Jakich danych może żądać pracodawca od kandydata do pracy i pracownika?

Na stronie Rządowego Centrum Legislacji opublikowano projekt ustawy - Przepisy wprowadzające ustawę o ochronie danych osobowych („Projekt”), której zadaniem jest dostosowanie istniejących ustaw do przepisów RODO. Ustawa co prawda jest wciąż na etapie konsultacji publicznych oraz opiniowania i nie  wiadomo, kiedy rozpocznie się etap prac sejmowych i senackich, jednak warto przyjrzeć się  projektowanym zmianom.

Zmiany w katalogu danych osobowych pracownika oraz kandydata do pracy

Planuje się, że pracodawca będzie mógł żądać od kandydata do pracy podania danych osobowych obejmujących:

• imię (imiona) i nazwisko;
• datę urodzenia;
• adres do korespondencji;
• adres poczty elektronicznej albo numer telefonu;
• wykształcenie;
• przebieg dotychczasowego zatrudnienia.

W stosunku do obecnego brzmienia przepisów usunięciu uległy dane obejmujące imiona rodziców oraz miejsce zamieszkania.  Ustawodawca pozwala z kolei na gromadzenie adresów poczty elektronicznej albo numerów telefonu kandydatów, co jest w pełni zrozumiałe  i uzasadnione istotą procesu rekrutacji. Na szczególną uwagę zasługuje zastosowanie spójnika „albo” w projektowanym przepisie. Spójnik ten oznacza, że pracodawca będzie mógł żądać wyłącznie jednej z powyższych danych. Takie ograniczenie wydaje się jednak nadmierne i prawdopodobnie niezamierzone - można spodziewać się, że w toku prac parlamentarnych ulegnie zmianie.

Po zawarciu umowy o pracę pracodawca będzie mógł dodatkowo żądać podania adresu zamieszkania pracownika, jego numeru PESEL (w przypadku braku tego numeru – rodzaju i numeru dokumentu tożsamości), a także innych danych pracownika, jego dzieci i członków najbliższej rodziny, jeśli ich podanie będzie niezbędne ze względu na korzystanie ze szczególnych uprawnień przewidzianych prawem (np. objęcie ubezpieczeniem zdrowotnym czy korzystanie z ZFŚS).

Udostępnienie danych osobowych ma nastąpić w formie oświadczenia, które powinno przybrać postać elektroniczną lub papierową (nie musi być jednak podpisane).

Inne dane na podstawie zgody lub przepisów szczególnych

Jeśli pracodawca wymaga od osoby ubiegającej się o zatrudnienie lub pracownika podania dodatkowych danych osobowych, może to nastąpić na podstawie dobrowolnej zgody tych osób lub obowiązku wynikającego z innych przepisów szczególnych (np. przepisów dotyczących obowizkowych ubezpieczeń społecznych i zdrowotnych).  Należy jednak zauważyć, że katalog danych uzyskiwanych na podstawie zgody pracownika lub kandydata do pracy nie może być dowolny.

Po pierwsze należy wykazać związek pomiędzy żądanymi danymi a stosunkiem pracy. Jak wynika z projektowanego przepisu, na podstawie zgody pracownika lub kandydata pracodawca będzie mógł przetwarzać tylko takie dane osobowe, które są przydatne z punktu widzenia konkretnego stosunku pracy. Katalog takich danych „adekwatnych” do stosunku pracy będzie musiał być ustalony indywidualnie, z uwzględnieniem zarówno specyfiki zakładu pracy, jak i stanowiska pracy pracownika. Jako przykład można wskazać dane dotyczące rozmiaru ubrania lub buta (w połączeniu z pozostałymi danymi osobowymi), które pracodawca będzie mógł uzyskać na podstawie zgody pracownika, o ile ma zamiar zapewnić pracownikom obuwie lub odzież z logo firmy (w przypadku obuwia i odzieży ochronnej podstawą uzyskania danych będzie szczególny przepis zobowiązujący pracodawcę do zapewnienia takich środków ochrony).

Drugim ograniczeniem wprowadzonym w projektowanych przepisach jest absolutny zakaz przetwarzania danych osobowych pracowników czy kandydatów do pracy dotyczących nałogów, życia seksualnego lub orientacji seksualnej czy stanu zdrowia. Takie dane nie będą mogły być przez pracodawcę przetwarzane nawet, gdyby pracownik lub kandydat wyrazili zgodę na ich przetwarzanie.

Dane biometryczne

W kodeksie pracy pojawić się ma szczególna kategoria danych osobowych. Przez dane biometryczne należy rozumieć dane osobowe jednoznacznie identyfikujące daną osobę za pomocą unikalnych cech fizycznych. Do takich danych należą przede wszystkim odcisk linii papilarnych, skan tęczówki oka czy geometria dłoni. Zgodnie z obecnym brzmieniem Projektu, pracodawca będzie mógł przetwarzać dane biometryczne pracownika (ale nie kandydata do pracy).  Podobnie jak wyżej pracownik musi wyrazić na to zgodę, a gromadzone dane biometryczne będą musiały dotyczyć stosunku pracy, czyli ich zbieranie i przechowywanie będzie musiało mieć źródło np. w konieczności zapewnienia bezpieczeństwa zakładu pracy.

Przy zbieraniu danych biometrycznych należy mieć jednak na uwadze wynikające z samego RODO zasady proporcjonalności i adekwatności, które powodują konieczność dokonania oceny, czy cel dla którego przetwarzane mają być dane osobowe (w tym dane biometryczne) można osiągnąć innymi środkami niewymagającymi przetwarzania danych osobowych lub wymagającymi ich w mniejszym stopniu.

Przykładem dozwolonego użycia danych biometrycznych dla zabezpieczenia zakładu pracy będzie ograniczenie dostępu do konkretnego pomieszczenia (np. serwerowni, skarbca), wymagającego specjalnych środków bezpieczeństwa przed nieautoryzowanym dostępem, także ze strony innych pracowników. Z kolei kontrola czasu pracy pracowników nie powinna się odbywać z użyciem danych biometrycznych, gdyż ten sam cel można osiągnąć korzystając z kart RFID przypisanych indywidualnie do pracowników.

Należy też zwrócić uwagę na możliwość uznania wizerunku (zdjęcia) kandydata do pracy, jako danej biometrycznej, gdyż zdjęcie w istocie swej będzie zawierać rysy twarzy. Obecnie przyjmuje się, że legalne jest pozyskanie zdjęcia kandydata w toku rekrutacji, jeżeli wyraził on na to zgodę poprzez umieszczenie odpowiedniej klauzuli w dokumentach aplikacyjnych. GIODO wskazuje także na drugą przesłankę legalności przetwarzania wizerunku, to jest usprawiedliwiony interes administratora.  W świetle projektowanych nowych zapisów kodeksu pracy nie jest jasne, czy Projektodawca miał zamiar wykluczyć możliwość umieszczania zdjęcia kandydata w dokumentach aplikacyjnych, czy też jest to przypadkowe przeoczenie. O toku dalszych prac na Projektem będziemy informować na naszym blogu.   

Kwestionariusz do liftingu

Niezależnie od zmian, które wprowadzi projektowana ustawa, pracodawcy powinni przede wszystkim zmienić swoje podejście do ochrony danych osobowych w przedsiębiorstwie, w tym także do danych pracowników. Jako przykład dokumentu, który powinien ulec zmianie można wskazać kwestionariusz osobowy, który wypełnia pracownik po przyjęciu do pracy. Zazwyczaj pracodawcy tworzą swój indywidualny wzór, w oparciu o załącznik do jednego z ministerialnych rozporządzeń. Jeśli jednak Projekt wejdzie w życie każdy pracodawca powinien przejrzeć wykorzystywany przez siebie kwestionariusz i – być może -  odpowiednio go zmodyfikować, a także przygotować klauzulę zgody na podanie danych innych niż te wynikające z przepisów oraz doręczyć pracownikowi klauzule informacyjne.

Photo by chris warren