Obowiązek informacyjny w stosunku do kandydatów do pracy i pracowników

Przetwarzanie danych osobowych zarówno kandydatów do pracy, jak i pracowników, wiąże się z szeregiem wymogów, które muszą zostać spełnione przez pracodawcę (także potencjalnego pracodawcę). Wśród nich można wymienić m.in. konieczność legitymowania się jedną z przesłanek określonych w art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej UODO), gdy chodzi o tzw. dane zwykłe (np. imię, nazwisko, nr PESEL) bądź w art. 27 ust. 2 UODO, gdy myślimy o tzw. danych wrażliwych (np. informacje o stanie zdrowia albo o karalności).

Elementy obowiązku informacyjnego

Obowiązek ten to nic innego jak konieczność przekazania osobie fizycznej (kandydatowi do pracy, pracownikowi) informacji wskazanych w ww. przepisie prawa, w sytuacji zbierania danych od osoby, której dane dotyczą. Zgodnie z brzmieniem art. 24 ust. 1 UODO na obowiązek ten składają się następujące informacje:

  • adres siedziby i pełna nazwa administratora danych, a w przypadku gdy administratorem danych jest osoba fizyczna – miejsce jego zamieszkania oraz imię i nazwisko,
  • cel zbierania danych, a także (w szczególności) informacje o przewidywanych odbiorcach lub kategoriach odbiorców danych,
  • prawo dostępu do treści swoich danych oraz ich poprawiania,
  • dobrowolność albo obowiązek podania danych, a jeżeli taki obowiązek istnieje, to wskazanie jego podstawy prawnej.

Pierwszy z ww. elementów wymaga od administratora danych wskazania danych, które go identyfikują, w ten sposób, by osoba fizyczna, której dane są zbierane, mogła swobodnie się z nim skontaktować. A zatem należy podać tu pełną nazwę firmy (tą, którą przedsiębiorca wpisał do ewidencji działalności gospodarczej albo Krajowego Rejestru Sądowego) oraz adres siedziby (miasto, ulica, numer lokalu).

Drugi element nakazuje podanie przez administratora danych celu przetwarzania danych. W przypadku kandydata do pracy cel ten moglibyśmy określić np. jako udział w procesie rekrutacyjnym (aktualnym i przyszłych), a w odniesieniu do pracowników można opisać go na co najmniej kilka sposobów np. dopełnienie wymogów zawartych w przepisach prawa pracy i ubezpieczeń społecznych, w celu realizacji umowy o pracę, etc. Wskazanie celu to jednak nie wszystko. Dalsza część przepisu mówi bowiem o konieczności wskazania odbiorcy danych lub kategorii takich odbiorców. Definicja odbiory danych została zawarta w art. 7 pkt. 6 UODO i nie wchodząc w szczegóły można przyjąć, że jest nim po prostu inny administrator danych niż pracodawca. Kto mógłby być takim odbiorcą? Przykładowo możemy tu wymienić firmę świadczącą usługi opieki medycznej dla pracownika i jego rodziny, jeśli pracodawca przekazuje takie dane do ww. firmy.

Trzeci element obowiązku informacyjnego jest ważny dla osoby fizycznej (kandydata do pracy lub pracownika), ponieważ umożliwia mu skorzystanie z ustawowych uprawnień do kontroli przetwarzania jego danych przez administratora danych. Uprawnienia te zostały wskazane w art. 32 UODO.

Ostatni z elementów doprecyzowuje, czy podanie danych pracodawcy (potencjalnemu pracodawcy) ma charakter obowiązkowy czy dobrowolny. W tym pierwszym przypadku konieczne jest wskazanie w obowiązku informacyjnym konkretnego przepisu prawa, z którego taki przymus podania danych wynika.

Moment i forma dopełnienia obowiązku informacyjnego

Art. 24 UODO niestety nie wskazuje momentu, w którym należy dopełnić obowiązku informacyjnego. Podkreśla się jednak w nauce prawa, że powiadomienie o elementach, o których napisałem wcześniej powinno nastąpić przed zbieraniem danych osobowych, nie później jednak niż w chwili ich zebrania. Bez znaczenia jest tu sposób zbierania danych, a zatem może to być forma elektroniczna (przesyłanie aplikacji o pracę mailem), jak i forma tradycyjna (przesłanie CV pocztą).

Obowiązek informacyjny możemy spełnić na kilka sposobów, a więc wskazać go w ogłoszeniu o pracę, wpisać pod formularzem rekrutacyjnym (w odniesieniu do kandydatów do pracy) albo też zawrzeć w kwestionariuszu osobowym lub umowie o pracę (w odniesieniu do pracownika). Nic nie stoi na przeszkodzie, by został on dopełniony ustnie, ale oczywiście należy zauważyć, że taka forma może być potem kłopotliwa do udowodnienia przed sądem (np. w razie sporu z pracownikiem).

Sankcje

Spełnienie obowiązku informacyjnego jest jednym z niezbędnych elementów związanych z legalnym (zgodnym z prawem) przetwarzaniem danych. Dodatkowo UODO zawiera w sobie przepis karny, który odnosi się właśnie do sytuacji, w której obowiązek ten nie zostanie spełniony. Art. 54 UODO mówi bowiem, że „Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku”.

Ponadto, w sytuacji gdy pracodawca (potencjalny pracodawca) nie dopełni opisywanego tu obowiązku informacyjnego, naraża się on, oprócz opisanej wcześniej sankcji karnej, na sankcję administracyjną w postaci decyzji Generalnego Inspektora Ochrony Danych Osobowych, w której nakazane może być:

  • usunięcie uchybień,
  • uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,
  • zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
  • wstrzymanie przekazywania danych osobowych do państwa trzeciego,
  • zabezpieczenie danych lub przekazanie ich innym podmiotom,
  • usunięcie danych osobowych.

Dodaj komentarz