Autor: Clifford Chance, Janicka, Krużewski, Stosio i wspólnicy Spółka komandytowa

Szanowni Państwo,

W związku z wydanym przez Urząd Ochrony Danych Osobowych w 2018 r. poradnikiem dla przedsiębiorców, dotyczącym "Ochrony danych osobowych w miejscu pracy" (dalej jako “Poradnik”), chcielibyśmy zwrócić uwagę na nieprawidłowości występującej w części Poradnika, dotyczącej przetwarzania danych pracowników tymczasowych (str. 42 Poradnika). Twierdzenie wskazujące, że "jednocześnie, stosunek pracy tymczasowej wymaga, aby agencja zawarła z pracodawcą użytkownikiem umowę powierzenia przetwarzania danych osób świadczących pracę tymczasową, która określałaby zakres i cel przetwarzania przez niego danych", jest niezgodne z definicjami administratora (art. 4 pkt 7 RODO) oraz podmiotu przetwarzającego (art. 4 pkt. 8 RODO). Pracodawca użytkownik, we wskazanej relacji głównie występuje w roli administratora, z uwagi na jego zobowiązania, wynikające z konieczności przetwarzania danych pracowników tymczasowych. Przykładowo zgodnie bowiem z art. 14 ustawy z dnia 9 lipca 2003 r. o zatrudnianiu pracowników tymczasowych, pracodawca użytkownik wykonuje obowiązki i korzysta z praw przysługujących pracodawcy, w zakresie niezbędnym do organizowania pracy z udziałem pracownika tymczasowego, a także: 

1) jest obowiązany zapewnić pracownikowi tymczasowemu bezpieczne i higieniczne warunki pracy w miejscu wyznaczonym do wykonywania pracy tymczasowej; 

2) prowadzi ewidencję czasu pracy pracownika tymczasowego w zakresie i na zasadach obowiązujących w stosunku do pracowników.

Ponadto, zgodnie z art. 14a ustawy o zatrudnianiu pracowników tymczasowych, pracodawca użytkownik, prowadzi także ewidencji osób wykonujących pracę tymczasową. Artykuł 15 powyższej ustawy, wskazuje jasno, że pracodawca użytkownik ma obowiązek stosowania wobec pracowników tymczasowych tzw. zasady równego traktowania.  

Wraz z chwilą przekazania danych osobowych, pracodawca użytkownik zaczyna być samoistnie administratorem danych osobowych (tj. określa cele i sposoby przetwarzania danych np. w celu prowadzenia ewidencji

 czasu pracy pracownika). Nie jest zatem możliwym określnie pracodawcy użytkownika jako jedynie procesora danych osobowych, gdyż, zgodnie z postanowieniami RODO, jego zadania, nie są zgodne z definicja procesora (art. 4 lit. 8 RODO) wskazującą, że przetwarza on dane, jedynie w ramach celu określonego przez administratora. 

Z praktycznego punktu widzenia zatem, sytuacja, w której pracodawca użytkownik występuje w roli podmiotu przetwarzającego, czyli takiej sytuacji, w której pracodawca użytkownik przetwarzałby dane w celu w imieniu administratora (tu agencji tymczasowej), wyznaczającej cele i sposoby przetwarzania danych jest rzadkością (jeżeli w ogóle ma ona miejsca). W przedmiotowej sytuacji, można ewentualnie wskazywać na współadministrowanie danymi pomiędzy pracodawcą użytkownikiem, a agencją pracy tymczasowej. W związku z powyższym, nie widzimy praktycznej konieczności zawierania za każdym razem umowy powierzenia danych osobowych, pomiędzy agencją pracy tymczasowej, a pracodawcą użytkownikiem na potrzeby przekazania danych pracowników tymczasowych. Ponadto uważamy, że każdorazowo przed takim przekazaniem należałoby przeprowadzić ocenę czy faktycznie zachodzi konieczność zawarcia umowy powierzenia, a jeżeli tak, to prawidłowo określić w jakim zakresie wskazane podmioty występują w relacji administrator-podmiot przetwarzający.  

2. Szanowni Państwo,

 W związku z wydanym przez Urząd Ochrony Danych Osobowych w 2018 r. poradnikiem dla przedsiębiorców, dotyczącym "Ochrony danych osobowych w miejscu pracy" (dalej jako “Poradnik”), chcielibyśmy zwrócić uwagę na dwie kwestie zawarte w Poradniku powodujące istotne trudności praktyczne. Jednocześnie przepraszamy za opóźnienie w przesłaniu uwag i mamy nadzieję, że pomimo przesłania ich po terminie, zostaną wzięte pod uwagę przez Urząd.

Okres przechowywania danych kandydatów do pracy

Punkt 3.4 Poradnika stanowi, że "pracodawca powinien trwale usunąć dane osobowe kandydata (np. poprzez zniszczenie bądź odesłanie), z którym nie zdecydował‚ się zawrzeć umowy o pracę, niezwłocznie po zakończeniu procesu rekrutacji (…)". Z kolei w punkcie 3.5 Poradnika czytamy, że "Niedopuszczalne jest przetwarzanie danych tylko w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem osoby, której dotyczą. W przeciwnym razie może pojawić się wątpliwość jak długo należy przetwarzać dane osobowe, jeżeli ta osoba nie zdecyduje się na wytoczenie powództwa przeciwko pracodawcy."

Zwracamy uwagę, że okres przedawnienia roszczeń„ wynikających z Kodeksu Pracy, w tym roszczeń dotyczących procesu rekrutacyjnego, wynosi 3 lata. Usunięcie danych niezwłocznie po zakończeniu procesu rekrutacyjnego odbiera pracodawcy jakąkolwiek możliwość obrony przed roszczeniami dotyczącymi tego procesu i stawia go na z góry przegranej pozycji w ewentualnym postępowaniu sądowym. Nie wydaje się, by takie zróżnicowanie szans w sporze między pracownikiem i pracodawcą było uzasadnione.

Co więcej, nie jest trafny argument, że przy przyjęciu takiej interpretacji nie jest jasne jak długo należy przechowywać dane osobowe dotyczące procesu rekrutacji. Interes prawny w przetwarzaniu tych danych trwa bowiem tak długo, jak długo nie upłynie okres przedawnienia potencjalnych roszczeń, a zatem przez okres 3 lat. Po upływie tego czasu pracodawca powinien zatem dane usunąć.

Ponadto, niezgodny z praktyką procesową jest argument podniesiony w pkt. 3.6 Poradnika, jakoby przechowywanie dokumentacji procesu rekrutacyjnego nie było potrzebne do obrony przez pracodawcę przed roszczeniami z powodu dyskryminacji, a to z tego względu, że kandydaci mogą poczuć się dyskryminowani głównie w wyniku rozmowy kwalifikacyjnej (nie zaś w związku z CV czy innymi dokumentami z procesu rekrutacyjnego). Dokumenty rekrutacyjne osoby podnoszącej roszczenie będą, w przypadku sporu, niezbędne pracodawcy w celu wykazania, że, w wyniku porównania kompetencji z osobą zatrudnioną, istniały obiektywne przyczyny dla niezatrudnienia skarżącego kandydata. Obiektywne porównanie kompetencji nie będzie możliwe w przypadku niedysponowania żadną dokumentacją z procesu rekrutacyjnego odrzuconego kandydata.

Na koniec wskazujemy, że wytyczne przyjęte w Poradniku w tym zakresie zostały uznane za niesłuszne w Wyroku NSA z dnia 20 lutego 2024 r., sygn.. III OSK 2700/22

Przetwarzanie danych osobowych kandydatów do pracy i pracowników na podstawie uzasadnionego interesu

Przepisy prawa pracy nie ograniczają katalogu podstaw przetwarzania danych kandydatów do pracy i pracowników – w szczególności, art. 22(1) Kodeksu Pracy wskazuje kategorie danych, których pracodawca ma prawo żądać, nie stanowi on zatem wyczerpującego katalogu danych, jakie pracodawca może przetwarzać. W konsekwencji należy przyjąć, że dane osobowe pracowników oraz kandydatów do pracy mogą być przetwarzane na podstawie każdej z przesłanek RODO, w tym przesłanki uzasadnionego interesu administratora.

Tymczasem, Poradnik wskazuje, że wszelkie informacje o kandydatach do pracy powinny być pozyskane bezpośrednio od nich lub za ich zgodą (chyba, że istnieje wyraźna podstawa prawna dla pozyskania danych z innego źródła). Tym samym Poradnik wskazuje, że niedopuszczalne jest pozyskiwanie danych kandydatów do pracy z jakichkolwiek zewnętrznych źródeł‚. De facto oznacza to ograniczenie podstaw przetwarzania, a w szczególności w zasadzie wykluczenie wobec tej kategorii danych przetwarzania na podstawie uzasadnionego interesu administratora. Takie ograniczenie nie wynika jednak z przepisów prawa. Wpływa ono za to istotnie na możliwość uzasadnionej weryfikacji kandydatów przez pracodawców. 

Jakkolwiek akceptujemy, że nie jest rolą Prezesa i Urzędu Ochrony Danych Osobowych inicjowanie zmian liberalizujących przepisy dotyczące przetwarzania danych osobowych, w omawianym przypadku wytyczne Poradnika wprowadzają ograniczenia idące znacznie dalej niż przepisy prawa. Takie podejście sprawia, że polski reżimy prawny i regulacyjny w zakresie ochrony danych osobowych pracowników i kandydatów do pracy jest jednym z najbardziej konserwatywnych na świecie, co z kolei jest przeszkodą dla inwestycji (np. firm z sektora usług finansowych) w Polsce. O ile nam wiadomo, takie ograniczenie podstaw przetwarzania w odniesieniu do kandydatów do pracy i pracowników nie występuje w żadnej znanej nam jurysdykcji objętej przepisami RODO.

Tymczasem, możliwość przetwarzania danych osobowych kandydatów do pracy i pracowników na podstawie uzasadnionego interesu, w tym pozyskiwanie ich z ogólnodostępnych źródeł ma istotne znaczenie praktyczne. Przykładowo, w pewnych przypadkach pozyskanie danych osobowych kandydata do pracy z zewnętrznych źródeł‚ może być niezbędne w celu zabezpieczenia podstawowych interesów pracodawcy i uniknięcia istotnych ryzyk. Taka sytuacja może mieć miejsce na przykład w razie zatrudniania osoby na stanowisko zarządcze w podmiocie sektora finansowego należącego do grupy kapitałowej z USA. Na takie podmioty przepisy amerykańskie nakładają obowiązek weryfikacji względem odpowiednich list sankcyjnych - przepisy te nie znajdują jednak zastosowania w Polsce, stąd jedyną podstawą przetwarzania takich danych mógłby być uzasadniony interes polskiego pracodawcy.

Zwracamy uwagę, że w szeregu sytuacji przetwarzanie na podstawie uzasadnionego interesu pewnych dodatkowych danych osobowych kandydatów czy pracowników może być jedyną dostępną podstawą w świetle RODO i jednocześnie być niezbędne z punktu widzenia podstawowych interesów pracodawcy (oczywiście każdy taki przypadek będzie należało ocenić w świetle praw i wolności podmiotu danych).