich administratorem jest wtedy wyłącznie pracodawca, który rękami agencji HR gromadzi dane osobowe na potrzeby rekrutacji, bezpośrednio od osób, których te dane dotyczą. W tym modelu obowiązek poinformowania kandydata m.in. o nazwie i adresie podmiotu, który przetwarza dane, powinien być spełniony w momencie ich pozyskania, co w większości przypadków wymusza ujawnienie się przez pracodawcę, zanim do tego dojdzie. Chodzi o to, aby osoba dzieląca się swoimi danymi osobowymi, np. w CV, miała świadomość tego, kto i w jakim celu te dane będzie przetwarzał. A to oznacza, że informacja przesłana już po pozyskaniu danych - nawet bezpośrednio po tym - mogłaby zostać uznana za spóźnioną. Oczywiście w tym przypadku należy ocenić także faktyczne możliwości spełnienia obowiązku informacyjnego w momencie pozyskania danych osobowych - zaznacza Mirosław Gumularz.

Co ciekawe, o tym właśnie modelu mówi w swoim stanowisku GIODO, choć nie wskazuje jednocześnie na wątpliwości co do jego legalności.

Zwraca na to uwagę Grzegorz Leśniewski, adwokat, menedżer w kancelarii Olesiński i Wspólnicy. Jak wskazuje, w sprawie rozpatrywanej przez GIODO firma rekrutacyjna formalnie działała zgodnie z prawem - dlatego też umorzono postępowanie. Nieprawidłowo działa natomiast pracodawca.

- W modelu, gdzie od początku pracodawcy są administratorem danych osobowych i powierzają dane do przetwarzania agencji rekrutacyjnej, złożenie CV przez kandydata w ramach portalu czy aplikacji firmy rekrutacyjnej jest równoważne z jego złożeniem bezpośrednio pracodawcy. Powinien on wówczas zrealizować obowiązek informacyjny zgodnie z art. 24 u.o.d.o., tj. z własnej inicjatywy i zasadniczo przed albo z chwilą gromadzenia danych (samodzielnie albo poprzez umowne zlecenie tego firmie rekrutacyjnej). W takim modelu w mojej ocenie rekrutacja ukryta jest niedopuszczalna - twierdzi Grzegorz Leśniewski.

Zaznacza przy tym, że można by również zastanowić się nad odpowiedzialnością firmy rekrutacyjnej biorącej udział w takim modelu za pomocnictwo w popełnieniu przestępstwa z art. 54 u.o.d.o. w postaci niedopełnienia obowiązku informacyjnego, jeżeli oba podmioty działają umyślnie. Agencja ta jako profesjonalista udostępnia bowiem narzędzie, które pozwala i w zamierzeniu ma na celu prowadzenie rekrutacji bez realizowania przez administratora jego obowiązków informacyjnych.

- Możliwe, że tutaj GIODO przeoczył, iż obowiązek informacyjny w opisanym w decyzji modelu powinien być realizowany uprzednio, tj. z chwilą zbierania danych, zgodnie z art. 24 u.o.d.o., a nie następczo, jak wynika z art. 25 u.o.d.o. - wskazuje.

Katarzyna Witkowska, prawnik w kancelarii Lubasz i Wspólnicy, dodaje, że w analizowanym przypadku, jeżeli sam proces zbierania danych został zlecony podmiotowi zewnętrznemu, administrator powinien zadbać o to, by obowiązek informacyjny został zrealizowany w jego imieniu. Tak jak administrator może powierzyć innemu podmiotowi dokonywanie pewnych operacji przetwarzania, tak samo może zobowiązać taki podmiot do wykonywania w jego imieniu określonych obowiązków - wszystko zależy od ustaleń poczynionych między stronami.

- Choć przepisy nie wskazują czasu, w jakim ten obowiązek powinien być wykonany, należy pamiętać, że powinien być to etap zbierania danych, a katalog przekazywanych informacji ma np. ułatwić osobie, której dane dotyczą, podjęcie decyzji, czy w ogóle wyraża zgodę na przetwarzanie jej danych przez konkretny podmiot. O wyrażeniu świadomej zgody nie można mówić, jeżeli nie wiadomo, komu ta zgoda jest udzielana - wskazuje.

Mecenas Leśniewski wyjaśnia, że prawidłowym modelem dla prowadzenia rekrutacji ukrytych będzie więc sytuacja, w której w uproszczeniu:

administratorem danych osobowych jest firma rekrutacyjna i realizuje obowiązki informacyjne we własnym imieniu, w tym wskazuje znanych jej lub przewidywanych odbiorców danych albo ich kategorie,

firma rekrutacyjna odbiera zgodę kandydata na przekazanie w przyszłości danych kandydata nieoznaczonemu pracodawcy, dbając aby zgoda taka była skuteczna i możliwie precyzyjna,

po przekazaniu danych pracodawcy pracodawca staje się niezależnym administratorem danych osobowych i realizuje obowiązek informacyjny zgodnie z art. 25 u.o.d.o.

Również Katarzyna Witkowska przyznaje, że w tym modelu, w którym to firma rekrutująca działa jako administrator danych i zbiera dane dla siebie, a następnie zgodnie ze zgłaszanym zapotrzebowaniem udostępnia je pracodawcom, są większe możliwości działania zgodnie z prawem.

- Na etapie zbierania danych podmiot rekrutujący powinien oczywiście spełnić obowiązek informacyjny i wskazać, że do udostępnienia będzie dochodzić, przekazując także informację o konkretnych odbiorcach lub o możliwie wąsko i precyzyjnie zakreślonej kategorii odbiorców. Warto dodać, że w takim przypadku na pracodawcy, który dane otrzymał, też ciążyć będzie obowiązek informacyjny, ale ten określony w art. 25 ustawy o ochronie danych osobowych - zaznacza.

W praktyce

Nietrudno dostrzec, że model zbierania danych, w którym portal internetowy działa wyłącznie jako pośrednik, a administratorem danych pozostaje wyłącznie pracodawca, jest typowy m.in. dla popularnych portali z darmowymi ogłoszeniami lokalnymi i wielu serwisów typowo rekruterskich. Wśród zamieszczanych na nich ogłoszeń o pracę aż roi się od rekrutacji ukrytych. W wielu przypadkach kandydaci aplikujący na takie ogłoszenia nigdy nie dowiadują się, kto był za nie odpowiedzialny. Utyskiwania na taki stan rzeczy można spotkać często w wypowiedziach na forach internetowych. W drugim modelu, w którym to agencja HR jest administratorem danych osobowych, rekrutacja ukryta jest co do zasady dopuszczalna. W tym przypadku kandydat z reguły od początku zna dane administratora, czyli firmy rekrutacyjnej. Dopiero zaś po przekazaniu aplikacji kandydata zainteresowanemu pracodawcy ten ostatni musi spełnić swój własny obowiązek poinformowania aplikującego m.in. o swojej nazwie i adresie. W tym przypadku również mogą się pojawić niezgodne z prawem zaniechania po stronie firm.

- Ze spełnianiem obowiązku informacyjnego przez pracodawców w terminie - niezależnie od modelu gromadzenia danych - bywa różnie. I choć niejednokrotnie portale internetowe, na których zamieszczane są ogłoszenia o pracę, przypominają o nim pracodawcom, to jednak zdarza się, że niektórzy nie ujawniają się w ogóle lub przekazują informacje po terminie. Warto przy tym zaznaczyć, że pośrednicząca w procesie rekrutacji agencja HR nie może wówczas narzucać pracodawcy spełnienia tego obowiązku - nie jest ona bowiem administratorem tych danych - podkreśla Mirosław Gumularz.

Grzegorz Leśniewski zaznacza ponadto, że czasem ustalenie tego, czy w danym modelu firma rekrutacyjna ma status administratora danych, czy też nie, może być trudne. Zależy to bowiem od tego, czy faktycznie decyduje ona o celu zbierania danych i środkach służących do ich przetwarzania. Może to być kwestionowane m.in. wtedy, gdy daną aplikację pozyskuje wyłącznie w celu przekazania jednemu pracodawcy.

W nowych regulacjach

Wielką niewiadomą jest to, czy i w jakim zakresie ukryte rekrutacje będą dopuszczalne po wejściu w życie nowego rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1).

- Rozporządzenie to nie odnosi się oczywiście wprost do zagadnienia rekrutacji ukrytych. Ponadto, rozporządzenie przewiduje możliwość uregulowania kwestii związanych z zatrudnieniem, w tym z rekrutacją, przez ustawodawcę krajowego. Jest więc szansa, że nasz ustawodawca w ramach przeglądu legislacyjnego podejmie także tę kwestię. Jeżeli nie, rekrutacje ukryte będą odbywać się na zasadach określonych w rozporządzeniu ogólnym. Biorąc jednak pod uwagę nacisk, jaki kładzie ono na transparentność, przejrzystość procesów przetwarzania oraz świadomość osoby, której dane dotyczą, co dzieje się z tymi danymi i jak są one przetwarzane, stwierdzić można, że jeżeli nie zostaną w tym zakresie wprowadzone regulacje krajowe, prowadzenie rekrutacji ukrytych może być trudniejsze niż dziś. Zwłaszcza że rozporządzenie przewiduje surowe kary za naruszenie obowiązków administratora - w przypadku obowiązku informacyjnego są to kary do 20 mln euro lub do 4 proc. całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego - zauważa Katarzyna Witkowska.

W ocenie Grzegorza Leśniewskiego rozporządzenie generalnie nie powinno istotnie zmienić zasad prawidłowego (oczekiwanego) modelu funkcjonowania rekrutacji ukrytych, chociaż oczywiście wiele zależeć może od ewentulanych regulacji krajowych. Nadal bowiem model, w którym potencjalny pracodawca miałby stawać się administratorem danych kandydata z chwilą zgromadzenia jego danych (czyli również w przypadku powierzenia firmie rekrutacyjnej danych kandydatów do przetwarzania, tj. zebrania), prawnie wymagać będzie od niego spełnienia obowiązków informacyjnych podczas pozyskiwania danych (art. 13 ust. 1 rozporządzenia).

- W praktyce zasadniczo oznacza to brak możliwości prowadzenia rekrutacji ukrytej w takim modelu. Natomiast w przypadku, w którym administratorem danych staje się firma rekrutacyjna, która spełni obowiązki informacyjne w odniesieniu do samej siebie, a dopiero następnie, na podstawie skutecznej zgody kandydata, udostępni jego dane potencjalnemu pracodawcy, ten ostatni będzie zobowiązany poinformować kandydata o swojej tożsamości co do zasady w rozsądnym terminie po pozyskaniu danych osobowych, najpóźniej w ciągu miesiąca, zgodnie z art. 14 ust. 3 lit. a rozporządzenia. Jest to więc ułatwienie względem aktualnego wymogu spełnienia obowiązku informacyjnego bezpośrednio po utrwaleniu danych kandydata - wskazuje Grzegorz Leśniewski.

Mecenas zwraca przy tym uwagę, że teoretycznie możliwość spełnienia obowiązku informacyjnego w terminie miesiąca może skutkować tym, iż dopuszczalne będzie poinformowanie kandydata do pracy o tożsamości pracodawcy już po przeprowadzeniu rekrutacji, jeśli trwałaby ona krócej niż miesiąc. Zaznacza jednak, że zasadniczo informacje muszą być przekazane w rozsądnym terminie, czyli odpowiednim zależnie od okoliczności. Miesiąc to zaś termin maksymalny na spełnienie tego obowiązku.

- Celowe opóźnianie realizacji obowiązku informacyjnego w sytuacji, w której potencjalny pracodawca ma przecież różne możliwości skontaktowania się z kandydatem - e-mail, telefon, adres korespondencyjny - może zostać uznane za naruszenie regulacji rozporządzenia. Dodatkowo przepisy przewidują, że obowiązek informacyjny nie może być spełniony później niż przy pierwszej komunikacji z kandydatem albo nie później niż z chwilą ewentualnego ujawnienia danych kandydata innemu odbiorcy, jeżeli jest to planowane - zgodnie z art. 14 ust. 3 - odpowiednio - lit. b oraz c rozporządzenia - zastrzega.

Mecenas Leśniewski zwraca przy tym uwagę, że rozporządzenie istotnie rozszerza zakres informacji, jakie muszą być przekazywane osobom, których dane są przetwarzane.

- Innym problemem może być też ryzyko uzyskania przez potencjalnego pracodawcę i firmę rekrutacyjną statusu współadministratorów, co jest nowością na gruncie przepisów o ochronie danych osobowych. Stąd niezwykle ważne będzie prawidłowe uregulowanie zasad zlecania i prowadzenia rekrutacji przez podmioty trzecie.

Firmy decydują się na rekrutacje ukryte najczęściej wtedy, gdy stanowisko, na które rekrutacja jest przeprowadzana, jest jeszcze zajęte przez dotychczasowego pracownika. W ten sposób chcą ustrzec się przed wcześniejszym odejściem pracownika lub jego ucieczką na zwolnienie lekarskie.

Stanowisko GIODO z 19 października 2016 r.

Zgodnie z ustawą o ochronie danych osobowych każdy podmiot, który pozyskuje dane osobowe, musi spełnić obowiązek informacyjny. Ciąży on zarówno na tych administratorach danych (czyli podmiotach, które decydują o celach i środkach przetwarzania danych), którzy pozyskują dane osobowe bezpośrednio od osób, których dane dotyczą (o czym stanowi art. 24 ustawy), jak i na tych, którzy pozyskują dane od innych administratorów (art. 25 ustawy).

W przypadku zbierania danych osobowych od osoby, której dane dotyczą, administrator danych jest zobowiązany poinformować tę osobę m.in. o swojej pełnej nazwie i adresie swojej siedziby, celu zbierana danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, prawie dostępu do treści swoich danych oraz prawie ich poprawiania, a także o dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje o jego podstawie prawnej.

Natomiast w przypadku zbierania danych nie od osoby, której one dotyczą, administrator danych jest zobowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o swojej nazwie i adresie, celu i zakresie zbierania danych, a zwłaszcza o ich odbiorcach, źródle, z którego dane zostały pozyskane, prawie dostępu do danych i ich poprawiania, a także o prawie żądania zaprzestania przetwarzania danych lub wniesienia sprzeciwu wobec przetwarzania danych.

Spełnienie obowiązku informacyjnego jest o tyle istotne, że dzięki niemu osoba, której dane dotyczą, ma świadomość, że jej dane są wykorzystywane i może skorzystać z przysługujących jej na mocy ustawy o ochronie danych osobowych praw, np. żądać uzupełnienia lub usunięcia jej danych osobowych.

Zatem pracodawca poprzez otrzymanie CV kandydata do pracy staje się administratorem zawartych w nim danych osobowych i zobowiązany jest spełnić obowiązek informacyjny wobec osoby, której dane dotyczą, najpóźniej w momencie ich pozyskania.

Osoby, wobec których nie został dopełniony powyższy obowiązek, mogą się tego domagać. (...)

GIODO nie kwestionuje możliwości prowadzenia ukrytej rekrutacji, co potwierdził m.in. w wydanej niedawno decyzji administracyjnej z 13 września 2016 r. (nr DOLiS/DEC-81727/16). W analizowanym w niej przypadku dotyczącym zamieszczania na portalu ogłoszeń o rekrutacji bez podania nazwy firmy ją prowadzącej GIODO za dopuszczalną uznał sytuację, w której portal pełni rolę pośrednika - usługodawcy, a administratorem danych kandydatów do pracy jest firma prowadząca nabór.

O ile bowiem działanie portalu ogranicza się do zapewnienia klientowi możliwości publikacji ogłoszenia rekrutacyjnego na należącej do niego stronie internetowej oraz udostępnienia narzędzi teleinformatycznych, służących do automatycznego przesłania aplikacji (CV) kandydatów do klienta, a szczególne postanowienia umowy pomiędzy tym podmiotem a klientem nie stanowią inaczej, o tyle podmiotowi prowadzącemu taki portal nie przysługuje status administratora danych kandydatów aplikujących na rekrutacje ukryte. Administratorem danych jest w tym przypadku podmiot, do którego wysyłane jest ogłoszenie rekrutacyjne (np. pracodawca, agencja zatrudnienia, agencja pracy tymczasowej), natomiast prowadzący portal występuje jako podmiot, któremu administrator danych powierzył przetwarzanie danych na podstawie umowy powierzenia z art. 31 ustawy o ochronie danych osobowych. Zgodnie z tym przepisem administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych (ust. 1). Podmiot ten może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (ust. 2), a także jest zobowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a.

Nie wszystkie jednak obowiązki ciążące na administratorze danych dotyczą podmiotu, któremu powierzono dane osobowe do przetwarzania. Przykładowo oba podmioty są zobowiązane do zabezpieczenia danych osobowych, ale dopełnienie obowiązku informacyjnego spoczywa jedynie na administratorze danych.

OPINIA EKSPERTA

Rekrutacje ukryte: popularne i kontrowersyjne

@RY1@i02/2016/218/i02.2016.218.18300140c.801.jpg@RY2@

Marcin Zadrożny adwokat, specjalista ds. ochrony danych, ODO24 sp. z o.o.

Prowadzenie rekrutacji ukrytych jest popularne od lat i od lat jest kontrowersyjne z uwagi na regulacje ustawy o ochronie danych osobowych, tj. w związku z niespełnianiem obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 u.o.d.o. Obowiązek ten wyłączony jest jedynie w sytuacji, gdy przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania, a także gdy osoba, której dane dotyczą, posiada informacje, o których mowa powyżej.

W sytuacji gdy firma rekrutacyjna działa jako niezależny administrator danych osobowych w rozumieniu art. 7 pkt 4 u.o.d.o. (np. gdy zbiera aplikacje kandydatów dla kilku określonych lub nieokreślonych pracodawców), zobowiązana jest m.in. do poinformowania o nazwie potencjalnego pracodawcy, któremu dane zostaną udostępnione. Powyższe co do zasady nie jest spełniane, w związku z czym obowiązek informacyjny nie jest realizowany w sposób prawidłowy. Ponadto podmiot będący potencjalnym pracodawcą, któremu dane zostały udostępnione i staje się ich administratorem, zobowiązany jest bezpośrednio po utrwaleniu danych kandydata do spełnienia wobec niego obowiązku informacyjnego, o którym mowa w art. 25 ust. 1. Powyższe, jak praktyka pokazuje, nie jest spełniane. A zatem w takiej konfiguracji zarówno firma rekrutacyjna, jak i potencjalny pracodawca łamią prawo i nie wypełniają obowiązku informacyjnego.

Również sytuacja, gdy firma rekrutacyjna udostępnia jedynie platformę, za pomocą której zamieszczane jest ogłoszenie o pracę (czyli faktycznie jest procesorem, który wyłącznie przetwarza dane na podstawie umowy powierzenia), nie rozwiązuje problemu, ponieważ wówczas faktyczny administrator, czyli potencjalny pracodawca, nie spełnia obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 u.o.d.o. Jednak w takiej konfiguracji firma rekrutacyjna nie łamie prawa, ponieważ jako procesor nie musi spełniać obowiązku informacyjnego, o którym mowa powyżej.

W tym miejscu warto zaznaczyć, że zgodnie z art. 54 u.o.d.o., kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w u.o.d.o., podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

OPINIA EKSPERTA

Do zrewidowania jest kilkaset ustaw

@RY1@i02/2016/218/i02.2016.218.18300140c.802.jpg@RY2@

dr Edyta Bielak-Jomaa generalny inspektor ochrony danych osobowych

Od 25 maja 2018 r. we wszystkich państwach członkowskich UE przetwarzanie danych osobowych będzie regulowane rozporządzeniem Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Rozpoczęcie stosowania tych przepisów to wyzwanie również pod względem legislacyjnym. Państwa członkowskie muszą bowiem odpowiednio przygotować się do unifikacji prawa na poziomie unijnym, a także do zapewnienia spójności krajowych aktów prawnych z przepisami rozporządzenia. Wymagać to będzie działań zarówno na poziomie międzynarodowym, tak by m.in. wypracować wspólne standardy oraz zasady współpracy organów ds. ochrony danych osobowych w poszczególnych państwach, jak i krajowym - chociażby z tego powodu, że konieczne będzie dostosowanie do unijnego rozporządzenia przepisów krajowych. Według szacunków Rządowego Centrum Legislacji do zrewidowania jest w tym zakresie kilkaset ustaw. Poza tym polski ustawodawca musi podjąć wiele działań legislacyjnych, doprecyzowując kwestie, które rozporządzenie pozostawia w gestii państw członkowskich. Do tej sfery należą m.in. regulacje dotyczące prawa pracy. Będzie to zatem doskonały moment do dyskusji i ewentualnego zrewidowania części przepisów, jeśli ustawodawca uzna, że jest to konieczne.

OPINIA EKSPERTA

Możliwe są trzy scenariusze

@RY1@i02/2016/218/i02.2016.218.18300140c.803.jpg@RY2@

Łukasz Górzny radca prawny, associate w praktyce prawa pracy kancelarii Domański Zakrzewski Palinka sp. k.

Na tę chwilę trudno przewidzieć, czy szykuje nam się rewolucja w związku z wejściem w życie przepisów rozporządzenia 2016/679 w odniesieniu do możliwości przeprowadzania rekrutacji ukrytych. Choć w rozporządzeniu unijnym przewidziane zostało zawieranie umów powierzenia przetwarzania danych, na podstawie których usługa dotycząca rekrutacji ukrytych jest świadczona, wątpliwości budzić może sama podstawa prawna przetwarzania danych kandydatów do pracy. Nowe przepisy nie przewidują bowiem uprawnienia do przetwarzania takich danych, jakie dziś wynika z powiązania art. 23 ust. 1 pkt 2 u.o.d.o. i art. 221 par. 1 k.p. W związku z tym można sobie wyobrazić co najmniej trzy możliwe scenariusze rozwoju zdarzeń.

Pierwszy to taki, że przetwarzanie danych odbywać się będzie jedynie na podstawie zgody kandydata, co - w związku z motywem 45 preambuły rozporządzenia unijnego mówiącym o ujawnianiu tożsamości administratora danych już na etapie wyrażania zgody - wyłączy możliwość prowadzenia rekrutacji ukrytych w ogóle. Drugi to taki, że nasz ustawodawca, kierując się uprawnieniem wskazanym w art. 88 rozporządzenia unijnego, wprowadzi do polskiego porządku prawnego mechanizm umożliwiający prowadzenie tego rodzaju rekrutacji wprost. Wreszcie - być może okaże się, że podstawa legalizująca taki rodzaj przetwarzania danych oparta zostanie na prawnie uzasadnionym interesie administratora danych osobowych (art. 6 ust. 1 lit. f rozporządzenia).

Z całą pewnością wiele zależeć będzie od działań polskiego ustawodawcy, które mogą się okazać zaskakujące dla wielu pracodawców chcących pozyskać nowych pracowników bez ujawniania od razu swojej tożsamości.

Obowiązki pracodawcy według nowego rozporządzenia

@RY1@i02/2016/218/i02.2016.218.18300140c.804.jpg@RY2@

Konstanty Dobiejewski radca prawny, partner associate, Deloitte Legal

@RY1@i02/2016/218/i02.2016.218.18300140c.805.jpg@RY2@

Aleksandra Dolak radca prawny, menedżer, Deloitte Legal

27 kwietnia 2016 r. zostało przyjęte rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej: rozporządzenie).

Wprowadza ono wiele nowych uprawnień podmiotów danych, rozszerzając jednocześnie zakres obowiązków administratorów. Co więcej, krajowe organy nadzorcze zostały wyposażone w uprawnienia do nakładania kar pieniężnych za naruszenie przepisów rozporządzenia. Kara pieniężna może zostać nałożona w maksymalnej wysokości wynoszącej - w zależności od tego, które przepisy zostały naruszone - nawet do 2 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego lub do 10 mln euro (przy czym zastosowanie będzie miała kwota wyższa) albo do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego lub do 20 mln euro (tu również zastosowanie będzie miała kwota wyższa).

Rozporządzenie weszło już w życie. Zawarte w nim wymogi będą jednak miały zastosowanie dopiero od 25 maja 2018 r. Do tego czasu podmioty związane przepisami rozporządzenia mają czas na dostosowanie się do nowych wymagań. Z uwagi na szeroki zakres zmian, a także wprowadzenie możliwości nałożenia kar pieniężnych w znacznej wysokości, warto efektywnie wykorzystać ten czas na przygotowanie się do nowych regulacji. Pracodawcy powinni się dodatkowo zastanowić, jaki wpływ będą one miały na ich wewnętrzną organizację pracy oraz realizowanie obowiązków wynikających z przepisów prawa pracy. Pod rozwagę należy poddać również to, jaki wpływ na procesy rekrutacji i zatrudnienia będzie miało rozporządzenie, w szczególności w świetle zasad obowiązujących obecnie, kiedy to dopuszczalny zakres przetwarzania danych w ramach każdego z tych procesów jest regulowany na podstawie wielu krajowych aktów prawnych.

Stosunki pracy

Obecnie zakres dopuszczalnego przetwarzania danych osobowych w związku z procesami rekrutacyjnymi i zatrudnieniem wyznacza w dużej mierze kodeks pracy (dalej: k.p.). Podstawowym przepisem regulującym dopuszczalny zakres danych osobowych przetwarzanych przez pracodawcę jest art. 22¹ k.p. Przepis ten zawiera katalog danych, których pracodawca może żądać od kandydata do pracy i pracownika.

Ponadto pracodawca ma prawo przetwarzać dane pracowników wykraczające poza katalog wskazany w tym przepisie w celu wykonania nałożonych na niego obowiązków. Podkreślić bowiem należy, że prawo pracodawcy do żądania od pracownika lub osoby ubiegającej się o zatrudnienie danych osobowych nie jest zawężone wyłącznie do tego katalogu. Wskazuje na to już samo brzmienie pkt 1 par. 2 art. 22¹ k.p., zgodnie z którym "Pracodawca ma prawo żądać (...) innych danych osobowych (...), jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy". Niniejszy przepis nawiązuje zatem do różnorakiego rodzaju świadczeń socjalnych (materialnych i niematerialnych) związanych ze stosunkiem pracy, w tym takich, których dystrybutorem jest pracodawca z tytułu stosunku pracy. Przykładowo można wskazać w tym zakresie na dane:

dotyczące sytuacji rodzinnej lub stanu zdrowia pracownika w zakresie uprawnień związanych z rodzicielstwem (dział VIII kodeksu pracy, w tym np. art. 178 par. 2 i art. 188 k.p.),

dotyczące stanu zdrowia w zakresie uprawnień pracowników niepełnosprawnych (art. 15 ustawy z 27 sierpnia 1997 r. o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych, t.j. Dz.U. 2011 r. nr 127, poz. 721 ze zm.).

Dodatkowo należy zwrócić uwagę na postanowienie par. 4 art. 22¹ k.p., który mówi, że "Pracodawca może żądać podania innych danych osobowych niż określone w par. 1 i 2, jeżeli obowiązek ich podania wynika z odrębnych przepisów". Wydaje się, że należy go rozumieć w ten sposób, iż nie chodzi tylko o przepisy, z których w sposób bezpośredni wynika uprawnienie do zbierania czy przetwarzania określonych danych, ale również o przepisy nakładające na pracodawcę obowiązki w zakresie stosunku pracy lub jako płatnika w relacji wynikającej z przepisów podatkowych lub ubezpieczeń społecznych, do których wykonania konieczne jest uzyskanie określonych danych.

Przez odrębne przepisy można z całą pewnością rozumieć przepisy innych ustaw - w tym zakresie szczególną rolę podgrywają pragmatyki służbowe regulujące zwłaszcza stosunki pracy z urzędnikami administracji państwowej i samorządowej. Wskazać też wypada na kwestie obowiązku podania NIP na żądanie płatnika podatku (art. 11 ust. 2 ustawy z 13 października 1995 r. o zasadach ewidencji i identyfikacji podatników i płatników, t.j. Dz.U. z 2016 r. poz. 476 ze zm.).

Jeśli chodzi o ogólne rozporządzenie o ochronie danych, nie wprowadza ono regulacji zmieniających zakres danych, których przetwarzanie jest dopuszczalne w kontekście zatrudnienia. Nie oznacza to jednak, że zmiany w tym obszarze nie nastąpią.

Wprawdzie mamy do czynienia z rozporządzeniem unijnym, a więc aktem prawa stosowanym bezpośrednio, co oznacza, że do jego stosowania nie jest potrzebne przyjęcie ustawy lub innego krajowego aktu prawnego. Jednak art. 88 rozporządzenia daje państwom członkowskim prawo do wprowadzenia w przepisach krajowych szczegółowych zasad przetwarzania danych w kontekście zatrudnienia. Kraje te mają czas do 25 maja 2018 r. na zawiadomienie Komisji Europejskiej o przyjętych przepisach. Takie regulacje krajowe mogą obejmować w szczególności przetwarzanie: "(...) do celów rekrutacji, wykonania umowy o pracę, w tym wykonania obowiązków określonych przepisami lub porozumieniami zbiorowymi, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy, ochrony własności pracodawcy lub klienta oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy" (art. 88 ust. 1 rozporządzenia). Oznacza to, że każde z państw członkowskich może ustanowić bardziej szczegółowe ramy dla cyklu przetwarzania danych osobowych przez pracodawcę. W praktyce wprowadzenie powyższego zapisu do rozporządzenia skutkować będzie prawdopodobnie zmianami przepisów kodeksu pracy i innych aktów prawnych regulujących obecnie te kwestie.

Przed zatrudnieniem pracownika...

Pierwsze czynności przetwarzania danych osobowych w związku z zatrudnieniem mają miejsce w ramach procesów rekrutacyjnych. Nie ma przy tym znaczenia, czy są to informacje przekazywane przez kandydata w formie pisemnej lub elektronicznej, czy tylko ustnej - podczas rozmowy kwalifikacyjnej. Samo zapoznanie się przez pracodawcę z określonymi danymi (nawet jeśli nie będą one przechowywane przez niego w formie dokumentów) stanowi już czynność przetwarzania, o której prawidłowość i zgodność z prawem pracodawca powinien zadbać.

Proces rekrutacji nie jest szczegółowo regulowany w prawie pracy. W tym zakresie prawodawca skupił się głównie na wprowadzeniu ochrony osób ubiegających się o zatrudnienie przez objęcie ich gwarancjami mającymi zapobiegać praktykom dyskryminacyjnym przy zatrudnieniu i nadmiernej ingerencji w prywatność poprzez ograniczenie informacji, do których pozyskania w procesie rekrutacyjnym pracodawca jest uprawniony .

Proces ten w sposób naturalny wiąże się z udostępnieniem przez kandydata jego danych osobowych potencjalnemu pracodawcy, a konieczność uzyskania konkretnych informacji na temat osoby ubiegającej się o zatrudnienie przeciwstawiona jest tu obowiązkowi ich ochrony. Z uwagi na szczególny charakter tego procesu kwestia ochrony danych osobowych kandydata powinna być brana pod uwagę od samego początku prowadzenia rekrutacji, tj. już na etapie projektowania ogłoszeń o pracę.

Obecnie katalog danych, których pracodawca może żądać od kandydata do pracy, jest zawarty w art. 22¹ k.p. Obejmuje on następujące kategorie danych osobowych:

1) imię (imiona) i nazwisko,

2) imiona rodziców,

3) data urodzenia,

4) miejsce zamieszkania (adres do korespondencji),

5) wykształcenie,

6) przebieg dotychczasowego zatrudnienia.

Powyższy katalog może zostać rozszerzony na podstawie przepisów szczególnych (np. w określonych przypadkach o informację co do faktu bycia w ciąży).

Rozporządzenie nie wprowadziło przy tym przepisu zmieniającego powyższy katalog. Jak zostało zaznaczone powyżej, należy jednak pamiętać, że może on zostać zmodyfikowany na poziomie prawa krajowego. Przy czym obecnie pracodawca może żądać podania określonych informacji, jeśli ma do tego podstawę w przepisach prawa. Z jego punktu widzenia ważne będzie więc określenie, czy po ewentualnych zmianach katalog informacji, które można przetwarzać w ramach procesu rekrutacyjnego, nadal będzie uznawany za katalog zamknięty.

W tym kontekście istotne wydaje się brzmienie motywu 155 preambuły rozporządzenia, zgodnie z którym przepisy krajowe mogą dotyczyć w szczególności warunków, na których dane osobowe mogą być przetwarzane za zgodą pracownika. Nie jest więc wykluczone, że pracodawcy uzyskają dostęp do szerszego zakresu danych - oczywiście po uzyskaniu od kandydatów odpowiednich zgód na przetwarzanie tych danych.

Jeśli przepisy krajowe w praktyce wprowadzą obowiązek uzyskania zgody w określonych przypadkach, pracodawca będzie zobowiązany zadbać, aby uzyskana zgoda spełniała szerokie wymogi określone w rozporządzeniu.

Ich uwzględnienie będzie istotne chociażby na etapie przygotowywania ogłoszeń o rekrutacji. Formularz zgody zawarty w takim ogłoszeniu powinien być zamieszczony w widocznym miejscu oraz zawierać jasne, wyraźne sformułowania. Ponadto wyjaśnienia zawarte w preambule do rozporządzenia stanowią m.in., że aby zgoda była wyrażona świadomie, podmiot danych powinien znać co najmniej tożsamość administratora oraz zamierzone cele przetwarzania danych (motyw 42 preambuły rozporządzenia). O warunku tym będzie należało pamiętać w szczególności pod kątem możliwości prowadzenia tzw. rekrutacji ukrytych.

...i w jego trakcie

Okres zatrudnienia to czas niemal nieprzerwanego przetwarzania danych osobowych pracownika. Tak jak w przypadku procesu rekrutacji zakres takiego przetwarzania nie jest pozostawiony do swobodnej decyzji pracodawcy.

Podstawowy zakres danych, których przetwarzanie jest dopuszczalne, wyznacza obecnie art. 22¹ k.p. Niezależnie od danych osobowych, których można żądać od kandydata do pracy, pracodawca ma prawo żądać od pracownika podania numeru PESEL, a także innych danych pracownika, imion i nazwisk oraz dat urodzenia jego dzieci, "jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy" (art. 22¹ par. 2 pkt 1 k.p.). Jak zostało zaznaczone wcześniej, kwestia ta może ulec zmianie w związku z tym, że rozporządzenie dopuszcza przyjęcie przez państwa członkowskie szczegółowych regulacji w zakresie przetwarzania danych w kontekście zatrudnienia.

Poza prawem żądania określonych danych oraz kwestiami dotyczącymi sposobu prowadzenia dokumentacji osobowej, prawo pracy nie reguluje specyficznie przetwarzania danych osobowych i odsyła w tym zakresie do regulacji szczegółowych (art. 22¹ par. 5 k.p.). Stąd też kodeks pracy nie zawiera osobnej podstawy dostępu pracownika do jego akt osobowych. Prawo takie wynikać będzie z jego uprawnień jako osoby, której dane osobowe są przetwarzane.

W ramach akt osobowych pracownika pracodawca przetwarza również dane wrażliwe, w szczególności dotyczy to stanu zdrowia zatrudnionego.

Do kwestii przetwarzania danych wrażliwych odnosi się również ogólne rozporządzenie o ochronie danych. Zgodnie z jego art. 9 ust. 1 zabronione jest przetwarzanie danych osobowych ujawniających m.in. pochodzenie rasowe lub etniczne, przekonania religijne czy przynależność do związków zawodowych. Będzie to jednak dopuszczalne, jeśli spełniony zostanie jeden z warunków wymienionych w art. 9 ust. 2. Jednym z nich jest ten, zgodnie z którym "przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą" (art. 9 ust. 2 b rozporządzenia).

Inne obowiązki pracodawcy

Poza koniecznością doprecyzowania przez polskiego ustawodawcę zakresu ewentualnych zmian przepisów regulujących dopuszczalność przetwarzania danych w procesie rekrutacji i w okresie zatrudnienia, pracodawcy muszą zwrócić uwagę również na zapewnienie zgodności przetwarzania danych z innymi wymogami rozporządzenia.

W tym zakresie warto zwrócić uwagę choćby na obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających przetwarzanie zgodne z rozporządzeniem i pozwalających taką zgodność wykazać. Wymóg ten oznacza w praktyce konieczność przeglądu procesów przetwarzania i systemów wewnętrznych stosowanych obecnie w jednostce w celu upewnienia się, czy systemy te pozwolą na zapewnienie zgodności z powyższymi obowiązkami. Z uwagi na szeroki zakres regulacji rekomendowane jest dokonanie takiego szczegółowego przeglądu już obecnie, a następnie dostosowanie tych procesów do nowych wymogów. Termin na dostosowanie się do zmian upływa bowiem 25 maja 2018 r.

Przeglądu wymagać będą także trwające umowy powierzenia przetwarzania danych osobowych. Artykuł 28 ust. 1 rozporządzenia nakłada bowiem na administratora obowiązek wyboru takiego podmiotu przetwarzającego, który zapewni "wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych". Ustęp 3 tego przepisu zawiera natomiast listę wymogów, jakim musi odpowiadać umowa o powierzeniu przetwarzania (lub inny odpowiedni instrument prawny regulujący powierzenie).

Rozporządzenie reguluje także kwestie związane z przekazywaniem danych do państw trzecich lub organizacji międzynarodowych.

Rozporządzenie weszło już w życie. Zawarte w nim wymogi będą jednak miały zastosowanie dopiero od 25 maja 2018 r. Do tego czasu podmioty związane przepisami rozporządzenia mają czas na dostosowanie się do nowych wymagań.

W preambule nowego rozporządzenia przewidziano, że przepisy krajowe mogą dotyczyć m.in. warunków przetwarzania danych osobowych za zgodą pracownika. Nie jest więc wykluczone, że pracodawcy uzyskają dostęp do szerszego zakresu danych, po uzyskaniu od kandydatów odpowiednich zgód.

RAMKA 1

Rozporządzenia i przepisy wewnętrzne

Dopuszcza się także oparcie prawa do zebrania informacji na przepisach rozporządzeń, o ile pozostają one w granicach umocowania ustawowego. Tutaj szczególne znaczenie ma rozporządzenie z 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (Dz.U. nr 62, poz. 286 ze zm., dalej: rozporządzenie w sprawie akt osobowych pracownika). Obejmuje ono szerszy niż zawarty w art. 221 k.p. katalog informacji, które pracodawca może zebrać, w szczególności w związku z obowiązkiem prowadzenia dokumentacji stosunku pracy i ewidencji czasu pracy. Należy zwrócić uwagę również na dane dotyczące stanu zdrowia pracownika, do których pozyskania pracodawca jest uprawniony na etapie rekrutacji w celu wykazania braku przeciwwskazań do pracy na określonym stanowisku (a contrario do tezy wyroku Sądu Najwyższego z 17 kwietnia 2007 r., sygn. akt I UK 324/06 - jeżeli praca jest niedozwolona pracownicom w ciąży z uwagi na ochronę macierzyństwa, pracodawca może żądać podania informacji co do faktu bycia w ciąży).

Dyskusyjne jest natomiast, czy źródłem upoważnienia do pozyskania określonych danych odnośnie do pracowników mogą być inne źródła prawa pracy (układy zbiorowe, regulaminy), zwłaszcza takie, które nie były przedmiotem uzgodnień z reprezentacją pracowniczą.

RAMKA 2

Dziś kontrowersyjne

Warto przy tym zauważyć, że w obecnym stanie prawnym przetwarzanie danych osobowych pracownika lub kandydata na podstawie jego zgody uznawane jest za kontrowersyjne. Podkreśla się bowiem, że kandydat lub pracownik może nie mieć realnej możliwości wyrażenia zgody dobrowolnie. Podkreślił to Naczelny Sąd Administracyjny w wyroku z 1 grudnia 2009 r. (sygn. akt I OSK 249/09), stwierdzając, że "wyrażona na życzenie pracodawcy pisemna zgoda pracownika na pobranie i przetworzenie jego danych osobowych narusza prawa pracownika i swobodę wyrażenia przez niego woli. Za tak sformułowanym stanowiskiem przemawia zależność pracownika od pracodawcy".

RAMKA 3

Rekrutacje ukryte

Na prowadzenie rekrutacji ukrytych trzeba patrzeć nie tylko przez pryzmat ewentualnej kwestii skutecznego wyrażenia zgody na przetwarzanie danych osobowych. W ramach przeprowadzanego procesu rekrutacji pracodawca będzie musiał zadbać przede wszystkim o prawidłową realizację obowiązku informacyjnego wobec podmiotów danych. Rozporządzenie wprowadza katalog informacji, które administrator musi przekazać podmiotom danych. Obejmuje on m.in. informacje o tożsamości administratora i jego danych kontaktowych. Rozporządzenie precyzuje, że jeśli dane pochodzą od osoby, której dotyczą (tj. w sytuacji, gdy pracodawca pozyskuje dane o kandydacie bezpośrednio od niego), administrator jest zobowiązany do przekazania tej osobie określonych informacji już w momencie pozyskiwania danych. Zasadę tę należy więc uwzględnić już na etapie projektowania ogłoszeń rekrutacyjnych, tak aby kandydat, odpowiadając na ogłoszenie, otrzymywał jednocześnie wymagane informacje o administratorze. W przypadku rekrutacji ukrytych, gdy kandydat otrzymuje informacje dotyczące potencjalnego pracodawcy na późniejszym etapie procesu, już po przesłaniu swoich dokumentów aplikacyjnych, ten warunek mógłby zostać uznany za niespełniony.

RAMKA 4

Dane wrażliwe

Jak wskazuje wprost par. 6 rozporządzenia w sprawie akt osobowych pracownika, w ramach tych akt przechowywane są orzeczenia lekarskie związane z brakiem przeciwwskazań do zatrudniania na danym stanowisku pracy oraz wydane w związku z badaniami okresowymi i kontrolnymi. Niezależnie od powyższego dokumentacja lekarska dotycząca pracownika będzie gromadzona również w związku z dokumentacją chorób zawodowych i wypadków przy pracy oraz w drodze do i z pracy. Zasygnalizować należy, że pracodawca będzie uzyskiwał informacje dotyczące stanu zdrowia pracownika w ramach zaświadczeń lekarskich stanowiących usprawiedliwienie nieobecności pracownika. Możliwe jest także pozyskanie przez zatrudniającego danych odnośnie do religii wyznawanej przez pracownika w celu uzyskania przez niego prawa do dni wolnych w celu obchodzenia świąt religijnych. Nie można też wykluczyć pozyskiwania danych wrażliwych przez pracodawcę w ramach udokumentowania wniosków o przyznanie świadczeń z zakładowego funduszu świadczeń socjalnych.

RAMKA 5

Grupy kapitałowe

Rozporządzenie przewiduje także, że pracodawcy będący częścią grupy przedsiębiorstw mogą mieć prawnie uzasadniony interes w przesyłaniu danych pracowników w ramach takiej grupy do wewnętrznych celów administracyjnych. Zapis ten może mieć duży wpływ praktyczny na pewność prawa w zakresie przetwarzania danych pracowników w grupie, co w praktyce ma miejsce coraz częściej.

@RY1@i02/2016/218/i02.2016.218.18300140c.101(c).gif@RY2@