Nie każdy jest świadom, że w toku poleceń pracowniczych ma miejsce przetwarzanie danych osobowych zarówno osób polecanych, jak i polecających. Co warto na ten temat wiedzieć, żeby uczynić zadość obowiązującemu prawu?
Z artykułu dowiesz się m.in.:
- Jakie są podstawy prawne przetwarzania danych w toku wewnętrznego i zewnętrznego polecenia pracowniczego.
- Jak traktowane jest wewnętrzne polecenie pracownicze w kontekście RODO.
- Jakie zagrożenia wiążą się z zewnętrznymi poleceniami pracowniczymi i jak ich uniknąć.
- Jakie obowiązki m.in. informacyjne ciążą na pracodawcy w kontekście poleceń pracowniczych.
Wraz z odbiciem na rynku pracy po zastoju wywołanym pandemią koronawirusa (więcej w raporcie Grant Thornton pt. „Rynek pracy wychodzi z hibernacji” – tutaj >>) dynamicznie rośnie liczba nowych posad oraz procesów rekrutacyjnych. Częstym zabiegiem, którym posiłkują się pracodawcy rywalizujący o tych samych kandydatów, są tzw. polecenia pracownicze. W tym kontekście warto się zastanowić (co wciąż rzadko komu przychodzi do głowy) jak w takiej sytuacji przetwarzać dane osobowe zgodnie z prawem, ponieważ uchybienia mogą być kosztowne. Co zatem warto na ten temat wiedzieć?
Dwa scenariusze przetwarzania
W przypadku procesu rekrutacyjnego zapoczątkowanego poleceniem pracowniczym dane osobowe mogą być przetwarzane w ramach dwóch scenariuszy – mianowicie:
- polecenie może być wewnętrzne, tj. rekrutacja prowadzona w ramach własnych zasobów ludzkich;
- polecenie może być zewnętrzne, tj. rekrutacja prowadzona z ukierunkowaniem na kandydatów spoza organizacji pracodawcy.
W pierwszym przypadku schemat działania z reguły opiera się na regulaminie przyjętym u danego pracodawcy. Zwykle zakłada on, iż pracownik polecający przedstawia pracodawcy podstawowe dane kandydata. O ile kandydat nie aplikował już samodzielnie na dane stanowisko pracy, pracodawca uznaje polecenie i rozpoczyna proces rekrutacji wewnętrznej. W przypadku pozytywnego rozstrzygnięcia rekrutacji, pracownik polecający otrzymuje określone regulaminem wynagrodzenie. Drugi wariant przetwarzania, to polecenie zewnętrzne, które jest oparte o pozyskanie danych kandydata spoza organizacji.
Nasz ekspert Małgorzata Samborska jest do Twojej dyspozycji.
Wewnętrzne polecenie pracownicze a podstawa przetwarzania
Zasadniczy cel przetwarzania danych osobowych w przypadku wewnętrznego polecenia pracowniczego, to w znacznej części nadal realizacja stosunku pracy. Przypomnijmy, że takie przetwarzanie odbywa się w głównej mierze na podstawie art. 6 ust. 1 lit. c RODO, tj. przetwarzanie w celu realizacji obowiązku prawnego ciążącego na administratorze danych lub na podstawie prawnie uzasadnionego interesu administratora danych (tj. art. 6 ust. 1 lit. f RODO). Zatem w przypadku polecenia pracowniczego „wewnętrznego”, które w praktyce sprowadza się do awansu, czy też zmiany zaszeregowania, można posiłkować się często pomijaną przesłanką, o której mowa w art. 6 ust. 4 RODO.
Ważny fragment
Oznacza ona, że można przyjąć, iż przetwarzanie danych osobowych pracowników, które pierwotnie zebrano do celów realizacji stosunku pracy i wykonywania zadań służbowych, w celu ich dalszego przetwarzania dla potrzeb realizacji wewnętrznego polecenia pracowniczego, jest zgodne z celem pierwotnym i nie wymaga ustalenia odrębnej podstawy przetwarzania.
Zgodność czynności przetwarzania z jego podstawą
Przy ocenie wyżej opisanej zgodności czynności przetwarzania należy wziąć pod uwagę czynniki takie, jak:
- wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania;
- kontekst, w którym zebrano dane osobowe, w szczególności relację miedzy osobami, których dane dotyczą, a administratorem;
- charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 RODO lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych zgodnie z art. 10 RODO – nie dotyczy;
- ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą;
- istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.
W przypadku wewnętrznego polecenia pracowniczego, najistotniejszym elementem powyższego wyliczenia jest istota związku między celami przetwarzania obecnego i przyszłego – czyli realizacja stosunku pracy.
Ważny fragment
Awans stanowiskowy, jakim jest w zdecydowanej mierze wewnętrzne polecenie pracownicze, można traktować jako logiczny i kolejny etap przetwarzania danych w celu realizacji stosunku pracy.
Opinia Grupy Roboczej ds. ochrony osób fizycznych
W omawianym kontekście istotna jest opinia Grupy Roboczej art. 29, poświęcona ograniczeniu celu przetwarzania (Opinia 00569/13/EN/WP z 2 kwietnia 2013 r.). W przytaczanym stanowisku Zespół Roboczy ds. ochrony osób fizycznych zwraca uwagę na rozsądne oczekiwania podmiotu danych, względem czynności przetwarzania realizowanych przez administratora danych osobowych, które uzasadniają oparcie procesu przetwarzania na przesłance z art. 6 ust. 4 RODO. Rozsądne oczekiwania wynikają z relacji administratora danych i podmiotu danych. Jak widać występuje tutaj pewna analogia do oparcia procesu przetwarzania na przesłance, o której mowa w art. 6 ust. 1 lit. f RODO, tj. prawnie uzasadnionym interesie administratora danych. Idąc dalej i posiłkując się motywem 47 preambuły RODO warto zauważyć, że ważny jest tutaj charakter relacji między administratorem danych, a podmiotem danych – tj. relacja pracodawca-pracownik. Przetwarzanie w przypadku wewnętrznych poleceń pracowniczych nie powinno być zaskakujące dla pracownika, ponieważ jest to czynność związana ze stosunkiem pracy. Ponadto jest to proces transparentny, który z reguły jest opisany w wewnętrznych procedurach.
Swoboda decyzji podmiotu danych?
Dyskusyjnym elementem tego procesu przetwarzania mógłby być element swobodnej decyzji podmiotu danych, który jest przynajmniej w części ograniczony ze względu na konieczność przetwarzania danych osobowych w celu realizacji obowiązków prawnych ciążących na administratorze danych. Wyjaśnienie można jednak odnaleźć w przytaczanej powyżej opinii Grupy Roboczej art. 29, w której jest mowa o tym, iż niezbędność przetwarzania do realizacji obowiązku prawnego (jak i wspomniana wcześniej przewidywalność) mogą sugerować, że dalsze wykorzystanie jest właściwe i nie wymaga zmiany celu przetwarzania.
Dane polecającego
Aby spojrzenie na poruszaną kwestię było kompletne należy zauważyć, że odrębną kategorię osób, których dane podlegają przetwarzaniu w ramach analizowanego procesu, stanowią pracownicy polecający kandydatów. W pierwszej kolejności należy zwrócić uwagę, że program poleceń pracowniczych odbywa się z reguły na podstawie ogólnodostępnej w organizacji procedury. Po zapoznaniu się z zasadami programu, pracownik polecający dobrowolnie bierze w nim udział. Zatem można tutaj mówić o elemencie zgody, która przejawia się świadomym działaniem osoby polecającej. Zgodnie z motywem 32 RODO, zgoda może przejawiać się także zachowaniem. Drugą podstawą prawną, nad którą należy się zastanowić, jest realizacja umowy. Przystępując do programu poleceń pracowniczych, pracownik polecający zobowiązuje się do przestrzegania zasad programu, za określonym wynagrodzeniem. Pracodawca zaś zobowiązuje się do wypłaty określonego regulaminem świadczenia. Zatem wydaje się, że przetwarzanie danych osobowych pracowników polecających może się odbywać zarówno na podstawie ich dobrowolnej zgody (zgodnie z art. 6 ust. 1 lit. a RODO), jak i na podstawie niezbędności przetwarzania do realizacji umowy (tj. art. 6 ust. 1 lit. b RODO).
Podstawa przetwarzania przy poleceniu zewnętrznym
Drugi wariant przetwarzania, to polecenie zewnętrzne, wiążące się z koniecznością pozyskania danych kandydata pochodzącego spoza organizacji. W tym przypadku podstawową przesłanką upoważniającą pracodawcę do przetwarzania danych osobowych w procesie rekrutacyjnym jest realizacja obowiązku prawnego ciążącego na administratorze danych osobowych, tj. obowiązku, o którym mowa w art. 221 § 1 KP. Oczywiście przyjęło się, iż obowiązek ten dotyczy „kodeksowego” zakresu danych. Jednak w przypadku, gdy zakres danych przekazanych w CV jest szerszy, niż określony w Kodeksie pracy, za podstawę przetwarzania przyjmuje się także zgodę kandydata (np. świadome i dobrowolne działania). Przy czym, jeżeli kandydat w swoim CV – w sytuacji, gdy jest to nieuzasadnione – przesyła potencjalnemu pracodawcy także szczególne kategorie danych, wówczas zgoda powinna być wyraźna (np. oświadczenie).
W przypadku polecenia pracowniczego zewnętrznego, kandydat do pracy biorący udział w procesie rekrutacyjnym uczestniczy przede wszystkim w programie polecającym, a dopiero później (w przypadku porównania danych z danymi zgromadzonymi w bazie kandydatów) we właściwych działaniach rekrutacyjnych zmierzających do zatrudnienia, w „kodeksowym” rozumieniu. Stąd właściwą podstawą prawną przetwarzania w analizowanym przypadku jest zgoda kandydata, którą dla potrzeb rozliczalności (na rzecz administratora) może zapewnić pracownik polecający.
AUTOR: Kacper Rączkowiak
Zagrożenia przy zewnętrznych poleceniach
Pracodawcy powinni unikać przekazywania kompletnego CV przez osobę polecającą, ponieważ w istotny sposób mogłoby to naruszyć prywatność kandydata do pracy. Identyfikatorem wystarczającym do porównania kandydata z danymi z bazy pracodawcy, może być choćby imię i nazwisko oraz adres e-mail. W tym celu pracodawcy – zarówno w scenariuszu pierwszym, jak i drugim – powinni pobierać CV bezpośrednio, tj. np. udostępniać kandydatom link do swojego portalu rekrutacyjnego.
Przetwarzanie CV niemal zawsze powoduje ryzyko pojawienia się szczególnych kategorii danych, tj. głównie danych dotyczących stanu zdrowia. Taka praktyka, tj. przekazania CV za pośrednictwem pracownika polecającego, mogłaby tworzyć prawdopodobieństwo przetwarzania szczególnych kategorii danych. To z kolei, oprócz naruszenia prywatności, powodowałoby konieczność nadania pisemnych upoważnień dla wszystkich pracowników polecających, co wynika z zapisów art. 221b § 3 KP.
Przetwarzanie danych polecającego przy zewnętrznej rekrutacji
Przetwarzanie danych osobowych pracownika polecającego w przypadku drugiego scenariusza, a więc w przypadku polecenia zewnętrznego, może następować na podstawie zarówno zgody, jak i dla potrzeb realizacji umowy.
Dodatkowe obowiązki z zakresu RODO spoczywające na pracodawcy
Oba przeanalizowane powyżej scenariusze wymagają realizacji tzw. obowiązku informacyjnego. Obowiązek taki może być wykonany albo w ramach procedury wewnętrznej, albo odrębnej klauzuli informacyjnej. Takiej, którą pracodawca przedstawia wszystkim swoim pracownikom w momencie wprowadzania ich do organizacji.
Należy pamiętać, że istotny jest element pozyskania danych niebezpośrednio od podmiotu danych. Zgodnie z art. 14 RODO, przekazanie klauzuli informacyjnej, w przypadku zebrania danych osobowych z innego źródła, nie musi następować przed rozpoczęciem pobrania. Oznacza to, że przekazanie informacji o szczegółach przetwarzania danych osobowych może odbyć się w rozsądnym terminie po pozyskaniu danych osobowych (najpóźniej w ciągu miesiąca) lub przy pierwszej komunikacji z podmiotem danych, jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą.
Ważny fragment
UWAGA! Ważnym elementem klauzuli informacyjnej odnoszącej się do pozyskania danych niebezpośrednio od podmiotu danych jest wskazanie źródła, a co za tym idzie podanie, iż dane pochodzą od pracownika polecającego w związku z realizacją programu poleceń pracowniczych.
Miejscem publikacji klauzuli informacyjnej może być np. portal rekrutacyjny/ogłoszeniowy, w którym pracodawca podaje do publicznej wiadomości klauzulę informacyjną obejmująca swoim zasięgiem także proces przetwarzania danych w ramach poleceń pracowniczych.
Innymi obowiązkami pracodawcy, które mogą powstać w omawianych przypadkach, jest m.in. ustalenie okresów retencji, aktualizacja rejestru czynności przetwarzania, czy konieczność dokonania dodatkowej oceny ryzyka naruszenia praw i wolności podmiotów danych. Ale to temat na odrębne omówienie.