Kontrolujący mogą weryfikować również dostęp do danych z monitoringu. W tym kontekście istotne jest, aby zadbać o odpowiednie upoważnienia.
Nie wszystkie osoby, które mają podgląd obrazu z kamer monitoringu, powinny zostać upoważnione do przetwarzania danych z tego monitoringu. Zdarzają się sytuacje, w których obraz w czasie rzeczywistym (np. z hali produkcyjnej) jest wyświetlany na monitorach w miejscach, w których przebywają pracownicy. Tych pracowników nie powinno się upoważniać do przetwarzania danych.
W przypadku nadawania upoważnień, ich treść powinna być powiązana z poleceniem wykonywania określonych czynności przetwarzania danych.
Równie ważne jest odpowiednie zabezpieczenie nagrań z monitoringu przed nieuprawnionym dostępem oraz przypadkowym zniszczeniem.
Obowiązki informacyjne
Na gruncie przepisów pracodawca jest zobowiązany:
1) dopełnić obowiązku informacyjnego z art. 13 RODO,
2) poinformować pracowników na dwa tygodnie przed uruchomieniem monitoringu o jego wprowadzeniu,
3) przekazać pracownikowi przed dopuszczeniem go do pracy pisemną informację o celach, zakresie oraz sposobie stosowania monitoringu,
4) prowadzić dokumentację pracowniczą według nowych zasad, tj. w części B akt osobowych przechowywać oświadczenia pracownika o zapoznaniu się z informacją o monitoringu.
Mając to na uwadze, należy zadbać o przekazanie pracownikom odpowiednich informacji oraz udokumentowanie tego faktu.
Dane kandydatów – co, po co i jak długo
Drugim obszarem objętym planem kontroli na 2019 r. są dane osobowe przetwarzane przez pracodawców w trakcie procesu rekrutacji.
Wydaje się, że przedmiotem takiej kontroli mogą być w szczególności podstawy prawne przetwarzania danych otrzymanych w związku z prowadzeniem procesu rekrutacyjnego.
Zakres danych, jakich pracodawca może żądać od kandydata do pracy, został wskazany wprost w art. 221 § 1 k.p. Katalog ten jest ograniczony do podstawowych danych o kandydacie, takich jak:
- imię i nazwisko,
- imiona rodziców,
- data urodzenia,
- miejsce zamieszkania lub adres do korespondencji,
- wykształcenie,
- przebieg dotychczasowego zatrudnienia.
Przetwarzanie innych danych jest możliwe jedynie w sytuacji, gdy istnieje inna podstawa ich przetwarzania. W praktyce najczęściej jest to zgoda osoby ubiegającej się o zatrudnienie.
Jeśli jednak kandydat cofnie zgodę, to dalsze przechowywanie danych w celu ewentualnych przyszłych rekrutacji jest niezgodne z obowiązującymi zasadami.
Trzymać czy zniszczyć
Istnieją wątpliwości, czy pracodawca może przechowywać CV i inne dane kandydatów uzyskane w toku rekrutacji po jej zakończeniu. Jesteśmy zdania, że takie działanie może być uznane za wykonywanie obowiązku prawnego, zgodnie z którym pracodawca ma obowiązek przeciwdziałać dyskryminacji w zatrudnieniu. W przypadku roszczeń wynikających z dyskryminacji, to na kandydacie spoczywa obowiązek przedstawienia faktów, z których wynika domniemanie nierównego traktowania. Aby móc to zrobić, niezbędne wydaje się uzyskanie od pracodawcy informacji na temat przebiegu procesu rekrutacyjnego. Aby ten mógł ich udzielić, musi mieć dostęp do CV kandydata wysuwającego roszczenia, jak również pozostałych kandydatów, którzy zostali zakwalifikowani do dalszego etapu rekrutacji. Dozwolone przechowywanie dokumentacji rekrutacyjnej nie jest jednak nieograniczone i nie powinno wynosić więcej niż maksymalny 3-letni okres przedawnienia roszczeń.
Urząd Ochrony Danych Osobowych stoi na stanowisku, że pracodawcy co do zasady nie powinni przechowywać CV kandydatów po zakończeniu rekrutacji. Tymczasem Ministerstwo Cyfryzacji w wydanych objaśnieniach wyraziło odmienny pogląd, wskazując, że pracodawca ma prawo przechowywać dokumentację zawierającą dane osobowe osób, które nie zostały zatrudnione, w celach obrony przed ewentualnymi roszczeniami mogącymi pojawić się w związku z prowadzoną rekrutacją.
W związku z powyższym warto zweryfikować, czy w firmie nie są przechowywane dane kandydatów zgormadzone wiele lat temu, co do których nie ma zgody na ich przetwarzanie w celach kolejnych rekrutacji oraz czy ich dalsze przechowywanie jest w jakikolwiek sposób uzasadnione.
Wyroki w zapomnienie
Co do zasady nie jest dozwolone – nawet za zgodą – żądanie i przechowywanie danych dotyczących wyroków skazujących kandydatów do pracy (poza wyjątkami wskazanymi przez przepisy szczególne). Jeżeli zatem rekrutacja nie jest lub nie była prowadzona na stanowisko, co do którego prawo pozwala lub nakazuje uzyskanie takich danych, ich żądanie lub przechowywanie jest niedozwolone i naraża pracodawców na zarzut przetwarzania danych bez podstawy prawnej.
Planowane zmiany
W Sejmie jest procedowany projekt zmian do przepisów kodeksu pracy, który zakłada m.in., że dane kandydatów wykraczające poza zakres wskazany w kodeksie pracy będzie można przetwarzać na podstawie zgody. Brak jej wyrażenia nie będzie mógł powodować wobec kandydata jakichkolwiek negatywnych konsekwencji, w tym stanowić przyczyny uzasadniającej odmowę zatrudnienia.
Zgodnie z tym projektem, pracodawca będzie musiał w każdym przypadku rozważyć, czy uzyskanie informacji na temat wykształcenia, kwalifikacji zawodowych oraz przebiegu dotychczasowego zatrudnienia kandydata jest rzeczywiście niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.
Zgodnie z projektem, zmianie ma ulec również zakres danych osobowych, których pracodawca będzie mógł żądać od osoby ubiegającej się o zatrudnienie.
Bez czarnych list
Zgodnie ze stanowiskiem Urzędu Ochrony Danych Osobowych przedstawionym w „Poradniku dla pracodawców" nie jest dozwolone wykorzystywanie danych kandydatów do tworzenia tzw. czarnych list. Dlatego pracodawca powinien zweryfikować, czy w jego firmie takie praktyki nie są stosowane, a jeżeli tak – bezwzględnie z nich zrezygnować.
Zdaniem autora
Robert Stępień, radca prawny w kancelarii Raczkowski Paruch w Krakowie
Wspomniany projekt zmian do przepisów kodeksu pracy dotyczy również monitoringu wizyjnego. Przewiduje w szczególności wyraźne wyłączenie możliwości stosowania tego monitoringu w pomieszczeniach udostępnianych związkom zawodowym. Natomiast w pomieszczeniach sanitarnych dopuszcza możliwość zamontowania kamer wyłącznie po uzyskaniu zgody związków zawodowych bądź przedstawicieli pracowników. Jeżeli projektowane przepisy wejdą w życie, pracodawcy ponownie staną przed koniecznością dostosowania wewnętrznych regulacji oraz praktyki stosowania monitoringu.
W kontekście toczącego się procesu legislacyjnego pojawia się wątpliwość, czy pracodawcy, którzy już wprowadzili postanowienia dotyczące stosowania monitoringu w pomieszczeniach sanitarnych w uzgodnieniu ze związkami zawodowymi, będą musieli uzyskać dodatkową zgodę związków w tym zakresie, czy też wcześniejsze ustalenia zostaną uznane za wystarczające.
Zdaniem autora
Paweł Sych, radca prawny w kancelarii Raczkowski Paruch w Katowicach
Mając na uwadze, że kontrole na podstawie zatwierdzonego planu będą dotyczyć wszystkich pracodawców, powinni oni możliwie jak najszybciej dokonać weryfikacji poszczególnych obszarów przetwarzania danych, w szczególności w zakresie monitoringu i prowadzonych procesów rekrutacyjnych. Tym bardziej, że kontrole mogą być niezapowiedziane, a sankcje za naruszenia bardzo dotkliwe. Przy okazji warto też zadbać o wszelkie pozostałe obszary, w których dane osobowe są przetwarzane.