Rekrutacja zgodna z RODO jak tor przeszkód

Ochrona danych osobowych to ważny temat podczas realizacji procesów zatrudnienia u przedsiębiorcy, w szczególności na ich wstępnym etapie, jakim jest rekrutacja. Działy HR (od ang. human resources), które gromadzą dane osobowe, borykają się z wieloma praktycznymi problemami związanymi z ich ochroną. Nie może umknąć uwadze, że wpływ na prowadzone procesy rekrutacyjne mają nie tylko nowelizowane przepisy, lecz także zmieniające się sposoby prowadzenia rekrutacji w związku z dynamicznym rozwojem nowych technologii.

Rekrutacje ukryte (ślepe)

Z wielu różnych powodów pracodawcy decydują się na prowadzenie rekrutacji ukrytych, zwanych również rekrutacjami ślepymi. Niekiedy decyzja o utajnieniu procesu wynika z potrzeby zastąpienia pracownika, z którym umowa nie została jeszcze wypowiedziana. W ogłoszeniach o tego typu rekrutacjach utajnia się podmiot, który poszukuje pracownika, a ujawnia wyłącznie stanowisko oraz wymagania. Osoba aplikująca nie wie, jakiemu podmiotowi przekazuje swoje dane osobowe, a więc nie posiada informacji o administratorze danych. Koliduje to z istotą przepisów o ochronie danych, które są zbudowane na transparentności relacji pomiędzy tym, kto przekazuje dane osobowe, a tym, komu są one przekazywane. Jeśli osoba aplikująca nie posiada tej podstawowej wiedzy, zaburzona zostaje przejrzystość procesu.

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET

W konsekwencji kandydat nie może korzystać z przysługujących mu praw, ponieważ nie wie, do kogo miałby kierować odpowiednie wnioski w tym przedmiocie. Rekrutacje ślepe pozostają zatem w sprzeczności z zasadami przetwarzania danych, a więc są niezgodne z RODO. Podmioty specjalizujące się w prowadzeniu rekrutacji starają się zorganizować proces rekrutacji ukrytych w taki sposób, aby odpowiadał aktualnym wymaganiom stawianym przez przepisy. Niemniej można zaobserwować wyraźny spadek popularności tak prowadzonych poszukiwań pracowników.

Narzędzia do rekrutacji i usługi agencji rekrutacyjnych

Najczęściej administratorzy danych publikują ogłoszenia z ofertą pracy w portalach dostarczających narzędzi do prowadzenia procesów rekrutacyjnych. Portale te w tym zakresie pełnią funkcję podmiotów przetwarzających, a więc działają w imieniu i na rzecz pracodawcy przez udostępnianie zarządzanych przez siebie narzędzi do publikowania ofert pracy. Takie podmioty nie są zatem administratorem w stosunku do danych osób, które wysłały dokumenty aplikacyjne w odpowiedzi na konkretne ogłoszenie.

W związku z tym to na przyszłym pracodawcy ciąży obowiązek zamieszczenia klauzuli informacyjnej w ogłoszeniu – w taki sposób, aby kandydat mógł zapoznać się z jej treścią, zanim prześle dokumenty rekrutacyjne w odpowiedzi na ogłoszenie. Przyszły pracodawca nie może też zapomnieć o konieczności zawarcia umowy powierzenia z podmiotem posiadającym platformę, za której pośrednictwem są przekazywane dokumenty aplikacyjne kandydatów.

Odrębnego omówienia wymaga współpraca pracodawcy z agencjami rekrutacyjnymi, które podejmują się znalezienia kandydata do pracy. W tym przypadku model współpracy może wyglądać dwojako w zależności od tego, jak ukształtowana zostanie relacja pomiędzy przyszłym pracodawcą a agencją w roli usługobiorcy.

Pierwsza możliwa forma współpracy (rzadziej spotykana) jest oparta na powierzeniu – agencja szuka pracownika w imieniu i na rzecz przyszłego pracodawcy, a w treści klauzuli informacyjnej jako administratora wskazuje właśnie przyszłego pracodawcę.

Drugi model współpracy (zdecydowanie częściej spotykany) polega na tym, że agencja wyszukuje kandydatów do własnych baz danych. Jako administratora wskazuje wówczas siebie, a w momencie dopasowania kandydata do potrzeb klienta pozyskuje zgodę tego kandydata na przekazanie jego danych osobowych klientowi.

Podrzuć pracownikom
wartościowe e-szkolenia - bezpłatnie

Chcesz bezpłatnie przeszkolić pracowników?
Nic prostszego - skopiuj i prześlij im odpowiednie linki.
POKAŻ WIĘCEJ

W taki sposób działają nie tylko agencje, które zawodowo zajmują się rekrutacją pracowników, lecz także firmy, które poszukują pracowników dla swoich klientów lub innych spółek z grupy, lecz nie jest to ich zasadnicza działalność. Znaczącym błędem pojawiającym się podczas współpracy pomiędzy agencjami a klientami zlecającymi poszukiwanie pracowników jest niedbałość w regulowaniu wzajemnych stosunków. Prowadzi to do sytuacji, że zleceniodawcy nie mają podstawowej wiedzy o modelu współpracy między stronami.

Wskazany problem jest zasadniczy, ponieważ w zależności od tego, na którym z dwóch modeli oparta jest współpraca, odmiennie będą ukształtowane obowiązki odnoszące się do ochrony danych osobowych. Jeśli proces jest oparty na relacji administrator – przyszły administrator, pracodawca powinien dołożyć starań, aby przekazanie danych odbyło się na podstawie prawidłowo skonstruowanej zgody na przekazanie danych, a ponadto musi uczynić zadość obowiązkowi informacyjnemu wymaganemu przy pozyskiwaniu danych osobowych od podmiotu innego niż ten, którego dane dotyczą.

Natomiast w przypadku modelu opartego na powierzeniu danych przyszły pracodawca powinien prawidłowo zawrzeć umowę powierzenia przetwarzania z agencją oraz dopilnować, aby spełniła ona obowiązek informacyjny w treści ogłoszenia w imieniu i na rzecz administratora.

Dane, których można legalnie żądać od kandydata do pracy

W ramach procesu rekrutacji przyszły pracodawca może żądać od kandydata danych w zakresie ograniczonym przepisami prawa. O ile raczej już nikt nie ma wątpliwości, że pracodawca nie może pytać potencjalnego pracownika o stan cywilny, nałogi czy plany na najbliższą przyszłość, związane z życiem rodzinnym, o tyle nadal pojawia się wiele kontrowersji wokół kwestii, o co i w jaki sposób wolno pytać podczas rekrutacji. Pracodawca może żądać od osoby ubiegającej się o zatrudnienie podania imienia i nazwiska, daty urodzenia oraz dowolnie wskazanych przez nią danych kontaktowych, przy czym informacji o wykształceniu, kwalifikacjach zawodowych oraz przebiegu dotychczasowego zatrudnienia może zażądać tylko wtedy, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. Innych danych – wykraczających poza wskazany zakres – pracodawca może żądać w sytuacji, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, np. gdy ma obowiązek ustawowy zweryfikowania niekaralności przyszłego pracownika lub jest obowiązany zweryfikować go w Rejestrze z dostępem ograniczonym lub w Rejestrze osób, w stosunku do których Państwowa Komisja do spraw wyjaśniania przypadków czynności skierowanych przeciwko wolności seksualnej i obyczajności wobec małoletniego poniżej lat 15 wydała postanowienie o wpisie.

Też wolisz profilaktykę niż leczenie?

Audyt zgodności z RODO to holistyczne badanie, które pokazuje, w którym miejscu jest organizacja.
ZOBACZ WIĘCEJ

Kandydat do pracy może podać – w żaden sposób do tego nieprzymuszony – inne dane na swój temat, jednak robi to dobrowolnie, w zakresie, który sam uzna za zasadny. Jeśli chodzi o dane niebędące danymi szczególnych kategorii, pracodawca może poprosić o ich podanie. Natomiast z inicjatywą przekazania danych szczególnych kategorii może wystąpić wyłącznie osoba ubiegająca się o pracę. W żadnym razie niepodanie dodatkowych danych przez kandydata nie może wpłynąć na jego udział w procesie rekrutacyjnym, a więc nie może być podstawą niekorzystnego traktowania podczas ubiegania się o zatrudnienie.

CZYTAJ WIĘCEJ: Zatrudnienie a wymogi RODO

Upoważnienia do przetwarzania danych szczególnych kategorii

Wielu administratorów nie odnotowało konieczności nadawania pisemnych upoważnień do przetwarzania danych szczególnych kategorii. Obowiązek ten, ustanowiony w art. 221b § 3 Kodeksu pracy, obejmuje osoby prowadzące rekrutację, które w ramach omawianego procesu mogą mieć dostęp do tego rodzaju danych osobowych.

Umieszczanie klauzuli zgody w CV

Zgoda to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli w formie oświadczenia lub wyraźnego działania potwierdzającego. Sytuacja, w której kandydat do pracy z własnej inicjatywy umieszcza w CV dodatkowe dane, np. zdjęcie czy informację o swoich zainteresowaniach, jak najbardziej może być interpretowana jako wyraźne działanie potwierdzające, że chce on, aby potencjalny pracodawca przetwarzał jego dane osobowe w zakresie wykraczającym poza katalog, którego pracodawca może żądać. Urząd Ochrony Danych Osobowych w poradniku dotyczącym zatrudnienia wyraźnie wskazuje: „zwykłe dane osobowe, które wykraczają poza zakres uregulowany przepisami prawa pracy, są przetwarzane przez pracodawcę na podstawie zgody kandydata, która przejawia się przez działanie, polegające np. na przesłaniu pracodawcy życiorysu i listu motywacyjnego” . Oznacza to, że potencjalny pracodawca nie ma powodów, aby żądać klauzuli zgody w formie pisemnej, zamieszczanej dotychczas na dole dokumentów aplikacyjnych.

CZYTAJ WIĘCEJ: Klauzule RODO

Nieco inaczej należy postępować w przypadku zgody kandydata na przetwarzanie danych szczególnych kategorii, która powinna być zgodą wyraźną. Mimo że przepisy nie stanowią o konieczności udzielenia pisemnej zgody, w przypadku zgody na ten rodzaj danych faktycznie dla celów dowodowych praktykuje się jej pozyskiwanie w takiej właśnie formie. Chociaż niekoniecznie musimy zgadzać się z taką interpretacją, należy odnotować, że UODO wspiera tak kształtującą się praktykę, podnosząc, że „ewentualna zgoda na przetwarzanie szczególnych kategorii danych powinna być wyraźna, np. w formie odrębnego oświadczenia”.

RODO.
Wsparcie się przydaje

Sam ustal zakres wspracia, aby zapewnić organizacji pełną zgodność z RODO przy optymalnych kosztach.
ZAMÓW OFERTĘ

Udział kandydata w innych postępowaniach rekrutacyjnych

Duże firmy często prowadzą równocześnie kilka rekrutacji. Potencjalny pracownik może wydać się pracodawcy bardziej pożądany na innym stanowisku niż to, na które aplikuje. Wówczas – żeby pozostać w zgodzie z przepisami prawa – nie można wykorzystać aplikacji złożonej w ramach zdefiniowanego postępowania rekrutacyjnego do celów innych postępowań rekrutacyjnych, nawet toczących się równolegle. Należy poinformować kandydata o zaistniałej sytuacji i ustalić, czy zgadza się na przetwarzanie jego danych osobowych dla potrzeb innego postępowania rekrutacyjnego.

Warto podkreślić, że jeśli pracodawca zechce zachować dokumenty rekrutacyjne dla potrzeb przyszłych postępowań rekrutacyjnych, to musi posiadać zgodę na takie działania. Nie sposób bowiem przyjąć, że jeśli kandydat przesłał dokumenty rekrutacyjne dla potrzeb konkretnego postępowania rekrutacyjnego, to tym samym chce, żeby jego CV było umieszczone w bazie pracodawcy również dla potrzeb rekrutacji przyszłych. Należy zapytać go o to w osobnej klauzuli i pozostawić mu całkowitą swobodę wyboru.

Czas przechowywania CV

Istotna jest także kwestia czasu przechowywania przez potencjalnego pracodawcę dokumentów składanych w postępowaniach rekrutacyjnych. Dane osobowe nie powinny być przechowywane dłużej, niż jest to niezbędne do osiągnięcia celu przetwarzania. Zatem w razie gdy potencjalni pracownicy nie wyrażą zgody na przetwarzanie ich danych w dalszych procesach rekrutacyjnych, ich dokumenty rekrutacyjne powinny zostać usunięte z chwilą zakończenia rekrutacji na dane stanowisko.

Pracodawca, który uzyska stosowne zgody, pozwalające mu na zachowanie CV w celu ewentualnego wykorzystania w przyszłych procesach rekrutacyjnych, również powinien zastanowić się nad czasem ich przechowywania. Dokumentów tych nie można przecież przechowywać bezterminowo – dane w nich zgromadzone zwyczajnie tracą aktualność. Kluczowym elementem wpływającym na ustalenie czasu przechowywania jest więc przede wszystkim dynamika rynku pracy. Obecnie okres przechowywania wynosi najczęściej od 6 miesięcy do 3 lat, z tym zastrzeżeniem, że kandydat może wycofać wyrażoną zgodę w każdej chwili, także przed upływem terminów ustalonych przez administratora.

Podsumowanie

Kompleksowe omówienie całego procesu rekrutacyjnego wymagałoby zdecydowanie szerszej i wielowątkowej analizy, dlatego w niniejszym artykule wskazano tylko główne wątki. Chociaż przeprowadzanie rekrutacji z uwzględnieniem wymogów RODO może wydawać się tak trudne jak pokonywanie toru z przeszkodami, należy mieć na uwadze, że proces ten występuje w każdej organizacji i jest nierozerwalnie związany z przetwarzaniem danych osobowych, które stanowią jego istotę. Z tego powodu warto zadbać o jego realizację zgodne z przepisami o ochronie danych osobowych.

RODO w HR

Czytaj także:

Najczęstsze błędy przy zawieraniu umów powierzenia

Szkolenie RODO od podstaw

Szkolenie dla osób, które zaczynają swoją „przygodę” z RODO i z funkcją inspektora ochrony danych.

Zobacz więcej
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".

Czy umowy powierzenia zawieramy raz w roku czy musimy auaktualniać?

Lorem Ipsum is simply dummy text of the printing and typesetting industry. Lorem Ipsum has been the industry's standard dummy text ever since the 1500s, when an unknown printer took a galley of type and scrambled it to make a type specimen book. It has survived not only five centuries, but also the leap into electronic typesetting, remaining essentially unchanged.

Lorem Ipsum is simply dummy text of the printing and typesetting industry. Lorem Ipsum has been the industry's standard dummy text ever since the 1500s, when an unknown printer took a galley of type and scrambled it to make a type specimen book. It has survived not only five centuries, but also the leap into electronic typesetting, remaining essentially unchanged.

R.pr. Katarzyna Szczypińska