Sprawą postanowiliśmy się zająć z urzędu niezwłocznie po doniesieniach MRPiPS. Razem z ministerstwem myślimy też o realizacji projektu edukacyjno-informacyjnego - mówi w wywiadzie dla DGP dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych.
Ministerstwo Rodziny, Pracy i Polityki Społecznej poinformowało niedawno o istnieniu czarnych list rekrutacyjnych i wymianie danych o osobach, których nie powinno się zatrudniać. Uznało tę praktykę za bezprawną i dyskryminującą. To wyzwanie także dla GIODO.
Doniesienia dotyczące tworzenia czarnych list kandydatów do pracy wzbudziły moje zaniepokojenie. Dotychczas do GIODO nie wpływały bowiem żadne sygnały związane z istnieniem takiej niezgodnej z prawem praktyki. Moje zaniepokojenie jest tym większe, że od momentu nagłośnienia problemu w mediach pojawiły się wypowiedzi przedstawicieli firm rekrutacyjnych, którzy otwarcie przyznają, iż na swoje wewnętrzne potrzeby tworzą takie listy i uznają to za dopuszczalne.
Żadna z agencji zatrudnienia nie miała wprawdzie odwagi, by do rejestracji do GIODO zgłosić zbiór danych dotyczący osób, w zatrudnieniu których nie chce pośredniczyć. Natomiast czysto teoretycznie wskazać trzeba, że przepisy ustawy o ochronie danych osobowych zobowiązują każdego administratora danych do identyfikacji posiadanych zbiorów danych, a następnie do ich rejestracji. Wszystkie wyjątki od tej zasady są szczegółowo wyliczone w ustawie. Jeśli firma powołałaby np. administratora bezpieczeństwa informacji, to nie musiałaby rejestrować u GIODO zbiorów z danymi osobowymi zwykłymi, jednak to on miałby obowiązek ich umieszczenia w prowadzonym przez siebie rejestrze.
Kilka dni temu wpłynęła do nas pierwsza skarga od osoby, której odmówiono przyjęcia aplikacji, informując, iż nie jest mile widzianym kandydatem. I choć sprawą tworzenia czarnych list zainteresowaliśmy się niezwłocznie po doniesieniach MRPiPS, postanawiając, by zająć się nią z urzędu, to jednak czym innym jest skarga – mamy do czynienia z konkretnym podmiotem podejrzewanym o gromadzenie danych osobowych wykorzystywanych poza wiedzą i zgodą osoby, której dotyczą.
Jakie działania podejmie GIODO w związku z tą pierwszą skargą, dotyczącą nielegalnej praktyki gromadzenia i przetwarzania danych?
Udowodnienie istnienia takich praktyk jest niezwykle trudne. Podkreślić jednak należy, że funkcjonowanie czarnych list jest niedopuszczalne i ich tworzenie trzeba poddać bardzo dogłębnej analizie. Tym bardziej że zawierają one informacje o negatywnym ładunku, które nie są niezbędne z punktu widzenia rekrutacji, a mogą prowadzić do dyskryminacji kandydata.
Wyjaśniając konkretny przypadek, np. prowadząc postępowanie administracyjne albo kontrolę, możemy sprawdzić, na jakiej podstawie prawnej i w jakim celu takie dane są zbierane, przez kogo utrwalane i komu przekazywane oraz jak są zabezpieczane. Uważam jednak, że nie musimy odpowiadać na wszystkie z tych pytań, bo kluczowe jest jedno – czy jest podstawa prawna do takich działań. Uważam, że nie ma.
Jeśli znajdziemy dowód na to, że dane kandydatów do pracy są bezprawnie przetwarzane, to jednym z działań, które możemy podjąć, jest złożenie do prokuratury doniesienia o możliwości popełnienia przestępstwa. Może też się okazać, że nie będziemy w stanie udowodnić, że taka lista istniała, bądź przypadek ten jest jednostkowy, niezwiązany z istnieniem czarnych list. Wszystko będzie zależało od ustaleń w postępowaniu. Każda sprawa jest bowiem rozpatrywana indywidualnie.
Równie prawdopodobne jest, że listy jednak istnieją. Jakie działania zamierza pani podjąć jako GIODO, by uzyskać pewność – są listy, czy też ich nie ma?
Najwięcej informacji o ewentualnym istnieniu takich list może mieć Państwowa Inspekcja Pracy, z którą na bieżąco i ściśle współpracujemy na mocy zawartego w grudniu 2012 r. porozumienia. Kontrolujący firmy inspektorzy PIP informują nas o wszystkich nieprawidłowościach wykrytych w zakresie przetwarzania danych osobowych.
Przecież na pytanie inspektora pracy o listę bezprawnych praktyk żaden pracodawca nie wyciągnie jej z szuflady i nie powie: „Bardzo proszę, oto ona”.
Oczywiście, że nie. Jednak ważna jest umiejętność przyglądania się dokumentom, doszukiwania się informacji, zbierania dowodów i zeznań świadków, a także śledzenia danych w systemie firmy. Tam zawsze zostają ślady. Jeśli kontrolerzy PIP na nie trafiają, to informują o nich GIODO. A my to weryfikujemy.
Odbyłam też spotkanie z przedstawicielem MRPiPS – chcemy wypracować wspólne stanowisko w tej sprawie. Myślimy też o realizacji wspólnego projektu edukacyjno-informacyjnego, roboczo nazwanego „ABC procedury rekrutacyjnej”. Zależy nam bowiem na podnoszeniu świadomości zarówno tych, którzy przeprowadzają rekrutacje, jak i osób, które starają się o zatrudnienie. Obie strony powinny znać swoje prawa i obowiązki oraz ich przestrzegać. Nie ma potrzeby pozyskiwania od kandydatów do pracy nadmiaru danych osobowych. Jeśli zaś żądamy ich podania, to musimy mieć ku temu podstawę prawną. Liczę na to, że gdy ośmielimy się mówić „nie” bezprawnym praktykom firm rekrutacyjnych, to z czasem rynek zweryfikuje takie praktyki.
Ustawa o ochronie danych osobowych dotyczy podmiotów, które mają siedzibę albo miejsce zamieszkania na terytorium Polski albo w państwie trzecim, o ile przetwarzają dane osobowe przy – dość niejasno określonym w ustawie – wykorzystaniu środków technicznych znajdujących się na terytorium RP. Czy wystarczy przetwarzać dane kandydatów do pracy na zagranicznym serwerze, by umknąć spod jurysdykcji ustawy?
To, z jakich serwerów firma korzysta, najczęściej jest sprawą wtórną. Najistotniejsze jest to, gdzie faktycznie prowadzi swoją działalność oraz w jaki sposób przetwarza dane, czyli je pozyskuje, gromadzi czy udostępnia. Wydaje mi się, że firmom rekrutacyjnym bardzo trudno byłoby uchylić się od obowiązku zastosowania ustawy o ochronie danych osobowych.
Warto też zaznaczyć, że zgodnie z unijnym rozporządzeniem w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych od 25 maja 2018 r. będziemy na tę kwestię patrzeć jeszcze szerzej. Drugorzędne znaczenie będzie miało to, gdzie siedzibę ma dany podmiot, mimo że już teraz pojęcie to jest rozumiane bardzo szeroko. Z perspektywy podmiotu działającego spoza UE istotniejsze będzie to, do kogo kieruje swoje usługi. Jeśli do obywateli państw członkowskich UE, to ich dane będzie musiał przetwarzać w sposób zgodny z zasadami zawartymi w powyższym rozporządzeniu. Jeśli nie będzie ich przestrzegał, będzie musiał się liczyć z wysokimi karami finansowymi – nawet do 20 mln euro lub 4 proc. swojego całkowitego rocznego, światowego obrotu.
Dziś nie wiadomo, czy osoba znajdująca się na czarnej liście w ogóle ma świadomość, że ma rekrutacyjny wilczy bilet. W jaki sposób może uzyskać taką informację?
Ustawa o ochronie danych osobowych każdemu z nas daje prawo, by raz na pół roku złożyć odpowiedni wniosek i zażądać od administratora danych informacji na swój temat. Mamy prawo się dowiedzieć, od kiedy i jakie dotyczące nas dane posiada, komu je udostępnił, w jakim zakresie i w jakim celu je przetwarza. Administrator danych musi zaś udzielić nam odpowiedzi w ciągu 30 dni od wpłynięcia wniosku, a jeśli tego zażądamy – zrobić to na piśmie. Warto też pamiętać, że ustawa przyznaje nam prawo, by np. wówczas gdy dane są nieprawdziwe lub zostały zebrane z naruszeniem prawa, żądać ich usunięcia albo uaktualnienia.
Pamiętać także należy o konieczności niezwłocznego dopełniania przez administratora danych obowiązku informacyjnego, zarówno wówczas gdy zbiera się dane bezpośrednio od osoby, której one dotyczą, jak i wówczas gdy pozyskuje się je z innych źródeł. W zależności od sytuacji już w momencie gromadzenia danych lub zaraz po ich utrwaleniu należy przekazać osobie, której dane dotyczą, m.in. dane podmiotu, który jest administratorem danych, a także informacje o celu zbierania danych, podstawie prawnej ich przetwarzania czy prawie do ich kontroli. Ten zaś, kto nie dopełnia tego obowiązku lub uniemożliwia osobie, której one dotyczą, realizację jej uprawnień do kontroli danych, naraża się na odpowiedzialność karną – nawet do roku pozbawienia wolności. Zatem każdy, kto uznaje, że jego prawo do ochrony danych zostało naruszone, ma realne narzędzia, by się bronić. Otwarta jest także ścieżka dochodzenia naruszenia dóbr osobistych przed sądem cywilnym.
A co zrobić, żeby na czarnych listach na pewno się nie znaleźć?
Czarnych list rekrutacyjnych nie powinno być, a zatem nikt nie powinien się na nich znaleźć. Trzeba jednak pamiętać, że w dobie rozwoju nowoczesnych technologii, w czasach globalizacji agencje rekrutacyjne i inne podmioty szukające pracowników korzystają nie tylko z CV czy listów motywacyjnych, ale też z innych źródeł informacji, np. portali społecznościowych. W świecie cyfrowym informacje, które umieszczamy w sieci, będą wykorzystywane przez różne podmioty, niezależnie czy się na to zgodzimy, czy nie. Życie realne i wirtualne wzajemnie się przenikają. Dlatego przy każdej okazji uczulam, by racjonalne gospodarować swoimi danymi. Dziś jeszcze ustawienia domyślne w różnego rodzaju portalach czy aplikacjach często dają szeroki dostęp do umieszczanych przez nas informacji. Rozporządzenie, o którym wspomniałam wcześniej, odwraca tę konstrukcję. Od maja przyszłego roku, rozpoczynając korzystanie z takich usług, nie będziemy decydować o tym, których danych nie chcemy udostępniać, ponieważ w ustawieniach domyślnych będzie to ograniczone. Będziemy natomiast podejmować decyzje, które dane chcemy udostępnić większej liczbie osób. I zróbmy to rozsądnie.
Kandydaci do pracy podpisują klauzulę „Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w aplikacji dla potrzeb niezbędnych do realizacji procesu rekrutacji”, po czym następuje podanie podstawy prawnej – ustawy o ochronie danych osobowych. Czy jest to także zgoda na udostępnianie informacji zawartych w CV i zdobytych podczas rozmowy z kandydatami innym firmom rekrutacyjnym?
Taka klauzula jest wymagana ze względu na to, że w CV lub liście motywacyjnym sami, chcąc zwiększyć szanse zatrudnienia, udostępniamy różne informacje na swój temat. Jeśli robimy to z własnej woli, to mamy do tego prawo, a podstawą, która uprawnia potencjalnych pracodawców czy firmy rekrutacyjne do wykorzystywania przekazanych danych, jest właśnie nasza zgoda. Podmioty przeprowadzające rekrutacje mają bowiem prawo żądać od kandydatów do pracy podania jedynie tych danych osobowych, do pozyskania których uprawnia ich kodeks pracy albo inne przepisy szczególne regulujące kwestie zatrudniania w poszczególnych sektorach lub branżach. Kandydat do pracy, podając swoje dane w zakresie szerszym niż wynikający z przepisów prawa pracy i podpisując wspomnianą klauzulę, zgadza się na ich użycie wyłącznie na potrzeby danej rekrutacji. Po jej zakończeniu dane osobowe powinny być usunięte, chyba że z mocy odrębnych przepisów można je dalej w określonym czasie przetwarzać albo gdy kandydat wyraził osobną zgodę na ich wykorzystanie w kolejnych rekrutacjach. Istotne jest przy tym zachowanie zasady celowości oraz ograniczenia czasowego ich przechowywania.
Jeśli zaś chodzi o udostępnianie danych innym podmiotom, to orzecznictwo sądów administracyjnych potwierdza, że ze zgody na przetwarzanie danych w jednym celu nie można domniemywać zgody na ich wykorzystywanie w innych celach. Jeśli zatem firma rekrutacyjna zamierza udostępniać dane kandydatów innym firmom, to powinna poinformować o tym te osoby, a na wykorzystanie ich danych w tym nowym celu powinny one wyrazić dobrowolną zgodę. Do tego odrębną, a nie zawartą w jednym, ogólnym i łącznym oświadczeniu o wyrażeniu zgody na przetwarzanie danych na potrzeby rekrutacji.
Dziękuję za rozmowę.