Zagadnienie zatrudniania pracowników tymczasowych oraz rolę Agencji Pracy Tymczasowej i Pracodawcy Użytkownika w kontekście ochrony danych osobowych należy analizować tak w oparciu o przepisy ustawy z dnia 9.07.2003 r. o zatrudnianiu pracowników tymczasowych (Dz.U. 2019 poz. 1563 t.j.), jak i w oparciu o przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Rola agencji pracy tymczasowej w procesie rekrutacji w kontekście ochrony danych osobowych kandydatów do pracy

W pierwszej kolejności należy podkreślić, iż zgodnie ze wspomnianą powyżej ustawą o zatrudnianiu pracowników tymczasowych, a w szczególności z jej art. 7 ust. 1, to agencja pracy tymczasowej zatrudnia pracowników tymczasowych.

Co za tym idzie, w przypadku zawarcia umowy pomiędzy agencją pracy tymczasowej, a pracodawcą użytkownikiem to agencja jest administratorem danych tak kandydatów do pracy wyszukiwanych przez agencję, jak i tych, którzy znajdują się w jej bazie, jak i osób, co do których toczy się organizowane przez nią postępowanie rekrutacyjne, decydując o celach i sposobach przetwarzania danych tychże osób. Zatem spełnia rolę administratora danych określoną w art. 4 pkt. 7 RODO:

„administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.”

Obowiązki Agencji Pracy Tymczasowej na etapie rekrutacji

Agencja jako administrator musi spełnić wobec kandydatów obowiązki informacyjne wynikające z art. 13 bądź art. 14 RODO – w zależności od pozyskania tychże danych. Dane osobowe ewentualnych pracowników agencja pracy będzie przetwarzała we własnych celach jakimi niewątpliwie jest pozyskanie od kandydatów dokumentów rekrutacyjnych oraz wyselekcjonowanie odpowiednich, potencjalnych pracowników. Agencja zatem musi pamiętać o prawidłowym przetwarzaniu danych tych osób, w szczególności zaś o tym, iż jeśli przetwarza dane w celu jednej, konkretnej rekrutacji, to po jej zakończeniu musi zniszczyć dokumenty aplikacyjne pozostałych kandydatów.

Kolejno, agencja pracy tymczasowej, celem wypełnienia swoich zadań określonych w umowie z pracodawcą użytkownikiem, jak i wynikających wprost z ustawy, będzie udostępniała dane osobowe wyłonionych przez nią pracowników pracodawcy użytkownikowi. Udostępnienie tych danych osobowych następuje na mocy obustronnych porozumień zawartych pomiędzy agencją, a pracodawcą użytkownikiem w zakresie przekazania danych pracowników, koniecznych do realizacji przez ten drugi podmiot obowiązków pracodawcy opisanych poniżej.

Rola Pracodawcy Użytkownika w procesie zatrudnienia w kontekście ochrony danych osobowych

Wśród przedstawicieli doktryny istniał spór co do roli, jaką pełni Pracodawca Użytkownik – część przedstawicieli uważała go dotąd za osobnego administratora, część za procesora, który wyłącznie przetwarza dane pracowników tymczasowym w imieniu i na rzecz agencji występującej w roli pracodawcy.

Obecnie przeważa stanowisko, iż Pracodawca Użytkownik, w związku z nałożonymi na niego ustawowo obowiązkami, które wykonuje sam i we własnym imieniu, a nie w imieniu i na zlecenie Agencji Pracy Tymczasowej, posługując się własnymi środkami, jest administratorem danych pracowników począwszy od pierwszego dnia ich zatrudnienia w jego organizacji.

Wskazaną interpretację podziela również Prezydent Konfederacji Lewiatan w piśmie skierowanym do Ministerstwa Cyfryzacji w związku z pracami nad projektem ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, numer UC 100, który wskazuje, iż nieprawidłowa jest konstrukcja prawna zakładająca przetwarzanie danych przez Pracodawcę Użytkownika na podstawie umowy powierzenia zawartej z agencją pracy tymczasowej występującej w roli administratora.

W mojej ocenie również nie ma podstaw dla traktowania takowego Pracodawcy Użytkownika inaczej aniżeli administratora danych pracowników. Pracodawca ten pełni samodzielną rolę administratora danych, działając we własnym celu (w celu pełnienia roli faktycznego pracodawcy, który jest odbiorcą pracy tymczasowej, sprawuje nadzór i kontrole nad jej przebiegiem) korzystając z własnych środków przetwarzania danych.

Obowiązki Pracodawcy Użytkownika

Ustawa o zatrudnieniu pracowników tymczasowych nakłada na Pracodawcę Użytkownika szereg obowiązków związanych z przetwarzaniem danych jego pracowników. Między innymi art. 14 i 14a tej ustawy nakłada na takiego pracodawcę obowiązek zapewnienia pracownikowi tymczasowemu bezpiecznych i higienicznych warunków pracy, prowadzenia ewidencji czasu pracy takiego pracownika, prowadzenia ewidencji pracowników tymczasowych.

Pracodawca Użytkownik będzie realizował takie obowiązki poprzez przykładowo takie działania, jak prowadzenie szkoleń z zakresu BHP, sporządzanie protokołów powypadkowych, prowadzenie ewidencji okresów zatrudnienia, wydawanie kart dostępowych do zakładu pracy, identyfikatorów pracownika, ustalanie rozkładów i harmonogramów czasu pracy, stosowanie do pracowników tymczasowych regulaminów premiowania, uwzględnianie pracowników tymczasowych w programach typu benefit, przekazywanie list zatrudnionych pracowników organizacjom zrzeszającym pracowników. Wszystkie te czynności związane są z przetwarzaniem danych pracowników.

Dodatkowo, w związku z faktem, iż po wyłonieniu kandydatów do pracy Pracodawca Użytkownik staje się administratorem ich danych osobowych, spoczywa na nim obowiązek informacyjny tzw. wtórny wynikający z art. 14 RODO. Obowiązek taki winien zostać wypełniony przy pierwszej komunikacji z osobą, której dane dotyczą zgodnie z art. 14 ust. 3 lit. b RODO.

Zatem istotne jest aby w ramach nawiązywania współpracy pomiędzy Agencją a Pracodawcą Użytkownikiem obie strony prawidłowo zidentyfikowały swoje role na gruncie przepisów o ochronie danych osobowych i stosownie zrealizowały przypadające im obowiązki wobec pracowników tymczasowych.

Autor: Anna Kuś-Kluka, Radca prawny w kancelarii Juvo

Wpisana na listę Okręgowej Izby Radców Prawnych w Katowicach. Absolwentka Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego oraz studiów podyplomowych z zakresu ochrony danych osobowych. W Kancelarii zajmuje się świadczeniem pomocy prawnej dla przedsiębiorców, a zwłaszcza bieżącym doradztwem z zakresu ochrony danych osobowych.