Co prawda podstawowym aktem regulującym zasady pozyskiwania i wykorzystywania danych osobowych jest ustawa o ochronie tych danych, ale przy rekrutowaniu pracowników należy najpierw kierować się prawem pracy. Dr Wojciech Rafał Wiewiórowski, pełniący urząd Generalnego Inspektora Ochrony Danych Osobowych (GIODO) wielokrotnie to podkreśla. Jak przypomina, wspomniana ustawa wyraźnie odwołuje się do tego, że w obowiązującym systemie prawnym istnieją regulacje, które w sposób bardziej rozbudowany niż ona chronią takie dane. I stanowi ona, że jeśli dany przypadek podlega takim regulacjom, to należy właśnie je stosować jako nadrzędne. Dla stosunków pracy - wynikają one z kodeksu pracy, przy czym zawarte w nim przepisy o pozyskiwaniu danych przez pracodawcę - odnoszą się również do etapu przed zatrudnieniem kandydata.
PESEL - nie teraz
Art. 22[1] kp wprost wymienia dane, których można żądać od osoby ubiegającej się o zatrudnienie. Są to:* imię (imiona) i nazwisko,
* imiona rodziców,
* data urodzenia,
* adres zamieszkania (adres do korespondencji),
* informacja o wykształceniu,
* informacja o przebiegu dotychczasowego zatrudnienia.
I to wszystko. PESEL nie znajduje się na tej liście. Ten pozyskuje się dopiero od pracownika.
Katalog informacji, które można zaliczyć do danych osobowych i których pozyskiwanie przez rekrutującego pracodawcę jest dopuszczalne przez prawo, nie jest ani długą, ani urozmaiconą listą. I nie ma potrzeby, aby było inaczej. Chodzi po pierwsze o identyfikację osoby, po drugie o zdobycie podstawowej wiedzy o sprawach, które mają związek z poszukiwaniem pracownika do wykonywania określonej pracy. Wykształcenie i przebieg dotychczasowego zatrudnienia to wystarczające informacje. Co więcej potrzeba? Rzecz jasna, w niektórych branżach i na niektórych stanowiskach pracę mogą wykonywać tylko ludzie o szczególnych predyspozycjach czy spełniający szczególne kryteria, ale i wtedy nie ma mowy o sięganiu po dowolne dane, lecz tylko takie, które wymienia „branżowy” akt prawny. Nie każdy pracodawca jest np. uprawniony do pytań o czyjąś karalność. Takie upoważnienie musi płynąć tylko z przepisów.
Wyznania kandydata
W praktyce wielu pracodawców dowiaduje się jednak o kandydatach znacznie więcej niż by chcieli. Kandydaci piszą o sobie w dokumentach wszystko, co w ich ocenie stanowi dodatkową wartość, mogącą przesądzić o pomyślnym przebiegu starań o zatrudnienie. Informują oni, że np. wykonywali prace społeczne na rzecz organizacji pozarządowych, że są wolontariuszami, że posiadają prawo jazdy kategorii B, dołączają opinie o sobie, referencje od poprzednich pracodawców czy zleceniodawców. To zdecydowanie wykracza poza kodeksowy artykuł, ale jest dopuszczalne pod jednym warunkiem - podanie takich informacji musi wychodzić wyłącznie z inicjatywy kandydata.Podanie przez kandydata z własnej woli danych wykraczających poza katalog przewidziany prawem nie oznacza, że pracodawca uzyskuje je nielegalnie. Ale - jak podkreśla GIODO - ich wymaganie od kandydata jest już naruszeniem ustawy. Zasadą jest, że każda informacja, którą można kojarzyć z konkretną osobą fizyczną, jest uznawana za dane osobowe i podlega ochronie. Nieuprawnione jest więc domaganie się informacji o rodzinie (np. nazwisku rodowym matki), ani kserowanie czy skanowanie dowodu osobistego kandydata do pracy.
Bez prowokacji
Pracodawca nie może też prowokować uzyskania zgody na przetwarzanie danych. Nie wolno mu np. pytać: czy może mi Pani/Pan powiedzieć, do jakiej partii należy?- Skoro przepisy prawa pracy nie przewidują gromadzenia przez pracodawcę informacji o przynależności partyjnej kandydata do pracy, to wymaganie ich przez pracodawcę jest zabronione, nawet jeśli osoba taka wyrazi na to swoją zgodę - podkreśla generalny inspektor. Przytacza też wyrok Naczelnego Sądu Administracyjnego z 2009 r., w którym zwrócono uwagę, że: „brak równowagi w relacji pracodawca pracownik stawia pod znakiem zapytania dobrowolność wyrażenia zgody na pobieranie i przetworzenie danych (…). Z tego względu ustawodawca ograniczył przepisem art. 22[1] kodeksu pracy katalog danych, których pracodawca może żądać od pracownika. Uznanie faktu wyrażenia zgody na podstawie art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, jako okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 22[1] kodeksu pracy, stanowiłoby obejście tego przepisu”. Tak samo należy oceniać relacje pracodawca - kandydat do pracy.
Nieuprawnione przetwarzanie danych jest zagrożone sankcjami. Nawet 200 tys. zł grzywny może kosztować niezastosowanie się do decyzji GIODO w sprawie zaprzestania stosowania niedozwolonych praktyk. Prawo przewiduje także kary więzienia.
Jest zatem oczywiste, że kandydata nie można pytać o działalność pozazawodową, jak np. o wspomnianą przynależność partyjną. Ale też o to, czy odbył on służbę wojskową, albo czy kandydatka jest w ciąży. W tych przypadkach łamane są też inne przepisy, nie tylko związane z ochroną danych osobowych. Dochodzi do naruszenia zasady równego traktowania w zatrudnieniu, czyli do dyskryminacji bezpośredniej (jak w przypadku pytania o ciążę), albo pośredniej (służba wojskowa). A wtedy kandydat na pracownika ma pełne prawo wystąpić z roszczeniami do pracodawcy o odszkodowanie. Minimalne wynosi tyle, ile najniższa w kraju płaca ustalona na dany rok. W 2012 r. jest to 1500 złotych.
Ochrona przed „wyciekiem”
Choć kandydat do pracy to jeszcze nie pracownik, ale dane osobowe uzyskane w trakcie rekrutacji są danymi chronionymi tak, jak osób zatrudnionych. A w zasadzie po prostu podlegają reżimowi ustawy o ochronie danych osobowych. Pracodawca to administrator danych, jego obowiązkiem jest je odpowiednio zabezpieczyć przed dostępem do nich osób niepowołanych - on za to odpowiada. W konsekwencji ponosi też odpowiedzialność za działania osób dopuszczonych do zbiorów danych osobowych znajdujących się w bazie firmy, czyli za ich „wyciek”.GIODO szczegółowo to wyjaśnił w odpowiedzi na jedno z częstych pytań, kierowanych do jego biura. Po pierwsze, pracodawca jako administrator musi stosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, a zwłaszcza zabezpieczyć je przed ich udostępnieniem osobom nieupoważnionym. Po drugie, pracownik dopuszczony do danych innych osób, w tym także w związku z rekrutacją, ma bezwzględny obowiązek zachowania poufności. Ich udostępnienie osobom nieupoważnionym obciąża nie tylko pracownika, także administratora danych.
Szczególna odpowiedzialność
Administrator musi mieć pełną kontrolę nad procesem przetwarzania danych i pełną wiedzę na ten temat, weryfikować zachowanie pracowników pod kątem przestrzegania przez nich zasad ochrony danych osobowych. Za nieprzestrzeganie tych obowiązków ponosi bowiem odpowiedzialność karną. Grzywna, ograniczenie wolności albo pozbawienie wolności do lat 2 - grozi temu, kto administrując zbiorem danych lub będąc obowiązanym do ochrony danych osobowych, udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym. Karane jest także nieumyślne naruszenie obowiązku zabezpieczenia danych przed ich zabraniem przez osobę nieupoważnioną, uszkodzeniem lub zniszczeniem.Jacek Iwański