Urząd Ochrony Danych Osobowych i Ministerstwo Cyfryzacji wdały się w otwarty spór kompetencyjny. Problem mają przedsiębiorcy. Zastosują wytyczne resortu, a karę dostaną od organu nadzorczego
W ostatnich dniach znów iskrzy na linii Ministerstwo Cyfryzacji (MC) – Urząd Ochrony Danych Osobowych (UODO). Resort zaprezentował bowiem formalne objaśnienia prawne dla przedsiębiorców w kwestiach związanych z ochroną danych osobowych w procesach rekrutacyjnych. Jako podstawę prawną dla takiego działania podano art. 33 ust. 1 ustawy z 6 marca 2018 r. – Prawo przedsiębiorców (Dz.U. poz. 646 ze zm.; dalej: p.p.)., zgodnie z którym ministerstwa mają prawo wydawać mające wiążący charakter dla przedsiębiorców objaśnienia prawne [ramka]. Nie spotkało się to z aprobatą prezes UODO dr Edyty Bielak-Jomaa. Zarzuciła, że resort wkracza w kompetencje prezesa UODO. Zasugerowała również, że stosowanie się do objaśnień MC może narazić przedsiębiorców na negatywne konsekwencje, a w niektórych przypadkach – skutkować będzie odpowiedzialnością Skarbu Państwa za dokonane firmom szkody. Wszak przedsiębiorca może otrzymać karę od organu nadzorczego i tłumaczyć się, że podejmowane przez niego działania wynikały z podążania za wskazówkami MC – rządowej instytucji działającej w trybie ustawowym.
Czym są objaśnienia prawne
To nowy instrument wprowadzony w ramach Konstytucji Biznesu w ustawie z 6 marca 2018 r. – Prawo przedsiębiorców (Dz.U. poz. 646 ze zm.; dalej: p.p.). Objaśnienia prawne mogą wydawać ministrowie oraz organy upoważnione do opracowywania i przedkładania aktów prawnych Radzie Ministrów, mogą to robić z urzędu bądź na wniosek rzecznika małych i średnich przedsiębiorców. Mają one na celu objaśnienie przepisów regulujących podejmowanie, wykonywanie lub zakończenie działalności gospodarczej przy uwzględnieniu w szczególności orzecznictwa sądów, Trybunału Konstytucyjnego i Trybunału Sprawiedliwości Unii Europejskiej.
Objaśnienia te mogą być zmienione na wniosek rzecznika MSP, jeżeli sądy, Trybunał Konstytucyjny, bądź Trybunał Sprawiedliwości Unii Europejskiej stwierdzą, że wcześniej wydane były nieprawidłowe. Przy czym tego typu zmiana nie ma jednak wpływu na sytuację przedsiębiorców, którzy wcześniej zastosowali się do objaśnień w brzmieniu przed ich zmianą.
Zgodnie z art. 35 ust. 3 prawa przedsiębiorców przedsiębiorca nie może być obciążony sankcjami administracyjnymi, finansowymi lub karami w zakresie, w jakim zastosował się do wspomnianych objaśnień prawnych.
Jeden z ekspertów nieoficjalnie mówi nam, że rzeczywiście może być tak, że ofiarami konfliktu pomiędzy urzędami będą przedsiębiorcy. Prezes UODO może bowiem chcieć karać administratorów, którzy będą stosować się do wyjaśnień MC. Zdaniem rozmówcy, tezę może potwierdzać to, że w ostatniej chwili postanowiono włączyć zagadnienie przetwarzania danych osobowych w związku z rekrutacją do planu kontroli organu nadzorczego na 2019 r. – Niechęć organów wydaje się być wzajemna. Na przykład 28 września 2018 r. Maciej Kawecki skarżył się podczas posiedzenia rady ds. cyfryzacji, że Ministerstwo Cyfryzacji zaprosiło do udziału w pracach grupy roboczej między innymi prezesa UODO, jednak ten odmówił udziału – opowiada nam dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.
Czy resort mógł wydać objaśnienia
Spór kompetencyjny wywołał duże poruszenie wśród przedsiębiorców oraz prawników zajmujących się ochroną danych osobowych. Wielu z nich mówi wprost: resort cyfryzacji nie powinien był wydawać objaśnień w oparciu o art. 33 ust. 1 p.p. w sytuacji, gdy dotyczyły one obszaru przetwarzania danych osobowych.
I tłumaczą, że wspomniany przepis z ustawy p.p. daje prawo ministrom oraz niektórym organom (tym, które na podstawie odrębnych przepisów są upoważnione do opracowywania i przedkładania radzie ministrów projektów aktów prawnych) do wydawania objaśnień. Są to – jak wynika z ustawy – „wyjaśnienia przepisów regulujących podejmowanie, wykonywanie lub zakończenie działalności gospodarczej, które dotyczą praktycznego ich stosowania, przy uwzględnieniu w szczególności orzecznictwa sądów, Trybunału Konstytucyjnego i Trybunału Sprawiedliwości Unii Europejskie”. Przy czym organy mają je wydawać „w zakresie swojej właściwości z urzędu lub na wniosek rzecznika małych i średnich przedsiębiorców”.
Zdaniem dr. Pawła Litwińskiego resort cyfryzacji zbyt szeroko zinterpretował art. 33 ust. 1 p.p., twierdząc, iż zasady przetwarzania danych w procesie rekrutacji powinny być objaśniane na podstawie wskazanego przepisu dotyczącego podejmowania działalności gospodarczej. – Idąc tym tropem, pod wskazany tryb ustawowy można byłoby podciągnąć dosłownie wszystkie zagadnienia związane z prowadzeniem firmy – stwierdza dr Litwiński.
Węzeł prawny
Co jednak najważniejsze, zgodnie z art. 35 ust. 3 p.p. przedsiębiorca nie może być obciążony sankcjami administracyjnymi, finansowymi lub karami w zakresie, w jakim zastosował się do wydanych objaśnień prawnych. Czyli teoretycznie: jeśli przedsiębiorca zastosuje się do objaśnień – to nikt nie powinien nałożyć na niego kary [ramka]. To właśnie z powodu tego przepisu prezes UODO wydał krytyczne stanowisko na temat objaśnień dotyczących tematu ochrony danych osobowych. – Prezes UODO jest organem niezależnym. Tymczasem stosując się do art. 35 ust. 3 p.p., nie mógłby nałożyć kary na przedsiębiorcę, który korzystał z objaśnień prawnych dokonanych w zgodzie z ustawą p.p. Tylko jeśli przyjmiemy, że ustawa zabrania prezesowi UODO nałożenia kary na administratora, to taka ustawa jest niezgodna z RODO, czyli aktem wyższej rangi, bo wynikającego z prawa unijnego – komentuje adwokat Tomasz Waszczyński.
Dodaje, że zasada pierwszeństwa prawa unijnego wskazuje konieczność zapewnienia skuteczności prawu UE i uwzględniającej to wykładni prawa krajowego. Na przykładzie opisywanej sprawy – na skutek istnienia tej zasady nie można stosować przepisów prawa krajowego w taki sposób, by ograniczało to uprawnienia prezesa UODO wynikające z RODO, np. o nakładaniu kar.
Odszkodowanie od Skarbu Państwa
Co się zatem stanie, gdy przedsiębiorca zastosuje się do objaśnień MC, po czym zostanie ukarany przez prezesa UODO? – To będzie sytuacja bardzo niekomfortowa dla administratora danych osobowych. Moim zdaniem będzie on miał podstawy, aby rozważyć regresowe roszczenie do Skarbu Państwa w kwocie odpowiadającej nałożonej karze przez prezesa UODO – mówi dr Paweł Litwiński.
Nieco łagodniej do tej kwestii podchodzi mec. Tomasz Waszczyński. – Nie jest oczywiste, że przedsiębiorca za każdym razem będzie miał pewność uzyskania odszkodowania od Skarbu Państwa. Niemniej istnieje takie ryzyko i zdecydowanie resort cyfryzacji nie powinien się przyczyniać do zwiększenia takiego zagrożenia – ocenia.
Niewątpliwie to miała na myśli prezes UODO, apelując w swoim oświadczeniu do MC o niepodejmowanie działań, które mogą narazić przedsiębiorców na negatywne konsekwencje i w dłuższej perspektywie utrudnić im działalność, co może rodzić pytania o ewentualną odpowiedzialność Skarbu Państwa za takie szkody.
Przyjaźniejsze, ale nie wiążące
Przepytywani przez nas specjaliści oceniają, że objaśnienia prawne dokonane przez MC – pomimo że są wątpliwości, czy w ogóle powinny być wydane – to paradoksalnie merytorycznie są bardziej przyjazne biznesowi niż poradniki prezesa UODO. – Organ nadzorczy prezentuje bardzo restrykcyjne podejście w zakresie przetwarzania danych osobowych kandydatów do pracy. Resort cyfryzacji wydaje się iść bardziej na rękę przedsiębiorcom i praktyce rynkowej, np. w zakresie długości przechowywania danych z rekrutacji. To spotyka się z większą aprobatą przedsiębiorców i znajduje również potwierdzenie w podejściach organów nadzorczych w innych krajach członkowskich. Przykładowo niemieckie organy nadzoru pozwalają, aby przedsiębiorcy usuwali dane kandydatów niewybranych w drodze rekrutacji najpóźniej do szóstego miesiąca po zakończeniu rekrutacji. W Wielkiej Brytanii – do dziewiątego miesięca. Terminy te są związane z okresem przedawnienia roszczeń tych kandydatów – wyjaśnia Izabela Kowalczuk-Pakuła, partner w polskim biurze Bird & Bird, która kieruje praktyką ochrony prywatności i danych osobowych.
Jest jednak jedno „ale”. – To, że poradniki Ministerstwo Cyfryzacji są lepiej oceniane przez niektórych ekspertów, nie ma żadnego znaczenia. To organ nadzorczy dokonuje bowiem ocen podczas przeprowadzanych kontroli i najprawdopodobniej będzie korzystał z własnych interpretacji, nie zaś tych dokonywanych przez MC – ucina dr Paweł Litwiński.
Kogo słuchać
Kogo zatem powinni słuchać przedsiębiorcy? Czy powinni postępować tak, jak wynika z interpretacji wydanych przez MC? Czy też powinni korzystać z poradników UODO?
Jak twierdzi dr Litwiński, rozporządzenie RODO nie przewiduje kompetencji do dokonywania wiążących interpretacji przez żaden podmiot na poziomie krajowym. Na poziomie europejskim takie uprawnienie ma jedynie Europejska Rada Ochrony Danych.
– Oznacza to, że zarówno poradniki MC, jak i prezesa UODO to teksty w gruncie rzeczy jedynie informacyjne, edukujące przedsiębiorców. To nie decyzje organu nadzorczego ani nie sądowe wyroki, więc należy je zawsze traktować z dystansem, tak samo jak opinie ekspertów publikowane na łamach prasy – radzi dr Paweł Litwiński. Z oczywistych względów sugeruje jednak, że bardziej wiążące dla administratorów powinny być interpretacje wydawane przez organ nadzorczy, skoro to właśnie on będzie dokonywał bezpośrednio oceny działań administratorów danych osobowych.
– Jestem przekonany, że większa część rynku właśnie tak zrobi. Bo żaden administrator danych osobowych nie będzie chciał ryzykować kar – mówi.©℗
Tylko prezes UODO mógł się wypowiedzieć
Czy Ministerstwo Cyfryzacji miało prawo wydać wiążące intepretacje?
Urząd Ochrony Danych Osobowych docenia wszelkie inicjatywy związane z upowszechnieniem wiedzy w zakresie ochrony danych osobowych. Niemniej nie mogą one naruszać przepisów RODO oraz wkraczać w kompetencje prezesa UODO. Wydawanie jakichkolwiek interpretacji czy zaleceń co do stosowania ogólnego rozporządzenia o ochronie danych (RODO) przez inne instytucje niż Europejska Rada Ochrony Danych oraz krajowe organy nadzorcze (a więc w Polsce prezesa Urzędu Ochrony Danych Osobowych) jest niezgodne z RODO.
Jak zatem traktować wskazówki resortu?
W odniesieniu do działań podejmowanych przez Ministerstwo Cyfryzacji, a dotyczących prób objaśniania przez resort przepisów RODO, przypominam, że w Polsce jedynym właściwym i wyspecjalizowanym w sprawach dotyczących ochrony danych osobowych jest prezes Urzędu Ochrony Danych Osobowych (UODO).
Opublikowane przez Ministerstwo Cyfryzacji objaśnienia nie mają charakteru wiążącego wobec prezesa UODO, działającego jako niezależny organ ochrony danych, którego zadania i uprawnienia określa unijne rozporządzenie o ochronie danych. Ministerstwo Cyfryzacji nie ma prawa wydawać wiążących interpretacji ogólnych w zakresie ochrony danych osobowych.
Co grozi przedsiębiorcy, który zastosuje się do wskazówek Ministerstwa Cyfryzacji?
Przedsiębiorcy chcący należycie stosować prawo ochrony danych osobowych powinni bazować na stanowiskach prezesa UODO zawartych w poradnikach, a także wszelkich wskazówkach i komunikatach. Są one wyrazem przemyślanej i potwierdzonej przez sądy praktyki stosowania przepisów o ochronie danych osobowych. Powoływanie się na inne objaśnienia, w tym Ministerstwa Cyfryzacji, jest działaniem wyłącznie na swoją odpowiedzialność. Stosowanie się więc do objaśnień dotyczących przetwarzania danych osobowych wydanych przez inne podmioty niż prezes UODO może nie uchronić tych, którzy tak postępują, przed sankcjami, w tym karami finansowymi ze strony urzędu. ©℗
Tworzący przepisy mają prawo je uzasadniać
Dlaczego zdecydowali się państwo wydać objaśnienia w oparciu o art. 33 ust. 1 p.p.?
Inicjatywa wydania objaśnień prawnych może pochodzić zgodnie z treścią art. 33 prawa przedsiębiorców od ministra z urzędu lub na wniosek rzecznika małych i średnich przedsiębiorców. Mimo że sygnały o trudnościach w określeniu zasad przetwarzania danych docierały również do ministra cyfryzacji, nie zdecydowaliśmy się wydać objaśnień z urzędu. Otrzymaliśmy jednak wniosek rzecznika. Uwzględniając dużą liczbę pytań o materię objętą objaśnieniami i wniosek organu, który ma dbać o przedsiębiorców w Polsce, nie mogliśmy postąpić inaczej. Zwłaszcza że jesteśmy przekonani o trafności tez postawionych w objaśnieniach. RODO nie mówi absolutnie nic o wykładni prawa podejmowanej przez organy nadzorcze. W wielu państwach członkowskich organy tworzące prawo mają prawo je potem uzasadniać. W Polsce też tak jest – do projektów aktów prawnych dołącza się uzasadnienie. Chciałbym, aby tak również spojrzeć na wydane objaśnienia.
Prezes UODO wydał stanowisko sugerujące, że wskazówki MC dotyczące RODO mogą narażać przedsiębiorców na sankcje i w niektórych przypadkach powodować straty dla Skarbu Państwa. Czy rzeczywiście istnieje takie ryzyko?
Objaśnienia mówią, że przedsiębiorca ma prawo przetwarzać dokumenty rekrutacyjne, gdy jest to konieczne dla ochrony przed roszczeniami, np. dyskryminacyjnymi. Jak przedsiębiorca ma się przed nimi chronić, gdy usunie absolutnie wszystkie informacje mogące uzasadnić, że kandydat obiektywnie był lepszy lub gorszy od pozostałych? Przecież takie roszczenia w zasadzie zawsze powstają po skończonej rekrutacji; gdy poznamy już jej wyniki. I to często usunięcie danych może rodzić szkodę majątkową po stronie przedsiębiorcy. Tylko o tym mówią objaśnienia. Ponadto Konstytucja biznesu wprowadza coś, co nazywa domniemaniem uczciwości przedsiębiorcy. To wspaniała zasada. Organy administracji publicznej nie mogą wychodzić z założenia, że każde działanie przedsiębiorcy podejmowane jest w celu ominięcia prawa. I w takim duchu podążają też objaśnienia. Mocno wierzę, że objaśnienia – jako wydane przez tych, którzy tworzyli lub współtworzyli system ochrony danych osobowych w Polsce – nie wywołają względem kogokolwiek negatywnego skutku.
Minister Zagórski powiedział, że przedsiębiorcy stosujący wskazówki MC mogą czuć się bezpieczni, o ile UODO nie zaskarży tych wskazówek do sądu. Dlaczego nie konsultują państwo wytycznych z UODO w taki sposób, by przedsiębiorcy mieli względną pewność, że obie linie interpretacji są podobne i dają relatywną gwarancję uniknięcia sankcji?
Artykuł 33 prawa przedsiębiorców, na którego podstawie wydane zostały objaśnienia prawne, nie przewiduje procedury konsultacyjnej. Nie oznacza to, że minister cyfryzacji nie konsultuje swoich stanowisk z urzędem. Nasze poradniki jeszcze przed wydawaniem przesyłamy do Urzędu Ochrony Danych Osobowych. Od UODO dostaliśmy np. bardzo cenne informacje dotyczące wiążących reguł korporacyjnych, które zawarliśmy w poradniku dotyczącym swobodnego przepływu danych w dobie brexitu. Współpracujemy też bardzo intensywnie na etapie tworzenia prawa. Wczoraj obchodziliśmy Europejski Dzień Ochrony Danych i na konferencji organizowanej przez urząd byli przedstawiciele Ministra Cyfryzacji.©℗
Główne różnice w stanowiskach dotyczących obowiązków pracodawcy
Ministerstwo Cyfryzacji | Urząd Ochrony Danych Osobowych |
Po zakończonej rekrutacji pracodawca ma prawo przechowywać dokumenty rekrutacyjne osób, które nie zostały zatrudnione, w celach ochrony przed ewentualnymi roszczeniami mogącymi pojawić się w związku z prowadzoną uprzednio rekrutacją (art. 6 ust. 1 lit. f RODO). | Niedopuszczalne jest przetwarzanie danych tylko w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem osoby, której dotyczą. |
Ministerstwo Cyfryzacji nie wypowiada się na temat sposobu działania pracodawcy w przypadku, gdy kandydat z własnej inicjatywy poda mu dane ze szczególnej kategorii (art. 9 RODO) lub dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa (art. 10 RODO) z inicjatywy kandydata. | Jeżeli kandydat do pracy nie wyrazi odrębnej zgody na przetwarzanie tego rodzaju danych osobowych, a pracodawca nie legitymuje się przepisem prawa, który zobowiązuje go do ich przetwarzania, pracodawca powinien usunąć te dane lub zgoda powinna być wyraźna, np. w formie odrębnego oświadczenia. |
Pracodawca ma prawnie uzasadniony interes do przetwarzania danych osobowych kandydata (czyli inaczej mówiąc, może to robić bez jego zgody). Motyw 47 preambuły RODO mówi bowiem, że prawnie uzasadniony interes może istnieć w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem. Zatem osoba ubiegająca się o pracę jest powiązana z przedsiębiorcą poprzez udział w organizowanej przez niego rekrutacji. Pomiędzy kandydatem a potencjalnym pracodawcą występuje relacja prawna, która powstaje wraz z przedłożeniem przez kandydata wniosku o zatrudnienie, wynikająca chociażby z ustawowego zakazu dyskryminacji. Kandydat nie tylko może przypuszczać, ale wręcz musi się liczyć z tym, że jego dane będą przechowywane również po zakończonej rekrutacji. | W toku rekrutacji nie powstaje żaden stosunek zobowiązaniowy pomiędzy kandydatem do pracy a pracodawcą. Brak jest możliwości dokonania wzajemnych rozliczeń lub możliwości zarzucenia drugiej stronie niewykonania umowy lub nieprawidłowego jej wykonania. |
Pracodawca powinien w każdym przypadku przeprowadzić analizę ryzyka pojawienia się roszczeń oraz (uwzględniając również przebieg rekrutacji) określić okres retencji dokumentów. | Przeprowadzenie w każdym przypadku analizy ryzyka pojawienia się roszczeń stanowiłoby przetwarzanie danych kandydata na wszelki wypadek. |
Przetwarzanie danych osobowych do celów innych niż cele, w których dane te zostały pierwotnie zebrane, jest dozwolone, gdy jest zgodne z celami, w których dane osobowe zostały pierwotnie zebrane (motyw 50 preambuły RODO). Celem pierwotnym w takim przypadku jest rekrutacja, zaś celem zgodnym z rekrutacją będzie ochrona przed ewentualnymi przyszłymi roszczeniami pracownika, wynikającymi z tej rekrutacji. | Konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania. Wydłużenie okresu przechowywania danych zawartych w aplikacji powinno być zatem wyjątkiem od reguły niezwłocznego ich usuwania oraz powinno być szczególnie uzasadnione. |
Dopuszczalne jest poinformowanie kandydata, że niepodniesienie zarzutów dotyczących rekrutacji w określonym czasie po odmowie zatrudnienia zostanie uznane za domniemanie braku takowych, a dane osobowe zostaną usunięte. Podczas gdy skutkiem przyjęcia takiego założenia nie jest wygaśnięcie prawnie uzasadnionego roszczenia, to jednak znacznie zmniejsza ryzyko, że ewentualne powództwo będzie korzystało z przymiotu tzw. uprawdopodobnienia dyskryminacji. Jeśli jednak pracodawca poprzez ocenę stanu faktycznego może żywić uzasadnione przekonanie, że ryzyko roszczeń jest wysokie (porównywalne kandydatury oraz cechy takie jak płeć, wyznanie), to może przetwarzać dane osobowe kandydatów przez pełny trzyletni okres przedawnienia. | Nie ma podstaw do uznania, że pracodawca jest uprawniony do przetwarzania danych z uwagi na konieczność ustalenia bądź nie istnienia roszczenia. Co do zasady pracodawca powinien trwale usunąć dane osobowe kandydata (np. poprzez zniszczenie bądź odesłanie), z którym nie zdecydował się zawrzeć umowy o pracę, niezwłocznie po zakończeniu procesu rekrutacji (tj. podpisaniu umowy o pracę z innym kandydatem). Zasada ta nie ma jednak zastosowania, jeżeli ziściły się inne przesłanki uprawniające administratora do ich przetwarzania. |
Wraz ze złożeniem dokumentów rekrutacyjnych pomiędzy kandydatem a potencjalnym pracodawcą powstaje więź zobowiązaniowa, wynikająca z prawnego obowiązku przeciwdziałania dyskryminacji (art. 94 ust. 2b w zw. z art. 183a k.p.). Z tego powodu zarzut dyskryminacji kandydata, jako emanacja naruszenia dóbr osobistych, wywodzony jest z czynu niedozwolonego. | Istotą roszczenia z tytułu dyskryminacji ze względu na jakąś cechę lub przekonania jest uprawdopodobnienie, że to właśnie z tej przyczyny kandydat został potraktowany w sposób gorszy niż reszta kandydatów. I dopiero wtedy pracodawca musi wykazać, że ta cecha nie miała wpływu na dokonanie przez niego oceny negatywnej. Do tego nie jest jednak konieczne przetwarzanie danych zawartych w życiorysie kandydata do pracy. |
Przy dopełnieniu obowiązku informacyjnego należy wskazać art. 6 ust. 1 lit. f RODO (tj. prawnie uzasadniony interes administratora). | Przy dopełnieniu obowiązku informacyjnego nie można się powołać na prawnie uzasadniony interes administratora, ponieważ między rekrutującym a kandydatem nie powstaje stosunek zobowiązaniowy. |