23 stycznia 2019 r. Ministerstwo Cyfryzacji opublikowało objaśnienia prawne dotyczące dalszego gromadzenia danych osobowych osób ubiegających się o zatrudnienie u pracodawcy po zakończeniu rekrutacji. Takie objaśnienia Minister Cyfryzacji wydał na wniosek Rzecznika Małych i Średnich Przedsiębiorców na podstawie art. 9 ust. 1 pkt 2 ustawy z dnia 6 marca 2018 r. o Rzeczniku Małych i Średnich Przedsiębiorców (Dz. U. poz. 648) w zw. z art. 33 ust. 1 ustawy z dnia 6 marca 2018 r. Prawo przedsiębiorców. To pierwsze - w oparciu o Konstytucję dla Biznesu - objaśnienia prawne, do których wydawania uprawnieni są ministrowie członkowie Rady Ministrów.
Głównym przedmiotem objaśnień Ministra Cyfryzacji jest stwierdzenie, że dane zawarte w dokumentach rekrutacyjnych mogą być przez pracodawcę przetwarzane przez okres konieczny dla wykonania zawieranej z pracownikiem umowy, a po jej rozwiązaniu w celu ochrony przed mogącymi się pojawić roszczeniami. Minister Cyfryzacji jako podstawę prawną takiego działania podaje art. 6 ust. 1 lit. f RODO, tj. prawnie uzasadniony interes niedoszłego pracodawcy w postaci ochrony przed ewentualnymi przyszłymi roszczeniami osoby rekrutowanej, która nie została zatrudniona. Jest to obarczone jednak pewnym zastrzeżeniem, gdyż należy uprzednio przeprowadzić test, który powinien wykazać, czy osobę, której dane będą przetwarzane w prawnie uzasadnionym celu, łączy z administratorem jakaś więź oraz czy osoba taka mogła podejrzewać, że jej dane będą przetwarzane w uzasadnionym interesie.
Ministerstwo wyjaśnia, że wraz ze złożeniem dokumentów rekrutacyjnych pomiędzy kandydatem a potencjalnym pracodawcą powstaje więź zobowiązaniowa, wynikająca z prawnego obowiązku przeciwdziałania dyskryminacji (art. 94 pkt 2b w zw. z art. 18(3a) Kodeksu pracy). Z tego powodu zarzut dyskryminacji kandydata, jako emanacja naruszenia dóbr osobistych, wywodzony jest z czynu niedozwolonego. Dlatego przyjęcie, że skoro nie zawarto umowy o pracę to ustała podstawa przetwarzania danych nie jest przekonujące, pozostaje bowiem ryzyko roszczeń ze strony kandydata w związku z nie zawarciem umowy.
Minister zastrzega, że uwzględniając przebieg rekrutacji i podjętą przez pracodawcę ocenę ryzyka pojawienia się takich roszczeń, okres przechowywania CV powinien być jednak jak najkrótszy. Jeżeli w praktyce działania przedsiębiorcy nie zdarzyła się sytuacja, by ewentualne roszczenia z tytułu prowadzonej rekrutacji pojawiły się w okresie późniejszym niż kilka miesięcy po jej zakończeniu, wewnętrzne procedury powinny przewidywać racjonalny kilkumiesięczny okres retencji takich dokumentów.
Powyższe stoi w sprzeczności ze stanowiskiem wcześniej reprezentowanym przez Prezes Urzędu Ochrony Danych Osobowych. Według UODO dane osobowe kandydata(ów), z którym pracodawca nie zdecydował się zawrzeć umowy o pracę, należy trwale usunąć (np. poprzez zniszczenie bądź odesłanie) niezwłocznie po zakończeniu procesu rekrutacji, tj. podpisaniu umowy o pracę z nowozatrudnionym pracownikiem, chyba że ze względu na zainteresowanie przyszłymi naborami sam wyraża zgodę na dłuższe wykorzystywanie jego danych. Takie wskazówki pojawiły się w oficjalnym poradniku wydanym przez UODO „Ochrona danych osobowych w miejscu pracy”.
W odpowiedzi na objaśnienia prawne Ministra Cyfryzacji, obok niejako aspektów merytorycznych, Prezes UODO wydał oświadczenie, w którym wskazuje, że w Polsce jedynym właściwym i wyspecjalizowanym w sprawach dotyczących ochrony danych osobowych jest Prezes UODO, który ma status i kompetencje organu nadzorczego określone w RODO. Z tego względu dokonywanie oficjalnej interpretacji prawa w tym zakresie (w rozumieniu RODO) leży po stronie Prezesa UODO. Zgodnie z RODO jest to wyłączną kompetencją organów nadzorczych krajów członkowskich oraz Europejskiej Rady Ochrony Danych. Tym samym UODO jest jedynym organem umocowanym prawnie do wydawania wytycznych i interpretowania w tym zakresie przepisów prawa.
Warto wskazać na skutek prawny wydanych objaśnień Ministerstwa. Objaśnienia prawne to instytucja wprowadzona tzw. Konstytucją dla biznesu, a dokładnie zostały uregulowane w art. 33 ustawy Prawo przedsiębiorców. Celem objaśnień jest wyjaśnienia przepisów dotyczących prowadzenia biznesu przy czym objaśnienia prawne nie są wiążące dla przedsiębiorcy. Ważne jest jednak to, że przedsiębiorca nie może ponosić żadnych negatywnych skutków zastosowania się do objaśnień: ani sankcji administracyjnych, ani finansowych czy karnych. Objaśnienia mogą być jednak zmieniane przez autorów, ale zmiana objaśnień prawnych nie może wpłynąć na sytuację tych przedsiębiorców, którzy wcześniej zastosowali się do tych zmienianych objaśnień. Wynika z tego, że przedsiębiorca w przypadku kontroli UODO może bronić się stosowaniem do objaśnień wydanych przez Ministra Cyfryzacji. Minister Cyfryzacji na konferencji wyjaśniał, że w przypadku kontroli UODO gwarancje obowiązują do czasu ewentualnego zaskarżenia tych objaśnień przez UODO w sądzie. Jeżeli wyrok sądu będzie sprzeczny z objaśnieniami Ministra Cyfryzacji i sąd podzieli stanowisko UODO, to wtedy od dnia tego wyroku będą musiały obowiązywać zasady zgodne z interpretacją UODO, ale w tym okresie od dziś do wyroku sądu przedsiębiorca nie może ponieść konsekwencji z tytułu stosowania tych objaśnień.
Powiązane
Usługi doradcze - sprawdź, jak możemy pomóc
Zobacz nasze najnowsze publikacje dotyczące RODO
Skontaktuj się z naszymi ekspertami, aby dowiedzieć się więcej
Tagi:
- Administracja państwowa i sektor publiczny
- Bezpieczeństwo i prywatność
- Bezpieczeństwo, prywatność i dostępność informacji
- KPMG Info – Law Blog I Nowości w prawie
- Małe przedsiębiorstwa
- Obsługa dużych przedsiębiorstw
- Ochrona informacji
- Ochrona prywatności
- Polityka państwa i zmiany przepisów
- Polscy przedsiębiorcy
- Polska
- Rynki krajowe
- Technologia
- Transformacja cyfrowa
- Usługi doradcze
- Zarządzanie informacją
- Średni segment rynkowy