Generalny Inspektor Ochrony Danych Osobowych zweryfikuje zgodność z prawem przetwarzania danych pracowników tymczasowych – takie uprawnienia daje mu nowelizacja ustawy z dnia 1 czerwca br., dotycząca zatrudniania takich osób. Niezastosowanie się do nowych regulacji grozi grzywną w wysokości do 30 tys. zł.

Jak to zwykle bywa, nałożono na przedsiębiorców kolejne obowiązki.

GIODO zapowiedział, że zajmie się sprawą z urzędu i zrobi to kompleksowo. Prześwietli m.in. zasady przetwarzania i zakres przetwarzanych danych osobowych, ich gromadzenia, rolę poszczególnych podmiotów biorących udział w przetwarzaniu danych, spełnienie obowiązku informacyjnego oraz zabezpieczenia danych.

Nowelizacja wprowadza obowiązek prowadzenia ewidencji osób wykonujących pracę tymczasową. Ponadto ograniczono czas wykonywania zadań przez pracownika tymczasowego na rzecz konkretnej firmy. Obecnie wynosi on maksymalnie 18 miesięcy w okresie 36 kolejnych miesięcy.

Na rynku oferowany jest outsourcing pracowników tymczasowych – usługa bazy danych, tworzonej i prowadzonej przez podmiot zewnętrzny, obejmująca informacje o pracownikach tymczasowych i pracodawcach, u których byli zatrudnieni. Najpopularniejsze usługi tego typu są dostępne online. Powstało pytanie o dopuszczalność ich świadczenia w kontekście ochrony danych osobowych.

Podstawą prawną dla przetwarzania danych osobowych w tym przypadku może być zgoda osoby, której dane dotyczą (trzeba podkreślić, że wymaga to oddzielnej akceptacji, niż standardowo umieszczanej w CV zgody na przetwarzanie danych osobowych w celach rekrutacyjnych) albo stwierdzenie niezbędności takiego przetwarzania w celu zrealizowania obowiązków nakładanych ustawą o zatrudnianiu pracowników tymczasowych.

Czyli sprawę można załatwić na dwa sposoby.

1. Zgoda pracownika: przed jej udzieleniem powinien on zostać poinformowany o zasadach i celu zbierania i przetwarzania danych, w szczególności o przewidywanych odbiorcach lub kategoriach odbiorców danych.

2. Przetwarzanie danych osobowych jest niezbędne dla zrealizowania obowiązków nakładanych ustawą o zatrudnianiu pracowników tymczasowych – wówczas zgoda pracownika nie jest wymagana.

Jednoczenie w kontekście omawianego portalu usług pracy tymczasowej istnieją istotne wątpliwości prawne, czy przesłanka dotycząca gromadzenia danych bez zgody pracowników może być zastosowana. Należy odpowiedzieć na pytanie, czy może ona obejmować podmiot, którego te obowiązki nie dotyczą, czyli usługodawcę zewnętrznego. W przypadku przetwarzania danych przez samych pracodawców wydaje się, że przesłanka ta jest spełniona. Obowiązek wykazania spełnienia tej przesłanki leży po stronie administratora danych, np. pracodawcy. Sprawa ma charakter czysto prawny, dlatego też pierwsze rozstrzygnięcie tej kwestii przez odpowiedni organ będzie precedensowe.

Przy okazji budowania baz danych pracowników tymczasowych warto mieć na uwadze wchodzące w życie maju 2018 r. przepisy unijne (RODO), które wskazują szyfrowanie jako odpowiedni sposób ochrony danych osobowych w systemach informatycznych. Ustanawiają również surowe sankcje za naruszenia w tym zakresie.

Informacji udzielał Piotr Biernatowski, adwokat z kancelarii Largo Law