Ochrona danych osobowych w zatrudnianiu – odpowiedzi na ponad 60 najważniejszych pytań

Autor:Piotr Glen

Redaktor prowadzący: Wioleta Szczygielska

Wydawca: Weronika Wota

Korekta: Zespół

Projekt okładki: IGAWA Ireneusz Gawliński

Skład i łamanie: IGAWA Ireneusz Gawliński

Druk:Miller Druk sp. z o.o.

Copyright by Wydawnictwo Wiedza i Praktyka sp. z o.o.

Warszawa 2017

Wydawnictwo Wiedza i Praktyka sp. z o.o.

ul. Łotewska 9a, 03-918 Warszawa

tel.: 22 518 29 29, faks: 22 617 60 10

Redakcja zastrzega sobie prawo dokonywania zmian i skrótów w nadesłanych artykułach i ich tytułach. Artykułów ani jakichkolwiek innych materiałów niezamówionych Redakcja nie zwraca. Wszelkie prawa do niniejszej publikacji, w tym do jej tytułu oraz do treści zawartych w zamieszczonych w niej artykułach, podlegają ochronie prawnej przewidzianej w szczególności prawem autorskim. Ich przedruk oraz rozpowszechnianie bez wiedzy i zgody Redakcji są zabronione. Zakaz ten nie dotyczy cytowania ww. materiałów w granicach dozwolonego użytku, z powołaniem się na źródło.

Wszelkie materiały zawarte w niniejszej publikacji mają charakter wyłącznie popularyzacyjno-informacyjny i nie mogą być traktowane w sposób prawnie wiążący pomiędzy Czytelnikiem a Wydawcą lub Redakcją.

Redakcja dokłada wszelkich starań, aby informacje i dane zamieszczone w tych materiałach były poprawne merytorycznie i aktualne, jednak informacje te nie mają charakteru porady czy opinii prawnej, jako że Wydawca ani Redakcja nie świadczą żadnych usług prawnych.

Nie mogą być one również traktowane jako oficjalne stanowisko organów i urzędów państwowych. Zastosowanie tych informacji w konkretnym przypadku może wymagać dodatkowych, pogłębionych konsultacji lub opinii prawnej.

Wobec powyższego Wydawca, Redakcja, redaktorzy ani autorzy ww. materiałów nie ponoszą odpowiedzialności prawnej w szczególności za skutki zastosowania się lub wykorzystania w jakikolwiek sposób informacji zawartych w tych materiałach.

Wstęp

Wielu pracodawców uważa, że skoro w swojej działalności przetwarzają jedynie dane osobowe pracowników, to nie mają obowiązków wynikających z ustawy o ochronie danych osobowych. Część pracodawców natomiast pamięta o ochronie danych osobowych swoich klientów, jednak do ochrony danych pracowników nie przykłada dużej uwagi. Takie myślenie to jednak błąd. Wprawdzie pracodawca, który przetwarza tylko dane osobowe pracowników, nie musi zgłaszać zbiorów danych do rejestracji u Generalnego Inspektora Ochrony Danych Osobowych, ma jednak wiele innych obowiązków wynikających z przepisów.

Jednym z nich jest zastosowanie odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo przetwarzanym danym. Trzeba też pamiętać, że nie można żądać od pracownika podania danych wrażliwych np. o stanie zdrowia czy karalności oraz że jego danych osobowych nie można dobrowolnie udostępniać.

Do przetwarzania danych osobowych dochodzi także podczas rekrutacji. Jest to jeden z bardziej newralgicznych procesów w każdej organizacji. By go rozpocząć, wymagane jest zaangażowanie co najmniej kilku osób, które muszą być świadome, że obowiązują je przepisy ustawy o ochronie danych osobowych. Warto pamiętać, by mimo uzasadnienia biznesowego szanować prawo do prywatności kandydatów do pracy i pracowników.

Większość administratorów danych osobowych ochronę danych osobowych kojarzy przede wszystkim z ochroną danych klientów lub interesantów, zapominając o danych kandydatów do pracy. Świadomość społeczna zasad ochrony prywatności rośnie, co może nieść ze sobą ryzyko pozwów o zadośćuczynienie lub odszkodowanie, jeśli dane są wykorzystywane niezgodnie z prawem. Warto się więc zastanowić, czy procesy rekrutacji są prowadzone zgodnie z przepisami o ochronie danych osobowych.

Pracodawcy muszą być także świadomi, że także dane osobowe praktykantów, stażystów i pracowników tymczasowych powinny być odpowiednio chronione. A jeżeli takie osoby mają dostęp do danych klientów, trzeba nadać im upoważnienia i przeszkolić z zasad ochrony danych osobowych.

Wioleta Szczygielska

1. Jakie są podstawy prawne przetwarzania danych kandydatów do pracy?

W zakresie przetwarzania danych osobowych zawsze pierwszeństwo mają przepisy szczegółowe, w tym przypadku przepisy dotyczące prawa pracy. Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922) w sposób ogólny i końcowy opisuje zasady przetwarzania i ochrony danych. Zakres i cel przetwarzania danych kandydatów do pracy dość szczegółowo opisany jest w art. 22¹ ustawy z 26 czerwca 1975 r. – Kodeks Pracy (tekst jedn.: Dz.U. z 2016 r. poz. 1666).

Dodatkowe wymagania często stawiają ustawy branżowe, jak na przykład ustawa z 21 listopada 2008 r. o pracownikach samorządowych (Dz.U. z 2008 r. nr 223, poz. 1458), ustawa z 26 stycznia 1982 r. – Karta Nauczyciela (tekst jedn.: Dz.U. z 2016 r. poz. 1379) czy ustawy dotyczące wielu służb. Podanie tam wskazanych danych osobowych jest obowiązkowe, bo jest niezbędne, aby zrealizować uprawnienia lub spełnić obowiązek wynikający z przepisu prawa.

2. Kto odpowiada za ochronę danych osobowych kandydatów do pracy?

Za odpowiednią ochronę wszelkich danych osobowych, w tym również kandydatów do pracy czy pracowników, odpowiada administrator danych, tj. pracodawca, czyli na przykład zarząd spółki, właściciel firmy, dyrektor jednostki.

To administrator danych jest zobowiązany zastosować środki techniczne i organizacyjne, które zapewnią ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. W szczególności powinien zabezpieczyć dane przed:

•udostępnieniem ich osobom nieupoważnionym,

•zabraniem przez osobę nieuprawnioną,

•przetwarzaniem z naruszeniem ustawy oraz

•zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ustawy o ochronie danych osobowych).

3. Czy pracodawca odpowiada za to, że jego pracownik ujawnił informacje o kandydacie do pracy?

Za ewentualne naruszenia ochrony danych osobowych, tj. m.in. za przypadkowe lub bezprawne zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub umożliwienie dostępu do danych osobom nieupoważnionym, odpowiada pracodawca jako administrator danych. Jednakże jeżeli w podmiocie administratora danych są wdrożone i funkcjonują odpowiednie i wymagane procedury ochrony danych, to pracownik dopuszczający się naruszenia może być pociągnięty do odpowiedzialności dyscyplinarnej, finansowej, odszkodowawczej, a w skrajnych przypadkach nawet karnej zgodnie z Kodeksem pracy lub ustawą z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (tekst jedn.: Dz.U. z 2009 r. nr 201, poz. 1540).

4. Kto może mieć dostęp do danych osobowych kandydatów do pracy?

Pracodawca nie może udostępniać danych osobowych pracownika osobom przypadkowym, których zakres obowiązków nie uzasadnia dostępu do danych innych pracowników czy też kandydatów do pracy. Informacje dotyczące pracowników, w tym dotyczące określonych zdarzeń, takich jak nawiązanie umowy czy wypowiedzenie umowy o pracę lub udzielenie kary porządkowej, mogą być dostępne jedynie dla ograniczonego kręgu osób u danego pracodawcy.

Do osób takich należą najczęściej osoby zarządzające w imieniu pracodawcy zakładem pracy, przełożeni danego pracownika czy przyszłego pracownika, osoby prowadzące sprawy osobowe, zatrudnienia i płac, radcy prawni świadczący dla pracodawcy pomoc prawną. Osoby te w ramach wykonywanych obowiązków są najczęściej upoważnione do przetwarzania danych.

Natomiast jeżeli jest to niezbędne do prawidłowego wykonywania obowiązków służbowych i przeprowadzenia procesu rekrutacji, to pracodawca może nadać stosowne upoważnienie do przetwarzania danych w tym zakresie również innym osobom. To administrator danych samodzielnie decyduje o dostępie poszczególnych osób u niego zatrudnionych do danych osobowych przez niego przetwarzanych. To bowiem administrator danych jest najlepiej zorientowany w szczegółach prowadzonej przez siebie działalności i dzięki temu najlepiej wie, kogo oraz w jakim zakresie upoważnić do przetwarzania danych osobowych.

5. Czy osoby, które mają dostęp do danych osobowych kandydatów do pracy, należy upoważniać do przetwarzania ich danych osobowych?

Dostęp do danych osobowych mogą mieć wyłącznie osoby, które mają upoważnienie do przetwarzania danych osobowych nadane przez administratora danych. Forma upoważnienia może być różna, ale powinien z niego wynikać zakres danych i czynności, jakie upoważniona osoba może wykonywać na danych osobowych. Jeżeli pracownik ma mieć prawo dostępu i wykonywania innych operacji na danych kandydatów do pracy, to powinien być do tego odpowiednio upoważniony.

PRZYKŁAD

Upoważnienie do przetwarzania danych osobowych

……………….……

(miejscowość, data)

…………………….……………

(pieczęć administratora danych)

Upoważnienie do przetwarzania danych osobowych

Na podstawie art. 37 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922) upoważniam Pana/Panią ………………….………………………..., zatrudnionego/zatrudnioną w …………………….…………………… na stanowisku …………………….………… do przetwarzania w systemie informatycznym danych osobowych …………………….…………………………………….. (np. pracowników firmy X) w zakresie niezbędnym do wykonywania obowiązków na ww. stanowisku, w tym w szczególności do ………………………………………………………... (wpisać w zależności od czynności faktycznie wykonywanych na danym stanowisku):

a) …………………….…………………………….…………………………….………

b) …………………….…………………………….…………………………….………

c) …………………….…………………………….…………………………….………

Identyfikator nr …………………….…………………………

Upoważnienie obowiązuje na czas zajmowania stanowiska …………….………………

(do odwołania/na okres do …………………….…………………………………………).

……………………………………………..

(podpis/pieczęć administratora danych)

6. Jakie obowiązki wobec kandydatów do pracy ma administrator danych?

Pracodawca, jako administrator danych, w stosunku do osób, których dane dotyczą, w tym do kandydatów do pracy zobowiązany jest wywiązać się z wielu obowiązków informacyjnych i organizacyjnych. W ramach obowiązku informacyjnego administrator danych powinien poinformować o:

•adresie swojej siedziby i pełnej nazwie,

•celu zbierania danych i ewentualnych odbiorcach danych,

•dobrowolności albo obowiązku podania swoich danych,

•prawie dostępu do swoich danych oraz ich poprawiania.

W przypadku gdy administrator danych pozyskuje dane nie od osoby, której dane dotyczą, ma obowiązek poinformować ją o przysługujących uprawnieniach. Musi ją powiadomić, że ma ona prawo wnieść pisemne umotywowane żądanie zaprzestania przetwarzania jej danych ze względu na szczególną sytuację. Osoba, której dane są przetwarzane, musi wiedzieć, że może wnieść sprzeciw, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub gdy zamierza przekazać jej dane innemu administratorowi danych.

Respektowanie przez administratora danych praw osób, których dane dotyczą, musi się odznaczać „szczególną starannością”, a więc większą od „zwykłej”, „przeciętnej”, czy nawet „należytej”, o których mowa w ustawie z 23 kwietnia 1964 r. – Kodeks cywilny (Dz.U. z 1964 r. nr 16, poz. 93 ze zm.). Oznacza to, że administrator danych ma się stosować do zasad ochrony danych opisanych w przepisach i zapewnić im odpowiedni (wysoki) poziom ochrony.

7. Jakich danych osobowych można żądać od kandydatów do pracy?

Zakres danych osobowych, jakie kandydat do pracy jest zobowiązany podać w procesie rekrutacji, jest dokładnie wskazany w art. 22¹ ustawy z 26 czerwca 1974 r. – Kodeks pracy (tekst jedn.: Dz.U. z 2016 r. poz. 1666). Zgodnie z § 1 tego przepisu: „Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych, które obejmują:

1) imię (imiona) i nazwisko,

2) imiona rodziców,

3) datę urodzenia,

4) miejsce zamieszkania (adres do korespondencji),

5) wykształcenie,

6) przebieg dotychczasowego zatrudnienia”.

Zgodne z § 4 art. 221: „Pracodawca może żądać podania innych danych osobowych, jeżeli obowiązek ich podania wynika z odrębnych przepisów”. Natomiast § 5 art. 221 stanowi, że: „W zakresie nieuregulowanym w § 1–4 do danych osobowych, o których mowa w tych przepisach, stosuje się przepisy o ochronie danych osobowych”.

Tym samym podanie dodatkowych danych, jak np. adres e-mail, numer telefonu kontaktowego czy zdjęcia, jest dobrowolne.

Zakres danych, jakich pracodawca może żądać od osoby ubiegającej się o zatrudnienie, doprecyzowany jest w rozporządzeniu ministra pracy i polityki socjalnej z 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (Dz.U. z 1996 r. nr 62, poz. 286 ze zm.) i w określonym tam kwestionariuszu osobowym dla osoby ubiegającej się o zatrudnienie. Należy zwrócić uwagę na aktualną wersję, gdzie nie ma już mowy o nazwisku rodowym matki. Nie mylmy też obywatelstwa z narodowością.

8. Czy w dokumentach aplikacyjnych (CV, list motywacyjny) powinna znaleźć się klauzula zgody na przetwarzanie danych osobowych?

Jeżeli kandydat do pracy aplikuje bezpośrednio do potencjalnego pracodawcy i w CV podaje jedynie wymagane przepisami dane, to klauzula zgody będzie zbędna, a wręcz nieuprawniona. Skoro podanie wskazanych w przepisach danych jest obowiązkowe, a pracodawca wykorzysta je jedynie w procesie ogłoszonej rekrutacji, bo do innego celu nie ma prawa, to klauzula zgody nie może wprowadzać mylnego poczucia wyboru. Zgoda natomiast co do zasady nie może być wymuszona, zależna – ma być dobrowolna.

Jednakże w CV kandydaci zamieszczają najczęściej więcej danych, chociażby adres e-mail, numer telefonu, zdjęcie. Pracodawcy natomiast często chcą przechowywać CV przez okres dłuższy niż tylko do tej jednej, konkretnej, ogłoszonej rekrutacji. Wtedy zasadne jest poproszenie o wyrażenie przez kandydata odpowiedniej zgody. Właściwe klauzule informacyjne i klauzule zgód powinny bezwzględnie stosować agencje pośrednictwa pracy.

PRZYKŁAD

Klauzula zgody na przetwarzanie danych osobowych w celu rekrutacji

Wyrażam zgodę na przetwarzanie moich danych osobowych przez …………… (nazwa administratora danych) z siedzibą w …………….. przy ul. …………………………… do potrzeb niezbędnych do realizacji obecnego oraz przyszłych procesów rekrutacji.

9. Co zrobić z dokumentami aplikacyjnymi, w których znajdują się nadmiarowe dane osobowe, w tym dane wrażliwe, np. o stanie zdrowia?

Osoby, które ubiegają się o zatrudnienie, często podają w swoich aplikacjach dużo więcej niż trzeba, nadmiarowych informacji, czasami wręcz wrażliwych, związanych na przykład ze stanem zdrowia. Wprawdzie robią to z własnej woli, a jeśli na CV jest ich pisemna zgoda z własnoręcznym podpisem, to można by uznać, że jest podstawa prawna do przetwarzania takich danych osobowych.

Jednakże administratora danych, czyli pracodawcę w tym przypadku, obowiązują liczne zasady, między innymi zasada adekwatności, tj. dane mogą być zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami oraz merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane (art. 26 ustawy o ochronie danych osobowych).

Zbieramy więc dane niezbędne, konieczne do danego celu. Nadmiarowe, niepotrzebne, nieadekwatne dane powinny być usunięte. W przypadku CV osoba odpowiedzialna za przyjmowanie takich dokumentów, prowadząca proces rekrutacji, powinna zamazać, skutecznie zaczernić takie informacje.

10. Jak postąpić z odrzuconymi aplikacjami po zakończeniu procesu rekrutacji i czy można wykorzystać aplikacje odrzuconych kandydatów do pracy w przyszłych rekrutacjach?

Zapewne część niewykorzystanych aplikacji kandydatów, których CV nie zostały pozytywnie rozpatrzone, będzie trzeba od razu po zakończonym procesie rekrutacji usunąć. Na usunięcie danych nie jest potrzebna żadna zgoda osoby, której dane dotyczą, nie trzeba jej o tym informować. Jeżeli natomiast pracodawca chciałby niektóre kandydatury przechować przez kolejny czas, na potrzeby dalszych procesów rekrutacji, jeżeli poinformował o tym kandydatów i ma na to ich zgodę, to można w tym celu aplikacje wykorzystać.

Pamiętajmy jednak o zasadzie ograniczenia czasowego i tam, gdzie przepisy szczegółowe nie określają, jakie dane, w jakiej formie i jak długo mają być przechowywane, nie można w nieskończoność przechowywać danych, które identyfikują osoby fizyczne. Zgodnie z art. 26 ust. 1 pkt 4 ustawy o ochronie danych osobowych dane mogą być przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Oczywiście co innego CV kandydata nieprzyjętego do pracy, a co innego teczka osobowa byłego pracownika, która musi być przechowywana jeszcze przez 50 lat od zakończenia zatrudnienia. Może się to jednak niebawem zmienić.

11. Jak zapewnić sobie możliwość skorzystania z odrzuconych dokumentów aplikacyjnych w przyszłych procesach rekrutacji?

Pracodawca, który poszukuje pracowników, może, np. w ogłoszeniach o pracę, na swojej stronie www w zakładce Praca czy Kariera, zamieścić następującą informację:

PRZYKŁAD

„CV kandydatów nierozpatrzone w danym procesie rekrutacji są przechowywane przez okres niezbędny na potrzeby kolejnych procesów rekrutacji. Po tym okresie są usuwane, a dane osobowe kandydatów nie są przetwarzane w żadnym innym celu. Aplikacji nie odsyłamy. Kontaktujemy się jedynie z wybranymi osobami. Osoby zainteresowane udziałem w kolejnych i podobnych procesach rekrutacji prosimy o zamieszczenie w swoim CV klauzuli o treści: Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w CV na potrzeby obecnego oraz przyszłych procesów rekrutacji”.

Przy tej okazji warto zwrócić uwagę i z całą mocą podkreślić, zwłaszcza w odniesieniu do licznych oszustw i fałszywych ogłoszeń o pracę, że żaden pracodawca, na żadnym etapie rekrutacji nie wymaga żadnych opłat oraz kserokopii dowodu osobistego.

12. Czy można wymagać od kandydatów do pracy zaświadczenia o niekaralności?

Zgodnie