– Przydatne informacje w poradniku znajdą i pracodawcy, i agencje zatrudnienia, i pracownicy, chcący dowiedzieć się, jakie prawa przysługują im na mocy RODO, czyli ogólnego rozporządzenia o ochronie danych – mówi dr Edyta Bielak-Jomaa, prezes Urzędu Ochrony Danych Osobowych. – Wiele wskazówek i wyjaśnień odnosi się też do relacji między pracodawcą a innymi podmiotami – związkami zawodowymi, podmiotami świadczącymi usługi z zakresu medycyny pracy lub firmami szkoleniowymi.

Chociaż od momentu, w którym przepisy unijnego rozporządzenia zaczęły obowiązywać, minęło już kilka miesięcy, na pewno wielu przedsiębiorców wciąż zastanawia się, czy dobrze stosuje jego zapisy. W szczególności może to dotyczyć procesów rekrutacji i zatrudniania, gdy trzeba zgromadzić odpowiednią ilość danych od potencjalnych pracowników, ale ostatecznie tylko część z nich zwiąże się z danym pracodawcą. „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców" to nowe opracowanie autorstwa urzędu, które przynosi liczne wskazówki w tym zakresie.

Pracodawcy poradzili sobie z RODO

Co wolno...

Przykładowo, w wytycznych zwraca się uwagę na to, że każdy pracodawca może żądać od osób ubiegających się o zatrudnienie podania jedynie tych danych, do zbierania których uprawniają go przepisy prawa, które ogólnie da się określić, jako dane:

- identyfikacyjne (imię, nazwisko, imiona rodziców, data urodzenia),

- kontaktowe (adres zamieszkania, numer telefonu),

- o wykształceniu, umiejętnościach, doświadczeniu zawodowym (ukończonych szkołach oraz studiach, przebytych szkoleniach i kursach, poprzednich pracodawcach, zajmowanych stanowiskach oraz obowiązkach zawodowych).

Tym samym pracodawca nie może żądać od kandydata danych nadmiarowych, w szczególności takich, które nie mają związku z celem, jakim jest zatrudnienie pracownika (np. danych o stanie cywilnym, wyznaniu, poglądach religijnych czy orientacji seksualnej). Może się oczywiście zdarzyć, że osoba kandydująca na konkretne stanowisko będzie musiała spełnić pewne określone prawem wymogi, np. wymóg niekaralności i wówczas pracodawca będzie uprawniony do pozyskania informacji o nim w tym zakresie.

UODO: nie można rekrutować pracownika przez Facebooka

...a czego nie

Informacje te nie mogą być gromadzone „na zapas" ani „na wszelki wypadek", zwłaszcza gdy pracodawca dopiero rozważa zatrudnienie kandydata w bliżej nieokreślonym czasie. Niezgodne z przepisami o ochronie danych osobowych jest także prowadzenie rekrutacji „ślepych" lub „ukrytych", czyli takich, w których nie wiadomo, kto szuka ludzi do pracy. Po zakończeniu rekrutacji dane kandydatów powinny być niezwłocznie usunięte – chyba że ze względu na zainteresowanie przyszłymi rekrutacjami, sami kandydaci wyrażą zgodę na dłuższe wykorzystywanie ich danych.

Autorzy wytycznych podkreślają także to, że korzystanie z nowoczesnych technologii w procesie rekrutacji nie zwalnia z poszanowania przepisów z zakresu ochrony danych osobowych. Dotyczy to np. rekrutacji on-line. Szczególnej troski o dane osobowe wymaga także wykorzystywanie nowoczesnych rozwiązań technicznych do ewidencji czasu pracy, kontrolowania poczty elektronicznej oraz monitorowania aktywności zatrudnionych.

RODO: 10 zadań dla pracodawcy

Cenne wskazówki

Wśród innych wyjaśnień, które przedsiębiorcy znajdą w poradniku, da się wskazać m.in. takie:

- żądanie od kandydata do pracy zgody na przetwarzanie danych osobowych w większości przypadków nie jest konieczne. Sama aplikacja w formie życiorysu i/lub listu motywacyjnego jest automatycznie zgodą na przetwarzanie zawartych tam danych kandydata,

- obowiązek ochrony danych osobowych spoczywa na prowadzących rekrutację administratorach, a więc niekiedy także na agencjach zatrudnienia lub portalach internetowych, działających w imieniu pracodawcy,

- prowadzenie rekrutacji „ślepych" lub „ukrytych" jest niezgodne z przepisami o ochronie danych osobowych,

- pracodawca, prowadząc rekrutację, musi spełnić obowiązek informacyjny. Osobom ubiegającym się o zatrudnienie musi podać m.in.: swoją pełną nazwę, adres i dane kontaktowe IOD (o ile go wyznaczył), cel i okres przetwarzania danych. Musi też przekazać informację o odbiorcach danych i prawach, jakie na mocy RODO przysługują osobom, których dane dotyczą,

- dane osobowe kandydatów do pracy po zakończeniu rekrutacji powinny być niezwłocznie usuwane z zasobów pracodawcy – chyba że osoba szukająca pracy wyraża zgodę, by brać udział w kolejnych naborach,

- niedopuszczalne jest gromadzenie danych o potencjalnych kandydatach na podstawie portali społecznościowych, a także tworzenie tzw. czarnych list osób ubiegających się o zatrudnienie,

- pracodawca nie powinien robić i przechowywać kopii dokumentu tożsamości pracownika,

- zdjęcia na identyfikatorach firmowych są dozwolone tylko za zgodą pracownika,

- pracodawca nie ma prawa pozyskiwać od związku zawodowego danych osobowych wszystkich pracowników, korzystających z jego ochrony,

- dofinansowując dodatkowe przywileje dla pracownika (np. opieka zdrowotna, karnet do klubu sportowego) na przekazanie jego danych osobowych firmie świadczącej mu taką usługę niezbędne jest uzyskanie jego zgody,

- niedozwolone jest monitorowanie rozmów telefonicznych lub śledzenie prywatnej korespondencji e-mail pracowników,

- pracodawca może kontrolować służbową pocztę elektroniczną pracowników, ale musi ich o tym poinformować,

- obowiązuje całkowity zakaz wykorzystywania danych biometrycznych (np. linii papilarnych, skanów siatkówki oka itp.) dla celów ewidencji czasu pracy,

- monitorowanie pracowników za pomocą urządzeń lokalizujących (np. GPS) dozwolone jest tylko po uprzednim poinformowaniu pracowników na piśmie z określeniem zakresu monitorowania.

Poradnik jest dostępny na stronie internetowej urzędu – www.uodo.gov.pl.

Wątpliwości z życia wzięte

Przygotowanie przez UODO praktycznego poradnika poprzedziły konsultacje społeczne. Korzystając z nich, pracodawcy zgłosili do Urzędu wiele pytań i wątpliwości, zwłaszcza dotyczących konkretnych sytuacji, z którymi spotykają się na co dzień. Publikacja wyjaśnia, jak powinni w nich postąpić.

Wskazówki UODO są obszerne i kompleksowe. Dotyczą zarówno tego, jak przetwarzać dane osobowe podczas rekrutacji, jak i całego okresu zatrudnienia w różnych jego formach, np. umów cywilnoprawnych. Przykładowo w poradniku znajdziemy odpowiedzi na następujące pytania:

- jakie dane kandydata pracodawca może gromadzić w trakcie rozmowy kwalifikacyjnej;

- czy można skontaktować się z poprzednim pracodawcą kandydata w celu uzyskania informacji na jego temat;

- czy potencjalny pracodawca może zwrócić się do uczelni wyższej z prośbą o potwierdzenie, czy kandydat do pracy uzyskał w niej dyplom;

- jak długo można przetwarzać dane kandydatów do pracy;

- czy pracodawca może przetwarzać dane kandydatów do pracy po zakończeniu rekrutacji w celu zabezpieczenia się przed ich ewentualnymi roszczeniami;

- czy możliwość wystąpienia z roszczeniem z tytułu dyskryminacji uzasadnia dłuższe przechowywanie danych;

- jak powinien się zachować pracodawcą z sektora służby cywilnej, gdy wpływa do niego CV (lub inne dokumenty rekrutacyjne), choć nie jest przeprowadzany nabór;

- jakimi zasadami powinienem się kierować pracodawca z sektora służby cywilnej publikując informacje związane z prowadzonym naborem;

- czy można tworzyć tzw. „czarne listy" osób ubiegających się o zatrudnienie;

- wpływa do pracodawcy CV potencjalnego kandydata do pracy, jednak nie prowadzi on rekrutacji; czy zachować przesłane dane w nim na potrzeby przyszłych rekrutacji;

- czy potencjalny pracodawca może pozyskiwać dane kandydata z portali społecznościowych;

- czy potencjalny pracodawca może zweryfikować kandydata lub komunikować się z nim za pośrednictwem branżowych portali społecznościowych np. LinkedIn;

- czy jest dopuszczalne przetwarzanie danych dotyczących kontrahentów, z którymi aktualnie się już nie współpracuje, lecz taka współpraca może być nawiązana na nowo w przyszłości;

- zatrudniam pracownika tymczasowego; kto jest administratorem danych takiego pracownika: agencja pracy tymczasowej czy pracodawca użytkownik;

- na jakiej podstawie przedsiębiorcy wykonujący wybrane operacje na danych osobowych na zlecenie ich administratora mają do nich dostęp;

- jak długo można przetwarzać dane o współpracownikach wykonujących swoje zadania na podstawie umów cywilnoprawnych. -

Kogo da się zidentyfikować

„Dane osobowe" oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą"). Możliwa do zidentyfikowania osoba to ta, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. -