Zobacz, jak zrealizować obowiązek informacyjny w związku z zatrudnieniem pracownika

Pracodawca lub podmiot zatrudniający osobę fizyczną na podstawie umowy cywilnoprawnej jest administratorem danych osobowych kandydata do zatrudnienia. Dane osobowe administrator pozyskuje od osoby, której dane dotyczą. W takiej sytuacji zastosowanie znajduje art. 13 RODO. Zgodnie z tym przepisem na administratorze danych ciąży wówczas tzw. obowiązek informacyjny. Administrator powinien mianowicie podać podmiotowi danych następujące informacje:

• swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
• gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
• cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
• jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f RODO (czyli – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
• informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
• gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

Przetwarzanie, o którym mowa w art. 6 ust. 1 lit. f RODO, to przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. W przypadku zatrudnienia innej osoby może mieć miejsce przetwarzanie danych osobowych w oparciu o tą przesłankę.

Na tym jednak nie koniec. Administrator powinien jeszcze podać podmiotowi danych  następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

• okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
• informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
• jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
• informacje o prawie wniesienia skargi do organu nadzorczego,
• informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
• informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Wspomniane wyżej przetwarzanie na podstawie art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a RODO to sytuacja gdy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych (tym wrażliwych) w jednym lub większej liczbie określonych celów.

Klauzula informacyjna ma być przekazana konkretnym podmiotom danych (pracownikom) a nie np. całym jednostkom organizacyjnym pracodawcy. Po drugie, artykuł 5 ust. 1 RODO ustanawia tzw. zasadę rozliczalności, zgodnie z którą to administrator jest odpowiedzialny za przestrzeganie przepisów i musi być w stanie wykazać ich przestrzeganie. Z tych powodów to w interesie administratora leży aby nie tylko przekazywać klauzulę informacyjną indywidualnie każdej osobie fizycznej, której dane są przetwarzane, ale czynić to za potwierdzeniem odbioru (podpis z datą).

W zakresie obowiązku informacyjnego RODO nie zawiera przepisów przejściowych czy tymczasowych, które pozwalałyby administratorowi na stopniową realizację nowego obowiązku. Należy go zatem jak najszybciej wypełnić. Nie ma przy tym znaczenia data zatrudnienia pracownika – należy wypełnić obowiązek informacyjny wobec wszystkich pracowników bez wyjątku ze względu na staż ich pracy czy datę pierwszego zatrudnienia.