Źródła danych o kandydatach i klauzula zgody na przetwarzanie danych
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Współcześnie procesy rekrutacji prowadzone są najczęściej wielotorowo. Z jednej strony mamy nabór wewnętrzny (znajomi i znajomi znajomych), z drugiej – ogłoszenia własne i firmy pośredniczące w rekrutacji (np. agencje pracy, portale rekrutacyjne czy headhunting). Gromadząc dokumenty aplikacyjne kandydatów z różnych źródeł warto zadać sobie pytanie, kto jest administratorem ich danych na każdym poziomie rekrutacji, czyli kto ponosi odpowiedzialność za ich zabezpieczenie. Jeżeli kandydat wyraził zgodę na przetwarzanie danych osobowych w celu rekrutacji innemu podmiotowi niż nasza firma, pojawia się wątpliwość, czy możemy się w ogóle z taką osobą skontaktować i na co tak naprawdę kandydat wyraził zgodę? W praktyce treść klauzuli zgody pod dokumentami aplikacyjnymi (tylko pozornie mało istotny element!) określa, kto może przetwarzać dane, jak długo może je przetwarzać oraz w jakim celu. Najczęściej to przyszły pracodawca proponuje treść klauzuli zgody, warto więc uzgodnić ją z naszym ABI lub specjalistą ds. bezpieczeństwa informacji zanim kandydat, np. niezadowolony z wyniku rekrutacji, postanowi dochodzić swojego prawa do prywatności.
Warto podkreślić, że dokumenty aplikacyjne kandydatów bardzo często zawierają dane osobowe wrażliwe, a więc podlegające szczególnej ochronie. Wystarczy, że w CV lub liście motywacyjnym znajdą się takie elementy jak zdjęcie, informacje o tym, że osoba jest paląca lub niepaląca, czy (nie)karalności, a już musimy zwrócić na te dane szczególną uwagę. Dlatego właśnie niezwykle istotne jest uzyskanie od kandydatów pisemnej zgody na ich przetwarzanie. Wyrażona zgoda jest bezterminowa, co oznacza, że aby przetwarzanie danych kandydata stało się nielegalne, musi zostać przez niego odwołana. Z drugiej strony warto pamiętać, że zgoda może być w każdym czasie odwołana.
Dokumenty aplikacyjne – CV i list motywacyjny
CV i list motywacyjny to dwa najczęściej wymagane przez rekruterów dokumenty aplikacyjne, będące podstawą wstępnej selekcji kandydatów. Zdarza się jednak, że pracodawcy oczekują od kandydatów dodatkowych informacji lub gwarancji (np. oświadczenie o niekaralności, zaświadczenie z Krajowego Rejestru Karnego, skan dowodu tożsamości). Czy mają do tego prawo? Okazuje się, że takie wymagania mogą naruszać tzw. zasadę adekwatności, określoną w ustawie o ochronie danych osobowych, która mówi o tym, że można pobierać tylko tyle informacji, ile jest niezbędne do osiągnięcia założonego celu ich przetwarzania. Dodatkowe informacje i zaświadczenia, o których mowa powyżej, to tzw. dane nadmiarowe. To, czy ich wymaganie i przetwarzanie będzie legalne, zależy od dodatkowych przepisów prawa. Przykładowo, ustawowy wymóg niekaralności w przypadku pracowników sądów powoduje, że w procesie rekrutacji od kandydatów wymagane jest odpowiednie zaświadczenie. Szczegółowe informacje o tym, jakich danych rekruter może wymagać od kandydatów określone są w art. 22 Kodeksu pracy – jest to katalog otwarty, który zawiera odniesienie do ustawy o ochronie danych osobowych. Innymi słowy pozostałe informacje można pobierać na podstawie zgody na piśmie.
Podrzuć pracownikom
wartościowe e-szkolenia - bezpłatnie
Nic prostszego - skopiuj i prześlij im odpowiednie linki.
Kolejnym etapem procesu rekrutacji jest zwykle rozmowa kwalifikacyjna. Zdarza się, że w jej trakcie również dochodzi do naruszeń. Zdarzają się przypadki udostępnienia kandydatowi treści aplikacji jego kontrkandydatów. Najczęściej wynika to z nieuwagi lub po prostu lekkomyślności osób przeprowadzających rozmowę kwalifikacyjną, które zabierają na spotkanie aplikacje wszystkich kandydatów i umożliwiają osobie, z którą prowadzą rozmowę, niemal swobodny wgląd w leżące dokumenty. Skrajnym przypadkiem jest pozostawianie kandydata w takim pomieszczeniu z aplikacjami bez nadzoru. Dodatkowo, warto zwrócić uwagę na to, by dokumenty aplikacyjne były przechowane w jednym miejscu i były jak najrzadziej drukowane – wszystko po to, by uniknąć przypadkowego wyrzucenia ich do zwykłego śmietnika.
Innym rodzajem przewinień rekruterów są pytania, które nie mają prawa padać w rozmowach kwalifikacyjnych. Przykładów takich pytań jest wiele – dotyczą nałogów, życia seksualnego, religii, poglądów politycznych, sytuacji rodzinnej, itp. Warto wiedzieć, że zadanie takiego pytania może skłonić osobę, która nie została wybrana w procesie rekrutacji, do złożenia skargi do GIODO lub PIP. W trakcie badania predyspozycji kandydata do pracy na określonym stanowisku rekruter często zadaje pytania pozwalające na określenie cech charakteru czy odporności kandydata na stres. Należy tu jednak zachować szczególną ostrożność, by rozmówca nie wyszedł z firmy z przekonaniem, że doszło do dyskryminacji.
Ostatecznie wybrany kandydat otrzymuje do wypełnienia zestaw dokumentów, najczęściej jest to kwestionariusz osobowy, informacja o członkach rodziny objętych ubezpieczeniem zdrowotnym czy numer rachunku bankowego. Są to formularze jak najbardziej zgodne z przepisami, jednak bywają wśród nich takie, które są niezgodne z konstytucyjnym prawem do prywatności. Najczęściej spotykanymi, niezgodnymi z prawem, wymaganiami wobec nowozatrudnionych pracowników są żądania wyciągu z Krajowego Rejestru Karnego (KRK),oświadczenia o niekaralności, dostarczenie zdjęcia do zamieszczenia go na stronie internetowej pracodawcy (bez możliwości sprzeciwu, a czasem w ogóle bez pytania pracownika o zgodę), skanowanie lub kserowanie dowodu tożsamości pracownika. Co na to przepisy?
Po pierwsze, warto pamiętać, że wyciągu z Krajowego Rejestru Karnego mogą żądać od pracowników tylko niektórzy pracodawcy, np. urzędy (wobec pracowników służby cywilnej) czy sądy. Za każdym razem podstawa takiego żądania powinna wynikać z przepisu prawa (art. 6 Ustawy o krajowym rejestrze karnym).
Po drugie, rozdział 10 ustawy o prawach autorskich i prawach pokrewnych dość precyzyjnie określa tzw. prawo do wizerunku, co więcej przewiduje również odpłatność za jego wykorzystanie.
Nie ma głupich pytań RODO.
Są darmowe odpowiedzi
Po trzecie, kopiowanie dokumentów tożsamości pracowników (najczęściej zamiast spisania danych – by ułatwić sobie pracę) narusza wcześniej wspomniane zasady celowości i adekwatności. Konkretnie problem polega na pozostałych danych, które znajdują się na dokumencie danej osoby, a które pracodawcy są zbędne – zdjęcie czyli wizerunek osoby oraz wzór podpisu znajdującego się w dowodzie osobistym. Dlaczego ważnym jest by unikać skanowania lub kopiowania dokumentów tożsamości? Wynika to z ryzyka wykorzystania skanu dokumentu jako narzędzia do wyłudzenia korzyści majątkowej (np. tzw. chwilówki).
Dane kandydatów – po zakończeniu rekrutacji
Najczęściej pojawiającą się wątpliwością w działach kadr i HR jest dopuszczalność przetwarzania danych z dokumentów aplikacyjnych kandydatów po zakończeniu procesu rekrutacji. Ze względu na obowiązujący do 7 marca 2011 r. art. 50 ustawy o ochronie danych osobowych, który przewidywał odpowiedzialność karną za przetwarzanie danych osobowych po ustaniu celu ich przetwarzania, mylnie zakłada się, że należy usuwać wszystkie zgromadzone CV po zakończeniu danego procesu rekrutacji. W praktyce, jeżeli klauzula zgody w CV jest tzw. klauzulą ogólną, czyli dotyczy wszelkich procesów rekrutacji prowadzonych przez dany podmiot, to przechowywanie CV osób, które nie zostały wybrane, jest dopuszczalne. Z drugiej strony istnieje również tzw. zasada merytorycznej poprawności, określona w art. 26 pkt 3, która określa obowiązek zapewnienia merytorycznej poprawności danych. Oznacza to, że jeżeli chcemy przechowywać jakieś dane przez dłuższy czas, powinny one być merytorycznie poprawne. CV ma to do siebie, że często się dezaktualizuje – zmieniają się numery telefonów kandydatów, adresy poczty elektronicznej, staż pracy, itp. Warto więc określić sobie jakiś termin usunięcia zebranych w procesie rekrutacji danych, tak by nie stały się one merytorycznie niepoprawne lub, alternatywnie, usuwać je, np. po roku.
W proces rekrutacji zaangażowani są najczęściej przyszli przełożeni kandydatów do pracy. Zazwyczaj dołączają do procesu na jego końcowym etapie i otrzymują do wglądu tylko kilka wybranych aplikacji. Przechowywanie czy drukowanie przez nich tych dokumentów tworzy dodatkową kopię, o której się często zapomina poza zakończeniu rekrutacji. Warto zadać sobie pytanie, czy bezpieczne jest, by aplikacje funkcjonowały w kilku kopiach. Jeżeli tak, należy każdorazowo pamiętać o ich zarchiwizowaniu lub usunięciu nadmiarowych – oczywiście w sposób bezpieczny, z wykorzystaniem niszczarki do dokumentów. Temu założeniu przyświeca prosta zasada – im mniej kopii funkcjonuje w obrocie, tym mniejsze ryzyko, że dane zostaną niewłaściwie udostępnione.
Praca tymczasowa i leasing pracowniczy
Częstym rozwiązaniem stosowanym przez firmy jest korzystanie z outsourcingu (leasingu) pracowników (pracownicy zatrudniani są przez firmy zewnętrzne). Taka forma zatrudnienia powoduje jeszcze więcej niejasności w zakresie przetwarzania danych osobowych. Podmiot, który chce skorzystać z outsourcingu pracowniczego, przed rozpoczęciem takiej współpracy otrzymuje dokumenty aplikacyjne kandydatów na pracowników, a więc przetwarza ich dane osobowe. Nie robi tego jednak w celu rekrutacji (nie zamierza zatrudnić tych osób!), a w celu zatrudnienia kandydatów przez podmiot zewnętrzny. Nieuchronnie pojawia się pytanie, kto w tej sytuacji jest administratorem danych osobowych, a kto tzw. „procesorem” danych, czyli podmiotem zewnętrznym przetwarzającym dane osobowe, których administratorem jest inny podmiot. Dodatkowe wątpliwości budzi fakt, że, podmiot korzystający z outsourcingu pracowników formalnie nie jest ich pracodawcą, a jednak pracownik musi przestrzegać wszelkich regulacji obowiązujących w miejscu wykonywania pracy, czyli np. przepisów BHP, czy wewnętrznych regulacji dotyczących danych osobowych, czyli dokumentacji ochrony danych osobowych. Tu pojawia się kolejna wątpliwość – w jakim celu przedsiębiorca korzystający z outsourcingu pracowników może przetwarzać ich dane? W tej kwestii brakuje konkretnych uregulowań ustawowych. Jedynym dokumentem regulującym te kwestie jest umowa powierzenia przetwarzania danych osobowych zawierana pomiędzy firmą outsourcingową a jej klientem. Często jednak taka umowa nie jest zawierana. Aby uniknąć wszelkich wątpliwości i niejasności w zakresie przetwarzania danych, warto zadbać by na każdym etapie dokładnie określić, kto ponosi odpowiedzialność za dane osobowe.
Podsumowanie
Proces rekrutacji jest jednym z bardziej newralgicznych w każdej organizacji. By go przeprowadzić, wymagane jest zaangażowanie co najmniej kilku osób, które muszą być świadome przepisów ustawy o ochronie danych osobowych. Z jednej strony, pracodawca stara się pozyskać jak najlepszego pracownika jak najniższym kosztem, a z drugiej strony jest kandydat do pracy, który stara się znaleźć stabilną, dochodową i satysfakcjonująca pracę. Pracodawca chce mieć pewność, że zatrudniając, a później inwestując w pracownika nie poniesie straty (przez jego odejście lub np. urlop macierzyński/ojcowski), co skutkuje coraz większą ilością przeróżnych oświadczeń, które podpisuje kandydat do pracy (np. zakaz konkurencji, poufność, etc.). Warto jednak pamiętać, by mimo uzasadnienia biznesowego szanować prawo do prywatności kandydatów do pracy i pracowników, gdyż zaniedbania w tym zakresie mogą się zemścić.
