Przetwarzanie danych przez agencje zatrudnienia

Przetwarzanie danych przez agencje zatrudnienia

Zgodnie z art. 6 ust. 4 ustawy o promocji zatrudnienia i instytucjach rynku pracy, agencjami zatrudnienia są podmioty wpisane do rejestru podmiotów prowadzących agencje zatrudnienia i które świadczą usługi w zakresie pośrednictwa pracy, pośrednictwa pracy za granicą u pracodawców zagranicznych, poradnictwa zawodowego, doradztwa personalnego lub pracy tymczasowe. Art. 18 ust. 1 ww. ustawy mówi, że agencja może prowadzić działalność w zakresie pośrednictwa pracy, doradztwa personalnego, pośrednictwa zawodowego i pracy tymczasowej.

Zgodnie z art. 19b ustawy dotyczącej promocji zatrudnienia i instytucji rynku pracy agencja, zobowiązana jest, aby przestrzegać przepisy o ochronie danych osobowych w związku z zakresem przetwarzanych danych.

W związku z powyższym, agencja będzie występować w różnych rolach: jako administrator danych osobowych lub jako podmiot przetwarzający, który w imieniu administratora, przetwarza dane. Nie można również wykluczyć również sytuacji w której agencja będzie zarówno administratorem jak podmiotem przetwarzających. Pewnie nie zaskoczę nikogo stwierdzeniem, że role wcześniej wymienione, nakładają na agencję szereg obowiązków wynikających z przepisów o ochronie danych osobowych między innymi prowadzenie rejestrów, przeprowadzenie analizy ryzyka, jak również wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania.

Pośrednictwo pracy polega na dostarczeniu odpowiedniej pracy osobie, która jej poszukuje oraz zapewnieniu pracodawcy, pracownika o poszukiwanych kwalifikacjach. Agencja występuje więc tutaj jako pośrednik pomiędzy poszukującym pracy a pracodawcą poszukującym pracownika. W większości występuje tutaj relacja administrator-administrator ponieważ agencja pozyskuje i gromadzi dane kandydatów a później, przekazuje je zainteresowanym pracodawcom.

Może wystąpić również sytuacja gdzie agencja będzie administratorem danych osobowych i na zlecenie pracodawcy będzie dokonywała rozmów z kandydatami w celu wstępnej selekcji a następnie zebrane informacje przekaże do innego administratora (zlecającego pracodawcy), w tym przypadku agencja będzie również podmiotem przetwarzającym.

Na rynku pracy wiele wątpliwości budzi kwestia ukrytych rekrutacji, czyli poszukiwanie pracownika bez ujawniania tożsamości pracodawcy. Wytyczne Prezesa Urzędu Ochrony Danych Osobowych wskazują, że ta praktyka jest niezgodna z prawem, ponieważ osoba, która ubiega się o zatrudnienie i przesyła swoją aplikację nie uzyskuje informacji o tym, kto jest administratorem danych i jakiemu podmiotowi będą udostępniane te informacje. W swoim poradniku Prezes Urzędu Ochrony Danych Osobowych wskazał, że osoby powinny zostać poinformowane komu ich dane będą udostępniane. Takie ogłoszenie o pracę są sposobem wyłudzania danych. PUODO wskazuje również, że jest możliwość utrzymania anonimowości na początkowych etapach rekrutacji, ponieważ pracodawca może zlecić zatrudnienie, agencji do której kandydaci kierują swoje aplikacji i wtedy to agencja będzie administratorem danych osobowych. W przypadku udostępnienia danych przez agencję w pierwszej kolejności powinniśmy brać pod uwagę obowiązek wynikający z art. 13 RODO, następnie po udostępnieniu danych organizacji winna ona spełnić obowiązek z art. 14 RODO. W opinii Prezesa Urzędu Ochrony Danych Osobowych, w stosunku do wybranych kandydatów agencja powinna poinformować o danych potencjalnego pracodawcy oraz wyrazić zgodę na przekazanie ich kandydatury. Pracodawca otrzymuje dane osobowe tylko tych kandydatów którzy wyrażą stosowną zgodę. W praktyce mogłoby to być bardzo problematyczne ponieważ agencje pracy mają za zadanie pośredniczenia w znalezieniu pracy, co zdaje się wynikać z przepisów prawa.

Pojawia się pytanie jak długo dane te powinny być przechowywane? Należy pamiętać o zasadzie prawidłowości, co w przypadku składanych aplikacji może być utrudnione, ponieważ dane dotyczące doświadczenia zawodowego czy kwalifikacji zawodowych dynamicznie się zmieniają. Trzeba mieć na uwadze fakt, że nie możemy trzymać danych w nieskończoność.

Inaczej sprawa wygląda w przypadku rekrutacji na zlecenie pracodawcy. W tym przypadku to agencja jest podmiotem przetwarzającym, natomiast pracodawca posiada pełne władztwo nad danymi osobowymi – jako administrator. Może on zatem żądać usunięcia zebranych danych po zakończeniu rekrutacji. Oczywiście w tej sytuacji wskazane jest zawarcie umowy powierzenia przetwarzania danych. Warto zwrócić uwagę na to, by umowa zawierała wymogi opisane w art. 28 RODO. Dobrą praktyką jest wskazanie, że agencja zatrudnienia umożliwi administratorowi lub upoważnionemu przez niego audytorowi przeprowadzenia audytów przetwarzania powierzonych danych mając również na uwadze to że audytorzy ci nie powinien zaburzać toku pracy, a termin powinien być ustalony odpowiednio wcześniej.

Doradztwo personalne zgodnie z przepisami ustawy o promocji zatrudnienia i instytucji rynku pracy polega w szczególności na prowadzeniu analizy zatrudnienia u pracodawców, określaniu kwalifikacji pracowników i ich predyspozycji oraz innych cech niezbędnych do wykonywania określonej pracy, wskazywaniu źródeł i metod pozyskania kandydatów na określone stanowisko pracy a także weryfikacja kandydatów pod względem oczekiwanych kwalifikacji i predyspozycji. Zgodnie z powyższym doradztwo personalne skierowane jest tylko do pracodawców. Aby podjąć jakiekolwiek działanie agencja musi mieć zgłoszoną potrzebę, w związku z powyższym należy uznać za zasadne, że agencja występować będzie w roli podmiotu przetwarzającego co powinno znaleźć zastosowanie w zawarciu umowy powierzenia. Natomiast poradnictwo zawodowe jest to usługa skierowana do konkretnej osoby, a więc agencja staje się administratorem danych osobowych.

Agencje zatrudnienia podejmują bardzo wiele różnych działań od pośrednictwa aż po pracę tymczasową, procesy te pełne są zadań związanych z przetwarzaniem danych osobowych, a rola agencji jest za każdym razem zróżnicowana i należy zwrócić uwagę na treść zawieranych umów powierzenia, ponieważ nie mogą one być sprzeczne z przepisami o ochronie danych osobowych.

Monika Jędro | Kierownik Projektu w CompNet Sp. z o.o.