Zapraszamy do strefy RODO - prezentujemy najważniejsze zmiany i nowości Więcej

Ochrona danych osobowych 
w procesie rekrutacji - co zmieni RODO

blog-123

Ochrona danych osobowych bywa kwestią problematyczną w działach kadr, gdyż obok działu marketingu są to działy firmy gromadzące największe ilości danych osobowych. Obok informacji dotyczących pracowników danej organizacji, działy HR przetwarzają też dane kandydatów do pracy. Dane te mogą nawet należeć do katalogu danych wrażliwych, istotnym wiec staje się odpowiednie zabezpieczenie fizyczne takich informacji jak i wprowadzenie odpowiednich rozwiązań organizacyjnych dotyczących ich przetwarzania.

Poza zmianami, które ma wprowadzić Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE czyli RODO, warto zauważyć, że polski ustawodawca planuje nowelizację wielu aktów prawnych, w celu dostosowania przepisów do powyższego rozporządzenia. Zmiany te mają tez dotyczyć Kodeksu Pracy (dalej KP), którego zapisy są niezmierne istotne w szeroko rozumianym HR.

Czytaj również: Ochrona danych w HR w procesie zatrudnienia

Poniżej zaprezentowane zostały najczęstsze problemy dotyczące problematyki ochrony danych osobowych w działach kadr, zarówno w świetle obowiązujących przepisów jak planowanych zmian. Przed omówieniem konkretnych zagadnień warto jednak przytoczyć definicję „pracownika”.

Przejęcie funkcji IOD

Definicja pracownika

Pojęcie pracownika zostało zdefiniowane w KP. Osoba będąca pracownikiem jest zatrudniona na podstawie umowy o pracę. Według definicji ustawowej pracownikiem nie będzie więc osoba zatrudniona na podstawie umowy o dzieło czy zlecenie. Takim pracownikiem nie jest też osoba prowadząca jednoosobową działalność gospodarczą, wykonująca zadania na podstawie umowy współpracy. Potocznie zwykło mówić się, że pracownik to każdy, kto wykonującym pracę, ale projektując procesy przetwarzania danych osobowych na potrzeby wykonywania pracy trzeba uwzględnić, że pracę będą w organizacji wykonywać pracownicy i „osoby wykonujące pracę”.

Tekst został podzielony na dwie części. Pierwsza dotyczy ochrony danych osobowych w procesie rekrutacji druga zaś ochrony danych osobowych w zatrudnieniu.

Ochrona danych osobowych w procesie rekrutacji

Rekrutacje „Ślepe”, rekrutacje „Ukryte”

Niekiedy pracodawca nie chce ujawniać swojej tożsamości publikując ogłoszenie rekrutacyjne, a decyzja o utajnieniu procesu wynika przykładowo z potrzeby zastąpienia obecnego pracownika czy utworzenia nowego stanowiska pracy, bez ujawniania tego przed konkurencją. Czasami (chociaż rzadziej) takie ogłoszenia publikują nieuczciwe agencje, które gromadzą w ten sposób bazy danych kandydatów. Takie rekrutacje, gdzie nie ma podanej informacji o pracodawcy, określa się mianem rekrutacji „ślepych” lub „ukrytych”.

Tego typu rekrutacje, nie są całkowicie zgodne z przepisami o ochronie danych osobowych, zarówno tych wynikających z ustawy o ochronie danych osobowych (dalej uodo) jak i przepisów RODO, gdyż brak w nich dopełnienia obowiązku informacyjnego. Zgodnie z art. 7 pkt 4 uodo pod pojęciem administratora danych osobowych (dalej ADO) rozumie się organ, jednostkę organizacyjną, podmiot lub osobę, decydujące o celach i środkach przetwarzania danych osobowych.

Ważne
Portale pośredniczące w tego typu rekrutacjach, takie jak Pracuj.pl nie są więc ADO. Udostępniają one jedynie narzędzia do publikowania ogłoszeń na portalach internetowych. Mogą być co najwyżej procesorem, czyli przetwarzać dane osobowe na zlecenie ADO. Obowiązek informacyjny spoczywa zatem na pracodawcy.

Jednym z rozwiązań może być spełnienie obowiązku informacyjnego w odpowiedzi na otrzymaną aplikację. Rozwiązanie to nie jest zgodne z potrzebą pracodawców ani nie spełnia wymogów przepisów prawa, ponieważ w chwili zbierania danych osoba je przekazująca nie wie do kogo one trafią. Należy zaznaczyć, iż stanowisko Sądów Administracyjnych w tej sprawie jest jednoznaczne i wyraźnie wskazuje, że tego typu rekrutacje są niezgodne z przepisami.

Innym rozwiązaniem może być zlecenie rekrutacji firmie rekrutacyjnej. W większości przypadków zgoda kandydata na przetwarzanie danych wyrażana jest tej firmie, która będzie w tym przypadku ADO. Dane wybranych kandydatów są później przekazywane pracodawcy. Firma na początku prowadzi selekcję kandydatów a gdy spośród nich zostaną wyłonieni „finaliści”, to wtedy osoby te można poinformować o danych potencjalnego pracodawcy i zapytać je o zgodę na przekazanie ich kandydatur.

Jakiego zakresu danych można legalnie żądać od potencjalnego pracownika?

Zagadnienia związane z zakresem danych osobowych, jakich pracodawca może żądać od pracownika został uregulowany w art. 221 § 1 KP. Powyższy katalog prezentuje się następująco:

  • imię (imiona) i nazwisko,
  • imiona rodziców kandydata,
  • data urodzenia,
  • miejsce zamieszkania (adres do korespondencji),
  • wykształcenie,
  • przebieg dotychczasowego zatrudnienia.

To katalog zamknięty. Dopóki zatem kandydat z własnej inicjatywy nie przedstawi pracodawcy, np. certyfikatów, zaświadczeń o znajomości języków obcych, pracodawca nie ma prawa domagać się od niego takich informacji. Wydaje się to nieracjonalne, niemniej jednak takie są przepisy.

Udostępnienie danych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca ma jednak prawo żądać udokumentowania danych podanych przez kandydata, np. poprzez okazanie przez niego świadectwa pracy.

Ważne
Warto pamiętać, iż nie każdy pracodawca ma prawo zbierać informacje dotyczące niekaralności kandydata. Mogą to robić jedynie pracodawcy w sytuacji, kiedy obowiązek zatrudnienia przez nich osób niekaranych wynika wprost z przepisów ustaw.

Powyższy katalog, zgodnie z zapisami projektu ustawy wprowadzającej ustawę o ochronie danych osobowych, ma ulec zmianie. Znikną z niego imiona rodziców oraz miejsce zamieszkania (zastąpi je adres do korespondencji), dodane natomiast zostaną dane takie jak: adres e-mail lub numer telefonu.

Zmieni się również brzmienie art. 221 § 2 kodeksu pracy. Pracodawca będzie mógł, poza powyższymi, żądać od pracownika następujących danych:

  • adresu zamieszkania,
  • numeru PESEL (a w przypadku jego braku – rodzaju i numeru dokumentu potwierdzającego tożsamość),
  • innych danych osobowych pracownika, a także danych osobowych dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.

Numer telefonu albo e-mail będą mogły być przetwarzane przez pracodawcę jedynie po wyrażeniu przez pracownika pisemnej zgody w postaci papierowej lub elektronicznej.

Dodatkowo warto zauważyć, iż w projekcie przepisów ustawodawca bezwzględnie zakazał pracodawcy przetwarzania niektórych danych sensytywnych dotyczących pracowników (nałogów, informacji o stanie zdrowia, życiu seksualnym, orientacji seksualnej), nawet jeśli wyrażą oni na to zgodę.

e-learning

Kwestie dotyczące CV potencjalnych pracowników

Jeszcze kilka lat temu wiele osób było zaszokowanych koniecznością dopisania klauzuli zgody na końcu CV, natomiast dziś jest to już praktyka powszechnie stosowana. Niemniej warto przypominać kandydatom do pracy, aby na końcu swoich dokumentów rekrutacyjnych dopisywali klauzulę zgody na przetwarzanie danych osobowych przez potencjalnego pracodawcę, ponieważ bez tego zapisu pracodawca nie będzie mógł użyć danych wysłanych przez potencjalnego pracownika. Warto wiedzieć, że zgoda (standardowa) wyrażana jest tylko w celu aplikowania na konkretne stanowisko pracy.

Ważne
Duże firmy często prowadzą równocześnie kilka rekrutacji. Potencjalny pracownik może wydać się pracodawcy dużo bardziej pożądany na innym stanowisku niż to, na które aplikuje. Będąc zgodnym z przepisami prawa, nie można w tym momencie traktować aplikacji tak jakby była złożona na inne stanowisko, niż to na które aplikował kandydat.

W takich przypadkach należy poinformować kandydata o zaistniałej sytuacji i ewentualnie poprosić o wyrażenie zgody na przetwarzanie jego danych osobowych na potrzeby innego ogłoszenia rekrutacyjnego.

Niedopuszczalne jest też pozostawienie danych rekrutacyjnych kandydata „na później”. Chcąc zachować CV osoby do późniejszych rekrutacji w treści zgody na przetwarzanie danych osobowych powinien znaleźć się zapis dotyczących „przyszłych rekrutacji”. Wielu kandydatów zainteresowanych pracą dla danej firmy dodaje taki zapis do klauzuli, jednak nie jest to praktyka powszechnie stosowana. Zatem, jeśli zapisu dotyczącego wykorzystania danych osobowych na potrzeby innych procesów rekrutacyjnych, nie ma w treści w klauzuli, warto skontaktować się z potencjalnym pracownikiem w celu poinformowania go, o możliwości rozpatrzenia jego CV w ramach rekrutacji na inne stanowisko w firmie.

W obu powyższych przypadkach, dobrze jest udokumentować zgodę osoby np. za pomocą wiadomości e-mail.

Istotna jest także kwestia czasu przetrzymywania CV kandydatów przez potencjalnego pracodawcę. Dane osobowe nie powinny być przechowywane dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Zatem w przypadku, gdy potencjalni pracownicy nie wyrażą zgody na przetwarzanie ich danych w dalszych procesach rekrutacyjnych, ich CV powinno zostać usunięte w chwili zakończenia rekrutacji na dane stanowisko. Zatrzymanie takiego CV jest możliwe jeżeli jesteśmy w stanie racjonalnie uzasadnić dłuższy okres przechowywania.

Nieco inaczej wygląda to zagadnienie w przypadku przechowywania CV osób, które wyraziły zgodę na przetwarzanie ich danych osobowych w celu konkretnej rekrutacji oraz późniejszych ewentualnych procesów rekrutacji. Celem przetwarzania danych osobowych staje się wtedy zachowanie ich i przetwarzanie w przyszłych procesach rekrutacyjnych. Nie oznacza to jednak, że po wyrażeniu takiej zgody przez kandydata, można jego CV przetwarzać aż do zakończenia działalności firmy. W takiej sytuacji warto zastanowić się, czy w najbliższym czasie (np. przez następne pół roku) w firmie będzie przeprowadzana rekrutacja na podobne stanowisko na które kandydat aplikował i ewentualne zachowanie nadesłanych dokumentów na potrzeby przyszłego procesu. Kluczowym więc, w sprawie przetwarzania danych osobowych na potrzeby przyszłych rekrutacji, zdaje się być zdrowy rozsądek i branie pod uwagę dynamiki rynku pracy. Warto pamiętać, iż sytuacja osoby składającej do danej firmy CV może ulec zmianie po roku od złożenia swoich dokumentów rekrutacyjnych lub może być ona zwyczajnie nie zainteresowana już taka ofertą pracy.

Zgodnie z przepisami RODO wydaje się, że aplikowanie osoby na określone stanowisko będzie stanowiło zgodę na przetwarzanie danych osobowych i że ww. klauzule już nie będą potrzebne, gdyż zgoda będzie mogła być też wyrażona w formie „wyraźnego działania potwierdzającego”.

Konieczność odpowiedniego zabezpieczenia dokumentów rekrutacyjnych

W CV czy liście motywacyjnym kandydata znajduje się wiele informacji stanowiących dane osobowe, w związku z powyższym muszą być one odpowiednio zabezpieczone. Dokumenty te nie powinny krążyć między pracownikami firmy, nie biorącymi udziału w rekrutacji, gdyż takie postępowanie stanowi naruszenie przepisów dotyczących ochrony danych osobowych. Z dokumentami składanymi przez kandydatów do pracy powinni zapoznawać się tylko pracownicy biorący udział w rekrutacji oraz ewentualnie kierownictwo. Co więcej dane te powinny być traktowane jak każde inne dane osobowe w firmie, powinny być odpowiednio przechowywyane (np. w zamykanych pojemnikach), powinny być też usuwane w odpowiednim czasie i w odpowiedni (skuteczny) sposób np. za pomocą niszczarki lub odpowiednich programów komputerowych kasujących skutecznie dane. Bywa tak, że CV kandydatów, po zakończonym procesie rekrutacji, znajduje się na wielu skrzynkach pocztowych i na wielu urządzeniach elektronicznych, warto pamiętać o usunięciu z nich tych danych.

Ważne
Każda osoba, która będzie zapoznawać się z danymi osobowymi kandydatów do pracy, powinna posiadać odpowiednie upoważnienie do przetwarzania tych danych osobowych.

Korzystanie z serwisów internetowych w procesie rekrutacji

Coraz częściej pracodawcy decydują się na zawieranie umów z agencjami działającymi na rynku pracy w celu zamieszczania ogłoszeń dotyczących pracy na różnych portalach internetowych. Firmy zajmujące się publikacją takich ogłoszeń oferują jedynie narzędzia do ich publikowania lub przetwarzają dane kandydatów w celu przesłania ich dokumentów rekrutacyjnych pracodawcy. W związku z powyższym tego typu organizacje nie są ADO kandydatów, gdyż nie decydują one o celu ich przetwarzania. ADO jest zawsze pracodawca. Warto pamiętać, że przed rozpoczęciem współpracy z tego typu organizacjami należy zawrzeć z nimi umowę powierzenia przetwarzania danych osobowych, zaś zgodnie z przepisami RODO należy tez określić, czy po zakończonej współpracy dane te powinny zostać zwrócone przez procesora ADO czy trwale usunięte.

Warto również zauważyć, iż zgodnie z art. 28 ust. 1 RODO, ADO może korzystać wyłącznie z usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą, czyli osób fizycznych. Przed powierzeniem danych ADO musi więc ocenić czy poziom zabezpieczeń danych osobowych, stosowanych przez procesora, jest odpowiedni.

Akredytowany Kurs IOD

Przesyłanie CV między spółkami w grupie kapitałowej

Zgodnie z obowiązującymi, na daną chwilę, przepisami dotyczącymi ochrony danych osobowych przesyłanie CV między firmami znajdującymi się w tej samej grupie kapitałowej jest niedopuszczalne. Oczywiście, kwestie przesyłania danych potencjalnych pracowników między członkami grupy kapitałowej można rozwiązać za pomocą odpowiedniej klauzuli zgody, w której należy zawrzeć zgodę na przetwarzanie danych osobowych na potrzeby przyszłych rekrutacji przez daną firmę oraz inne podmioty wchodzące w skład grupy kapitałowej. Należy też poinformować osobę przesyłającą CV, jakie firmy wchodzą w skład takiej grupy.

Kontakt potencjalnego nowego pracodawcy z byłym pracodawcą w celu uzyskania opinii o pracowniku

Wielu kandydatów w swoich CV przedstawia bogate doświadczenia zawodowe, zdobyte u innych pracodawców. Nie dziwi więc, że potencjalny pracodawca chce sprawdzić prawdziwość powyższych informacji.

Udostępnianie takich informacji, z prawnego punktu widzenia, stanowi wyciek danych osobowych (nieuprawnione udostępnienie). Dane te są udostępniane, bez zgody osoby której one dotyczą, innemu podmiotowi, który w najgorszym przypadku może nawet nie okazać się potencjalnym pracodawcą byłego pracownika, a osobą podszywającą się pod niego. Należy mieć nadzieję, że powyższe zagadnienie zostanie w jakiś sposób uregulowane, albowiem w niektórych krajach Unii Europejskiej praktyka referencji jest powszechna i bez wątpienia będzie kontynuowana.

Podczas procedury rekrutacyjnej źródłem informacji, dotyczących przebiegu pracy zawodowej, powinien być sam kandydat. Zgodnie z art. 221 § 3 KP udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca jednak ma prawo żądać udokumentowania danych zawartych w art. 221 KP, co za tym idzie ma prawo zażądać okazania dokumentów potwierdzających jego wykształcenie jak i też dotychczasowy przebieg pracy.

Część druga: ochrona danych osobowych w zatrudnieniu.

 

Sprawdź również:

IOD dwudniowe warsztaty

Strefa RODO najważniejsze zmiany i nowości

Skuteczne wdrożenie RODO z kim je zrealizować?


Adam Lipiński
26 stycznia 2018
Biuletyn
informacyjny
Biuletyn ODO 24

Raz w miesiącu wysyłamy subiektywny przegląd najważniejszych informacji i wydarzeń oraz naszych promocji i nowości. Wystarczy poniżej podać swój adres e-mail.

Zobacz poprzednie wydanie.