Szyfrowanie skutecznym sposobem ochrony danych pracowników
Po pierwsze, wprowadzono obowiązek prowadzenia ewidencji osób wykonujących pracę tymczasową. Po drugie, ustanowiono ograniczenia okresu wykonywania pracy przez pracownika tymczasowego na rzecz konkretnego pracodawcy. Aktualnie agencja pracy tymczasowej może skierować danego pracownika tymczasowego do wykonywania pracy tymczasowej na rzecz jednego pracodawcy użytkownika przez okres nieprzekraczający łącznie 18 miesięcy w okresie obejmującym 36 kolejnych miesięcy.
Zważywszy, że pracodawcy wolą zajmować się biznesem, a życie nie znosi próżni, pojawiła się usługa bazy danych tworzonej i prowadzonej przez podmiot zewnętrzny, obejmująca informacje o pracownikach tymczasowych i pracodawcach, u których byli zatrudnieni. Najpopularniejsza tego typu usługa w Polsce jest prowadzona w formie portalu internetowego udostępniającego bazę danych on-line.
Wraz pojawieniem się wspomnianej usługi outsourcingu, powstało pytanie o dopuszczalność jej świadczenia, w kontekście ochrony danych osobowych. Podstawą prawną dla przetwarzania danych osobowych w tym przypadku może być albo zgoda osoby, której dane dotyczą – przy czym trzeba podkreślić, że wymaga to oddzielnej zgody, niż standardowo zawierana w CV klauzula o zgodzie na przetwarzanie danych osobowych w celach rekrutacyjnych – albo stwierdzenie niezbędności takiego przetwarzania dla zrealizowania obowiązków nakładanych ustawą o zatrudnianiu pracowników tymczasowych .
1. Zgoda pracownika: przed jej udzieleniem powinien on zostać rzetelnie poinformowany o zasadach i celu zbierania i przetwarzania danych, w szczególności o przewidywanych odbiorcach lub kategoriach odbiorców danych .
2. Przetwarzanie danych osobowych jest niezbędne dla zrealizowania obowiązków nakładanych ustawą o zatrudnianiu pracowników tymczasowych – wówczas zgoda pracownika nie jest wymagana.
Jednoczenie w kontekście omawianego portalu istnieją istotne wątpliwości prawne, czy przesłanka dotycząca gromadzenia danych bez zgody pracowników może być zastosowana. Należy odpowiedzieć na pytanie, czy może ona obejmować podmiot, którego te obowiązki nie dotyczą, czyli usługodawcę zewnętrznego. W przypadku przetwarzania danych przez samych pracodawców wydaje się, że przesłanka ta jest spełniona. Obowiązek wykazania spełnienia tej przesłanki leży po stronie administratora danych, np. pracodawcy. Sprawa ma charakter czysto prawny, dlatego też pierwsze rozstrzygnięcie tej kwestii przez uprawniony organ będzie precedensowe.
Zgodnie z zapowiedziami, sprawą z urzędu planuje zająć się Generalny Inspektor Ochrony Danych Osobowych. GIODO poinformował, że zrobi to kompleksowo, z uwzględnieniem zasad przetwarzania i zakresu przetwarzanych danych osobowych, ich retencji, roli poszczególnych podmiotów biorących udział w przetwarzaniu danych osobowych, sposobu realizacji innych obowiązków, w tym informacyjnego oraz obowiązku zabezpieczenia takich danych przed dostępem osób nieupoważnionych.
Zabezpieczenie danych przed dostępem osób nieupoważnionych, w systemie informatycznym – takim jak portal internetowy - jest szczególnie ciekawym zagadnieniem, nad którym należy się pochylić w dobie nasilających się cyberataków i wycieków danych. Należy jednak pamiętać, że pracodawcy korzystający z usług pracowników tymczasowych są zobowiązani do przestrzegania wszystkich wymogów dotyczących należytej ochrony danych osobowych. Przy okazji budowania baz danych pracowników tymczasowych warto mieć na uwadze wchodzące od maja 2018 roku przepisy unijne RODO, które wskazują szyfrowanie jako adekwatny sposób ochrony danych osobowych w systemach informatycznych oraz ustanawiają surowe sankcje za naruszenia w tym zakresie.