Rz: Na ile pracownicy są świadomi tego, jakich danych osobowych pracodawca ma prawo od nich wymagać?
Ostatnia fala oszustw przy wyłudzaniu danych osobowych metodą „na rekrutację" dowodzi, że nie jest z tym najlepiej. Wielu kandydatów bezrefleksyjnie ujawnia zbyt dużo informacji o sobie po to, aby dostać pracę. Oszukani odpowiedzieli na zwykłe ogłoszenie o pracę, a następnie mieli wypełnić kwestionariusz z kompletem danych. O ile na tym etapie mogła jeszcze nie zapalić się czerwona lampka, to bezwzględnie powinna przy dziwnym żądaniu potencjalnego pracodawcy o dokonanie przelewu symbolicznej złotówki z konta kandydata na wskazany rachunek niby-pracodawcy. Ani pracodawca, ani agencja zatrudnienia czy inny podmiot prowadzący rekrutację nie mają prawa pobierać żadnych opłat od kandydatów. Niekiedy więc niefrasobliwie podany zestaw informacji, a nawet kserokopia dowodu osobistego, posłużą oszustom do zaciągnięcia pożyczek na konto takiej osoby.
Pracodawcy mogą jednak potrzebować różnych danych w zależności od rodzaju pracy i stanowiska. Jak należy się bronić przed nadmiernymi ich żądaniami?
To nie pracodawcy decydują o tym, ale przepisy. Oprócz kodeksu pracy oraz rozporządzenia ministra pracy i polityki socjalnej w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika jest także ustawa o ochronie danych osobowych. Zakres danych, jakich pracodawca może wymagać od kandydatów do pracy, a potem pracowników, określa art. 221 k.p. Podania dodatkowych informacji firma może się domagać tylko wtedy, gdy obowiązek ich ujawnienia wynika z odrębnych przepisów (np. zaświadczenie o niekaralności, specjalistyczne uprawnienia). Na tej podstawowej liście nie ma np. zdjęcia, referencji, wyników testów czy innych informacji często wymaganych od kandydatów. Dane osobowe pracodawca gromadzi stopniowo, kiedy są niezbędne przy formalnościach związanych z zatrudnieniem i dalszych etapach zatrudnienia (PESEL).
Czy pracownik może się obawiać negatywnych konsekwencji, np. zwolnienia, jeśli nie poda wymaganych danych?
To zależy od tego, o jakie dane chodzi. Jeśli szef domaga się tych wykraczających poza przepisy, odmowa ich ujawnienia nie może powodować żadnych konsekwencji dla pracownika. Gdy natomiast bezpodstawnie odmawia on podania danych mimo ustawowego wymogu (np. niezbędnych do zgłoszenia do ZUS czy rozliczenia PIT), musi się liczyć z rozstaniem, bo nie wykonuje ciążącego na nim obowiązku.
Mówimy ogólnie o uprawnieniach pracodawcy, ale przy naborze i zatrudnieniu informacje te przekazuje się specjalistom ds. rekrutacji, pracownikom działu kadr, różnym przełożonym. Czy każda z tych osób ma prawo dostępu do danych osobowych, które są poufne?
To ważna kwestia, która w wielu firmach nie jest prawidłowo uregulowana. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby mające upoważnienie nadane przez administratora danych, czyli pracodawcę. Ten, kto ma taki dostęp, powinien posiadać imienne pisemne upoważnienie pracodawcy określające dozwolony zakres przetwarzania (np. CV kandydatów, akta osobowe, lista płac itp.). To odrębny dokument, nie można go wywodzić tylko z umowy o pracę czy z zakresu obowiązków (dotyczy to szczególnie pracowników działu kadr). Pracodawca jako administrator prowadzi także ewidencję osób upoważnionych do przetwarzania danych z ich nazwiskami i zakresem dostępu.
Często od uczestników prowadzonych szkoleń dowiaduję się, że wielu pracodawców nie zdaje sobie sprawy, że każdy kierownik działu, który uczestniczy w rekrutacji, ma dostęp do akt osobowych i listy płac podległych pracowników, powinien mieć pisemnie określony zakres dostępu do danych osobowych bezpośrednich podwładnych.
Jak pracownik może wykorzystać takie niedopatrzenie?
Może zarzucić pracodawcy naruszenie przepisów o ochronie danych, jeśli informacje o nim znają osoby nieuprawnione. Chodzi o wszelkie czynności kadrowe, np. wręczenie pracownikowi kary porządkowej czy wypowiedzenia. Często w spotkaniu poświęconym tym sprawom oprócz członka zarządu czy dyrektora personalnego uczestniczy bezpośredni przełożony pracownika lub inna osoba z firmy. Interpretacja generalnego inspektora ochrony danych osobowych jest jednoznaczna – świadkami wręczenia tych dokumentów powinni być tylko pracownicy mający upoważnienie pracodawcy do przetwarzania danych osobowych.
Czy wraz ze zmianami w środowisku pracy inne są też obszary ryzyka naruszenia przepisów o ochronie danych osobowych?
Zdecydowanie tak. Ustalony przed wielu laty zakres danych, jakich pracodawca może wymagać od kandydatów, jest bardzo wąski i nie przystaje do obecnych potrzeb. W tym czasie firmy wdrożyły kompleksowe systemy zarządzania kadrami oraz wykorzystują nowoczesne technologie. Przy rekrutacji oprócz referencji zbierają wiele informacji także drogą nieformalną, np. prześwietlając kandydatów w internecie, poddają ich testom psychologicznym i kompetencyjnym. Czasem jest to stąpanie po cienkiej linie.
U pracowników z kolei wątpliwości budzi dysponowanie przez pracodawcę ich danymi i wizerunkiem w kontaktach zewnętrznych i celach marketingowych. Na stronach internetowych firm, w broszurach czy folderach podaje się różne informacje dotyczące menedżerów i pracowników, np. imię i nazwisko, stanowisko, służbowy telefon i adres mailowy, profil zawodowy, zdjęcie itp. Część pracowników nie jest pewna, na ile może pozwolić firmie na dysponowanie tymi informacjami i wizerunkiem. Pracodawca nie musi mieć zgody pracownika na umieszczenie na stronie internetowej czy w broszurze imienia i nazwiska, stanowiska, służbowego telefonu i maila (choć powinien go o tym uprzedzić), ale dyskusyjna będzie już sprawa jego zdjęcia. Tu należy zapytać pracownika o zgodę. Zatrudniony nie może także protestować przeciwko podawaniu nazwiska oraz stanowiska na identyfikatorze, w informatorach czy stopce mailowej. To są dane, które ułatwiają firmie kontakty z klientami i światem zewnętrznym, co potwierdza też orzecznictwo Sądu Najwyższego.
Dużym obszarem ryzyka jest też, na szczęście coraz rzadsza, praktyka niektórych banków potwierdzania u pracodawcy przez telefon danych osobowych pracownika zawartych we wniosku kredytowym, w szczególności wysokości jego wynagrodzenia. Przedstawiciel pracodawcy nie ma możliwości zweryfikowania, kto jest po drugiej stronie telefonu i dlatego ma prawo odmówić potwierdzenia tych informacji. Takie postępowanie potwierdza też stanowisko GIODO.
— rozmawiała Grażyna Ordak