Rozbieżne stanowiska Urzędu Ochrony Danych Osobowych i Ministerstwa Cyfryzacji.
23 stycznia 2019 r. na stronie Ministerstwa Cyfryzacji opublikowane zostały objaśnienia prawne dotyczące dalszego gromadzenia danych osobowych osób ubiegających się o zatrudnienie u pracodawcy po zakończeniu rekrutacji. Wydane zostały w oparciu o art. 33 ustawy z dnia 6 marca 2018 r. Prawo przedsiębiorców na wniosek Rzecznika Małych i Średnich Przedsiębiorców. Zgodnie z przywołanym przepisem: „Właściwi ministrowie oraz organy, które na podstawie odrębnych przepisów są upoważnione do opracowywania i przedkładania Radzie Ministrów projektów aktów prawnych, dążą do zapewnienia jednolitego stosowania przepisów prawa z zakresu działalności gospodarczej, w szczególności wydając, w zakresie swojej właściwości, z urzędu lub na wniosek Rzecznika Małych i Średnich Przedsiębiorców wyjaśnienia przepisów regulujących podejmowanie, wykonywanie lub zakończenie działalności gospodarczej, dotyczące praktycznego ich stosowania (objaśnienia prawne), przy uwzględnieniu w szczególności orzecznictwa sądów, Trybunału Konstytucyjnego i Trybunału Sprawiedliwości Unii Europejskiej”. Objaśnienia prawne w tym przypadku dotyczyły stosowania i interpretacji Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – dalej RODO). Tym samym powstał swoistego rodzaju spór kompetencyjny między Urzędem Ochrony Danych Osobowych a Ministrem Cyfryzacji. Jeszcze przed opublikowaniem objaśnień prawnych Prezes UODO wydała oświadczenie w jego przedmiocie, podkreślając, iż: „w Polsce jedynym właściwym i wyspecjalizowanym w sprawach dotyczących ochrony danych osobowych jest Prezes UODO, który ma status i kompetencje organu nadzorczego określone w RODO. Z tego względu dokonywanie oficjalnej interpretacji prawa w tym zakresie leży po stronie Prezesa UODO. Zgodnie z RODO jest to wyłączną kompetencją organów nadzorczych oraz Europejskiej Rady Ochrony Danych. Tym samym UODO jest jedynym organem umocowanym prawnie do wydawania wytycznych i interpretowania w tym zakresie przepisów prawa”.
Rekrutacja w opinii PUODO
W poradniku „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców” wydanym przez Urząd Ochrony Danych Osobowych odnajdziemy następujące informacje dotyczące późniejszego przechowywania danych kandydatów do pracy:
„Okres przechowywania danych kandydata do pracy powinien być dostosowany do zasad przetwarzania danych i z góry określony przez administratora. Co do zasady pracodawca powinien trwale usunąć dane osobowe kandydata (np. poprzez zniszczenie bądź odesłanie), z którym nie zdecydował się zawrzeć umowy o pracę, niezwłocznie po zakończeniu procesu rekrutacji, tj. podpisaniu umowy o pracę z nowo zatrudnionym pracownikiem, chyba że ziściły się inne przesłanki uprawniające administratora do ich przetwarzania. Konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania. Wydłużenie okresu przechowywania danych zawartych w aplikacji, powinno być zatem wyjątkiem od reguły niezwłocznego ich usuwania oraz powinno być szczególnie uzasadnione (…) Niedopuszczalne jest przetwarzanie danych tylko w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem osoby, której dotyczą. W przeciwnym razie może pojawić się wątpliwość jak długo należy przetwarzać dane osobowe, jeżeli ta osoba nie zdecyduje się na wytoczenia powództwa przeciwko pracodawcy. W toku rekrutacji nie powstaje żaden stosunek zobowiązaniowy pomiędzy kandydatem do pracy, a pracodawcą. Brak jest dokonania wzajemnych rozliczeń lub możliwości zarzucenia drugiej stronie niewykonania umowy lub nieprawidłowego jej wykonania. Nie ma więc podstaw do uznania, że pracodawca jest uprawniony do przetwarzania danych z uwagi na konieczność ustalenia bądź nie, istnienia roszczenia. Działanie pracodawcy stanowiłoby przetwarzanie danych kandydata „na wszelki wypadek” (strona 17 poradnika).
Rekrutacja w opinii MC
„Po zakończonej rekrutacji pracodawca ma prawo przechowywać dokumenty rekrutacyjne osób, które nie zostały zatrudnione, w celach ochrony przed ewentualnymi roszczeniami mogącymi pojawić się w związku z prowadzoną uprzednio rekrutacją. W tym przypadku podstawą przetwarzania danych osobowych będzie art. 6 ust. 1 lit. f RODO tj. prawnie uzasadniony interes niedoszłego pracodawcy, czyli ochrona przed ewentualnymi przyszłymi roszczeniami osoby, która nie została zatrudniona w wyniku rekrutacji, która nie została zatrudniona (…) Uwzględniając przebieg rekrutacji i podjętą przez pracodawcę ocenę ryzyka pojawienia się takich roszczeń, okres przechowywania CV powinien być jednak jak najkrótszy. Jeżeli w praktyce działania przedsiębiorcy nie zdarzyła się sytuacja, by ewentualne roszczenia z tytułu prowadzonej rekrutacji pojawiły się w okresie późniejszym niż kilka miesięcy po jej zakończeniu, wewnętrzne procedury powinny przewidywać racjonalny kilkumiesięczny okres retencji takich dokumentów. Obowiązkiem administratora danych będzie też dokonanie oceny ryzyka i ustalenie okresu przetwarzania danych, który odpowiada rzeczywistym zagrożeniom, uwzględniając doświadczenia z pojawiających się roszczeń” (…) Uwzględniając powyższe należy również przesądzić, że CV przechowywane w celu ochrony przed potencjalnymi roszczeniami, nie powinno być wykorzystywane w innych celach. Wyjątkiem w tym zakresie wydaje się być kontakt potencjalnego pracodawcy z pozostałymi kandydatami, gdy okaże się, że osoba zakwalifikowana jednak nie podjęła pracy. Podstawą w tym przypadku byłby nie tylko prawnie uzasadniony interes potencjalnego pracodawcy, ale również kandydatów. Jak wskazuje się w motywie 47 preambuły do RODO „taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz”. Bez wątpienia więź taka istnieje pomiędzy kandydatem do pracy a potencjalnym pracodawcą. Nie budzi też wątpliwości fakt, że początkowo odrzucony kandydat może przypuszczać, że potencjalny pracodawca poinformuje go o wakacie na stanowisku, na które aplikował”.
Przechowywać CVki, czy nie?
Rozbieżność w opiniach Ministerstwa Cyfryzacji i Urzędu Ochrony Danych Osobowych najbardziej dotyka przedsiębiorców, powoduje bowiem dysonans interpretacyjny naprawdę niełatwych przepisów. Na co w szczególności powinniśmy zwrócić uwagę? Już na etapie tworzenia ogłoszenia rekrutacyjnego powinniśmy zadbać o ty, by zakres danych, o który prosimy nie wybiegał poza wskazanie art. 22[1] kodeksu pracy (chyba, że przepis szczególny poszerza ten katalog). Dodatkowo nie powinniśmy sugerować preferencji, które mogą być uznane za dyskryminacyjne (najczęściej dotyczy to płci). W przypadku większości stanowisk, w szczególności w sektorze prywatnym, nie będzie konieczności dłuższego przechowywania CVek. Po zatrudnieniu, zgodnie z poradnikiem UODO, powinniśmy zniszczyć dane kandydatów, którzy nie zostali przyjęci do pracy. Zadajmy sobie pytanie – czy kiedykolwiek taka sytuacja miała u nas miejsce i czy rzeczywiście istnieje dla nas realne ryzyko związane w jakimiś roszczeniami? W większości przypadków odpowiedź brzmi „nie”.
Istnieją jednakże sytuacje, kiedy dłuższe przechowywanie danych wszystkich kandydatur na dane stanowisko wydaje się uzasadnione i rzeczywiście wpisuje się w uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO). W szczególności dotyczy to stanowisk kierowniczych, wysoce specjalistycznych, administracji publicznej oraz podmiotów, w których działają związki zawodowe. Uważam, że w takich przypadkach rzeczywiście furtka wskazana przez Ministerstwo Cyfryzacji jest zasadna. Powinniśmy jednakże w tym przypadku przeprowadzić tzw. test równowagi (tzw. balancing test). Polega on na porównaniu prawnie uzasadnionych interesów realizowanych przez administratora w związku z konkretnymi czynnościami przetwarzania danych osobowych z interesami lub podstawowymi prawami i wolnościami osoby, której dane są przetwarzane. W wyniku analizy administrator powinien określić czyje interesy (administratora czy osoby, której dane dotyczą) są w konkretnych okolicznościach przeważające. Wynik testu równowagi przesądzać będzie o tym, czy art. 6 ust. 1 lit. f RODO można traktować jako podstawę prawną przetwarzania. Dodatkowo, w takich sytuacjach powinniśmy pochylić się na uszczegółowieniu celu i okresu przechowywania danych w obowiązku informacyjnym (zgodnie z art. 13 RODO).
Z kompletnie pragmatycznego punktu widzenia należy zauważyć, iż jedynym organem kontrolującym i egzekwującym jest PUODO. Oczywiście ostatecznie o słuszności rozwiązań może rozstrzygać sąd. Zalecamy jednakże daleko idącą ostrożność w przypadku zdecydowania się na dłuższe przechowywanie danych kandydatów na określone stanowisko w przypadku zakończenia procesu rekrutacji.
Zachęcamy do zapoznania się zarówno z poradnikiem Urzędu, jak i objaśnieniami prawnymi Ministerstwa (do pobrania poniżej). Poza powyższą, kontrowersyjną kwestią objaśnienia MC zawierają informacje dotyczące formy wyrażania zgody na przetwarzania danych oraz praktyczne przykłady, które z pewnością są wartościowe dla każdego podmiotu, który przeprowadza rekrutacje. Z niecierpliwością czekamy również na Kodeks Ochrony Danych Osobowych w Rekrutacji (https://erecruiter.pl/blog/kodeks-ochrony-danych-osobowych-w-rekrutacji-konsultacje/).
A osobom poszukującym zaawansowanych umiejętności wdrażania i stosowania RODO, polecamy czterodniowe teoretyczno-praktyczne Kursy RODO.
Poradnik UODO (.pdf): Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców
Objaśnienia prawne MC (.doc): OBJAŚNIENIA PRAWNE
Objaśnienia prawne dostępne są również na stronie BIP MC – https://mc.bip.gov.pl/objasnienia-prawne/objasnienia-prawne.html?fbclid=IwAR0LjMd29aYHj9XJqpftjOXlAD2Lv6JisGQS_NjVAe-9LEb7ybgpQem9btE
Pełne oświadczenie Prezesa UODO dot. objaśnień prawnych wydanych przez MC – https://uodo.gov.pl/pl/138/672?fbclid=IwAR1EtJsZswfkW3LudK4bM8SyH3GpOdgZsdIS-8QDUlJnyoYwk7LOdKQCPsY
