Rekrutacja zgodna z RODO 
jak tor przeszkód

Szacowanie

Ochrona danych osobowych to ważny temat podczas realizacji procesów zatrudnienia u przedsiębiorcy, w szczególności na ich wstępnym etapie, jakim jest rekrutacja. Działy HR (od ang. human resources), które gromadzą dane osobowe, borykają się z wieloma praktycznymi problemami związanymi z ich ochroną. Nie może umknąć uwadze, że wpływ na prowadzone procesy rekrutacyjne mają nie tylko nowelizowane przepisy, lecz także zmieniające się sposoby prowadzenia rekrutacji w związku z dynamicznym rozwojem nowych technologii.

Rekrutacje ukryte (ślepe)

Z wielu różnych powodów pracodawcy decydują się na prowadzenie rekrutacji ukrytych, zwanych również rekrutacjami ślepymi. Niekiedy decyzja o utajnieniu procesu wynika z potrzeby zastąpienia pracownika, z którym umowa nie została jeszcze wypowiedziana. W ogłoszeniach o tego typu rekrutacjach utajnia się podmiot, który poszukuje pracownika, a ujawnia wyłącznie stanowisko oraz wymagania. Osoba aplikująca nie wie, jakiemu podmiotowi przekazuje swoje dane osobowe, a więc nie posiada informacji o administratorze danych. Koliduje to z istotą przepisów o ochronie danych, które są zbudowane na transparentności relacji pomiędzy tym, kto przekazuje dane osobowe, a tym, komu są one przekazywane. Jeśli osoba aplikująca nie posiada tej podstawowej wiedzy, zaburzona zostaje przejrzystość procesu.

W konsekwencji kandydat nie może korzystać z przysługujących mu praw, ponieważ nie wie, do kogo miałby kierować odpowiednie wnioski w tym przedmiocie. Rekrutacje ślepe pozostają zatem w sprzeczności z zasadami przetwarzania danych, a więc są niezgodne z RODO. Podmioty specjalizujące się w prowadzeniu rekrutacji starają się zorganizować proces rekrutacji ukrytych w taki sposób, aby odpowiadał aktualnym wymaganiom stawianym przez przepisy. Niemniej można zaobserwować wyraźny spadek popularności tak prowadzonych poszukiwań pracowników.

Narzędzia do rekrutacji i usługi agencji rekrutacyjnych

Najczęściej administratorzy danych publikują ogłoszenia z ofertą pracy w portalach dostarczających narzędzi do prowadzenia procesów rekrutacyjnych. Portale te w tym zakresie pełnią funkcję podmiotów przetwarzających, a więc działają w imieniu i na rzecz pracodawcy przez udostępnianie zarządzanych przez siebie narzędzi do publikowania ofert pracy. Takie podmioty nie są zatem administratorem w stosunku do danych osób, które wysłały dokumenty aplikacyjne w odpowiedzi na konkretne ogłoszenie.

W związku z tym to na przyszłym pracodawcy ciąży obowiązek zamieszczenia klauzuli informacyjnej w ogłoszeniu – w taki sposób, aby kandydat mógł zapoznać się z jej treścią, zanim prześle dokumenty rekrutacyjne w odpowiedzi na ogłoszenie. Przyszły pracodawca nie może też zapomnieć o konieczności zawarcia umowy powierzenia z podmiotem posiadającym platformę, za której pośrednictwem są przekazywane dokumenty aplikacyjne kandydatów.

Odrębnego omówienia wymaga współpraca pracodawcy z agencjami rekrutacyjnymi, które podejmują się znalezienia kandydata do pracy. W tym przypadku model współpracy może wyglądać dwojako w zależności od tego, jak ukształtowana zostanie relacja pomiędzy przyszłym pracodawcą a agencją w roli usługobiorcy.

Pierwsza możliwa forma współpracy (rzadziej spotykana) jest oparta na powierzeniu – agencja szuka pracownika w imieniu i na rzecz przyszłego pracodawcy, a w treści klauzuli informacyjnej jako administratora wskazuje właśnie przyszłego pracodawcę.

Drugi model współpracy (zdecydowanie częściej spotykany) polega na tym, że agencja wyszukuje kandydatów do własnych baz danych. Jako administratora wskazuje wówczas siebie, a w momencie dopasowania kandydata do potrzeb klienta pozyskuje zgodę tego kandydata na przekazanie jego danych osobowych klientowi.

RODO w HR

W taki sposób działają nie tylko agencje, które zawodowo zajmują się rekrutacją pracowników, lecz także firmy, które poszukują pracowników dla swoich klientów lub innych spółek z grupy, lecz nie jest to ich zasadnicza działalność. Znaczącym błędem pojawiającym się podczas współpracy pomiędzy agencjami a klientami zlecającymi poszukiwanie pracowników jest niedbałość w regulowaniu wzajemnych stosunków. Prowadzi to do sytuacji, że zleceniodawcy nie mają podstawowej wiedzy o modelu współpracy między stronami.

Wskazany problem jest zasadniczy, ponieważ w zależności od tego, na którym z dwóch modeli oparta jest współpraca, odmiennie będą ukształtowane obowiązki odnoszące się do ochrony danych osobowych. Jeśli proces jest oparty na relacji administrator – przyszły administrator, pracodawca powinien dołożyć starań, aby przekazanie danych odbyło się na podstawie prawidłowo skonstruowanej zgody na przekazanie danych, a ponadto musi uczynić zadość obowiązkowi informacyjnemu wymaganemu przy pozyskiwaniu danych osobowych od podmiotu innego niż ten, którego dane dotyczą.

Natomiast w przypadku modelu opartego na powierzeniu danych przyszły pracodawca powinien prawidłowo zawrzeć umowę powierzenia przetwarzania z agencją oraz dopilnować, aby spełniła ona obowiązek informacyjny w treści ogłoszenia w imieniu i na rzecz administratora.

Dane, których można legalnie żądać od kandydata do pracy

W ramach procesu rekrutacji przyszły pracodawca może żądać od kandydata danych w zakresie ograniczonym przepisami prawa. O ile raczej już nikt nie ma wątpliwości, że pracodawca nie może pytać potencjalnego pracownika o stan cywilny, nałogi czy plany na najbliższą przyszłość, związane z życiem rodzinnym, o tyle nadal pojawia się wiele kontrowersji wokół kwestii, o co i w jaki sposób wolno pytać podczas rekrutacji. Pracodawca może żądać od osoby ubiegającej się o zatrudnienie podania imienia i nazwiska, daty urodzenia oraz dowolnie wskazanych przez nią danych kontaktowych, przy czym informacji o wykształceniu, kwalifikacjach zawodowych oraz przebiegu dotychczasowego zatrudnienia może zażądać tylko wtedy, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. Innych danych – wykraczających poza wskazany zakres – pracodawca może żądać w sytuacji, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, np. gdy ma obowiązek ustawowy zweryfikowania niekaralności przyszłego pracownika lub jest obowiązany zweryfikować go w Rejestrze z dostępem ograniczonym lub w Rejestrze osób, w stosunku do których Państwowa Komisja do spraw wyjaśniania przypadków czynności skierowanych przeciwko wolności seksualnej i obyczajności wobec małoletniego poniżej lat 15 wydała postanowienie o wpisie.

Audyt RODO

Kandydat do pracy może podać – w żaden sposób do tego nieprzymuszony – inne dane na swój temat, jednak robi to dobrowolnie, w zakresie, który sam uzna za zasadny. Jeśli chodzi o dane niebędące danymi szczególnych kategorii, pracodawca może poprosić o ich podanie. Natomiast z inicjatywą przekazania danych szczególnych kategorii może wystąpić wyłącznie osoba ubiegająca się o pracę. W żadnym razie niepodanie dodatkowych danych przez kandydata nie może wpłynąć na jego udział w procesie rekrutacyjnym, a więc nie może być podstawą niekorzystnego traktowania podczas ubiegania się o zatrudnienie.

Więcej na temat przetwarzania danych osobowych w procesach związanych z zatrudnieniem przeczytasz w naszym artykule: Zatrudnienie a wymogi RODO

Upoważnienia do przetwarzania danych szczególnych kategorii

Wielu administratorów nie odnotowało konieczności nadawania pisemnych upoważnień do przetwarzania danych szczególnych kategorii. Obowiązek ten, ustanowiony w art. 221b § 3 Kodeksu pracy, obejmuje osoby prowadzące rekrutację, które w ramach omawianego procesu mogą mieć dostęp do tego rodzaju danych osobowych.

Umieszczanie klauzuli zgody w CV

Zgoda to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli w formie oświadczenia lub wyraźnego działania potwierdzającego. Sytuacja, w której kandydat do pracy z własnej inicjatywy umieszcza w CV dodatkowe dane, np. zdjęcie czy informację o swoich zainteresowaniach, jak najbardziej może być interpretowana jako wyraźne działanie potwierdzające, że chce on, aby potencjalny pracodawca przetwarzał jego dane osobowe w zakresie wykraczającym poza katalog, którego pracodawca może żądać. Urząd Ochrony Danych Osobowych w poradniku dotyczącym zatrudnienia wyraźnie wskazuje: „zwykłe dane osobowe, które wykraczają poza zakres uregulowany przepisami prawa pracy, są przetwarzane przez pracodawcę na podstawie zgody kandydata, która przejawia się przez działanie, polegające np. na przesłaniu pracodawcy życiorysu i listu motywacyjnego” . Oznacza to, że potencjalny pracodawca nie ma powodów, aby żądać klauzuli zgody w formie pisemnej, zamieszczanej dotychczas na dole dokumentów aplikacyjnych.

Więcej o klauzulach przeczytasz w naszym artykule: Klauzule RODO

Nieco inaczej należy postępować w przypadku zgody kandydata na przetwarzanie danych szczególnych kategorii, która powinna być zgodą wyraźną. Mimo że przepisy nie stanowią o konieczności udzielenia pisemnej zgody, w przypadku zgody na ten rodzaj danych faktycznie dla celów dowodowych praktykuje się jej pozyskiwanie w takiej właśnie formie. Chociaż niekoniecznie musimy zgadzać się z taką interpretacją, należy odnotować, że UODO wspiera tak kształtującą się praktykę, podnosząc, że „ewentualna zgoda na przetwarzanie szczególnych kategorii danych powinna być wyraźna, np. w formie odrębnego oświadczenia”.

Usługa DPIA

Udział kandydata w innych postępowaniach rekrutacyjnych

Duże firmy często prowadzą równocześnie kilka rekrutacji. Potencjalny pracownik może wydać się pracodawcy bardziej pożądany na innym stanowisku niż to, na które aplikuje. Wówczas – żeby pozostać w zgodzie z przepisami prawa – nie można wykorzystać aplikacji złożonej w ramach zdefiniowanego postępowania rekrutacyjnego do celów innych postępowań rekrutacyjnych, nawet toczących się równolegle. Należy poinformować kandydata o zaistniałej sytuacji i ustalić, czy zgadza się na przetwarzanie jego danych osobowych dla potrzeb innego postępowania rekrutacyjnego.

Warto podkreślić, że jeśli pracodawca zechce zachować dokumenty rekrutacyjne dla potrzeb przyszłych postępowań rekrutacyjnych, to musi posiadać zgodę na takie działania. Nie sposób bowiem przyjąć, że jeśli kandydat przesłał dokumenty rekrutacyjne dla potrzeb konkretnego postępowania rekrutacyjnego, to tym samym chce, żeby jego CV było umieszczone w bazie pracodawcy również dla potrzeb rekrutacji przyszłych. Należy zapytać go o to w osobnej klauzuli i pozostawić mu całkowitą swobodę wyboru.

Czas przechowywania CV

Istotna jest także kwestia czasu przechowywania przez potencjalnego pracodawcę dokumentów składanych w postępowaniach rekrutacyjnych. Dane osobowe nie powinny być przechowywane dłużej, niż jest to niezbędne do osiągnięcia celu przetwarzania. Zatem w razie gdy potencjalni pracownicy nie wyrażą zgody na przetwarzanie ich danych w dalszych procesach rekrutacyjnych, ich dokumenty rekrutacyjne powinny zostać usunięte z chwilą zakończenia rekrutacji na dane stanowisko.

Pracodawca, który uzyska stosowne zgody, pozwalające mu na zachowanie CV w celu ewentualnego wykorzystania w przyszłych procesach rekrutacyjnych, również powinien zastanowić się nad czasem ich przechowywania. Dokumentów tych nie można przecież przechowywać bezterminowo – dane w nich zgromadzone zwyczajnie tracą aktualność. Kluczowym elementem wpływającym na ustalenie czasu przechowywania jest więc przede wszystkim dynamika rynku pracy. Obecnie okres przechowywania wynosi najczęściej od 6 miesięcy do 3 lat, z tym zastrzeżeniem, że kandydat może wycofać wyrażoną zgodę w każdej chwili, także przed upływem terminów ustalonych przez administratora.

Podsumowanie

Kompleksowe omówienie całego procesu rekrutacyjnego wymagałoby zdecydowanie szerszej i wielowątkowej analizy, dlatego w niniejszym artykule wskazano tylko główne wątki. Chociaż przeprowadzanie rekrutacji z uwzględnieniem wymogów RODO może wydawać się tak trudne jak pokonywanie toru z przeszkodami, należy mieć na uwadze, że proces ten występuje w każdej organizacji i jest nierozerwalnie związany z przetwarzaniem danych osobowych, które stanowią jego istotę. Z tego powodu warto zadbać o jego realizację zgodne z przepisami o ochronie danych osobowych.

-
Udostępnij na: -

Najpopularniejsze

Najnowsze


Adw. Aleksandra Piotrowska
02 grudnia 2019

Zapisz się na biuletyn

  • Najważniejsze informacje
  • Nowości, narzędzia, gratisy
  • Raz w miesiącu

Zapisz się