Publicystyka - ngo.pl

W przypadku przeprowadzania rekrutacji, która ma zakończyć się zatrudnieniem na umowę o pracę podstawą do przetwarzania danych kandydata będzie art. 22¹ Kodeksu pracy, zgodnie z którym przyszły pracodawca ma prawo przetwarzać takie dane jak imię i nazwisko, imiona rodziców, data urodzenia, miejsce zamieszkania (adres korespondencyjny), wskazane przez taką osobę, wykształcenie oraz przebieg dotychczasowego zatrudnienia.

Katalog informacji wskazany w powyższym przepisie jest katalogiem zamkniętym. Oznacza to, iż dane nie wymienione w niniejszym przepisie np. dane o stanie cywilnym czy orientacji seksualnej nie muszą być pracodawcy przez kandydata ujawniane.

W przypadku przesyłania przez kandydata do pracy danych wykraczających poza zakres wskazany powyżej uznaje się, że ich przetwarzanie dopuszczalne jest na podstawie wyrażonej przez kandydata zgody, która polega na oświadczeniu bądź zachowaniu, które w danym kontekście wprost wskazuje na zaakceptowanie takiego przetwarzania danych osobowych (np. przesłanie CV zawierających szerzy zakres danych). Kandydat bowiem jest świadomy przekazywanego pracodawcy zakresu danych, jakie mają podlegać przetwarzaniu. Jeżeli jednak dane zamieszczone w CV stanowią dane wrażliwe pracodawca powinien usunąć dane te ze swoich zasobów chyba, że zgoda na ich przetwarzanie nastąpiła w sposób wyraźny np. w formie odrębnego oświadczenia lub pracodawca uprawiony jest do ich przetwarzania na podstawie odrębnych przepisów prawa.

Dane kandydata uzyskane w procesie rekrutacji mogą być wykorzystane wyłącznie podczas tej konkretnej rekrutacji, chyba, że kandydat do pracy wyrazi zgodę na ich dalsze przetwarzanie w celu przeprowadzenia kolejnych rekrutacji u tego samego pracodawcy. Jeżeli pracodawca nie posiada zgody kandydata do pracy na przetwarzanie jego danych osobowych na poczet przyszłych rekrutacji, a także nie zdecydował się na jego zatrudnienie, zgodnie z RODO uprawniony jest on do przechowywania jego danych osobowych przez okres trwania rekrutacji i usunięcia ich (poprzez zniszczenie lub odesłanie) niezwłocznie po zakończeniu procesu rekrutacyjnego (zakończenie procesu następuje w chwili podpisania umowy z nowo zatrudnionym pracownikiem).

Kiedy prowadzimy rekrutację i planujemy zatrudnienie na jedną z umów cywilnoprawnych (na przykład porozumienie wolontariackie, zlecenie lub dzieło) podstawą prawną przetwarzania danych kandydata do pracy będzie jego wyraźna i świadomie udzielona zgoda.

Jeśli chcemy, żeby dane kandydata pozostały po rekrutacji musi on wyrazić zgodę na przetwarzanie jego danych osobowych zarówno w obecnie trwającej rekrutacji jak i na poczet przyszłych rekrutacji planowanych przez NGO.

Jeżeli dane znajdują się w CV samo jego przekazanie (na przykład zostawienie w sekretariacie lub wysłanie mailem, nawet jeśli rekrutacja nie jest prowadzona) należy traktować jako zgodę kandydata na przetwarzanie zawartych w tym CV danych osobowych. Nie ma więc konieczności stosowania dotychczasowej praktyki umieszczania w CV zgody na przetwarzanie danych osobowych.

Przyszły pracodawca może żądać od kandydata do pracy danych lub dokumentów potwierdzających jego niekaralność tylko w sytuacji gdy spełnienie wymogu niekaralności przez kandydata do pracy wynika z obowiązującej ustawy. Dotyczy to na przykład kierownika wypoczynku, kiedy NGO organizuje kolonie. W takim przypadku podstawą do żądania zaświadczenia jest art. 92p ustawy o systemie oświaty.

Niezależnie od rodzaju zawieranej z kandydatem do pracy umowy zgodnie z wymogami RODO każdy administrator ma obowiązek, podczas pozyskiwania danych osobowych, przekazać kandydatowi klauzulę informacyjną. Zakres informacji, które znaleźć się mają w niniejszej klauzuli wskazany został wprost w art. 13 RODO. Spełnienie obowiązku informacyjnego przez pracodawcę musi zostać zrealizowane w sposób jasny, czytelny i łatwo dostępny do kandydata. W przypadku przeprowadzania rekrutacji za pośrednictwem przeznaczonych do tego portali internetowych spełnienie obowiązku informacyjnego nastąpić może poprzez zamieszczenie klauzuli informacyjnej w treści ogłoszenia.

Zgodnie z Kodeksem pracy oprócz przepisów wskazanych w art. 22¹ na podstawie art. 22¹ § 2 pracodawca może żądać od pracownika, którego zdecydował się zatrudnić, podania danych innych niż uzyskanych w procesie rekrutacji. Są to dane takie jak numer PESEL (w przypadku jego braku numer i rodzaj dokumentu potwierdzającego tożsamość), a także inne dane osobowe pracownika oraz dane jego dzieci i innych członków najbliższej rodziny (np. imiona i nazwiska, PESELE, daty i miejsce urodzenia), jeżeli podanie tych danych jest konieczne ze względu na korzystanie z pracownika ze szczególnych uprawnień przewidzianych w prawie pracy (chodzi o takie uprawnienia jak np. zmniejszenie liczby godzin pracy ze względu na niepełnosprawność lub zakaz pracy nocnej dla kobiet w ciąży). 

Na podstawie art. 22¹ § 4 pracodawca może żądać podania innych danych jeżeli jest do tego zobowiązany przepisami prawa (np. danych dotyczących kwalifikacji zawodowych).

Okres przechowywania dokumentów w NGO. RODO i inne przepisy

Art. 22² Kodeksu pracy mówi, że pracodawca stosujący w miejscu pracy monitoring wizyjny obowiązany jest poinformować pracowników o jego wprowadzeniu nie później niż 2 tygodnie przed jego uruchomieniem. Ten sam obowiązek występuje kiedy pracodawca stosuje monitoring poczty elektronicznej pracownika. Cele, zakres oraz sposób stosowania monitoringu wizyjnego lub poczty elektronicznej pracownika powinien zostać ustalony w układzie zbiorowym pracy lub regulaminie pracy albo obwieszczeniu. Powyższe obowiązki spełnione powinny zostać na piśmie.

Nagrania z monitoringu wizyjnego przechowywane mogą być wyłącznie do celów, dla których zostały zebrane, przez okres nieprzekraczający 3 miesięcy od dnia nagrania. Wyjątkiem jest sytuacja gdy nagranie stanowi dowód w postępowaniu. W tych okolicznościach przechowywanie nagrania dopuszczalne jest do czasu prawomocnego zakończenia postępowania. Po upływie wskazanego czasu nagrania podlegają zniszczeniu.

Przepisy prawa cywilnego w przeciwieństwie do przepisów Kodeksu pracy nie określają wprost zakresu danych jakich pracodawca może wymagać przy zawieraniu umowy. Zgodnie z prawem cywilnym w takiej sytuacji stosuje się zasadę swobody umów, która umożliwia dowolne kształtowanie treści umów, o ile nie jest to sprzeczne z charakterem i naturą stosunku zobowiązaniowego. Należy jednak pamiętać, iż na zakres pobieranych danych wpływ mają postanowienia RODO. Zgodnie z nimi pracodawca ma obowiązek dokonać analizy zakresu danych i zebrać tylko te, które są mu absolutnie konieczne w związku z realizacją umowy i ciążącymi na nim obowiązkami (takimi jak np. wypłata wynagrodzenia, przepisy prawa pracy, czy przepisy dotyczące ubezpieczeń społecznych).

Zgodnie z wprowadzoną przez RODO zasadą ograniczenia przechowania danych osobowych powinny być one przetwarzane przez okres nie dłuższy, niż jest to niezbędne do celów, dla których dane te są przetwarzane.

W przypadku umów cywilnoprawnych okres przetwarzania danych współpracowników określany jest przez okres trwania umowy, okres ewentualnego dochodzenia roszczeń związanych z umową (okres przedawnienia roszczeń wynikający z Kodeksu cywilnego) oraz zakres obowiązków wynikających z przepisów prawa. Oznacza to, iż pracodawca posiada legitymację do przetwarzania danych współpracowników przez okres trwania umowy, a także później, jeżeli obowiązek ten nałożony został na niego przepisami prawa. 

Ma on również prawo przetwarzać dane przez okres wskazany jako okres przedawnienia roszczeń. Podstawowy termin przedawnienia wynosi sześć lat, a dla roszczeń okresowych (na przykład najem) i związanych z działalnością gospodarczą wynosi trzy lata (art. 118 Kodeksu cywilnego). Przepisy przewidują liczne wyjątki. Na przykład roszczenia z tytułu umowy o dzieło przedawniają się po upływie dwóch lat od dnia, w którym dzieło oddano lub miało być oddane zgodnie z umową (art. 646 Kodeksu cywilnego). W przypadku roszczeń związanych z deliktami na przykład wyrządzeniem uszczerbku na zdrowiu lub utraty życia okres przedawnienia może wynosić nawet dwadzieścia lat (art. 4421 Kodeksu cywilnego).

w Poradnik.ngo.pl

• Ochrona danych osobowych w NGO. RODO w organizacji pozarządowej w 10 krokach
• Okres przechowywania dokumentów w NGO. RODO i inne przepisy

Stosowane przed wejściem w życie RODO wzory umów należy dostosować do wymogów rozporządzenia. Częstą praktyką było zawieranie w umowach klauzul opierających się na przepisach ustawy o ochronie danych osobowych z 29 sierpnia 1997 r. RODO przewiduje obowiązek przekazania informacji na temat przetwarzanych danych. Przekazane mają zostać takie informacje jak:

• tożsamość i dane kontaktowe administratora danych;
• dane kontaktowe inspektora danych (gdy został on wyznaczony);
• cele przetwarzania danych osobowych (np. przetwarzanie danych dla celów podatkowych);
• podstawy prawne przetwarzania danych osobowych (np. przetwarzanie danych na podstawie art. 22¹ i 22² Kodeksu pracy);
• informacje o odbiorcach danych osobowych (np. odbiorcą danych osobowych będzie towarzystwo ubezpieczeniowe zapewniające dodatkowe ubezpieczenie na życie lub pakiet świadczeń medycznych);
• informacje o nieprzekazywaniu lub przekazywaniu danych poza Europejski Obszar Gospodarczy lub organizacji międzynarodowej;
• okres przechowywania danych określony w latach/miesiącach lub słownie np. do ustania stosunku pracy;
• informacje o prawach, które przysługują podmiotowi danych osobowych takich jakich prawo dostępu do danych, przeniesienia danych, usunięcia danych, wniesienia sprzeciwu wobec dalszego przetwarzania danych oraz ich sprostowania;
• informacje o prawie do wycofania zgody, które nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
• informację o prawie do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych;
• informacje o ewentualnych konsekwencjach nie podania danych (np. niemożności zawarcia umowy o pracę);
• informacje o dokonywaniu lub nie dokonywaniu zautomatyzowanego przetwarzania danych w tym profilowania.

Klauzula informacyjna może być częścią umowy lub być do niej dołączona. Istotne jest aby organizacja mogła udowodnić że został przekazana.

Źródła: Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców, Urząd Ochrony Danych Osobowych, uodo.gov,.pl