21 mar Czy można przechowywać dane osobowe kandydatów po zakończeniu rekrutacji? Wyrok NSA potwierdza, że tak
Ostatnim wyrokiem Naczelny Sąd Administracyjny otworzył administratorom furtkę do dalszego przetwarzania danych osobowych kandydatów do pracy po zakończeniu rekrutacji, jednocześnie zachęcając UODO do zmiany podejścia.
Z jakiego powodu UODO dotychczas nie dopuszczał takiej możliwości? O czym musi pamiętać administrator, aby poprawnie przechowywać dane osobowe? Odpowiadamy w artykule.
Przechowywanie danych osobowych na wypadek potencjalnych roszczeń kandydatów
Według UODO przechowywanie danych osobowych kandydatów nie może wyłącznie służyć obronie przed potencjalnymi (niepewnymi i niestwierdzonymi) roszczeniami. Takie podejście słusznie było kwestionowane przez administratorów danych osobowych. Dlaczego?
W przypadku sporu z kandydatem biorącym udział w procesie rekrutacyjnym, administrator nie dysponuje żadnym materiałem dowodowym, który pozwoliłby na zaprzeczenie stawianym zarzutom oraz uwiarygodnienie swojego stanowiska. Co więcej, skoro ślad po aplikacji zniknął z zasobów administratora, problematyczne byłoby ustalenie, czy dana osoba faktycznie brała udział w rekrutacji.
A co jeśli roszczenia byłego kandydata pojawią się dopiero po dwóch latach, jednak przed upływem 3-letniego terminu przedawnienia? Nie sposób przewidzieć, które procesy rekrutacyjne mogą zostać zakwestionowane i przez którego z kandydatów. W tym kontekście usunięcie całości danych i pozbawienie się materiału dowodowego może być dla pracodawcy fatalne w skutkach.
Opinia organu nadzorczego od lat pozostawała jednak niezmienna – dane nie mogą być przetwarzane w celu obrony przed potencjalnymi roszczeniami, a terminy przedawnienia roszczeń nie mogą stanowić ram czasowych, w których dane są przetwarzane przez administratorów.
Tło sprawy wyroku NSA dotyczącego przechowywania danych osobowych
Sprawa dotyczyła administratora przetwarzającego dane osobowe kandydatów do pracy po zakończeniu rekrutacji w celu ustalenia, dochodzenia lub obrony przed potencjalnymi roszczeniami. UODO uznał taką praktykę za nieprawidłową i ukarał administratora upomnieniem. Administrator, nie zgadzając się ze stanowiskiem Urzędu, skierował sprawę na drogę sądową.
Ostatecznie Naczelny Sąd Administracyjny (NSA) podzielił stanowisko administratora. W uzasadnieniu orzeczenia[i] NSA dopuścił możliwość przetwarzania danych osobowych na podstawie prawnie uzasadnionych interesów w celu ustalenia, dochodzenia lub obrony przed potencjalnymi roszczeniami.
Kiedy przetwarzanie danych osobowych jest dopuszczalne?
Realizacja prawnie uzasadnionych interesów może być legalną podstawą przetwarzania danych osobowych, jeżeli spełnia łącznie trzy warunki:
- przetwarzanie danych jest niezbędne do osiągnięcia określonych celów,
- cele administratora wynikają z prawnie uzasadnionych interesów administratora lub strony trzeciej,
- prawa i wolności podmiotów danych nie są nadrzędne nad prawnie uzasadnionymi interesami administratora.
NSA podkreślił, jak ważny jest związek przyczynowo-skutkowy pomiędzy przetwarzaniem danych a realizacją celu, do którego dąży administrator. Ogólne przyjęcie, że prawnie uzasadnione cele muszą wynikać z przysługujących administratorowi praw i obowiązków prowadziłoby do nieuzasadnionego zawężenia tej podstawy przetwarzania. Administrator może w praktyce realizować interesy, które choć nie wynikają bezpośrednio z porządku prawnego, to mieszczą się w jego granicach (nie są z nim sprzeczne).
Prawnie uzasadniony interes administratora a relacja z osobą, której dane dotyczą
NSA wskazuje, że charakter relacji łączącej administratora oraz osobę, której dane dotyczą, może pozwolić na przetwarzanie danych na podstawie prawnie uzasadnionego interesu administratora. Oznacza to, że przetwarzanie danych osobowych będzie dopuszczalne, jeśli osoba może racjonalnie oczekiwać, że jej dane mogą być przetwarzane przez administratora z uwagi na łączącą ich relację.
Udział w rekrutacji jest racjonalnym i uzasadnionym powodem przetwarzania przez administratora zawartych w aplikacji danych osobowych, w celu oceny kandydatury i podjęcia decyzji o zatrudnieniu.
Oczywiście relacja łącząca administratora oraz osobę, której dane dotyczą, może ulec przekształceniu lub zmianie. Po zakończonym procesie rekrutacyjnym, celem nowej relacji może być zabezpieczenie interesów na wypadek wejścia w spór sądowy.
Zdaniem NSA, w takich sytuacjach uzasadnione jest zabezpieczenie się administratora na wypadek potencjalnego sporu sądowego – uwzględniając istnienie podstaw prawnych umożliwiających podmiotowi danych wystąpienie z roszczeniem.
Zgodność celu przetwarzania z celem pozyskania danych
Kolejnym aspektem, na który administratorzy powinni zwrócić uwagę, jest konieczność zapewnienia zgodności celu przetwarzania danych osobowych z celem, dla którego dane zostały pierwotnie pozyskane. Jeżeli dane zostały pozyskane w związku z procesem rekrutacyjnym, to nie można automatycznie przyjąć, że administrator jest uprawniony do ich przetwarzania również w innych celach.
Oceniając, czy pomiędzy celami zachodzi zgodność trzeba uwzględnić:
- istniejące powiązania pomiędzy celami,
- kontekst pozyskania danych,
- rozsądne przesłanki pozwalające podmiotom danych oczekiwać dalszego ich wykorzystania,
- konsekwencje dalszego przetwarzania danych z perspektywy podmiotów oraz
- istnienie odpowiednich zabezpieczeń.
Sprowadza się to do ustalenia, czy nowy cel przetwarzania można uznać za logiczną konsekwencję celu pierwotnego. Im bardziej nowy cel może być dla podmiotu danych zaskakujący lub nieprawdopodobny, tym większa możliwość zakwestionowania praktyki.
Jak długo mogą być przechowywane dane osobowe?
Dane nie powinny być przetwarzane w nieskończoność. Upływ czasu na prawnie skuteczne kwestionowanie przez kandydata przebiegu procesu rekrutacyjnego oznacza, że dalsze przetwarzanie danych osobowych przez administratora nie jest możliwe, a dane należy trwale usunąć.
Czy możemy liczyć na zmianę podejścia UODO?
Ostatniej zmianie personalnej na stanowisku Prezesa UODO towarzyszyła zapowiedź aktywniejszej postawy organu w zakresie wydawania wytycznych oraz pomocy administratorom w prawidłowej interpretacji przepisów.
Nowy Prezes zauważył, że wydany przez UODO w 2018 r. „Poradnik dla pracodawców” (stanowiący jak dotąd jedyne opracowanie zawierające wytyczne w zakresie przetwarzania danych osobowych pracowników), zawiera porady już nieaktualne oraz nieuwzględniające obecne podejście rynkowe. W niedalekiej przyszłości można spodziewać się jego aktualizacji, co może oznaczać również publikację zmienionego podejścia do przetwarzania danych osobowych kandydatów na potrzeby potencjalnych roszczeń.
Co zrobić, aby prawidłowo przechowywać dane osobowe?
Wyrok NSA może rozluźnić podejście w zakresie przechowywania danych osobowych na potrzeby przedawnienia roszczeń – w rekrutacji, i nie tylko. Nie oznacza to jednak, że administratorzy mogą działać z automatu.
O co należy zadbać?
- Decydując się na przetwarzanie danych w określonym celu, w szczególności na podstawie uzasadnionego interesu, administrator powinien przeprowadzić stosowną analizę ryzyka. Mając na względzie zasadę rozliczalności, warto aby po analizie pozostał „ślad” w wewnętrznej dokumentacji.
- Dobrym rozwiązaniem na „start” będzie test równowagi, sprawdzający, czy prawa i wolności podmiotów danych nie pozostają nadrzędne wobec realizowanych interesów (warto to również udokumentować).
- Decyzja o wdrożeniu zmian może powodować konieczność aktualizacji klauzul informacyjnych (w szczególności w zakresie celu, podstaw i okresu przetwarzania danych) oraz dokumentacji ochrony danych (rejestr czynności itd.).
- Do całości należy dopasować praktykę przechowywania i usuwania danych – warto, aby w okresie przechowywania danych osobowych wyłącznie na potrzeby roszczeń, dostęp do danych był ograniczony.
Pomagamy w odpowiednim zabezpieczeniu procesu przetwarzania danych w celu potencjalnych roszczeń, w tym w przeprowadzeniu testu równowagi. Stosujemy autorskie rozwiązania, pozwalające kompleksowo uwzględnić wszystkie okoliczności oraz prawidłowo ocenić wagę potencjalnych zagrożeń oraz ich wpływ na dopuszczalność przetwarzania danych. Zachęcamy do kontaktu z autorkami.
[i] Wyrok NSA z dnia 20.02.2024 r., sygn. akt III OSK 2700/22.