Legalność procedury background screening / background checking w Polsce

Coraz większą̨ popularnością̨ na polskim rynku pracodawców zaczyna cieszyć́ się̨ procedura tzw. „background checking’u”. Istotą tego działania jest zlecenie przez pracodawcę̨, zweryfikowania CV kandydata przez podmioty zewnętrzne, przed jego zatrudnieniem. Proces ten zakłada uprzednie wyrażenie zgody w trakcie procesu rekrutacyjnego, przez potencjalnego przyszłego pracownika, na dokonanie weryfikacji jego danych takich jak np.: jego zadłużenie, historia karalności czy aktywność́ na portalach społecznościowych. Zadaniem podmiotu dokonującego procesu weryfikacji jest zatem zdobycie oraz przetworzenie informacji oraz danych o kandydacie wychodzących poza dozwolone ramy ustalone przez prawodawcę̨ w treści art. 221 KP, za zgodą pracownika.

Celem poniższego tekstu będzie próba odpowiedzi na następujące pytania:

1. czy pracodawca ma prawo prosić́ kandydata o wyrażenie takiej zgody?
2. czy pracodawca ma prawo przeprowadzić́ procedurę̨ background screening’u w świetle obowiązujących przepisów?
3. jakie potencjalne sankcje lub konsekwencje mogą̨ dotknąć prawodawcę̨, jeżeli procedura ta  okazałaby się̨ obejściem przepisów ustawy Kodeks Pracy?

Podstawową regulacją, do której należy odnieść́ się w pierwszej kolejności jest wyżej już wspomniany art. 221 KP, w treści którego prawodawca w sposób enumeratywny wylicza jakich danych osobowych może żądać pracodawca od osoby ubiegającej się o zatrudnienie. Są to:

• imię (imiona) i nazwisko
• imiona rodziców
• data urodzenia miejsce zamieszkania
• wykształcenie
• przebieg dotychczasowego zatrudnienia

Dodatkowo pracodawcy przysługuje prawo żądania podania innych danych osobowych, jeżeli obowiązek ich podania wynika z odrębnych przepisów. Przykładem takiego działania może być np.: rekrutacja na stanowisko nauczyciela, gdzie wymagana jest informacja o niekaralności kandydata co wynika bezpośrednio z ustawy Karta Nauczyciela (art. 10 ust. 8a) Przywołany powyżej przepis regulując kwestię pozyskiwania danych osobowych wiąże się z szerszym zagadnieniem ochrony prywatności osób fizycznych. Swoje odzwierciedlenie w nim wydają się znajdować przepisy konstytucyjne traktujące o prawie do ochrony prawnej życia prywatnego tj. art.47 oraz art. 51 Konstytucji RP, których brzmienie stanowi ramy dotyczące możliwości gromadzenia oraz przetwarzania danych osobowych w polskim porządku prawnym.

Art. 47. [Prawo do ochrony prywatności] Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym.

Art. 51. [Prawo ochrony danych osobowych]

1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.

Wartym zatem zdefiniowania jest pojęcie „danych osobowych” w krajowym obrocie prawnym. W rozumieniu ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz.U.2016.922 t.j., w brzmieniu aktualnym), dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania natomiast jest osoba, której tożsamość można określić bezpośrednio lub pośrednio. W takim rozumieniu ustawa o ochronie danych osobowych, w zakresie mającym odniesienie do przepisów prawa pracy, określa zasady przetwarzania i zabezpieczenia danych osobowych oraz obowiązki administratora tychże. Na szczególną uwagę, w zakresie omawianego zagadnienia zasługuje treść art. 23 ust.1 Ustawy o ochronie danych osobowych:

Art. 23. [Przesłanki dopuszczalności przetwarzania danych osobowych]

1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;

4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;

5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

To przypuszczalnie właśnie na podstawie tego przepisu pracodawcy przypisują sobie uprawnienie żądania wyrażenia zgody przez pracownika na dokonanie „background screeningu”. Warto jednak zauważyć, iż instytucja wyrażenia „zgody” na tle u.o.d.o. zarówno w doktrynie jak i w ugruntowanej linii orzeczniczej, opiera się na równorzędności podmiotów między którymi dochodzi do wyrażenia zgody. Jak wskazują autorzy komentarza do Ustawy o ochronie danych osobowych:

 „Zakwestionowanie istnienia swobody przy podejmowaniu i wyrażeniu zgody na przetwarzanie danych zmuszałoby do poszukiwania innych przesłanek legalizacyjnych. W grę wchodziłoby przede wszystkim wskazanie odpowiedniego upoważnienia w przepisach prawa (jeśli chodzi o przetwarzanie danych w związku z zatrudnieniem, na uwzględnienie zasługuje przede wszystkim rozporządzenie w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika) lub ewentualnie wykazanie, że chodzi o osiąganie usprawiedliwionych celów administratora danych (tu: pracodawcy).
Warto tu nadmienić, że w Opinion 8/2001 on the processing of personal data in the employment context (Article 29 – Data Protection Working Party, 13 semptember 2001 r., 5062/01/EN/Final, WP 48)- stwierdzono, iż nawet gdy jest konieczne, aby w relacjach pracowniczych przetwarzać dane osobowe, jest w pewnym sensie bałamutne (misleading) usprawiedliwianie takiego postępowania zgodą pracownika. Powoływanie się na tę przesłankę legalizacyjną powinno być ograniczone do sytuacji, w których pracownik ma w tej kwestii rzeczywiście wolny wybór i może wycofać swoją zgodę bez niebezpieczeństwa powstania niekorzystnych dla siebie skutków.”

(za: Barta Janusz, Fajgielski Paweł, Markiewicz Ryszard, Ochrona danych osobowych. Komentarz, wyd. VI; Opublikowano: LEX 2015)

Na temat zagadnienia otrzymywania oraz przetwarzania danych kandydata do pracy w świetle nowoprzyjętych przepisów Ogólnego Rozporządzenia o Ochronie Danych (dalej: RODO), traktuje „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców” (dalej: Poradnik), wydany przez Urząd Ochrony Danych Osobowych, w październiku 2018 r. W treści tego Podręcznika, Urząd następująco odniósł się do kwestii przetwarzania danych, doręczonych przez kandydata w procesie rekrutacyjnym: „W toku prowadzonej rekrutacji może zdarzyć się̨, że kandydat z własnej inicjatywy przekaże administratorowi dane osobowe np. o swoim stanie zdrowia. Jeżeli kandydat do pracy nie wyrazi odrębnej zgody na przetwarzanie tego rodzaju danych osobowych, a pracodawca nie legitymuje się, przepisem prawa, który zobowiązuje go do ich przetwarzania, pracodawca powinien usunąć te dane ze swoich zasobów. Ewentualna zgoda na przetwarzanie szczególnych kategorii danych, powinna być wyraźna, np. w formie odrębnego oświadczenia. Są̨ jednak pewne sytuacje, w których potencjalny pracodawca będzie uprawniony do przetwarzania szczególnych kategorii danych na podstawie odrębnych przepisów prawa. Przykładem takich regulacji są̨ np. przepisy dotyczące wymogów dotyczących stanu zdrowia, jakie musi spełniać kandydat na policjanta.”

Co więcej, w treści wspomnianego wyżej Podręcznika, Urząd ustosunkowuje się w kwestiach takich jak kontakt z poprzednimi pracodawcami czy weryfikacja prawdziwości przedstawionych dyplomów ukończonych szkół i uczelni. Zdaniem Urzędu, jakiekolwiek działania mające na celu zdobycie informacji od byłego pracodawcy kandydata (nawet w przypadku złożenia przez niego referencji) jest niedopuszczalne, gdyż w trakcie procesu rekrutacyjnego, jedynym źródłem informacji o kandydacie może być tylko on sam.

Urząd wskazuje również, że „praktyka polegająca na pozyskiwaniu zgód od kandydata na weryfikowanie prawdziwości złożonych oświadczeń i danych zawartych w dokumentach również̇ nie znajduje oparcia w przepisach RODO. Podkreślenia wymaga, że jednym z warunków skuteczności zgody jest jej dobrowolność, co oznacza, że osoba, której dane dotyczą̨ nie powinna ponosić żadnych negatywnych konsekwencji, jeżeli odmówi jej wyrażenia. Niewyrażenie zgody przez kandydata na kontakt z uczelnią przez pracodawcę̨ (choćby z powodów subiektywnych np. konfliktu z uczelnią), może spowodować, że potencjalny pracodawca odrzuci jego kandydaturę̨.”

Jak wielokrotnie podnosi się w doktrynie prawa pracy sporna jest kwestia zgody pracownika (kandydata do pracy) jako przesłanki legalizującej działanie podmiotu zatrudniającego. W przepisach dotyczących stosunku pracy na przód wybija się naczelna zasada stanowiąca, że zgoda pracownika nie może powodować zmniejszenia uprawnień pracowniczych wynikających z prawa pracy. Stanowisko takie pokrywa się z linią orzeczniczą, gdyż WSA w Warszawie stwierdził, że wyrażona na prośbę pracodawcy pisemna zgoda pracownika na pobranie i przetworzenie jego danych osobowych narusza prawa pracownika i swobodę wyrażenia przez niego woli”. Ostatecznym argumentem, przesądzającym w kwestii legalizacji „background checkingu” poprzez zgodę, jest orzeczenie NSA z 1.12.2009 r. (I OSK 249/09), gdzie Sąd jednoznacznie stwierdza, że „Uznanie faktu wyrażenia przez pracownika zgody na przetwarzanie jego danych za okoliczność legalizującą pobranie od niego innych danych niż wymienione w art. 221 § 1-4 KP stanowiłoby naruszenie tego przepisu.”

W kwestii tej, w doktrynie prawa pracy, najrozsądniejszym rozwiązaniem wydaje się być to zaproponowane przez autora komentarza do Kodeksu Pracy pod redakcją prof. dra hab. Arkadiusza Sobczyka. Autor podnosi tam postulat o dopuszczenie pozyskiwania danych osobowych kandydata w kwestiach małej wagi (takich jak numer telefonu czy adres mailowy). Trafnym wydaje się być argument mówiący o tym, że ograniczenie zakresu danych jedynie do miejsca zamieszkania i adresu do korespondencji, niezwykle utrudniałoby kontakt z kandydatami. Autor jednak mocno podkreśla, iż to od decyzji zainteresowanego kandydata zależy to, czy zechce on te dane ujawniać. Również analiza powoływanych wcześniej przepisów ustawy o ochronie danych osobowych z 1997 roku prowadzi do podobnych wniosków. Jak podniesiono w doktrynie (np.: A. Drozd, „Ochrona danych osobowych pracownika” czy Barta Janusz, Fajgielski Paweł, Markiewicz Ryszard, „Ochrona danych osobowych. Komentarz”, wyd. VI) pracodawcy przysługuje prawo jedynie żądania takich informacji, które przewidują akty prawne o randze ustawy, jedynie dobrą wolą pracownika natomiast jest to, czy uzna on za zasadne ujawnienie innych informacji i danych. Jednocześnie brak takiego działania nie może działać dyskryminująco w procesie rekrutacyjnym. Dokonując analizy treści art. 23 u.o.d.o. w połączeniu z treścią przepisu art. 221 KP, łatwo dojść do wniosku, że pracodawca może przetwarzać dane inne niż wyliczone enumeratywnie przez prawodawcę, pod warunkiem dobrowolności ich przekazania przez kandydata. Stosując rozumowanie a contrario, pracodawcy nie przysługuje możliwość żądania informacji oraz danych przez prawo nieprzewidzianych.

Ostatnie akapity należy poświęcić na kwestie odpowiedzialności za naruszenie ww. przepisów. Pozostając jeszcze w dziedzinie ochrony danych osobowych, szukając katalogu kar udać należy się do Ustawy o Ochronie Danych Osobowych z 2018 r, wydanej zgodnie z Rozporządzeniem Parlamentu Europejskiego (RODO). Kwestie dotyczące odpowiedzialności za naruszenie przepisów, znaleźć możemy w treści art. 101 – 108 Ustawy. Katalog kar przewidzianych to grzywna, kara ograniczenia wolności lub pozbawienia wolności do lat dwóch (co z kolei pokrywa się z historycznym brzmieniem uchylonych już przepisów z ustawy z 1997 roku). W świetle prawa pracy kwestia żądania zgody od kandydata traktowana powinna być jako sposób obejścia przepisów dotyczących równego traktowania w zatrudnieniu w związku z treścią art. 18 Kodeksu Pracy, który stanowi, że wszelkie porozumienia oraz umowy, mniej korzystne dla pracownika niż przepisy prawa pracy są nieważne z mocy prawa. Pozyskiwanie przez pracodawcę, informacji nieprzewidzianych w treści art. 221 KP, należy uznać za sprzeczne z obowiązującymi przepisami. Wymuszanie na kandydacie podpisania zgody (a tak należałoby traktować ten akt, patrząc na dysproporcję między siłą negocjacyjną obu podmiotów), nie może być traktowane jako czynność legalizująca pozyskiwanie ww. danych. Co więcej, sama propozycja wyrażenia zgody traktowana być jako próba obejścia przepisów korzystniejszych dla pracownika, a co za tym idzie sama propozycja jak i zgoda nie mogą stanowić elementu rekrutacji.

Również w świetle przepisów dotyczących ochrony danych osobowych, pracodawca nie ma prawa od podmiotów innych niż pracownik lub kandydat pozyskiwać informacji o samym zainteresowanym. Jeżeli zatem, nasze prawa pracownika w trakcie procedury rekrutacyjnej zostały naruszone poprzez żądanie wyrażenia zgody na dokonanie procedury background screeningu/ background checkingu, a brak wyrażenia tej zgody stał się podstawą do pominięcia naszej kandydatury na stanowisko, to przysługuje nam prawo wystąpienia z odpowiednim roszczeniem odszkodowawczym na drodze Sądowej. Co więcej, jeżeli powzięliśmy informacje o uzyskaniu przez podmiot zewnętrzny naszych danych osobowych, których udostępnienie nie powinno być możliwe, to naruszenie takie w świetle obowiązujących przepisów dotyczących ochrony danych osobowych, możemy zgłosić do UODO, a od podmiotu naruszającego nasze prawa do ochrony danych osobowych (a zatem zarówno tego podmiotu który dane udostępnił ale również podmiotu który dane przetwarzał bez naszej zgody) możemy domagać się stosownego odszkodowania