Zainteresowani pracą w samorządach muszą wiedzieć, kto jest administratorem danych, zanim jeszcze złożą ofertę pracy. Jednostki samorządu terytorialnego często podają takie informacje dopiero na późniejszym etapie rekrutacji.
Generalny inspektor ochrony danych osobowych (GIODO) skontrolował we wrześniu br. wypełnianie przez urzędy gmin (miast) obowiązków związanych z przetwarzaniem informacji przy prowadzeniu rekrutacji pracowników samorządowych. Opublikowana analiza wykazała uchybienia w ich realizacji.
Zgodnie z art. 24 ustawy o ochronie danych osobowych (dalej: u.o.d.o.) zbieranie informacji o osobach fizycznych wymaga poinformowania tych ostatnich o pełnej nazwie i adresie administratora danych osobowych, celu gromadzenia określonych informacji, przewidywanych odbiorcach, prawie dostępu osoby do treści danych na jej temat i możliwości ich poprawiania. Administrator musi również wskazać, czy gromadzenie danych odbywa się w oparciu o dobrowolną zgodę zainteresowanego, czy też ma on obowiązek podać określone informacje.
Przywołane zadania należy realizować również w ramach rekrutacji na stanowiska pracy w urzędach samorządowych. W takim przypadku administratorem danych osobowych jest organ kierujący bieżącymi sprawami jednostki samorządu terytorialnego, a więc wójt, burmistrz lub prezydent miasta. Może on realizować wspomniane obowiązki samodzielnie lub wyznaczając do tego administratora bezpieczeństwa informacji (ABI).
Kontrola GIODO wykazała, że realizacja obowiązku informacyjnego nastręcza samorządowcom sporo problemów. W podsumowaniu przeprowadzonych w urzędach inspekcji organ przypomina więc, że administrator danych osobowych ma obowiązek przekazać kandydatom do pracy pełen zestaw informacji określonych w art. 24 u.o.d.o. Oznacza to, że nie może ich prezentować jedynie wybiórczo.
Ponadto obowiązek informacyjny powinien być realizowany na etapie publikacji ogłoszenia o wolnym stanowisku urzędniczym przez umieszczenie w tym dokumencie stosownej klauzuli. Błędem jest natomiast informowanie kandydatów o celu zbierania danych itp. dopiero na etapie testu wiedzy lub też rozmowy kwalifikacyjnej. Taka praktyka wypacza bowiem sens funkcjonowania obowiązku informacyjnego. Jego celem jest zapewnienie osobie fizycznej wiedzy o tym, komu przekazuje dane na swój temat i jak będą one później wykorzystane. Dzięki temu może ona zdecydować, czy chce się nimi podzielić, czy też warunki, na jakich miałaby to zrobić, jej nie odpowiadają.
Jakie dane trzeba podać zgodnie z art. 24 ustawy o ochronie danych osobowych
Art. 24. 1. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:
1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku;
2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych;
3) prawie dostępu do treści swoich danych oraz ich poprawiania;
4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Podstawa prawna
Art. 24 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922).
