Z
dniem 25 maja 2018 r. weszło w życie Rozporządzenie Parlamentu Europejskiego i
Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu
takich danych oraz uchylenia dyrektywy 95/46/WE, czyli RODO (ogólne
rozporządzenie o ochronie danych lub GDPR - General Data Protection Regulation).
Z tą samą datą została uchylona ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 1997 Nr 133 poz. 883, ze zm.).
Z tą samą datą została uchylona ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 1997 Nr 133 poz. 883, ze zm.).
Co powinniśmy wiedzieć na temat
rozporządzenia. Przepisy szczegółowo definiują procesy przetwarzania danych
osobowych oraz nakładają szereg obowiązków na podmioty zajmujące się ich
przetwarzaniem.
Za dane osobowe uznaje się wszelkie
informacje, na podstawie których można zidentyfikować daną osobę fizyczną.
Odnosi się to w szczególności do takich identyfikatorów, jak imię i nazwisko, adres, numer identyfikacyjny, dane
o lokalizacji, identyfikator internetowy. Warto podkreślić, że numer IP też
zalicza się do danych osobowych. Numer telefonu też należy zaliczyć do danych osobowych.
Przetwarzanie danych osobowych to
wszelkie operacje wykonywane na tych danych, czyli zbieranie, utrwalanie,
organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie,
pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie,
rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie,
ograniczanie, usuwanie lub niszczenie.
Każdy, kto przetwarza takie dane
automatycznie staje się ADO, czyli administratorem danych osobowych. Osoba prowadząca
działalność gospodarczą również automatycznie staje się ADO, bez względu na to, czy wyznaczy
pracownika odpowiedzialnego za przetwarzanie, czy nie.
Dane
osobowe powinny być przetwarzane według kilku ważnych zasad:
− powinny być przetwarzane zgodnie z prawem, w
sposób rzetelny i przejrzysty - szczególnie w stosunku do osób, których dotyczą.
−
przetwarzanie powinno odbywać się w konkretnym celu, który musi być wyraźnie
określony i prawnie uzasadniony.
−
przetwarzać wolno tylko niezbędne dane i w niezbędnym zakresie.
− dane
nie mogą być przetwarzane przez okres dłuższy niż jest to niezbędne do celu, w
jakim są przetwarzane (nie można ich przechowywać bezterminowo).
− dane
muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo i
ochronę przed niedozwolonym lub niezgodnym z prawem
przetwarzaniem, utratą, zniszczeniem lub uszkodzeniem. Na ADO spoczywa w tym zakresie obowiązek
zapewnienie odpowiednich środków technicznych.
Jedną z ważniejszych zasad jest wspomniana jako pierwsza zasada
zgodności przetwarzania z prawem. Przetwarzanie danych będzie zgodne z prawem
jeśli:
−
osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych
osobowych. Zgoda musi być dobrowolna, jednoznacznie wyrażona oraz
łatwa do odwołania w każdym czasie,
−
jeśli celem jest wykonanie umowy. Np. przy zamawianiu rzeczy w e-sklepie nie
musimy wyrażać zgody na przetwarzanie danych osobowych, bo
przesłanką legalizującą jest wykonanie umowy sprzedaży. Ważne jest to, że sprzedawca nie może przetwarzać
naszych danych po wykonaniu umowy chyba, że przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego
ciążącego na administratorze (US, obowiązki wynikające z przepisów ustawy o rachunkowości itp.)
REKRUTACJA
Ważnym aspektem zastosowania RODO jest
proces rekrutacyjny. Pamiętajmy, że w tym przypadku przesłanką zgodności z
prawem przetwarzania danych osobowych (w niezbędnym zakresie) jest art. 22[1] § 1
prawa pracy, dlatego CV zawierające dane, o których mowa w prawie pracy nie
wymaga naszej zgody, a żądanie złożenia takiego oświadczenia zawierającego zgodę
(klauzula CV) jest niezgodne z prawem. We wspomnianym artykule Kodeks pracy
stanowi, że pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie
podania danych osobowych obejmujących:
1)
imię (imiona) i nazwisko;
2)
imiona rodziców;
3)
datę urodzenia;
4)
miejsce zamieszkania (adres do korespondencji);
5)
wykształcenie;
6)
przebieg dotychczasowego zatrudnienia.
Jeśli
natomiast rodzaj danych, cel lub czas przetwarzania wykracza poza wymieniony
zakres musimy na ich przetwarzanie wyrazić zgodę. Zgoda musi być dobrowolna i
nie można od niej uzależniać uczestnictwa w procedurze rekrutacyjnej.
Przykładowo, prośba o przesłanie CV z fotografią wymaga naszej zgody, a
wysłanie CV bez fotografii nie może wpływać na proces RQ, bo to będzie
równoznaczne z niedozwoloną dyskryminacją. Podobnie będzie, jeśli system
rekrutacyjny pracodawcy nie przyjmie CV bez dodania fotografii.
Zgodnie
z tym, co już zostało powiedziane, przetwarzając dane osobowe kandydatów w
procesie rekrutacji pracodawca staje się administratorem danych osobowych
(ADO). RODO nakłada na niego obowiązek przekazania kandydatowi do pracy
następujących informacji:
−
nazwy administratora i jego szczegółowych danych kontaktowych,
−
danych kontaktowych Inspektora Ochrony Danych - jeśli taki został przez niego
powołany,
−
podstawy prawnej i celu przetwarzania danych,
−
informacji o odbiorcach danych osobowych albo kategoriach odbiorców,
−
okresie, przez który dane osobowe będą przechowywane,
−
informacji o prawie do żądania dostępu do danych osobowych, ewentualnego
sprostowania,
usunięcia lub ograniczenia przetwarzania, a także o prawie
do wniesienia sprzeciwu wobec przetwarzania lub przenoszenia danych,
− informacji
o prawie do cofnięcia zgody w każdym czasie - jeśli przetwarzania danych odbywa
się na
podstawie zgody,
−
informacji o przysługującym prawie wniesienia skargi do organu nadzorczego
(Prezes Urzędu
Ochrony Danych Osobowych),
−
informacji o tym, czy podanie danych osobowych jest wymogiem ustawowym lub
umownym,
−
informacji o tym, czy podanie danych osobowych jest warunkiem zawarcia umowy,
czy jest
obowiązek ich podania i jakie są konsekwencje niepodania
danych.
Ważne
jest to, że dopełnienie obowiązku informacyjnego przed ADO powinno nastąpić
jeszcze przed zebraniem danych (klauzula CV)
Niestety, jeszcze bardzo częstym
zjawiskiem jest umieszczanie ogłoszeń z ofertą pracy, bez wymaganych
informacji, ale z żądaniem przesłania CV z klauzulą o treści „Oświadczam, że
wyrażam zgodę na przetwarzanie moich danych osobowych dla potrzeb procesu
rekrutacyjnego, zgodnie z Ustawą z dnia 29 sierpnia 1997 r. o Ochronie Danych
Osobowych (Dz. U. Nr 133 poz. 883)”
Problem
w tym, że powołana ustawa z dnia 29 sierpnia 1997 r. o Ochronie Danych
Osobowych została uchylona 25 maja 2018 r., a żądanie zamieszczenia klauzuli jest niezgodne z prawem. Treść
takich ogłoszeń świadczy o tym, że pracodawca nie przywiązuje większej wagi do
obowiązujących przepisów prawa, dlatego takie ogłoszenia radzę omijać wielkim
łukiem.
Jeśli jednak mimo wszystko z jakichś
przyczyn chcemy na takie ogłoszenie odpowiedzieć można zażądać przekazania
informacji wymaganych przez RODO.
Jeśli CV już wysłaliśmy, również można
zażądać takich informacji. Można też, na podstawie art. 77 rozporządzenia
wnieść skargę do PUODO (Prezesa Urzędu Ochrony Danych Osobowych). Urząd, po
otrzymaniu skargi powinien wszcząć postępowanie kontrolne. W przypadku
potwierdzenia naruszeń przepisów dot. ochrony danych osobowych, w drodze
decyzji administracyjnej, może zastosować sankcje przewidziane w art. 83 RODO.
Przewidziane w przepisach kary są bardzo wysokie, bo sięgają 10.000.000 Euro i
więcej. Niezależnie od skargi do PUODO, każdej osobie fizycznej, której dane
osobowe były przetwarzane niezgodnie z prawem, przysługuje roszczenie
odszkodowawcze za powstałe szkody. Roszczenia można dochodzić przed sądem
powszechnym, a decyzja PUODO stwierdzająca naruszenia będzie stanowiła cenny
dowód.
PAMIĘTAJMY:
W przypadku ogłoszenia o pracę, które nie
zawiera powyższych informacji, a zawiera żądanie przesłania CV mamy do
czynienia z naruszeniem prawa. Często też ogłoszenie jest anonimowe i zupełnie
nie wiemy kto je zamieścił. W takim przypadku wysłanie CV bądź innego dokumentu zawierającego dane osobowe, jest
bardzo ryzykowne, bo nie wiemy do kogo trafią nasze dane i w jakim celu zostaną
wykorzystane.