Prezentowana opinia prawna to wstęp do większego projektu. Naszym celem jest nie tylko dowiedzieć się co wolno, ale też skonfrontować to z preferencjami programistów. Z wpisu dowiesz się więc czy i w jaki sposób wolno Ci skorzystać z danych znalezionych w serwisie GitHub, a z przygotowanego przez nas na podstawie badania raportu dowiesz się co o tym myślą Twoi potencjalni kandydaci.
Opinia prawna
w przedmiocie
legalności przetwarzania przez Spółkę Super Source Me sp. z o.o.
danych osobowych pozyskanych z serwisu GitHub w celu informowania o ofertach współpracy.
1. Stan faktyczny
Spółka Super Source Me sp. z o.o. zajmuje się świadczeniem usług z branży szkoleniowej oraz branży Human Resource.
Super Source Me zwróciła się z prośbą o ocenę planowanych działań mających na celu pozyskiwanie danych kontaktowych w ramach portalu GitHub: z poziomu profilu użytkownika na koncie w serwisie oraz wprost z kodu programistycznego umieszczonego w serwisie. Ocenie będzie podlegało działanie prowadzone samodzielnie „ręcznie” oraz z wykorzystaniem wtyczki OctoHR.
2. Pytanie Klienta
- Czy rekruterzy mogą wysłać wiadomość na adres e-mail, który sami pozyskali z kodu strony zarówno biorąc pod uwagę RODO jak i regulamin GitHub?
- Czy rekruterzy mogą wysłać wiadomość na adres e-mail, który sami pozyskali dzięki wtyczce OctoHR zarówno biorąc pod uwagę RODO jak i regulamin GitHub?
- Czy rekruterzy mogą wysłać wiadomość na adres e-mail, który jest widoczny po zalogowaniu zarówno biorąc pod uwagę RODO jak i regulamin GitHub?
- Czy wiadomość o treści:
Cześć, znalazłam Twój mail w kodzie strony na GitHub. Jest szansa, że mam ciekawe propozycje współpracy. Jeśli jesteś zainteresowany daj znać.
Może zostać uznany za spam oraz czy będzie ona niezgodna z zapisami regulaminu serwisu GitHub?
3. Podstawy prawne i źródła
- ustawa Kodeks cywilny z 23 kwietnia 1964 roku,
- ustawa Prawo Telekomunikacyjne z 16 lipca 2004 roku,
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia
2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO) - Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy.
- Regulamin serwisu GitHub dostępny https://docs.github.com/en/site-policy
4. Rozważania prawne
Czy rekruterzy mogą wysłać wiadomość na adres e-mail, który sami pozyskali z kodu strony zarówno biorąc pod uwagę RODO, jak i regulamin GitHub?
W powyższym pytaniu należy głównie skupić się na źródle pozyskania adresu mailowego.
- Adres pozyskany w ramach profilu konta GitHub.
- Adres pozyskany z kodu udostępnionego w ramach serwisu
Można przyjąć, że adres mailowy udostępniony w ramach profilu jest adresem wskazanym
do kontaktu. Niewątpliwie, właśnie po to zamieszcza się adres mailowy w zakładce „kontakt”.
Nie powinien on być jednak wykorzystywany w do przesyłania ofert oraz informacji handlowych
w myśl prawa telekomunikacyjnego.
W myśl prawa telekomunikacyjnego (art. 172):
Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego lub przesyłania niezamówionej informacji handlowej w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.
Oferty wysyłane na adresy nie wskazane jako przeznaczone do otrzymywania takich informacji wprost będą musiały być uznane w tym przypadku za niezamówioną informację handlową.
Jednocześnie przepis ten wprost nie zakazuje kontaktu z osobą, która udostępniła maila w celu pozyskania takiej zgody, na przesłanie informacji handlowej.
Należy przy tym pamiętać, że taka wiadomość pozyskująca zgodę nie może zawierać samej oferty. Tym samym rekruter pisząc do takiej osoby nie powinien zawierać w niej odnośników do ofert lub tez części informacji handlowych, a jedynie zapytać się czy dana osoba jest zainteresowana takimi informacjami.
Odnosząc się do ostatniego pytania i treści proponowanej wiadomości:
Cześć, znalazłam Twój mail w kodzie strony na GitHub. Jest szansa, że mam ciekawe propozycje współpracy. Jeśli jesteś zainteresowany daj znać.
Proponujemy powyższą treść wiadomości- przesłaną na adres mailowy udostępniony w ramach profilu GitHub, nie zaś w kodzie umieszczonym w ramach serwisu.
Takie działanie nie narusza przepisów o ochronie danych osobowych ani prawa telekomunikacyjnego.
Nadmienić należy jedynie, że pod względem przepisów o ochronie danych osobowych, takie działanie powinno być realizowane na podstawie interesu własnego administratora (art. 6 ust. 1 lit f RODO) W tym kontekście, także przetwarzanie danych osób niebędących klientami Spółki, użytkownikami GitHub, wymaga wskazania podstawy prawnej przetwarzania (nawet jeżeli udostępnione są one na ogólnodostępnej platformie lub w ramach wtyczki). Konieczne jest także zweryfikowanie czy podmioty danych były lub będą odpowiednio poinformowane o danym celu przetwarzania danych osobowych oraz podstawie przetwarzania – informacje te są przekazywane w obowiązku informacyjnym (w wersji pełnej lub skróconej, w tym w Polityce Prywatności- np. zamieszczonej w stopce maila).
Wykorzystanie wtyczki OctoHR
Co do danych pozyskiwanych w ramach wtyczki OctoHR należy na tym miejscu wspomnieć, że podmiot wykorzystujący tę wtyczkę w celu pozyskiwania danych osobowych w ramach Serwisu jest Administratorem danych osobowych (lub podmiotem przetwarzającym dla swojego klienta) w ramach danych pozyskiwanych w celu realizacji procesu rekrutacji. Tym samym to ten podmiot jest zobowiązany do spełnienia wymagań RODO pod względem obowiązku informacyjnego oraz wykazania podstawy prawnej pozyskanych danych. Jednocześnie warto na tym miejscu wskazać, że podmiot lub osoba odpowiedzialna za stworzenie wtyczki OctoHR, nie udostępnia dokumentów dotyczących polityki prywatności, relacji między administratorem danych a operatorem wtyczki, ani też tego, co dzieje się z danymi, które są przetwarzane w ramach wtyczki.
Pozyskanie takich danych nie będzie różniło się od przeglądania profili użytkowników serwisu, tak więc w przypadku braku wysyłania niezamówionych informacji handlowych, takie działanie nie będzie niezgodne z przepisami o ochronie danych osobowych, regulaminem jak i przepisami prawa telekomunikacyjnego.
Sankcje
Sankcje, jakich może spodziewać się administrator danych osobowych (a Klient staje się nim w momencie posługiwania się adresami mailowymi pozwalającymi na identyfikację jednostki) będą się różnić w zależności od pola, na którym doszło do naruszenia i jego skali, ale nie występuje wyraźne rozgraniczenie oparte na kryterium “interakcji” z osobą, której dane dotyczą. Kara może zostać nałożona także w przypadku kiedy do interakcji nie doszło, ale np. naruszono bezpieczeństwo przetwarzania (art. 32 RODO) albo prawo do sprostowania (art. 16 RODO). Za oba przewinienia RODO sugeruje wielomilionowe kary (w przypadku dwóch przytoczonych artykułów kolejno 10 milionów euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa oraz 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa). To jednak kwoty, których można byłoby spodziewać się w przypadku naruszeń na skalę globalną, których mogą dopuszczać się międzynarodowe korporacje.
Dodatkowo należy zwrócić uwagę, że istotną jest również forma zbierania tych danych. Wykorzystywanie API zgodnie z regulaminem serwisu GitHub w punkcie H Api Terms jest zakazane w kontekście wysyłania niezamówionych informacji handlowych. W takim przypadku automatyzacja procesu pozyskiwania adresów mailowych z kodu umieszczonego w ramach serwisu lub też scrapping (w GitHub Acceptable Use Policies uznano wykorzystanie scrapowania do celów wysyłania niezamówionej informacji handlowej również za niedozwolone). Jednocześnie naruszenie regulaminu nie niesie za sobą konsekwencji finansowych, a jedynie może skutkować zablokowaniem konta jak naruszającego warunki korzystania z serwisu.
5. Odpowiedzialność rekrutera
Na marginesie należy zauważyć, że rekruter działający jako pracownik podmiotu zajmującego pozyskiwaniem kontaktów osób zainteresowanych ofertą pracy/współpracy działa w ramach regulaminów i procedur przyjętych w firmie. Tym samym należy zauważyć że odpowiedzialność pracownika w myśl art. 114 kodeksu pracy ograniczona jest do:
a) Skutków niewykonania lub nienależytego wykonania obowiązków pracowniczych
b) Winy pracownika
Jednocześnie to pracodawca musi wykazać winę pracownika i stopień jego przyczynienia się do wyrządzonej szkody.
Natomiast sama wysokość odpowiedzialności jest ograniczona zgodnie z art. 119 Kodeksu Pracy do rzeczywiście wyrządzonej szkody, lecz nie można ona przekroczyć trzymiesięcznego wynagrodzenia.
W przypadku relacji B2B jest to ograniczenie wskazane w umowie.
Natomiast pomijając powyższe ograniczenia, wyrządzona szkoda i jej wysokość głównie będzie rozpatrywana w kontekście realizacji obowiązków wynikających z umowy. Jeżeli rekruter działał zgodnie z instrukcjami zlecającego lub też pracodawcy, według określonego skryptu to ryzykiem osoby zlecającej/pracodawcy jest ocena prawna działania i przyjęcie na siebie ryzyka działania polegającego na pozyskaniu danych z danego źródła. Tym samym, jeżeli rekruter działał zgodnie z poleceniami pracodawcy, nie można będzie mu przypisać winy, a tym samym jego odpowiedzialność za ewentualne kary będzie znikoma, jak nie żadna.
6. Podsumowanie
W przypadku każdej operacji wykonywanej z wykorzystaniem danych osobowych należy zachowywać najwyższe środki ostrożności i dbać o to, aby każdy z poszczególnych kroków minimalizował ryzyko naruszenia danych, czy ich ujawnienia, ale też aby każdy z ich był zgodny z prawem i nie prowokował niepożądanych reakcji u odbiorców (a tym samym w tym przypadku również osób, których dane są przetwarzane).
W przypadku korespondencji mailowej służącej – chociażby na dalszym jej etapie do ofertowania usług czy produktów (a takimi należy uznać też oferty pracy) – należy zwracać szczególną uwagę na wynikającą z RODO zasadę celowości działań i przetwarzania. Wobec tego korzystanie z adresów mailowych, nawet jeżeli zostały udostępnione w przestrzeni internetowej, powinno odbywać się zgodnie z celem w jakim doszło do ich publikacji. Kanałem komunikacji najwłaściwszym jest więc adres wyróżniony jako kontaktowy, a nie ten który został wskazany w ramach kodu umieszczonego na stronie w celach ewentualnej odpowiedzi na pytania. Większa swoboda komunikacji i charakteru wiadomości jest możliwa dopiero po uzyskaniu świadomej i wyraźnej zgody potencjalnego odbiorcy. Nie może więc być ona jedynie domniemana albo wynikać z braku jasnego sprzeciwu wobec użycia adresu mailowego.
Opinia prawna wydana przez: Kancelaria Radcy Prawnego Tomasz Palak z siedzibą w Gdyni