07 lut

Ochrona danych osobowych w procesie rekrutacji (wpis gościnny)

 Najcenniejszym kapitałem każdej organizacji są ludzie, aby ich pozyskać niezbędne jest przeprowadzenie procesu rekrutacji. Wielu rekrutujących pracodawców zadaje sobie pytanie, co zrobić, aby proces ten przeprowadzić zgodnie z przepisami. Kandydaci do pracy coraz częściej zwracają uwagę na to, czy potencjalny pracodawca respektuje ich prawo do prywatności i ochrony danych. Warto zastanowić się w jaki sposób przeprowadzamy rekrutację, albowiem prawidłowy proces z całą pewnością wpłynie na pozytywny wizerunek pracodawcy. Znalezienie odpowiedniego pracownika nie jest łatwym zadaniem tym bardziej, iż dokonanie oceny kwalifikacji zawodowych czy też doświadczenia danej osoby możliwe jest wyłącznie w oparciu o pozyskane od kandydata dane osobowe.

Poniższy wpis dotyczy przetwarzania przez pracodawcę danych osobowych kandydatów do pracy.

Gromadzenie, przechowywanie, niszczenie zebranych w procesie rekrutacji danych osobowych kandydatów do pracy stanowi przetwarzanie danych (art. 4 ust. 2 RODO). Pracodawca staje się administratorem danych osobowych kandydatów do pracy niezależnie od sposobu otrzymania dokumentów rekrutacyjnych (tj. w wersji papierowej oraz elektronicznej). Na administratorze spoczywają konkretne obowiązki o czym będzie mowa w dalszej części wpisu.

Obowiązki pracodawcy

Potocznie zwykło mówić się, że pracownikiem jest każdy wykonujący pracę, ale projektując procesy przetwarzania danych osobowych należy odróżniać pracowników od osób współpracujących. W myśl art. 2 Kodeksu pracy pracownikiem jest „osoba zatrudniona na podstawie umowy o pracę, powołania, wyboru, mianowania lub spółdzielczej umowy o pracę. Pracownikiem nie jest osoba, która wykonuje czynności na innych podstawach niż wymienione w art. 2 (np. umowa zlecenia, umowa o dzieło, agencyjna). Pracodawcą zaś jest jednostka organizacyjna, choćby nie posiadała osobowości prawnej, a także osoba fizyczna, jeżeli zatrudniają one pracowników (art. 3 Kodeksu pracy).

Obowiązkiem pracodawcy jest zapewnienie poufności danych oraz dopuszczenie do procesu rekrutacji jedynie upoważnionych przez pracodawcę pracowników (art. 29 RODO). W praktyce często spotykam się z brakiem upoważnienia do przetwarzania danych dla pracowników prowadzących rekrutację. Przepisy ustawy z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO [ustawa wdrażająca RODO] zobligowały administratora do nadawania upoważnień do przetwarzania danych związanych z procesem rekrutacji a także zatrudnieniem na piśmie. Należy również zobowiązać upoważnionego pracownika do zachowania w poufności danych, do których ma dostęp.

Pracodawca jest zobowiązany do ochrony zawartych w CV danych osobowych. Zgodnie z art. 32 ust. 1 RODO, pracodawca musi zapewnić wystarczające środki techniczne i organizacyjne, w celu zapewnienia ochrony danych osób rekrutowanych. Zastosowane środki techniczne i organizacyjne powinny być odpowiednie do zagrożeń oraz kategorii przetwarzanych danych. To pracodawca musi samodzielnie ocenić, jakie zabezpieczenia pozwolą we właściwy sposób chronić dane kandydatów do pracy. W praktyce bardzo często spotykam się z sytuacją, iż po zakończonym procesie rekrutacji, dokumenty rekrutacyjne znajdują się w skrzynkach pocztowych pracowników, pomimo upływu czasu w jakim dane mogły być przetwarzane i obowiązku ich usunięcia (art. 5 RODO). Również papierowe dokumenty rekrutacyjne nie są niszczone w odpowiednim czasie i w odpowiedni sposób. Należy zapewnić odpowiednią procedurę usuwania danych kandydatów po zakończeniu procesu rekrutacji, uwzględniającą ewentualne roszczenia kandydatów oraz że osoba zatrudniona na okres próbny, może nie spełnić oczekiwać i będzie konieczne ponowne zrekrutowanie pracownika (więcej na temat niszczenia dokumentów rekrutacyjnych w dalszej części wpisu).

Pracodawca powinien także pamiętać o spełnieniu obowiązku informacyjnego z art. 13 RODO w stosunku do kandydatów do pracy. Klauzula informacyjna powinna zostać przekazana kandydatowi podczas pozyskania jego danych, tzn. powinna być zawarta pod ogłoszeniem o pracę. Tym samym przekazanie klauzuli powinno nastąpić przed zakończeniem zbierania danych.

O tym co powinna zawierać klauzula informacyjna przeczytasz tutaj.

Uzyskanie danych od kandydata

Istotnym elementem związanym z procesem rekrutacji jest ustalenie jakich danych mogą żądać pracodawcy od kandydatów do pracy. Zakres tych  jest wyraźnie wskazany w art. 221 § 1 Kodeksu pracy:

  1. imię (imiona) i nazwisko;
  2. imiona rodziców;
  3. datę urodzenia;
  4. miejsce zamieszkania (adres do korespondencji);
  5. wykształcenie;
  6. przebieg dotychczasowego zatrudnienia

Określony w Kodeksie pracy katalog danych jest zamknięty, oznacza to, że w ogłoszeniu o pracę pracodawca nie może żądać podania przez kandydata innych danych niż powyższe (wyjątek to umocowanie wynikające z przepisu prawa). Przepis ten ulegnie w niedługim czasie zmianie. Przygotowywany projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 zakłada rozszerzenie zakresu danych, których może żądać pracodawca o dane kontaktowe wskazane przez kandydata oraz informację o jego kwalifikacjach zawodowych, przy czym ograniczono możliwość uzyskiwania informacji o wykształceniu, kwalifikacjach oraz dotychczasowym doświadczeniu do sytuacji, w których jest to faktyczne niezbędne do wykonywania określonej pracy. W projekcie zrezygnowano także z możliwości żądania  podania imion rodziców.

 Uzyskiwanie innych danych od kandydata

Często kandydat z własnej inicjatywy przekazuje pracodawcy więcej informacji niż wynika z ogłoszenia rekrutacyjnego (np. załącza swoje zdjęcie czy opisuje hobby). W takiej sytuacji pracodawca może przetwarzać dodatkowe zwykłe dane osobowe zawarte w dokumentach rekrutacyjnych bez podejmowania dodatkowych działań.  Dlaczego? Wynika to z obecnej definicji pojęcia “zgoda”. Według obecnej definicji zgoda kandydata może być wyrażona w formie oświadczenia lub wyraźnego działania potwierdzającego (art 4 pkt 11 RODO). Załączenie przez kandydata dodatkowych informacji do dokumentów rekrutacyjnych należy uznać za jednoznaczne okazanie woli (czyli za działanie potwierdzające). Pracodawca nie potrzebuje uzyskiwać od kandydata pisemnej zgody (oświadczenia), albowiem kandydat wyraził ją wysyłając do pracodawcy, w odpowiedzi na konkretne ogłoszenie rekrutacyjne, dodatkowe informacje. Jednakże, jeżeli tymi dodatkowo przekazanymi informacjami są dane wrażliwe szczególnych kategorii (art. 9 RODO), jak na przykład stan zdrowia, pracodawca powinien uzyskać odrębną, wyraźną zgodę kandydata na przetwarzanie lub dane te usunąć (tutaj nie wystarczy samo przesłanie dokumentów rekrutacyjnych). Wynika to z ostrzejszych zasad przetwarzania danych szczególnych kategorii określonych w art. 9 Rodo. Dlatego warto zachować treść ogłoszenia rekrutacyjnego albowiem to dowód na okoliczność zakresu żądanych od kandydatów danych.

Należy pamiętać także o zamieszczeniu w klauzuli informacyjnej z art. 13 odpowiednich zapisów dotyczących przetwarzania dodatkowych danych osobowych na podstawie zgody (podstawa prawna, cofnięcie zgody).

Niektóre dane można pozyskiwać dodatkowo, jeżeli jest to wyraźnie wskazane w przepisie prawa, np.  art. 6 ust 1 pkt 10 ustawy z 24 maja 2000 r. o Krajowym Rejestrze Karnym (dalej ustawa KRK), zaświadczenia o niekaralności można wymagać, gdy osoba ubiegająca się o zatrudnienie kandyduje na stanowisko, dla którego przepisy prawa przewidują wymóg niekaralności. Oznacza to, że pracodawca ma prawo uzyskać bezpośrednio z Krajowego Rejestru Karnego informację w zakresie niezbędnym do zatrudnienia pracownika, co do którego z przepisów ustawy wynika wymóg niekaralności, korzystania z pełni praw publicznych, a także ustalenia uprawnienia do zajmowania określonego stanowiska, wykonywania określonego zawodu lub prowadzenia określonej działalności gospodarczej. Wymóg niekaralności dotyczy m.in. licencjonowanych pracowników ochrony, nauczycieli mianowanych i dyplomowanych zatrudnionych na podstawie mianowania, pracowników służby cywilnej, pracowników kontroli skarbowej, policjantów, żołnierzy, strażaków.

Określenie podstawy prawnej pozyskania danych

Niestety od 25 maja nie wykształciła się jednolita praktyka w tym zakresie. Na pewno podstawą legalizującą przetwarzanie danych nie będzie zgoda kandydata – tutaj nie ma wątpliwości. Zdecydowana większość pracodawców posługuje się art. 6 ust 1 lit. c RODO (obowiązek prawny) czyli podstawą prawną z art 221 Kodeksu pracy. Moim zdaniem chociaż art 221 Kodeksu pracy nie tworzy ustawowego obowiązku („pracodawca może żądać”) tylko upoważnienie do żądania danych od kandydata jest to prawidłowa przesłanka przetwarzania. Sytuacja zmieni się z momentem nowelizacji art 221 Kodeksu pracy i wówczas będziemy mieli do czynienia z obowiązkiem prawnym („pracodawca żąda”).

Sposób przekazania danych

Zgodnie z art. 221§ 3 Kodeksu pracy udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca ma prawo żądać udokumentowania przekazanych danych osobowych. Pracodawca może oprzeć się na samym oświadczeniu kandydata, iż ukończył studia albo może poprosić kandydata o okazanie oryginału dyplomu ukończenia studiów. Pracodawca nie może zatrzymać oryginału dokumentów, zwraca je kandydatowi po okazaniu, może jednak zachować kopie tych dokumentów, które trafią do akt osobowych pracownika (jeśli go zatrudni) lub zostaną zniszczone (jeżeli nie zdecydował się na zatrudnienie danej osoby).

Przeczytaj o zasadności żądania od kandydata okazania oryginałów dokumentów:.

Czas przechowywania CV po zakończeniu rekrutacji

Zgodnie z ogólną zasadą przetwarzania danych nie powinny być one przetwarzane dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (art. 5 RODO). Pracodawca już w ogłoszeniu o pracę powinien poinformować kandydata przez jaki czas będzie przetwarzał jego dane zawarte w dokumentach rekrutacyjnych (zgodnie z art. 13 RODO). W poradniku Prezesa UODO dla pracodawców zostało wskazane stanowisko, że „w toku rekrutacji nie powstaje żaden stosunek zobowiązaniowy pomiędzy kandydatem do pracy, a pracodawcą. Brak jest dokonania wzajemnych rozliczeń lub możliwości zarzucenia drugiej stronie niewykonania umowy lub nieprawidłowego jej wykonania. Nie ma więc podstaw do uznania, że pracodawca jest uprawniony do przetwarzania danych z uwagi na konieczność ustalenia bądź nie, istnienia roszczenia”. Jeżeli dobrze rozumiem stanowisko Prezesa UODO to uważa on, iż niezawarcie umowy powoduje niemożność wystąpienia kandydata z roszczeniem przeciwko pracodawcy. Nie mogę zgodzić się z tym stanowiskiem. Pracodawca jest zobowiązany przez Kodeks pracy do przeciwdziałania dyskryminacji, tym samym już z momentem złożenia dokumentów rekrutacyjnych powstaje obowiązek niedyskryminowania kandydata. Obowiązek ten wynika z przepisów prawa a nie zobowiązania pomiędzy stronami. Zarzuty nierównego traktowania czy też dyskryminacji zazwyczaj dotyczą rozmów rekrutacyjnych, a kandydaci występują z roszczeniami już po ujawnieniu wyników rekrutacji. Tym samym podanie dłuższego terminu np. 3 miesięcy od zakończenia procesu rekrutacji jest możliwe, jeżeli pracodawca uzasadni ten okres (np. ewentualne roszczenia wynikające z nierównego traktowania, czy też niepodjęcie przez kandydata pracy pomimo zawarcia umowy, nieuzyskanie zdolności do pracy w badaniach wstępnych, okres niezbędny do uzyskania informacji przez kandydatów o negatywnej decyzji co do zatrudnienia) oraz poinformuje o nim kandydatów w klauzuli informacyjnej. Jednak nie można tworzyć jednej generalnej zasady, a należy oceniać okres przetwarzania danych uwzględniając specyfikę danego administratora. Uważam także, iż przyjęcie, że okres przetwarzania danych będzie równy 3 latom (pomimo, iż taki jest okres przedawnienia roszczenia) za nieuzasadniony ze względu na osiągniecie celu dla jakiego dane zostały zebrane.

Wykorzystanie CV do kolejnych rekrutacji

Dokumenty rekrutacyjne pracodawca otrzymujemy od kandydata do danej, konkretnej rekrutacji. Po zakończeniu procesu rekrutacji pracodawca zobowiązany jest usunąć wszystkie dane kandydata, ponieważ ustał cel, dla którego dane zostały zebrane. Jednakże, jeżeli kandydat wyrazi odrębną zgodę na przetwarzanie jego danych osobowych na potrzeby przyszłych rekrutacji, pracodawca będzie mógł pozostawić jego dokumenty aplikacyjne i uwzględnić je podczas kolejnych rekrutacji. Jeśli pracodawcy zależy na wykorzystaniu dokumentów rekrutacyjnych do przyszłych procesów, najlepiej już w ogłoszeniu o pracę poinformować kandydatów o możliwości dopisania klauzuli zgody na przetwarzanie danych osobowych przez określony przez pracodawcę czas do przyszłych procesów rekrutacji. Pracodawca bez takiej zgody nie może przechowywać i ponownie wykorzystać dokumentów rekrutacyjnych. Także jeżeli w toku danej rekrutacji pracodawca stwierdzi, iż kandydat biorący w niej udział „pasuje” do innej rekrutacji może poinformować kandydata (np. mailem) o zaistniałej sytuacji i zaproponować wyrażenie zgody na przetwarzanie jego danych osobowych na potrzeby innego ogłoszenia rekrutacyjnego.

Rekrutacja przez Linkedin, Goldenline czy Facebooka

Pracodawcy szukają kandydatów do pracy także w serwisach internetowych dedykowanych celom jakim jest znalezienie pracy (Linkedin, Goldenline). Nie widzę przeszkód prawnych, aby za pośrednictwem dedykowanych portali pracodawca kontaktował się z daną osobą celem zaproponowania pracy. Natomiast oferowanie pracy, jak również zbieranie danych osobowych o kandydatach do pracy za pośrednictwem portali niededykowanych pracy (np Facebook) uważam za ryzykowne. Portale te nie służą temu rodzajowi aktywności Pracodawcy jak i zbieranie z nich danych o kandydatach przekracza ustawowy zakres dopuszczalnych do przetwarzania danych kandydata.

Rekrutacja z wykorzystaniem dedykowanych aplikacji (pracuj, e-recruiter)

Kiedyś ogłoszenia o pracę pojawiły się raz w tygodniu w gazetach, dzisiaj pojawiają się setki ogłoszeń w dedykowanych portalach. Spółki zajmujące się publikacją takich ogłoszeń zazwyczaj oferują pracodawcom jedynie narzędzia do ich publikowania. Dlatego nie są one administratorami danych kandydatów, gdyż nie decydują one o celach i sposobach ich przetwarzania. Administratorem danych jest pracodawca i na nim spoczywają powyżej opisane obowiązki z tym związane.

Rozmowa rekrutacyjna a RODO

Należy podkreślić, że można poprosić kandydata który stawił się na rozmowę rekrutacyjną o okazanie dowodu osobistego, w celu zweryfikowania jego tożsamości.  Należy pamiętać, że podczas samej rozmowy nie można poprosić kandydata o podanie innych danych niż wynikające z art 221 Kodeksu pracy. Sam kandydat, w swojej wypowiedzi nie jest związany powyższym ograniczeniem. Pracodawca nie może robić notatek z rozmowy z kandydatem na kopiach dokumentów kandydata które będą przechowywane w aktach osobowych.  Jeżeli pracodawca przeprowadzając rozmowę z kandydatem negatywnie go oceni nie może przechowywać notatki z tego spostrzeżenia dłużej niż przez czas do zakończenia procesu rekrutacji (tym samym nie można tworzyć tzw. czarnych list kandydatów do pracy).  Pracodawca może skontaktować się z poprzednim pracodawcą kandydata, jeżeli otrzyma od niego tzw. referencje, w których zawarta będzie zgoda na taki kontakt. Bez zgody kandydata weryfikacja jego referencji nie jest możliwa.

Podsumowanie

Proces rekrutacji zawsze będzie się wiązał z przetwarzaniem danych osobowych kandydatów do pracy dlatego warto dostosować go do obowiązujących przepisów, aby nie naruszyć dobrego wizerunku firmy, czy też nie narazić się na zarzut naruszenia przepisów. Prawidłowo skonstruowane ogłoszenie rekrutacyjne jest wizytówką firmy, wskazuje osobom zastanawiającym się nad zmianą pracy podejście pracodawcy do przepisów oraz poszanowanie praw pracowników. Jeżeli pracodawca szanuje prawa kandydata na etapie rekrutacji, zapewne będzie je respektował także po zatrudnieniu. Jeśli chcemy aby zgłaszali się do nas najlepsi kandydaci zadbajmy o stworzenie prawidłowej procedury postępowania rekrutacyjnego.

Niekiedy pracodawca nie chce ujawniać danych swojej firmy publikując ogłoszenie rekrutacyjne, kandydat przekazuje dane wrażliwe. Zdarza się też, że to pracownik przynosi pracodawcy cv swojego znajomego. Jak postępować w takich sytuacjach napiszę w kolejnym wpisie.

Na zakończenie dodam, iż UODO właśnie przedstawił zatwierdzony plan kontroli na 2019 r. – w sektorze prywatnym skupi się na postępowaniu pracodawców z danymi gromadzonymi w związku z rekrutacją pracowników.

Autorką tekstu jest Anna Rajchel

Radca prawny z ponad 18-letnim doświadczeniem w kompleksowej obsłudze prawnej międzynarodowych korporacji. Prowadzi kancelarię prawną w Krakowie. Specjalizuje się w prawie gospodarczym, prawie pracy i ochronie danych osobowych. Prowadzi szkolenia.

Data aktualizacji: 2 maja 2019