Problemy z RODO? Wszystko co rekruterzy muszą wiedzieć

- Dotychczasowa praktyka zamieszczenia w liście motywacyjnym CV zgody na przetwarzanie danych w celach rekrutacyjnych nie jest właściwa. Zgoda, a w szczególności wyraźna zgoda na przetwarzanie wybranych danych, może być niezbędna jedynie w określonych sytuacjach. Na przykład, kandydat może zgodzić się na przetwarzanie jego danych na potrzeby przyszłych rekrutacji przez wskazany czas - wyjaśnia UODO.

Wskazuje też na kwestie związane z referencjami. Złożenie ich przez kandydata do pracy nie uprawnia pracodawcy do kontaktu z podmiotem je wystawiającym w celu pozyskania dodatkowych informacji o kandydacie.

- Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Potencjalny pracodawca nie może tym samym zwrócić się do poprzedniego pracodawcy o informację, jakie zadania realizował kandydat u tego podmiotu oraz jaką ma opinię o kandydacie do pracy. Podczas procesu rekrutacyjnego źródłem informacji, które dotyczą przebiegu pracy zawodowej, powinien być sam kandydat - wyjaśnia UODO.

Na te dane uważaj

Jak podaje UODO, pracodawca nie może żądać od kandydata danych wykraczających poza zakres, który został wskazany w kodeksie pracy, w szczególności takich, które nie mają związku z celem, jakim jest zatrudnienie pracownika. Może się oczywiście zdarzyć, że osoba kandydująca na konkretne stanowisko będzie musiała spełnić pewne określone prawem wymogi, np. wymóg niekaralności i wówczas pracodawca będzie uprawniony do pozyskania informacji o nim w tym zakresie.

Natomiast są też sytuacje, że osoby kandydujące do pracy same od siebie przekazują więcej danych, niż jest to wskazane w kodeksie pracy. Na przykład KP nie wprowadza konieczności przekazywania pracodawcy przez kandydata do pracy swojego zdjęcia (niezależnie od formy jego udostępnienia). Niekiedy kandydaci podają także informację o stanie cywilnym, numer PESEL, miejscu urodzenia czy nawet imiona rodziców.

- W takiej sytuacji dane osobowe kandydata, o ile nie należą do szczególnej kategorii danych, są przetwarzane przez potencjalnego pracodawcę na podstawie zgody, która może polegać na oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą godzi się na przetwarzanie jej danych osobowych, które sama przekazała. Zatem o ile kandydat sam z własnej woli zechce udostępnić dodatkowe informacje na swój temat, np. zdjęcie, to wyrażona przez niego zgoda na ich wykorzystanie będzie elementem legalizującym przetwarzanie tych danych na potrzeby naboru przez pracodawcę - wyjaśnia UODO.

Jak przypomina, zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Pracodawcy muszą mieć świadomość, że nie mogą wpływać na kandydatów do pracy i sugerować im przekazania innych danych, niż te zapisane w KP z własnej woli. - Innym przykładem danych, których pracodawca nie może żądać od osoby ubiegającej się o zatrudnienie jest informacja o toczących się i niezakończonych postępowaniach karnych oraz o ich przebiegu. Tego typu informacje nie mieszczą się w katalogu danych, które mogą być przez niego przetwarzane - wyjaśnia UODO. Jak dodaje, toczące się postępowanie karne nie musi bowiem doprowadzić do prawomocnego skazania danej osoby. Informacji o takich postępowaniach nie zawiera również Krajowy Rejestr Karny, w którym wskazuje się dane, m.in. osób prawomocnie skazanych oraz przeciwko którym prawomocnie umorzono postępowanie karne.

Koniec rekrutacji, co dalej?

Sporą zagwozdką dla rekruterów było również przetwarzanie danych po zakończonej rekrutacji. Jak wyjaśnia UODO, jeżeli cel przetwarzania związany z rekrutacją, w związku z którą pozyskano dane, ustaje, to dane nie powinny być dłużej przetwarzane. Jednocześnie administrator musi ocenić, czy nie wystąpią inne cele i podstawy prawne uzasadniające ich przetwarzanie (np. archiwizacja). Ponadto w przypadku gdy toczy się spór związany z niezatrudnieniem jest jeszcze kwestia przetwarzania w celu dochodzenia roszczeń.

Jak stanowi art. 5 RODO administrator powinien przetwarzać dane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której one dotyczą. Powinien też zbierać je w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie wykorzystywać ich w sposób niezgodny z tymi celami.

Jednocześnie RODO zobowiązuje go, by pozyskując dane osobowe, w sposób jasny, przejrzysty i zrozumiały informował m.in. o pełnej nazwie i adresie swojej siedziby; o celu i podstawie prawnej przetwarzania danych osobowych, a także o okresie, przez który zebrane dane będą przechowywane.

- Pracodawca ma obowiązek poinformować kandydata do pracy o tych okolicznościach w chwili pozyskiwania tych danych w sposób jasny, czytelny i łatwo dostępny dla kandydata. Może to zrobić np. w treści ogłoszenia o pracę lub w informacji zwrotnej bezpośrednio po otrzymaniu od kandydata aplikacji do pracy - podpowiada UODO.

Natomiast każda osoba, która ma wątpliwość, czy po zakończeniu rekrutacji usunięto jej dane osobowe, ma prawo – zgodnie z art. 15 RODO – zwrócić się do administratora z pytaniem, czy i jakie dotyczące jej dane przetwarza oraz w jakim celu to robi i na jakiej podstawie. Gdyby okazało się, że mimo zakończonej rekrutacji jej dane nadal są przetwarzane, to może zażądać od administratora ich usunięcia.

Ochrona danych to nic nowego

Jak przypomina Iwona Jackowska, ekspertka z portalu goodpoint.blog, przepisy, które w Polsce obowiązują od 2018 roku nie są niczym nowym. - Ochrona danych osobowych już wcześniej doczekała się prawnych regulacji, w naszym kraju miała ponad 20-letnią historię. Przed rokiem nie zmieniły się jej główne założenia - że czyjeś dane osobowe można pozyskać w określonym celu, za zgodą, bez nieuprawnionego ich udostępniania innym i że każda osoba ma prawo wszystko odwołać, co należy wykonać „bez pytania” - podkreśla.

Jednak - jak zaznacza - nowe regulacje nałożyły na firmy zdecydowanie więcej obowiązków, niż te miały do tej pory.

- Z jednej strony dało swobodę w wyborze metod zabezpieczania takich danych i procedur służących ochronie prywatności, z drugiej wskazało zasady, których w tych celach należy dochować - wyjaśnia. I jak dodaje, jednocześnie jednak dało do zrozumienia, że dla łamania nowych wymagań nie ma pobłażania - kara finansowa może wynieść aż 20 mln euro lub 4 proc. wartości rocznego światowego obrotu przedsiębiorstwa. Ponadto nowa polska ustawa o ochronie danych osobowych, wskazała, że poszkodowani na skutek nieprzestrzegania nowych reguł mają prawo dochodzić roszczeń przed sądem, na drodze cywilnej.