UODO przygotował poradnik dotyczący ochrony danych osobowych w miejscu pracy. Nowe przepisy są jednak tak skomplikowane, że nie zawsze można je jednoznacznie zinterpretować.
Firma nie może prowadzić naboru bez wskazania stanowiska, o które można się ubiegać. Niedopuszczalne jest też samodzielne gromadzenie danych o kandydatach do pracy na podstawie portali społecznościowych oraz śledzenie rozmów telefonicznych i korespondencji papierowej zaadresowanej na pracownika (chyba że uzasadnia to charakter wykonywanych obowiązków). To przykładowe wytyczne zawarte w poradniku „Ochrona danych osobowych w miejscu pracy” przygotowanym przez Urząd Ochrony Danych Osobowych (UODO).
– Mamy nadzieję, że będzie to cenne wsparcie dla pracodawców i podniesie ich świadomość prawną – podkreśla dr Edyta Bielak–Jomaa, prezes UODO.
Ważne uwagi
Z wyjaśnień zawartych w poradniku wynika m.in., że żądanie od kandydata do pracy zgody na przetwarzanie danych osobowych w większości przypadków nie jest konieczne. Sama aplikacja w formie życiorysu i/lub listu motywacyjnego jest automatycznie zgodą na przetwarzanie zawartych w nich informacji.
– Niedozwolone jest prowadzenie rekrutacji, jeśli kandydat nie wie, na jakie stanowisko aplikuje – podkreślił Piotr Drobek, dyrektor zespołu analiz i strategii UODO.
Pracodawca nie powinien też m.in. tworzyć i przechowywać kopii dokumentu tożsamości pracownika. Z kolei zdjęcia zatrudnionych na identyfikatorach firmowych oraz na stronie internetowej pracodawcy są dozwolone tylko za ich zgodą (z wyjątkiem sytuacji, gdy jest to konieczne; np. umieszczenie zdjęcia ochroniarza na identyfikatorze nie wymaga jego aprobaty). Informacje o zatrudnionym obejmujące imię, nazwisko lub służbowy adres mailowy mogą być wykorzystywane (udostępniane) przez firmę nawet bez zgody podwładnych, bo ściśle wiążą się z zatrudnieniem (dlatego dopuszczalne jest m.in. umieszczanie imion i nazwisk na drzwiach pomieszczeń służbowych, na pieczątkach, w pismach oraz informatorach o firmie). Niedozwolone jest monitorowanie rozmów telefonicznych (chyba że zatrudniający ma istotny powód wynikający z charakteru pracy) lub śledzenie prywatnej korespondencji e-mail pracowników (choć dopuszczalne jest sprawdzanie służbowej korespondencji).
– Oznaczenie charakteru korespondencji na pewno ułatwiałoby realizację omawianego zakazu. Sposób weryfikacji poczty elektronicznej może wywoływać wątpliwości, ale w prawie pracy dopuszczalne jest wypracowywanie tego typu procedur w drodze zwyczaju zakładowego lub aktów wewnętrznych, np. regulaminów – wskazuje dr Edyta Bielak-Jomaa.
Niektóre z wyjaśnień zawartych w poradniku już wywołały uwagi ekspertów co do prawidłowości dokonanej wykładni (artykułowane główne w mediach społecznościowych). Nie zawsze są też spójne z tymi przedstawianymi przez Ministerstwo Cyfryzacji. Chodzi np. o przewidziany w poradniku wymóg niezwłocznego usuwania danych osobowych kandydatów po zakończeniu rekrutacji. Zdaniem UODO ewentualne zarzuty z tytułu dyskryminacji nie uzasadniają przechowywania CV aż do momentu przedawnienia roszczeń z tego tytułu. Podobne zarzuty dotyczą zakazu gromadzenia danych o potencjalnych kandydatach na podstawie portali społecznościowych. UODO uściślił, że należy odróżnić sytuacje, gdy np. dana osoba poszukuje pracy przez portale społecznościowe (w szczególności dedykowane karierze zawodowej), od przypadków, gdy firma – przez prześwietlanie prywatnych kont kandydatów – chce pozyskać o nich dodatkową wiedzę.
– Ten drugi przypadek jest całkowicie niedopuszczalny. Zatrudniający nie może w ten sposób weryfikować kandydata – tłumaczy Piotr Drobek.
Jeszcze więcej wątpliwości wywołuje to, czy pracodawca może sprawdzać konta osób, które już są zatrudnione (np. w celu potwierdzenia ciężkiego naruszenia obowiązków pracowniczych, które uzasadniałoby zwolnienie dyscyplinarne).
– To praktyczny problem, na który nie ma jednolitej odpowiedzi. Dopuszczalność pozyskiwania danych zależy od kontekstu danej sytuacji, stanowiska, jakie zajmuje pracownik, zakresu jego obowiązków – tłumaczy dr Edyta Bielak–Jomaa.
Są problemy
UODO przedstawił też informacje o skargach, jakie wpływają do urzędu w związku ze stosowaniem nowych przepisów.
– Do najczęstszych zarzutów należą te dotyczące monitoringu w miejscu pracy. Chodzi np. o udostępnianie nagrań z wizerunkiem danej osoby innym pracownikom ze względu na zarzut popełnienia przestępstwa przez tego zatrudnionego – tłumaczy Paulina Dawidczyk, dyrektor zespołu ds. sektora zdrowia, zatrudnienia i szkolnictwa UODO.
Trzy skargi dotyczyły przetwarzania danych biometrycznych do celów ewidencji czasu pracy (nie jest to dopuszczalne). Zatrudnieni skarżyli się też m.in. na nieuprawnione upublicznianie powodów nieobecności w pracy danej osoby (przebywanie na zwolnieniu lekarskim) lub udostępnianie danych osobowych zbyt szerokiej grupie podmiotów (np. jednostce prowadzącej szkolenia zawodowe).
– Tego typu problemy występowały także przed wejściem w życie RODO. Zależy nam bardziej na tym, aby uzmysłowić administratorom, jakie obowiązki i uprawnienia wiążą się z tym aktem – podsumowała Paulina Dawidczyk.