Mamy 10 803 opinii naszych Klientów
Zadaj pytanie » Zadaj pytanie »

Indywidualne Porady Prawne

Masz podobny problem?
Opisz nam go i zadaj pytania.

(zadanie pytania do niczego nie zobowiązuje)

Lista kandydatów na stanowisko i żądanie ujawnienia ich danych

Autor: Jakub Bonowicz • Opublikowane: 07.10.2011

Jesteśmy firmą rekrutacyjną. Audytor wewnętrzny naszego klienta poprosił nas o przekazanie CV kandydatów oraz raportów osobowych wraz z oceną osobowościową (wszystko jest bardzo szczegółowe). Audytor nie podpisywał z nami żadnej umowy. W umowie z klientem nie było żadnych zapisów na temat danych osobowych, a kandydaci zawierali jedynie klauzulę, że zgadzają się na ich przetwarzanie związane z procesem rekrutacji. Czy powinniśmy przekazać wymienione informacje audytorowi?


Masz podobny problem? Kliknij tutaj i zadaj pytanie.

Pierwsza sprawa dotyczy danych osobowych. Otóż, jak wynika z opisanego stanu faktycznego, posiadają Państwo CV kandydatów, raporty osobowe kandydatów prezentowanych oraz raporty osobowe osób, które obecnie zostały zatrudnione. Raporty zawierają bardzo dokładne dane personalne oraz ocenę osobowościową kandydatów. Zgodnie z art. 6 ustawy z 29.08.1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883) „w rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmierny kosztów, czasu lub działań”. Informacje zgromadzone w powyższych CV oraz raportach niewątpliwie stanowią dane osobowe w myśl tej ustawy.

 

Ponadto należy odróżnić dwie kwestie:

 

  1. CV – sporządzane przez samych kandydatów,
  2. raporty – sporządzane przez Państwa – zawierające ocenę kandydata.

 

W pierwszej kolejności należy wskazać, że zasady przetwarzania danych osobowych powinny być uregulowane:

 

  1. W umowie pomiędzy firmą rekrutacyjną a Państwa klientem. Tam powinno się dokładnie wskazać, jakich danych osobowych i w jakich celach może żądać od Państwa klient. Problem w tym, że żadnej umowy nie ma.
  2. W oświadczeniu kandydata na jego życiorysie. Zwykle jest to standardowa formułka „Wyrażam zgodę na przetwarzanie danych osobowych dla potrzeb…”. W tym wypadku, jak Pan wskazuje, oświadczeniem objęta była jedynie zgoda na przetwarzania danych dla potrzeb rekrutacji. Natomiast, co ważne, oświadczenie kandydata obejmowało zgodę na przetwarzanie danych personalnych podanych w życiorysie, natomiast nie obejmowało zgody na udostępnianie np. raportów osobowościowych sporządzanych na podstawie rozmowy z takim kandydatem, w takim zakresie, w jakim raporty te wykraczały poza zakres danych i informacji podanych w CV.

 

Istotne jest jeszcze pojęcie administratora danych osobowych. Zgodnie z art. 7 pkt 4 ustawy jest to organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych. Pojawia się pytanie – kto jest administratorem danych osobowych w przypadku, kiedy firma szukająca pracowników zatrudnia firmę rekrutacyjną – czy jest to firma rekrutacyjna, czy też pracodawca. Moim zdaniem, dopóki proces rekrutacji jest prowadzony, administratorem będzie firma rekrutacyjna (bo ona decyduje o celach i środkach). Natomiast z chwilą gdy dane te zostają przekazane do pracodawcy,  staje się nim również pracodawca. A więc de facto w tej chwili jest dwóch administratorów danych – pracodawca oraz Państwa firma.

 

Zgodnie z art. 23 ust. 1 przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy:

 

  1. Osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych. Zgoda to oświadczenie woli, którego treścią jest przyzwolenie na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści (art. 7 pkt 5) – a więc musi być wyraźna i jednoznacznie wskazywać zakres uprawnienia do przetwarzania danych, należy ją interpretować wąsko (a więc wolno tylko to, co dokładnie zostało napisane).
  2. Jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
  3. Jest to konieczne dla realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.
  4. Jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego.
  5. Jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza prawa i wolności osoby, której dane dotyczą. Za prawnie usprawiedliwiony cel uważa się w szczególności (art. 23 ust. 5): marketing bezpośredni własnych produktów lub usług administratora danych; dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

 

Zastanówmy się, czy w niniejszym wypadku zachodzą te przesłanki.

 

Po pierwsze brak jest zgody kandydatów. Zgoda obejmowała przetwarzanie danych osobowych dla celów rekrutacji, a nie audytu. Jeśli chodzi o drugą przesłankę, to jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa – co może wchodzić w grę, ale audytor nie wskazał, o jakie uprawnienie lub obowiązek chodzi. Gdyby np. przepis prawa nakładał na pracodawcę obowiązek posiadania audytora, który ma skontrolować prawidłowość procesu rekrutacyjnego, to udostępnienie danych byłoby zasadne (oczywiście tylko w takim zakresie, w jakim byłoby to konieczne dla zbadania prawidłowości tego procesu). Niemniej na razie nic o takim przepisie nie wiadomo. Nie zachodzą natomiast przesłanki 3, 4 i 5.

 

Po drugie, trzeba wskazać jeszcze na jedną rzecz – otóż tryb, w jakim następuje udostępnienia danych osobowych. Zgodnie z art. 29 ust. 1 zasadą jest to, że „w przypadku udostępnienia danych osobowych w celach innych niż włączenie do zbioru, administrator danych udostępnia posiadane w zbiorze dane osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa”. Ponadto, dane osobowe „mogą być także udostępnione w celach innych niż włączenie do zbioru, innym osobom i podmiotom niż wymienione w ust. 1, jeżeli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą” (art. 29 ust. 2). Dane osobowe udostępnia się na pisemny, umotywowany wniosek, chyba że przepis innej ustawy stanowi inaczej. Wniosek powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie. „Udostępnione dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione” (art. 29 ust. 4).

 

Warunkami udostępnienia danych osobowych audytorowi musiałyby być poniższe punkty:

 

  1. Złożenie przez audytora pisemnego, umotywowanego wniosku odpowiadającego wymogom formalnym z art. 29 ust. 3. Bez takiego pisemnego wniosku udostępnienie danych jest sprzeczne z prawem.
  2. Audytor musi w wiarygodny sposób uzasadnić potrzebę posiadania tych danych – tj. wskazać, jaki przepis nakłada na niego np. obowiązek przeprowadzenia kontroli prawidłowości procesu rekrutacyjnego i czy jest potrzeba przekazania wszystkich danych.
  3. Udostępnienie nie naruszy praw i wolności osób, których dane dotyczą. W niniejszym wypadku musiałbym znać treść raportów oraz cele, dla których audytor zamierza wykorzystać dane, by móc ocenić ten warunek.
  4. Udostępnione dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.

 

W niniejszym wypadku audytor nie złożył pisemnego wniosku o udostępnienie danych, więc kwestia jest bezprzedmiotowa.

 

Należy zwrócić uwagę na jeszcze jedną rzecz. Otóż ustawa w art. 27 wyróżnia kategorię tzw. danych sensytywnych (wrażliwych). Są to dane ujawniające „pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym”.

 

Te dane osobowe nie mogą być udostępniane przez administratora osobom lub podmiotom innym niż uprawnione do ich otrzymania na mocy przepisów prawa (art. 29 ust. 2).

 

Jeśli więc w Państwa raportach znajdują się takie dane, to wówczas audytor musi wskazać przepis prawa, na mocy którego uprawniony byłby do ich otrzymania. Dodać należy, że jeśli raport zawiera takie dane, to nie wyklucza to udostępnienia pozostałej części raportu (bez udostępniania tej, która zawiera dane sensytywne).

 

Wreszcie, należy również wskazać, że skoro udostępnienia danych żąda audytor wewnętrzny, to adresatem jego działań powinna być firma (pracodawca), w której prowadzi on audyt (chociażby dlatego, że Pan nie wie, na podstawie jakich przepisów lub umowy sprawowany jest audyt i jaki jest zakres uprawnień audytora). I to pracodawca powinien podjąć decyzję o udostępnieniu tych danych albo nie, jeśli również jest ich administratorem.

 

Jeżeli chcesz wiedzieć więcej na ten temat – kliknij tutaj i zapytaj prawnika >>

 

wersja do druku drukuj

Komentarze (0):

Uwaga!
Szanowni Państwo!
Nasi prawnicy nie odpowiadają na pytania zadawane w formie komentarza pod tekstem. Jeśli chcą Państwo powierzyć swój problem naszym prawnikom, prosimy kliknąć tutaj >>

  • 6 + X =

»Podobne materiały

Zniesławienie przedstawiciela firmy

Mój partner od lat jest twarzą firmy, nie jest jej właścicielem, ale osobą rozpoznawalną w naszej branży. Pewnej firmie jesteśmy winni niedużą kwotę, niestety cały czas nie możemy jej spłacić. Prowadzimy od lat działalność gospodarczą, mamy kilka sklepów; staramy się spłacać zobowiązania, ale mimo p
Porad przez Internet udzielają
prawnicy z dużym doświadczeniem:
Prawnicy

Zapytaj prawnika

Zadanie pytania do niczego nie zobowiązuje!
Wycenę wyślemy do 1 godziny
wizytówka Szukamy ambitnego prawnika »