Potencjalni pracodawcy mogą przekopywać się przez profile społecznościowe kandydatów do pracy, aby upewnić się, że ich zatrudnienie nie będzie błędem.
To jeden z głównych wniosków, jaki znalazł się w najnowszej opinii grupy roboczej art. 29, skupiającej przedstawicieli europejskich urzędów ds. ochrony danych osobowych, w tym polskiego GIODO. Wprawdzie jej wytyczne i stanowiska nie mają formalnie wiążącego charakteru, lecz w praktyce są ważnym wyznacznikiem polityki przedsiębiorstw, jeśli chodzi o bezpieczeństwo przepływu informacji oraz przetwarzanie danych osobowych. I takie wskazówki znajdą szefowie w najnowszej opinii grupy, dotyczącej monitorowania elektronicznej komunikacji podwładnych oraz śledzenia w mediach społecznościowych aktywności kandydatów na stanowisko. Od wydania ostatnich unijnych wytycznych na ten temat minęło aż 16 lat, czyli lata świetlne w rozwoju nowych technologii komunikacyjnych. Nie jest też tajemnicą, że pracodawcy mogą dziś kontrolować swój personel, nie tylko podglądając ich wpisy na Facebooku lub dane z GPS w służbowym samochodzie, lecz także za pomocą programów chroniących system informatyczny przed wyciekiem danych, filtrów antyspamowych czy niewidzialnych aplikacji na pulpicie lub chmurze. To zaś naturalnie pociąga za sobą ryzyko nieuzasadnionego i inwazyjnego przetwarzania danych osobowych.
Tylko to, co potrzebne
Opinia grupy daje przede wszystkim jasne wytyczne co do tego, jak daleko pracodawcy mogą wykorzystywać media społecznościowe do monitorowania zachowań zatrudnionych. Jak wynika z dokumentu, szefowie czy rekruterzy, zanim zaczną buszować po kontach w social mediach swoich pracowników czy kandydatów do etatu, muszą najpierw sprawdzić, czy ma ono charakter zawodowy czy prywatny. Nie mogą też po prostu zakładać, że skoro profil jest dostępny publicznie, to mają zielone światło do tego, aby przetwarzać zamieszczone tam informacje we własnych celach. Do tego wymagana jest bowiem podstawa prawna, taka jak np. istnienie uzasadnionego interesu. W przypadku osób aplikujących na stanowisko oznacza to, że przedsiębiorcy mają prawo gromadzić i przetwarzać ich dane wrażliwe tylko w takim zakresie, w jakim jest to konieczne i ważne z punktu widzenia obowiązków, które mieliby wykonywać. Pracodawca może przeglądać komentarze kandydata dostępne w social media, żeby ocenić, czy jego zatrudnienie nie pociągnie za sobą ryzyka dla firmy. Czyli np. zdobycie w ten sposób informacji, że osoba aplikująca na stanowisko doradcy przy fuzjach i przejęciach plotkuje na Facebooku o byłych klientach lub zapisała się do grupy „precz z banksterami”, będzie uzasadnione z punktu widzenia pracodawcy. Analogicznie firma może śledzić profile byłych pracowników w „biznesowych” social mediach, takich jak LinkedIn, aby upewnić się, że nie łamią oni zakazu konkurencji. Musi jednak być w stanie udowodnić, że nie robi tego w innych celach. Warunek jest tylko taki, że w każdym z tych przypadków zainteresowane osoby zostaną poinformowane o źródłach pozyskiwania informacji na ich temat.
/>
– Opinia grupy roboczej idzie dalej, niż zezwalają na to polskie przepisy kodeksu pracy – zwraca uwagę dr Paweł Litwiński, specjalista prawa ochrony danych osobowych z kancelarii Barta Litwiński. Formalnie pracodawca w Polsce ma prawo zażądać od osoby starającej się o etat wyłącznie danych wymienionych w art. 221 kodeksu pracy, czyli m.in. informacji o wykształceniu czy przebiegu kariery zawodowej. Jak podkreślają eksperci, przepis ten jest bardzo restrykcyjny, gdyż w większości krajów europejskich, nie mówiąc już o USA, nic nie stoi na przeszkodzie, aby firmy domagały się od kandydatów o pracę poświadczenia o niekaralności, wyników testu na obecność narkotyków czy kontroli finansowej. U nas stawianie takich wymagań jest wciąż wykluczone.
Z drugiej strony, jak zaznaczają eksperci grupy roboczej, firma nie może wymagać od pracowników, aby promowali jej markę w social mediach. Chyba że pracują na stanowisku rzecznika prasowego czy specjalisty od PR i prowadzenie konta w mediach społecznościowych należy do ich obowiązków.
Wejście w życie ogólnego rozporządzenia o ochronie danych (2016/679) wymusi jednak na polskim ustawodawcy zmianę art. 221 kodeksu pracy (czas upływa 25 maja 2018 r.). I jak wynika z nieoficjalnych informacji DGP, przepis ten zostanie zliberalizowany, aby zwiększyć możliwość pozyskiwania informacji o kandydatach przez pracodawcę.
Kłopotliwe monitorowanie
Opinia grupy roboczej zawiera też wytyczne dotyczące monitorowania komunikacji elektronicznej pracowników oraz ich aktywności online podczas wykonywania obowiązków zawodowych. Pracodawca może to zrobić, np. instalując specjalny protokół kontrolujący bezpieczeństwo ruchu w sieci. Problem w tym, że takie rozwiązanie pozwala jednocześnie rejestrować i analizować każde posunięcie użytkownika komputera w internecie. Z jednej strony przedsiębiorca działa w uzasadnionym interesie, czyli w imię ochrony wrażliwych danych o pracownikach i klientach przed włamaniami. Z drugiej – jak wskazuje grupa robocza – monitorowanie całej aktywności internetowej podwładnych jest nieproporcjonalnym środkiem i stanowi nadmierną ingerencję w tajemnicę korespondencji. – W tym przypadku opinia grupy roboczej współgra z orzecznictwem Europejskiego Trybunału Praw Człowieka, który w kilku swoich wyrokach podkreślił, że ingerencja w prywatność pracownika musi być niezbędna z jakiegoś ważnego powodu, np. gdy mamy podejrzenia, że z departamentu x wyciekają dane i w odpowiedzi instalujemy program szpiegujący – mówi dr Litwiński.
Co więcej, jak podkreślają eksperci, mimo że nowoczesne narzędzia technologiczne są dziś w firmach na porządku dziennym, to przy ich wdrażaniu nadal popełniają one masę błędów. – Spośród tych najpowszechniejszych można wymienić np. brak informacji w regulaminie pracy o stosowaniu monitoringu i jego zakresie czy też monitorowanie miejsc, w których oczekujemy wyłącznie poszanowania prywatności – zaznacza adw. Michał Kluska z kancelarii DZP.