Jak prowadzić rekrutacje zgodnie
z zasadami ochrony danych osobowych?

Rekrutacja

Prowadzenie rekrutacji pracowników jest jednym z procesów, które występują co do zasady w każdej organizacji, niezależnie od sektora gospodarki, w którym pracodawca działa.

Należy stwierdzić, że prowadzenie rekrutacji zgodnie z prawem, w tym prawem ochrony danych osobowych, jest coraz trudniejsze.

Zmiany po 4 maja 2019 r.

Niecały rok po dniu, od kiedy zaczęło obowiązywać RODO – 4 maja 2019 r. – weszła w życie ustawa zmieniająca ponad 160 ustaw. Jej celem było dostosowanie przepisów sektorowych do nowych standardów ochrony danych osobowych. Jedną ze zmienionych ustaw był Kodeks pracy (w tym jego art. 221), co znowu wprowadziło zamieszanie w przetwarzaniu danych osobowych m.in. kandydatów do pracy.

Przede wszystkim ustawodawca dokonał zmian w zakresie danych osobowych kandydatów do pracy, które pracodawca może gromadzić. Ograniczył możliwość żądania informacji o wykształceniu i historii zatrudnienia, a w określonych sytuacjach umożliwił pozyskiwanie informacji o kwalifikacjach zawodowych.

RODO w HR

Warunkiem dającym pracodawcy prawo do żądania takich danych od kandydata do pracy jest sytuacja, w której jest to niezbędne do wykonywania pracy określonego rodzaju lub na danym stanowisku. Ustawodawca wprost wskazał, że potencjalny pracodawca może przetwarzać inne dane o kandydacie na podstawie jego zgody, jednak brak zgody nie może być przyczyną niezatrudnienia takiego kandydata.

Nie na wszystko kandydat do pracy będzie mógł wyrazić zgodę. Mianowicie zgoda nigdy nie będzie podstawą do przetwarzania danych dotyczących wyroków skazujących oraz czynów zabronionych. Przetwarzanie danych w tym zakresie możliwe jest jedynie wtedy, gdy pozwala na to prawo krajowe lub unijne. Istnieją zawody, do których dostęp jest ograniczony ze względu na wymóg niekaralności, np. nauczyciel, detektyw, straż graniczna czy zawody wykonywane w podmiotach sektora finansowego.

Co trzeba zmienić w procesie rekrutacji w związku ze zmianami w Kodeksie pracy?

Przede wszystkim należy:

  • zaktualizować kwestionariusze osobowe dla kandydata do pracy (można posiłkować się pomocniczym wzorem Ministerstwa Rodziny, Pracy i Polityki Społecznej; warto również – niezależnie od tego, czy jest to kwestionariusz dla kandydata do pracy, czy dla pracownika – zamieścić w nim klauzulę informacyjną dotyczącą przetwarzania danych);
  • przeprowadzić ocenę stanowisk, dla których w toku rekrutacji uzasadnione jest żądanie podania kwalifikacji, wykształcenia i przebiegu dotychczasowego zatrudnienia – rekomenduje się utworzenie wykazu takich stanowisk;
  • zaprzestać zbierania informacji o niekaralności, nawet za zgodą kandydata do pracy, chyba że pozyskanie takich danych wynika z przepisów szczególnych;
  • nadać pisemne upoważnienia do przetwarzania danych osobowych pracownikom działu personalnego, którzy przetwarzają w imieniu pracodawcy dane szczególnych kategorii dotyczące kandydatów do pracy i pracowników.

ODO Nawigator

I jeszcze… obowiązek informacyjny

W zakresie obowiązku informacyjnego, o którym mowa w art. 13 RODO, co prawda nic się nie zmieniło, ale w dalszym ciągu organizacje mają problemy z jego poprawną realizacją. Gdy pozyskujemy dane od kandydata do pracy, powinniśmy spełnić wobec niego obowiązek informacyjny, czyli dać mu szansę na zapoznanie się z informacjami o przetwarzaniu danych. Nie trzeba uzyskiwać oświadczenia, że osoba, od której pozyskaliśmy dane, zapoznała się z klauzulą informacyjną! Należy pamiętać, że spełnienie obowiązku informacyjnego można wykazywać proceduralnie.

Przykład
Jeżeli organizacja dopuszcza możliwość pozostawiania CV przypadkowego kandydata w dyżurce ochrony (zazwyczaj taką praktykę stosują firmy produkcyjne), warto opracować procedurę, z której wynikałoby, że pracownik ochrony jest zobowiązany okazać przygotowaną wcześniej klauzulę informacyjną podczas przyjmowania dokumentów. Wskazane jest, żeby ochroniarz poinformował kandydata do pracy o możliwości zamieszczenia w CV zgody na przetwarzanie danych w celach przyszłych rekrutacji – w końcu organizacja może w danej chwili nie prowadzić naboru na stanowisko, którym kandydat byłby zainteresowany. Należałoby również w odpowiedni sposób przechowywać CV kandydatów w pomieszczeniu ochrony do czasu, kiedy zostaną przekazane do działu personalnego. Najprostszym rozwiązaniem będzie przechowywanie CV w kopertach – pracownik ochrony przed przyjęciem CV powinien przekazać kandydatowi kopertę, poprosić go o włożenie do niej CV i jej zaklejenie.

Jeżeli organizacja pozyskuje CV innymi kanałami, należy pamiętać o możliwości warstwowego spełniania obowiązku informacyjnego. Często wykorzystuje się to w ogłoszeniach o pracę zamieszczanych w Internecie – co jest bardziej przejrzyste niż zamieszczanie pełnej treści klauzuli. Warstwowe spełnianie obowiązku informacyjnego polega na tym, że podczas pozyskiwania danych przekazujemy tylko część informacji, o których mowa w art. 13 RODO.

W takiej sytuacji trzeba wskazać: administratora danych, główny cel przetwarzania danych oraz link do miejsca, gdzie kandydat znajdzie więcej informacji o celach przetwarzania i swoich prawach, tj. pełną treść obowiązku informacyjnego. Należy pamiętać o wytycznych Grupy Roboczej Art. 29 (pkt 36), która zaleca, by ta pierwsza warstwa obejmowała szczegółowe informacje na temat celów przetwarzania i tożsamości administratora oraz opis praw osoby, której dane dotyczą.

Na marginesie… dane biometryczne

Po zakończeniu procesu rekrutacji coraz częściej pracodawcy sięgają po dane biometryczne swoich nowych pracowników. Znowelizowany Kodeks pracy zezwala na przetwarzanie danych biometrycznych co do zasady tylko w dwóch sytuacjach, tj. gdy podanie takich danych jest niezbędne ze względu na kontrolę:

  • dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub
  • dostępu do pomieszczeń wymagających szczególnej ochrony.

Akredytowany kurs IOD

Jeżeli pracodawca chciałby wykorzystywać biometrię w innych celach, musi uzyskać zgodę pracownika. Należy pamiętać, że zgoda ma być dobrowolna, czyli jej niewyrażenie nie może wiązać się z negatywnymi konsekwencjami dla pracownika, w tym stanowić przyczyny wypowiedzenia umowy o pracę lub jej rozwiązania bez wypowiedzenia przez pracodawcę. w związku z tym jeżeli pracodawca wykorzystuje do kontroli dostępu dane biometryczne, a nie jest spełniony jeden z dwóch powyższych warunków wykorzystania biometrii, o których mowa w art. 221b Kodeksu pracy, to powinien dać wybór pracownikowi – wykorzystanie biometrii lub kontrola dostępu za pomocą innych narzędzi niewykorzystujących biometrii, np. karty dostępu. w przeciwnym razie trudno będzie mówić o dobrowolnej zgodzie na wykorzystanie biometrii.

-
Udostępnij na: -

Najpopularniejsze

Najnowsze


Adw. Marcin Zadrożny
06 listopada 2019

Zapisz się na biuletyn

  • Najważniejsze informacje
  • Nowości, narzędzia, gratisy
  • Raz w miesiącu

Zapisz się