O sporze Ministra Cyfryzacji z Prezesem Urzędu Ochrony Danych Osobowych- kilka słów o objaśnieniach prawnych
Pożar sprzętu a odpowiedzialność wobec abonenta
4 lutego, 2019
Usługodawca poczty elektronicznej może, ale nie musi udostępnić Kowalskiemu dane nadawcy wiadomości e-mail. Utrwala się nowa linia orzecznicza?
20 lutego, 2019

Pod koniec stycznia Minister Cyfryzacji opublikował objaśnienia prawne dotyczące stosowania przepisów ogólnego rozporządzenia o ochronie danych (tzw. RODO) oraz Kodeksu pracy. Możliwość wydawania objaśnień prawnych jest instytucją nową, uregulowaną w ustawie Prawo przedsiębiorców i stanowi instrument, który zapewnić ma jednolite stosowanie przepisów prawa z zakresu działalności gospodarczej.

Objaśnienia są wydawane przez ministrów i niektóre spośród organów, z urzędu albo na wniosek Rzecznika Małych i Średnich Przedsiębiorców. Objaśnienia dotyczyć mają praktycznego podejścia do stosownych przepisów, a także mają uwzględniać dotychczasowe stanowisko orzecznictwa, zarówno krajowego, jak również TSUE, w omawianej kwestii.

Przypomnijmy, że objaśnienia prawne Ministra Cyfryzacji z dnia 23 stycznia 2019 r. dotyczące przechowywania przez pracodawców dokumentów rekrutacyjnych, po zakończeniu rekrutacji, stały się przedmiotem scysji kompetencyjnej na linii Ministerstwo Cyfryzacji – Urząd Ochrony Danych Osobowych. Wydanie objaśnień przez MC zostało bowiem potraktowane przez UODO, jako naruszenie kompetencji przyznanych w RODO organowi nadzorczemu. Zdaniem UODO, oficjalne interpretacje prawa w zakresie ochrony danych osobowych leżą wyłącznie w gestii Prezesa UODO.

Przypomnijmy, że Urząd Ochrony Danych Osobowych systematycznie publikuje poradniki dotyczące tematyki stosowania przepisów o ochronie danych osobowych. Wśród ostatnich poradników, które ujrzały światło dzienne dzięki staraniom UODO jest opracowanie „Ochrona danych osobowych w miejscu pracy”. Warto zatem przyjrzeć się, jak w świetle sporu kompetencyjnego prezentuje się stanowisko MC i UODO na gruncie zagadnienia związanego z przetwarzaniem danych przez pracodawców po zakończeniu prowadzonej przez nich rekrutacji.

Objaśnienia prawne Ministra Cyfryzacji

Z objaśnień prawnych wydanych przez Ministerstwo Cyfryzacji można wyciągnąć następujące wnioski. Kodeks pracy nie reguluje kwestii czasu na jaki mogą być przechowywane dane kandydata, z którym umowa o pracę nie została zawarta. Osoby poszukujące pracy można w kontekście przetwarzania ich danych osobowych podzielić w zasadzie na dwie grupy: osoby, które wyraziły zgodę na wykorzystanie ich dokumentów rekrutacyjnych na potrzeby przyszłych rekrutacji oraz osoby które przekazały swoje dokumenty rekrutacyjne celem udziału w konkretnej rekrutacji.

W przypadku osób, które wyraziły zgodę na wykorzystanie ich dokumentów rekrutacyjnych na potrzeby przyszłych rekrutacji może pojawić się jeszcze problem związany z wykazaniem, że kandydat faktycznie wyraził taką zgodę, jeśli została ona udzielona jedynie ustnie (np. na recepcji/w sekretariacie zakładu pracy, gdzie kandydat zostawia swoje dokumenty aplikacyjne). Przedsiębiorca powinien zadbać w takiej sytuacji o udokumentowanie faktu posiadania zgody na wspomniane wykorzystanie dla celów przyszłych rekrutacji tak, aby móc się tym wykazać w razie sporu z osobą, której dane dotyczą, bądź z organem nadzorczym. W przypadku osobistego złożenia dokumentów aplikacyjnych w siedzibie firmy wystarczy, że kandydat złoży na nich swoją odręczną deklarację, że wyraża zgodę na wykorzystanie jego CV w przyszłych procesach rekrutacyjnych. Oczywiście zgoda wyrażona przez kandydata można zostać w każdej chwili przez niego odwołana. Nie należy również zapominać o wypełnieniu obowiązku informacyjnego względem kandydatów jeśli zamierzamy przetwarzać ich dane.

W przypadku osób, które przekazały swoje dokumenty rekrutacyjne celem udziału w konkretnej rekrutacji również może pojawić się problem dalszego przetwarzania danych po zakończeniu rekrutacji. MC uznało, że po zakończeniu rekrutacji pracodawca ma prawo przechowywać dokumenty rekrutacyjne osób, które nie zostały zatrudnione, w celach ochrony przed ewentualnymi roszczeniami mogącymi pojawić się w związku z prowadzoną uprzednio rekrutacją. Chodzi o naruszenie przez niedoszłego pracodawcę zakazu dyskryminacji.

Jako podstawę prawną dalszego przetwarzania w takiej sytuacji wskazuje się art. 6 ust. 1 lit. f RODO, tj.  prawnie uzasadniony interes niedoszłego pracodawcy, czyli ochrona przed ewentualnymi przyszłymi roszczeniami osoby, która nie została zatrudniona w wyniku prowadzonej rekrutacji.

Dodatkowo, MC wyjaśnia, że zamiarowi dalszego przechowywania danych takiej osoby powinien towarzyszyć uprzednio przeprowadzony test. Jeżeli pracodawca poprzez ocenę stanu faktycznego może mieć uzasadnione przekonanie, że występuje w przypadku kandydata wysokie ryzyko wystąpienia tej osoby na drogę postępowania sądowego w sprawie zarzutu dyskryminacji, to niedoszły pracodawca może przechowywać dane takiego kandydata przez kilka miesięcy, a nawet przez pełny trzyletni okres przedawnienia. Oczywiście wykorzystanie CV takiego kandydata w innych celach nie będzie zgodne z prawem.

Poradnik Prezesa Urzędu Ochrony Danych Osobowych

Urząd Ochrony Danych Osobowych stoi natomiast na stanowisku, że z istoty potencjalnego roszczenia z tytułu dyskryminacji ze względu na jakąś cechę lub przekonanie wynika uprawdopodobnianie, że właśnie z tej przyczyny kandydat został potraktowany w sposób gorszy od reszty kandydatów. To uprawdopodobnianie rodzi po stronie pracodawcy wykazanie, że dana cecha lub przekonanie nie miały wpływu na wynik rekrutacji.

Zdaniem UODO do obalenia takiego uprawdopodobnienia nie jest konieczne przetwarzanie danych zawartych w życiorysie kandydata do pracy, czy też jego CV. W związku z czym, zdaniem UODO, ryzyko wysunięcia roszczeń z tytułu dyskryminacji nie uzasadnia po stronie pracodawcy przechowywania danych osobowych kandydata do pracy po zakończeniu rekrutacji.

Minister Cyfryzacji objaśnia, a Prezes UODO nakłada kary

Jak to najczęściej bywa w przypadku takich sporów, stroną najbardziej poszkodowaną jest ta, której służyć przecież miały wszelkie wyjaśnienia tej niełatwej problematyki związanej z ochroną danych osobowych. Przedsiębiorcy, bo o nich mowa, stoją bowiem na rozdrożu i pytają: minister, czy organ ma w tej sytuacji rację? Oficjalna wykładania przepisów prawa pochodzi od Ministra Cyfryzacji, a organem kontroli w zakresie przepisów o ochronie danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych.

Jak wyżej wspominaliśmy, objaśnienia prawne to nowa instytucja. Dość powiedzieć, że objaśnienia wydane przez MC w związku z przetwarzaniem danych osobowych w celach rekrutacji stanowią pierwszy taki przypadek na gruncie ustawy Prawo przedsiębiorców.

Objaśnienia prawne nie stanowią wiążącej wykładni przepisów prawa dla przedsiębiorców, ale przedsiębiorca, który będzie postępował zgodnie z tymi objaśnieniami jest chroniony i nie może być obciążony żadnymi sankcjami. Warunkiem jest tu jednak zbieżność stanu faktycznego i prawnego.

Nie należy jeszcze zapominać o roli sądu w wykładni przepisu prawa, który był przedmiotem objaśnień. Sąd, przed którego oblicze może w końcu trafić sprawa przedsiębiorcy pozostającego w sporze z organem nadzoru, nie jest związany wykładnią przepisów zaprezentowaną w objaśnieniach, ale z drugiej strony przedsiębiorca, który postąpił zgodnie z tymi objaśnieniami nie będzie ponosił negatywnych konsekwencji z tego powodu. Stanowisko sądu odmienne od prezentowanego w objaśnieniach może zatem stanowić podstawę do zmiany objaśnień, skoro orzecznictwo jest brane pod uwagę przy wydawaniu tych objaśnień. Z kolei zmiana wydawanych objaśnień prawnych nie będzie wpływała na sytuację przedsiębiorców, którzy postępowali zgodnie z tymi objaśnieniami w brzmieniu przed ich zmianą.

UODO edukuje, UODO kontroluje, ale kar na razie nie nakłada

Wydaje się, że UODO póki co stawia jeszcze na edukowanie administratorów danych i to nie tylko za sprawą wydawanych poradników. Dotychczas UODO nie nałożył jeszcze żadnej administracyjnej kary pieniężnej. Jak zapowiada Prezes Urzędu Ochrony Danych Osobowych, w pierwszej kolejności Urząd będzie chciał korzystać z takich uprawnień, jak upomnienia, ostrzeżenia czy wezwania do przywrócenia stanu, w którym przetwarzanie danych odbywa się zgodnie z prawem. Jeśli jednak to nie przyniesie rezultatu, Urząd nie będzie wahał się nałożyć karę finansową.

Prezes UODO zatwierdził już także roczny plan kontroli sektorowych na 2019 rok. W sektorze prywatnym kontrole będą skupione przede wszystkim na podmiotach zajmujących się telemarketingiem, brokerach danych w zakresie podstaw prawnych przetwarzania danych osobowych i profilowaniu w sektorze bankowym i ubezpieczeniowym.

Autorem wpisu jest Jarosław StraśSpecjalista z zakresu prawa handlowego i problematyki dotyczącej ochrony danych osobowych, a także obowiązków przedsiębiorców telekomunikacyjnych na rzecz obronności i bezpieczeństwa oraz realizacji przez nich projektów dotowanych ze środków UE. W Kancelarii zajmuje się głównie obsługą prawną przedsiębiorców, w tym tworzeniem i restrukturyzacją firm. Prowadzi szkolenia i audyty dotyczące stosowania przepisów RODO oraz zarządzania systemem ochrony danych osobowych. Uczestnik konsultacji społecznych projektu przepisów wdrażających ogólne rozporządzenie o ochronie danych (RODO). Posiada certyfikat kompetencji Inspektora Ochrony Danych (luty 2018).

1 Comment

  1. […] Całość do przeczytania tutaj. […]

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*