Czy tworzenie profili kandydatów do pracy to profilowanie według RODO
Jeżeli zestawianie informacji na temat kandydatów do pracy odbywa się wyłącznie za pomocą środków technicznych, bez udziału czynnika ludzkiego, to mamy do czynienia z profilowaniem w rozumieniu ogólnego rozporządzenia o ochronie danych (RODO).
Zgodnie z art. 22 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. ogólne rozporządzenie o ochronie danych, RODO) podejmowanie decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, w tym profilowaniu, i wywołujących wobec osoby skutki prawne lub w podobny sposób istotnie na nią wpływających, jest dopuszczalne, pod warunkiem że:
- jest niezbędne do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem danych,
- jest dozwolone prawem Unii Europejskiej lub prawem państwa członkowskiego, któremu podlega administrator danych i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą,
- opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
Profilowaniem w rozumieniu RODO jest przetwarzanie danych osobowych, które ma charakter zautomatyzowany i polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej. Profilowanie może służyć do analizy lub prognozy aspektów dotyczących efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą. Profilowanie odbywa się zatem, gdy administrator danych na podstawie posiadanych o danej osobie informacji wnioskuje za pomocą dowolnego narzędzia służącego do automatycznego podejmowania decyzji o cechach tej osoby fizycznej. Profilowanie jest zatem rodzajem zautomatyzowanego przetwarzania danych.
RODO nie precyzuje, co należy rozumieć jako zautomatyzowane przetwarzanie danych osobowych. Z wytycznych Grupy Roboczej Art. 29 (WP 251) wynika, że chodzi o takie przetwarzanie danych, które odbywa się za pomocą środków technicznych, bez udziału czynnika ludzkiego.
Zestawianie informacji na temat kandydata do pracy może być realizowane zarówno automatycznie, jak i nie, a to jest kluczowe, aby ustalić, czy dochodzi do profilowania. Jeżeli więc zestawianie informacji nie odbywa się wyłącznie za pomocą środków technicznych, bez udziału czynnika ludzkiego, to nie mam podstawy do przyjęcia, abyśmy w tym przypadku mieli do czynienia z profilowaniem. W konsekwencji nie jest wymagane przeprowadzenie oceny skutków dla ochrony danych, o której mowa w art. 35 RODO.
- Praca zdalna w rejestrze czynności przetwarzania danych
- Upoważnienie dla przetwarzania danych dla stażysty z urzędu pracy
- Status pracodawcy zatrudniającego skazanych na prace społeczne
- Pomiar temperatury w studiu telewizyjnym
- Szkolenie dla pracowników – na co zwrócić uwagę?
- Upoważnienie dla zleceniobiorcy – gdzie je przechowywać
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
