Temat retencji danych poruszyliśmy po raz pierwszy na łamach naszego bloga na długo przed wejściem w życie Rozporządzenia.
Wtedy w branży ochrony danych osobowych dużo emocji wywołała unijna dyrektywa telekomunikacyjna (dyrektywa 2006/24/WE). Zgodnie z jej przepisami, każdy operator telekomunikacyjny, musiał przechowywać dane przez minimum pół roku. Regulacje uzasadniano przede wszystkim walką z przestępczością, zwłaszcza na tle seksualnym.
W dobie RODO, retencja zyskuje na znaczeniu. Usuwanie danych jest jednym z największych wyzwań dla ADO i osób zajmujących się ochroną danych osobowych. W tym oczywiście – również dla działów rekrutacji. To właśnie stamtąd trafiło do nas tytułowe pytanie: jak długo przechowywać CV kandydatów do pracy?
Retencja – o co tyle emocji?
O tym czym jest retencja i dlaczego warto o niej pamiętać pisaliśmy przy okazji wejścia w życie RODO. Później długo nie wracaliśmy do tego tematu, czekając, aż pojawi się konkretne orzecznictwo. Teraz pojawiły się trzy istotne orzeczenia, które wypada znać.
Dlaczego retencja jest tak bardzo problematycznym obszarem?
Po pierwsze, ustalenie terminów retencji zawsze budzi pewne kontrowersje. Przepisy Rozporządzenia, chcą żebyśmy usuwali od razu, kiedy przestaną być dla nas niezbędne. Poza RODO istnieją jednak inne przepisy prawa, z których pośrednio może wynikać konieczność trzymania danych przez dłuższy czas. O przypadku pośredniej konieczności trzymania danych przez dłuższy czas, dowiesz się poniżej.
Drugie wyzwanie polega na interpretacji terminu prawnie uzasadnionego interesu, na którym często opiera się przechowywanie danych. Termin jest elastyczny i podlega często bardzo daleko idącym interpretacjom.
Trzecie wyzwanie związane z retencją, ma już charakter czysto techniczny. Jak w praktyce skutecznie egzekwować ustalone terminy retencji danych? W wielu przypadkach dane objęte retencją, mogą znajdować się w bardzo dużej ilości miejsc w naszej organizacji. Ich znalezienie i usunięcie może być ogromnym wyzwaniem. Wisienką na torcie jest tutaj architektura backupów, która utrudnia bądź wręcz uniemożliwia usuwanie pojedynczych rekordów.
WSA pozwala na 3 lata retencji danych rekrutacyjnych
To jak długo możemy przechowywać CV, po zakończonej rekrutacji, to bardzo praktyczne wyzwanie. Rekrutacja to nie zaawansowany system profilujący. Temat dotyczy praktycznie wszystkich organizacji. Co więcej, nie jest to też temat zupełnie nowy. Już w lutym 2019 roku, pojawił się bardzo interesujący rozdźwięk pomiędzy UODO, a Ministerstwem Cyfryzacji. Pisaliśmy o tej sytuacji na naszym blogu.
W dużym skrócie, UODO stał na stanowisku, że dane po zakończonej rekrutacji należy usuwać niezwłocznie. Ministerstwo Cyfryzacji, było zdania, że CV powinny być przechowywane z uwagi na przepisy Kodeksu pracy, mające przeciwdziałać dyskryminacji.
Zgodnie z art. 183d Kodeksu pracy osoba, wobec której pracodawca naruszył zasadę równego traktowania w zatrudnieniu (to także kandydat do zatrudnienia) – ma prawo do odszkodowania.
Przepisy prawa pracy dają też konkretny termin przedawnienia ww. roszczenia: 3 lata. Spór między UODO oraz MC, nie miał oczywiście żadnej wiążącej mocy prawnej.
Teraz sytuacja się jednak zmienia. Wszystko wskazuje na to, że sądy administracyjne jednak podzielają argumentację Ministerstwa Cyfryzacji. Oczywiście orzeczenia polskich sądów nie mają mocy stanowienia prawa. Jednak to bardzo poważny krok w kierunku utworzenia jednolitego stanowiska.
WSA w Warszawie w wyroku z dnia 4 sierpnia 2022 roku (II SA/Wa 542/22) uchylił decyzję Prezesa UODO, w której organ udzielił upomnienia pracodawcy z powodu, jego zdaniem, bezpodstawnego przetwarzania danych kandydatki do pracy po zakończonej rekrutacji.
Sąd uznał, że w takim wypadku przechowywanie danych jest uzasadnione interesem pracodawców i uczestników naboru, bo w razie zarzutów dyskryminacji są one niezbędne do zweryfikowania, czy rzeczywiście doszło do naruszenia zasady równego traktowania. Uzasadnienie orzeczenia nie zostało jeszcze opublikowane w Centralnej Bazie Orzeczniczej Sądów Administracyjnych.
Coraz więcej argumentów, przemawia więc za stosowaniem w rekrutacji okresu retencji, który opiera się na 3 letnim okresie przedawnienia roszczeń.
WSA nie pozwala na przechowywanie danych w celu ochrony przed roszczeniami
Teraz orzeczenia idące w zupełnie odwrotnym kierunku:
- wyrok WSA w Warszawie z dnia 13 stycznia 2021 r. (sygn. akt II SA/Wa 607/20),
- wyrok WSA w Warszawie z dnia 11 marca 2021 r. (sygn. akt II SA/Wa 1340/20).
Upraszczając temat, w obu tych przypadkach WSA (również w Warszawie), nie zgodził się na przechowywanie danych osobowych w celu ochrony przed roszczeniami. Chodziło jednak nie o dane pracowników, a klientów.
Znacznie więcej na temat ww. orzeczeń oraz ich potencjalnych skutków, napisaliśmy jako Związek Firm Ochrony Danych Osobowych w jednym z naszych stanowisk.
Dlaczego sądy zdają się pozwalać na dłuższe okresy retencyjne w relacji do pracowników, a na krótsze w relacji do klientów? Trudno o prostą odpowiedź na to pytanie. Być może chodzi o to, że dane z CV z reguły nie podlegają takim pokusom jak dane byłych klientów. Wiele firm korzysta z danych byłych klientów, próbując sprzedać im dodatkowe usługi. Orzeczenie zezwalające na dłuższą retencję w oparciu o okresy przedawnienia roszczeń jest jedno. Ale za to bardziej aktualne.
Wsparcie przy ustalaniu okresów retencji
Jeśli nie czujesz się na siłach, żeby samodzielnie ustalić okresy przetwarzania danych osobowych w Twojej firmie, czy organizacji – skorzystaj z naszej pomocy! Nasi doświadczeni eksperci pomogą Ci uporać się z każdym RODO-problemem.
Jakie wnioski możemy wyciągnąć z ww. orzeczeń?
Określanie terminów retencyjnych zawsze będzie w pewnym zakresie uznaniowe. Dobrze, że pojawiają się kolejne orzeczenia WSA oraz decyzje UODO, które zmniejszają obszar uznaniowości. W przypadku danych dotyczących rekrutacji, może okazać się, że czeka nas przemodelowanie Rejestrów Czynności Przetwarzania i klauzul obowiązków informacyjnych. Każdy ADO musi sam podjąć decyzję w zakresie tego czy bardziej obawia się kłopotów z UODO (wtedy wybieramy okres retencji: niezwłocznie) czy potencjalnych skarg nierówno potraktowanych kandydatów (wtedy wybieramy 3 letni okres retencji).
Trudno wskazać jednoznaczną rekomendację dla wszystkich osób czytających naszego bloga. Nie wiemy też czy UODO odwoła się od orzeczenia WSA. Jeśli decyzja należy właśnie do Ciebie to jest jedna dobra wiadomość. Z uwagi na ten dwugłos (z jednej strony UODO z drugiej MC i WSA), trudno będzie zarzucić naszej organizacji niezgodne z prawem przetwarzanie danych osobowych. Zawsze ktoś może czuć się poszkodowany i niezależnie od decyzji, nie będzie to nasza wina.
Nieco bardziej kontrowersyjne są orzeczenia dotyczące przechowywania danych w celu zabezpieczenia się przed ewentualnymi roszczeniami. Tutaj trzeba wykonać naprawdę trudną analizę. Czy bezpieczniej będzie przechowywać dane związane ze współpracą czy jednak usuwać je niezwłocznie po jej zakończeniu. Z uwagi na to, że sam prowadzę firmę, wiem jak trudna w podjęciu jest taka decyzja. W ramach ZFODO protestowaliśmy przeciwko tak kształtującej się linii orzeczniczej.
Póki co wygląda na to, że potrzebne będą rozstrzygnięcia NSA w tej materii. Ważne wskazanie dla wszystkich osób zajmujących się ochroną danych osobowych – obserwujcie bacznie kolejne orzeczenia. My oczywiście będziemy informować Was o nich za pośrednictwem naszych RODO Aktualności (zapraszamy na zapisy na newsletter) oraz kanału Czas na RODO.
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych
- wyrok WSA w Warszawie z dnia 4 sierpnia 2022 roku (II SA/Wa 542/22)
- wyrok WSA w Warszawie z dnia 13 stycznia 2021 r. (II SA/Wa 607/20)
- wyrok WSA w Warszawie z dnia 11 marca 2021 r. (II SA/Wa 1340/20)
Powiązane artykuły
4 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Bardzo dobry artyjuł, dotyczący kwestii praktycznych, które sprawiają problemy!
dziękujemy za miłe słowa 🙂
„Dlaczego sądy zdają się pozwalać na dłuższe okresy retencyjne w relacji do pracowników, a na krótsze w relacji do klientów? Trudno o prostą odpowiedź na to pytanie. ”
Moim zdaniem odpowiedź na to pytanie leży w przepisach dot. ciężaru dowodu. W przypadku klientów to klient, który podnosi roszczenie jest zobowiązany do jego udowodnienia. W przypadku pracowników jest inaczej – pracownik przed sądem jedynie uprawdopodabnia, że doszło do dyskryminacji w toku postępowania rekrutacyjnego, a pracodawca, aby uwolnić się od odpowiedzialności, musi wykazać, że nie stosował kryteriów dyskryminujących.
A w tym celu potrzebuje m.in. aplikacji pracownika.
Ale to detal i polemika, bardzo dobry tekst 🙂
dziękujemy za pochwałę tekstu…i polemikę 🙂