Drogi Użytkowniku,

Informujemy, iż używamy plików cookies, potocznie zwanych ciasteczkami. Pliki te automatycznie instalują się w pamięci Twoich urządzeń za pomocą, których przeglądasz naszą stronę internetową. Robimy to w celu usprawnienia funkcjonowania naszego Portalu, a także w celach marketingowych. Pamiętaj, że w każdym czasie możesz zmienić ustawienia plików cookies.

Jeżeli chcesz dowiedzieć się więcej, np. w jaki sposób wyłączyć pliki cookies, albo jak przetwarzamy i chronimy Twoje dane zapraszamy do zapoznania się z naszą Polityką prywatności.

Dalsze nawigowanie po stronie internetowej lub zamknięcie niniejszego komunikatu będzie równoznaczne z wyrażeniem zgody na stosowaną przez nas Politykę prywatności oraz pliki cookies.

Zgadzam się
01 KWI 2018

Ochrona danych osobowych w agencjach zatrudnienia po wejściu w życie RODO.

Administrator nie może żądać więcej danych osobowych niż jest to mu potrzebne do zrealizowania celu przetwarzania, np. przeprowadzenia rekrutacji, wykonania umowy zlecenia. Kserując lub skanując dowód osobisty administrator pozyskuje w ten sposób również zbędne dane, których co do zasady nie ma prawa przetwarzać.

Agencje zatrudnienia, ze względu na specyfikę swojej działalności, gromadzą i przetwarzają duże ilości danych osobowych. 25 maja 2018 r. na terenie Polski, podobnie jak w pozostałych państwach Unii Europejskiej, zacznie obowiązywać unijne rozporządzenie, regulujące zagadnienia związane z ochroną danych osobowych, w skrócie RODO. Akt ten pociągnie za sobą wejście w życie nowej ustawy o ochronie danych osobowych, a także nowelizację wielu innych polskich ustaw.

Agencje zatrudnienia będą musiały się odpowiednio przygotować i sprostać nowym obowiązkom, co nie jest ani proste, ani tanie.

1. Jednym z wyzwań, w szczególności dla mniejszych agencji zatrudnienia, będzie odpowiedź na pytanie: czy należy formalnie powołać osobę odpowiedzialną za ochronę danych osobowych, tj. inspektora ochrony danych osobowych.

Każdy administrator danych będzie mógł dobrowolnie powołać inspektora ochrony danych osobowych, natomiast w niektórych przypadkach obowiązek ten został wprost narzucony mocą RODO np. art. 37 ust. 1 lit b: „Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych zawsze gdy, główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę”.

Powszechną praktyką i podstawą działalności agencji zatrudnienia jest tworzenie i stałe korzystanie ze zbioru (bazy) danych, w którym znajdują się dane osobowe zarówno zrekrutowanych pracowników, jak i potencjalnych kandydatów do pracy. Często bowiem zdarza się, że gdy agencja zatrudnienia otrzyma zlecenie wyszukania pracownika, to proces rekrutacji rozpoczyna właśnie od sprawdzenia własnej bazy danych pracowników i kandydatów. Ponadto taką bazę danych ciągle się aktualizuje i uzupełnia, np. na potrzeby związane z obsługą podatkowo – kadrową.

Taki model działania kwalifikuje się jako regularne i systematyczne monitorowanie osób, o którym mowa w art. 37 ust. 1 lit b RODO. W tej mierze dla powołania inspektora ochrony danych kluczowe jest rozstrzygnięcie kwestii czy działalność odbywa się na dużą skalę.

RODO nie precyzuje konkretnie kiedy mamy do czynienia z dużą skalą (np. nie określona żadnych progów liczbowych), jednakże dość ogólnie wskazuje, iż „operacje przetwarzania o dużej skali to operacje, które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, które mogą powodować wysokie ryzyko”.

Zatem to agencja zatrudnienia, w oparciu o wyżej wymienione generalne kryteria, będzie musiała ocenić czy jej działalność odbywa się na dużą skalę czy też nie, a tym samym czy będzie musiała powołać inspektora ochrony danych osobowych. O ile nie jest to problem w przypadku dużych ogólnopolskich agencji zatrudnienia, o tyle sytuacja bardzo komplikuje się, gdy mamy do czynienia z agencją średniej wielkości działającą na lokalnym rynku pracy. Błędna ocena i niewyznaczenie inspektora danych osobowych może skutkować karą pieniężną.

2. Innym praktycznym problem związanym z RODO jest obowiązek informacyjny w przypadku pozyskiwania danych osobowych przez agencje zatrudnienia.

W myśl art. 13 RODO, administrator zbierając dane osobowe o osobie fizycznej, np. od nowego kandydata do pracy, będzie musiał w komunikatywny sposób poinformować go o swojej tożsamości i danych kontaktowych, o danych inspektora ochrony danych (o ile go wyznaczono), o celach i podstawach prawnych przetwarzania, wskazać komu będą przekazywane te dane, a także czy jego dane osobowe będą przekazywane poza Unię Europejską, dodatkowo informację o przysługujących kandydatowi prawach wynikających z RODO.

Przekazanie informacji przez administratora powinno nastąpić przed zakończeniem zbierania danych osobowych, najpóźniej w chwili ich zebrania, co oznacza trudności w przypadku wpływu pliku z CV na skrzynkę mailową agencji zatrudnienia. Rozwiązaniem tego problemu może być np. konfiguracja skrzynki mailowej w ten sposób, aby od razu po otrzymaniu maila z CV skrzynka automatycznie wysyłała maila zwrotnego zawierającego wszystkie niezbędne informacje, o których mowa w art. 13 RODO. Istotne jest również to, aby administrator był w stanie wykazać, iż faktycznie poinformował kandydata o wszystkich zagadnieniach, o których mowa we wspomnianym art. 13 RODO.

3. RODO formułuje również zasadę minimalizacji danych, polegającą na tym, iż „dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane”. Realizacja powyższej zasady będzie oznaczałasprawdzenie czy agencja zatrudnienia przetwarza tylko te dane i te dokumenty, które są naprawdę niezbędne do realizacji danego celu przetwarzania. Doskonałym przykładem ilustrującym naruszanie tej zasady jest nagminna praktyka kserowania dokumentów tożsamości np. dowodów osobistych i to nie tylko przez agencje zatrudnienia, ale także przez pracodawców oraz usługodawców.

Autor:
Radca Prawny Marcin Siemienkiewicz

Tekst ukazał się pierwotnie na portalu GazetaPrawna.pl