Pracodawcy potrzebują wyjaśnień w odniesieniu do spraw związanych z ochroną danych osobowych
Okazuje się, iż pracodawcy potrzebują nowych wyjaśnień w odniesieniu do zasad odnoszących się do ochrony danych osobowych. Dotyczy to przede wszystkim zbierania danych członków rodziny oraz monitoringu, jak i również praktyk związanych z prześwietlaniem kandydata do pracy.
Co zatem wiemy o oczekiwaniach pracodawców w odniesieniu do zasad dotyczących ochrony danych osobowych?
Generalnie w ostatnim czasie przedstawiciele Urzędu Ochrony Danych Osobowych (UODO) zakończyli zbieranie uwag do swego poradnika dla pracodawców, który odnosi się do ochrony danych osobowych w miejscu pracy. Obecnie urzędnicy analizują zebrany materiał, a ich efektem ma być aktualizacja dotychczasowego poradnika, pochodzącego z 2018 roku.
Jak podkreśla dr Dominika Dorre-Kolasa, radca prawny oraz partner w kancelarii Raczkowski, członkini Społecznego Zespołu Ekspertów przy prezesie UODO, wspierająca ów urząd w pracach nad aktualizacją poradnika, poza nielicznymi wyjątkami, co do zasady postulaty zgłoszone w toku konsultacji są słuszne, gdyż tutaj bowiem upływ czasu od opracowania pierwszej wersji poradnika niestety zrobił swoje. Nie wiadomo jednak czy wszystko uda się zawrzeć w nowszej wersji poradnika, co będzie oczywiście zależało od decyzji urzędników UODO.
Niewątpliwie pozytywny jest wzrost świadomości na rynku pracy odnośnie do znaczenia ochrony danych osobowych i coraz mniej jest wątpliwości czy podejmować jakieś działania na rzecz tego oraz jak je podejmować. Poza tym powoli odchodzi się również od postrzegania ochrony danych osobowych w miejscu pracy jako utrudnienia w funkcjonowaniu przedsiębiorstw.
Generalnie uwagi zebrane w trakcie konsultacji nowej treści podatnika pokazują z jak wieloma problemami na gruncie ochrony danych osobowych mierzą się obecnie pracodawcy. Kwestii, które poradnik powinien objąć swym zasięgiem, jest bardzo dużo i na niektóre wskazywali również wcześniej eksperci.
Jednym z istotniejszych zagadnień, od lat budzących wątpliwości w praktyce, jest kwestia przetwarzania danych osobowych osób trzecich, czyli chociażby członków rodziny pracownika. Sytuacji, w których trafiają one do pracodawcy jest bowiem wiele i ma to miejsce chociażby w przypadku składania wniosków o świadczenia z zakładowego funduszu świadczeń socjalnych, opiekę nad dzieckiem do lat 14, o elastyczną organizację pracy czy też urlop opiekuńczy.
Tutaj problem dotyczy zwłaszcza tego, czy wobec tych osób pracodawca powinien realizować obowiązek informacyjny, a mianowicie powiadomić osobę zainteresowaną o przetwarzaniu jej danych osobowych. W dotychczasowej wersji poradnika wskazano, iż nie ma takiego obowiązku, gdy dane członków rodziny są zbierane na potrzeby zakładowego funduszu świadczeń socjalnych. Jednakże brakuje takiego stwierdzenia wobec innych przypadków przetwarzania danych osób trzecich.
W swym stanowisku pracodawcy rekomendują, by nowa wersja poradnika wskazywała, iż brak takowego obowiązku dotyczy nie tylko zakładowego funduszu świadczeń socjalnych, lecz także innych sytuacji, gdy dane są przetwarzane przez pracodawców.
Jakie jeszcze zagadnienia powinien poruszać najnowszy poradnik dotyczący przetwarzania danych osobowych?
Przedstawiciele Fundacji Instytut ART podkreślają, iż nowa wersja poradnika dla pracodawców powinna odpowiadać na pytanie, czy należy realizować obowiązek informacyjny wobec osób trzecich w sytuacji wniosków do ZUS o zasiłek opiekuńczy z powodu sprawowania opieki nad dzieckiem lub członkiem rodziny. Poza tym warto również, aby na to zagadnienie wskazywać również w sytuacji powiadomienia w razie wypadku w pracy. Z kolei przedstawiciele Polskiego Forum HR podkreślają, iż przetwarzanie danych osobowych osób trzecich dotyczy również sytuacji zgłoszenia członków rodziny do ubezpieczenia zdrowotnego, korzystania z dni wolnych z powodu siły wyższej, złożenia wniosków o urlop macierzyński, rodzicielski czy ojcowski, a także niektórych przypadków korzystania ze szczególnych przypadków pracy zdalnej.
W powyższym temacie z kolei przedstawiciele spółki KPMG podkreślają, iż w większości przypadków administrator nie otrzymuje danych kontaktowych osób trzecich i nie wiadomo, czy należy wówczas zastosować jedno z wyłączeń wskazanych w art. 14 ust. 5 ustawy o RODO, czy też zobowiązać pracownika do przekazania klauzuli informacyjnej, czy też należy takie dane traktować jako nierozerwalnie związane z konkretnym pracownikiem, a zatem osobą, wobec której pracodawca realizuje obowiązek informacyjny na gruncie art. 13 ustawy o RODO.
Kolejne istotne dla pracodawców zagadnienie to tak zwane background check, funkcjonujący pod nazwami background screening też pre-employment screening. W ramach owych zagadnień sprawdzana jest przeszłość kandydata do pracy bądź pracownika, chociażby, gdy aplikuje on na wyższe stanowisko. W podstawowej wersji obejmuje to weryfikację życiorysu zawodowego, czyli poprzedniego zatrudnienia, wykształcenia, uzyskanych certyfikatów i referencji, a w zaawansowanej wersji również badanie historii kryminalnej i kredytowej oraz wpisów w mediach społecznościowych.
W dotychczasowym poradniku wskazuje się bowiem, iż niedopuszczalne jest pozyskiwanie przez potencjalnego pracodawcę informacji o kandydacie na pracownika od jego poprzedniego pracodawcy, jeżeli nie posiada on zgody kandydata na powyższe. Z poradnika wynika również, iż rekrutujący nie może kontaktować się z podmiotem, który wystawił referencje, a z kolei dane dotyczące karalności pracodawca może przetwarzać jedynie wówczas, gdy wynika to wprost z przepisów prawa. Dotychczasowa treść poradnika wskazuje ponadto, iż potencjalny pracodawca nie może zwrócić się do uczelni wyższej z prośbą o potwierdzenie czy kandydat uzyskał w niej dyplom, ani też gromadzić danych, które kandydat sam zamieścił w Internecie, chociażby w portalach społecznościowych.
Obecna praktyka tymczasem całkowicie odbiega od tego co UODO uznaje za dozwolone, a prześwietlaniem życiorysów potencjalnych pracowników zajmują się również wyspecjalizowane przedsiębiorstwa, w tym również biura detektywistyczne. Tutaj administratorzy danych osobowych, będący częścią międzynarodowych grup kapitałowych, często borykają się z tłumaczeniem, że w Polsce nie jest możliwe przeprowadzenie żadnych form background check, w odróżnieniu od innych krajów Unii Europejskiej.
W tym względzie eksperci domagają się liberalizacji stanowiska urzędników UODO, podkreślając, iż pracodawca jest przesadnie ograniczony w możliwości weryfikowania informacji, które podaje kandydat. W tej sytuacji pozbawienie pracodawców możliwości weryfikacji różnych informacji nabiera nowego znaczenia w dobie sztucznej inteligencji, gdzie obecnie technologie dają kandydatom chociażby możliwość generowania treści czy samych dokumentów, czego pracodawca nie może w żaden sposób zweryfikować.
Tym samym, jak podkreślają przedstawiciele pracodawców, weryfikacja pewnych informacji w procesie rekrutacji powinna być dopuszczalna, pod warunkiem oczywiście, że pracodawca poinformuje o niej kandydatów, a cały proces będzie transparentny. Przykładowo, gdy pracodawca w ogłoszeniu wskaże, że o ile kandydat przedłoży referencje od poprzednich pracodawców, to pracodawca będzie mógł podjąć kontakt z osobami je wystawiającymi. Wówczas bowiem zgoda jest wyrażana poprzez wyraźne działanie kandydata polegające na przedłożeniu referencji.
W nowej wersji poradnika należałoby rozważyć również dopuszczenie uzasadnionej weryfikacji chociażby publicznie dostępnych informacji czy artykułów branżowych rozpowszechnianych przez kandydata, co pozwoli uniknąć sytuacji, gdy sami klienci pracodawcy natrafią na takie publikacje w trakcie współpracy kandydata z pracodawcą. Jeśli bowiem osoba taka jest kluczowa dla pracodawcy i publikacje są niewłaściwe lub wręcz niezgodne z prawem to mogą nawet zniechęcić klienta do współpracy z danym przedsiębiorstwem.
O czym jeszcze warto pamiętać w kontekście nowych wytycznych dla pracodawców z zakresu ochrony danych osobowych?
Przedstawiciele kancelarii Bird & Bird, Szepietowski i Wspólnicy podkreślają, iż poradnik obecnie w sposób niejednoznaczny traktuje kwestię pozyskiwania informacji o kandydatach z portali społecznościowych o charakterze zawodowym, jak chociażby LinkedIn. Tutaj zakaz sięgania przez pracodawców czy też przez agencje pracy do źródeł zawierających informacje z obszaru zawodowej, profesjonalnej działalności kandydata podczas procesu rekrutacji, jest ewidentnie nieuzasadniony. Możliwość pozyskiwania informacji z portali społecznościowych o charakterze zawodowym dopuszcza wiele organów, jak chociażby do spraw ochrony danych osobowych w Unii Europejskiej.
Tutaj niewątpliwie background check jest jedną z kwestii, które wymagają pogłębionej dyskusji wewnętrznej w gronie ekspertów, zmierzając do wypracowania jednolitego nowego stanowiska. To są złożone kwestie i wiele zależy od obszaru działalności, w którym porusza się pracodawca, jednak wydaje się, iż konieczne będzie uporządkowanie terminologiczne różnych procesów sprawdzających, które mogą się odbywać w związku z zatrudnieniem.
Kolejne uwagi pracodawców dotyczą również kwestii związanych z szeroko pojętym monitoringiem. W tym przypadku przedstawiciele kancelarii Hogan Lovells Oddział w Polsce wskazują, iż obecnie poza zakresem poradnika znajdują się kwestie dotyczące monitoringu wizyjnego, gdzie wskazane byłoby włączenie tego zagadnienia do poradnika wraz z wyjaśnieniami odnoszącymi się do innych form monitoringu. W poradniku warto byłoby poruszyć kwestie związane z korzystaniem przez pracownika z danych zarejestrowanych podczas monitoringu dla celów innych niż cel samego monitoringu. Przykładowo przy zarejestrowanym naruszeniu prawa przez pracownika, pracodawca może wyciągnąć w stosunku do niego odpowiednie konsekwencje.
Jednocześnie dobrze by było, gdyby poradnik w ogóle wskazywał pracodawcom, które z narzędzi mogą stanowić monitoring w rozumieniu kodeksu pracy, bowiem z doświadczenia wynika, iż często pracodawcy nieświadomie wdrażają rozwiązania, mające usprawnić organizację pracy, które jednak okazują się monitoringiem pracowników. Przykładowo chodzi tutaj o oprogramowanie sprawdzające aktywność na komputerze czy też narzędzia oparte o sztuczną inteligencję, które mogą być wykorzystywane przy punktacji do wstępnej selekcji pracowników.
Pracodawcy wskazują ponadto, iż poradnik powinien być uzupełniony o kwestię monitorowania pracowników z wykorzystaniem chociażby zdalnego pulpitu czy oprogramowania umożliwiającego pozyskiwanie lokalizacji telefonu komórkowego.
Podsumowując, obecnie urzędnicy Urzędu Ochrony Danych Osobowych zebrali uwagi od pracodawców dotyczące nowych wytycznych, które powinny się znaleźć w poradniku dla pracodawców, w odniesieniu do zasad ochrony danych osobowych. Jest tutaj wiele kwestii, które pracodawcy uznają za priorytetowe do uregulowania, a poza tym, z uwagi na upływ czasu oraz dotychczasową praktykę gospodarczą, wiele zagadnień powinno zostać wyjaśnionych dogłębniej bądź nieco inaczej niż do tej pory. Szczególnie dotyczy to zasad dotyczących możliwości weryfikowania danych kandydatów do pracy oraz przetwarzania danych osobowych osób trzecich.
Ekspert Łukasz swoje wieloletnie doświadczenie na rynku pracy postanowił przekazać także na naszym blogu. Jego artykuły dotyczą aktualnych zmian gospodarczych a także tych na rynku pracy. Z chęcia udzieli porad pracodawcą, którzy prężnie rozwijają swoje firmy.