Administrator nie może żądać więcej danych osobowych niż jest to mu potrzebne do zrealizowania celu przetwarzania, np. przeprowadzenia rekrutacji, wykonania umowy zlecenia. Kserując lub skanując dowód osobisty administrator pozyskuje w ten sposób również zbędne dane, których co do zasady nie ma prawa przetwarzać.

Agencje zatrudnienia, ze względu na specyfikę swojej działalności, gromadzą i przetwarzają duże ilości danych osobowych. 25 maja 2018 r. na terenie Polski, podobnie jak w pozostałych państwach Unii Europejskiej, zacznie obowiązywać unijne rozporządzenie, regulujące zagadnienia związane z ochroną danych osobowych, w skrócie RODO. Akt ten pociągnie za sobą wejście w życie nowej ustawy o ochronie danych osobowych, a także nowelizację wielu innych polskich ustaw.

Agencje zatrudnienia będą musiały się odpowiednio przygotować i sprostać nowym obowiązkom, co nie jest ani proste, ani tanie.

1. Jednym z wyzwań, w szczególności dla mniejszych agencji zatrudnienia, będzie odpowiedź na pytanie: czy należy formalnie powołać osobę odpowiedzialną za ochronę danych osobowych, tj. inspektora ochrony danych osobowych.

Każdy administrator danych będzie mógł dobrowolnie powołać inspektora ochrony danych osobowych, natomiast w niektórych przypadkach obowiązek ten został wprost narzucony mocą RODO np. art. 37 ust. 1 lit b: „Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych zawsze gdy, główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę”.

Powszechną praktyką i podstawą działalności agencji zatrudnienia jest tworzenie i stałe korzystanie ze zbioru (bazy) danych, w którym znajdują się dane osobowe zarówno zrekrutowanych pracowników, jak i potencjalnych kandydatów do pracy. Często bowiem zdarza się, że gdy agencja zatrudnienia otrzyma zlecenie wyszukania pracownika, to proces rekrutacji rozpoczyna właśnie od sprawdzenia własnej bazy danych pracowników i kandydatów. Ponadto taką bazę danych ciągle się aktualizuje i uzupełnia, np. na potrzeby związane z obsługą podatkowo - kadrową.

Taki model działania kwalifikuje się jako regularne i systematyczne monitorowanie osób, o którym mowa w art. 37 ust. 1 lit b RODO. W tej mierze dla powołania inspektora ochrony danych kluczowe jest rozstrzygnięcie kwestii czy działalność odbywa się na dużą skalę.

RODO nie precyzuje konkretnie kiedy mamy do czynienia z dużą skalą (np. nie określona żadnych progów liczbowych), jednakże dość ogólnie wskazuje, iż „operacje przetwarzania o dużej skali to operacje, które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, które mogą powodować wysokie ryzyko”.

Zatem to agencja zatrudnienia, w oparciu o wyżej wymienione generalne kryteria, będzie musiała ocenić czy jej działalność odbywa się na dużą skalę czy też nie, a tym samym czy będzie musiała powołać inspektora ochrony danych osobowych. O ile nie jest to problem w przypadku dużych ogólnopolskich agencji zatrudnienia, o tyle sytuacja bardzo komplikuje się, gdy mamy do czynienia z agencją średniej wielkości działającą na lokalnym rynku pracy. Błędna ocena i niewyznaczenie inspektora danych osobowych może skutkować karą pieniężną.

2. Innym praktycznym problem związanym z RODO jest obowiązek informacyjny w przypadku pozyskiwania danych osobowych przez agencje zatrudnienia.

W myśl art. 13 RODO, administrator zbierając dane osobowe o osobie fizycznej, np. od nowego kandydata do pracy, będzie musiał w komunikatywny sposób poinformować go o swojej tożsamości i danych kontaktowych, o danych inspektora ochrony danych (o ile go wyznaczono), o celach i podstawach prawnych przetwarzania, wskazać komu będą przekazywane te dane, a także czy jego dane osobowe będą przekazywane poza Unię Europejską, dodatkowo informację o przysługujących kandydatowi prawach wynikających z RODO.

Przekazanie informacji przez administratora powinno nastąpić przed zakończeniem zbierania danych osobowych, najpóźniej w chwili ich zebrania, co oznacza trudności w przypadku wpływu pliku z CV na skrzynkę mailową agencji zatrudnienia. Rozwiązaniem tego problemu może być np. konfiguracja skrzynki mailowej w ten sposób, aby od razu po otrzymaniu maila z CV skrzynka automatycznie wysyłała maila zwrotnego zawierającego wszystkie niezbędne informacje, o których mowa w art. 13 RODO. Istotne jest również to, aby administrator był w stanie wykazać, iż faktycznie poinformował kandydata o wszystkich zagadnieniach, o których mowa we wspomnianym art. 13 RODO.

3. RODO formułuje również zasadę minimalizacji danych, polegającą na tym, iż „dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane”. Realizacja powyższej zasady będzie oznaczała sprawdzenie czy agencja zatrudnienia przetwarza tylko te dane i te dokumenty, które są naprawdę niezbędne do realizacji danego celu przetwarzania. Doskonałym przykładem ilustrującym naruszanie tej zasady jest nagminna praktyka kserowania dokumentów tożsamości np. dowodów osobistych i to nie tylko przez agencje zatrudnienia, ale także przez pracodawców oraz usługodawców.

Administrator nie może żądać więcej danych osobowych niż jest to mu potrzebne do zrealizowania celu przetwarzania, np. przeprowadzenia rekrutacji, wykonania umowy zlecenia. Kserując lub skanując dowód osobisty administrator pozyskuje w ten sposób również zbędne dane, których co do zasady nie ma prawa przetwarzać. Jeżeli agencja zatrudnienia posiada skserowany lub zeskanowany cały dowód osobisty, aby nie narazić się na zarzut naruszenia zasady minimalizacji danych powinna usunąć taką kserokopię lub skan.

Opisane powyżej obowiązki i problemy to tylko niektóre wybrane aspekty związane z RODO. Nieodłącznym elementem reformy prawa ochrony danych osobowych jest także wdrożenie odpowiedniej dokumentacji oraz procedur. Umowy powierzenia przetwarzania danych osobowych, rejestr czynności przetwarzania danych, upoważnienia dla pracowników, odpowiednia treść zgód, ocena ryzyka i skutków przetwarzania danych osobowych, procedura zgłaszania naruszeń do Prezesa Urzędu Ochrony Danych Osobowych, szkolenia i wewnętrzne audyty, to kolejne obowiązki, o których powinna pamiętać agencja zatrudnienia.

Każda agencja zatrudnienia bez względu na skalę swojej działalności powinna szczegółowo zrewidować czy obecnie funkcjonujący model jej działalności w zakresie przetwarzania danych osobowych jest wystarczający i czy będzie zgodny z RODO. Błędna ocena może ściągnąć na agencję nie tylko kary pieniężne, ale także roszczenia odszkodowawcze osób, których prawa i wolności zostały naruszone wskutek nieprawidłowego przetwarzania i niedostatecznej ochrony danych osobowych.

Radca Prawny Marcin Siemienkiewicz
Kancelaria Kawczyński – Kieszkowski
Adwokaci i Radcowie Prawni