Zgodnie z przepisami kodeksu pracy pracodawca może żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:
W powyższym zakresie pracodawca np. może wymagać podania wskazanych danych w CV. Oczywiście skoro pracodawca może żądać podania tych informacji, to także kandydat „z własnej woli” może je przesłać.
Szczególna sytuacja dotyczy informacji uzyskiwanych od osób niepełnosprawnych. W tym przypadku – bez potrzeby uzyskiwania zgody - pracodawca przetwarzana dane o stanie zdrowia osób uczestniczących w rekrutacji w celu realizacji obowiązków pracodawcy względem osób niepełnosprawnych (podstawa: art. 2a ustawy o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych w zw. z art. 9 ust. 2 lit. g) RODO). Co istotne, przedstawienie pracodawcy dokumentów potwierdzających dane osobowe o stanie zdrowia jest dobrowolne.
Sprawdź w LEX: Legalność przetwarzania danych osobowych (innych niż dane wrażliwe) - PROCEDURA krok po kroku >>>
Kwestią otwartą i wciąż niewyjaśnioną w praktyce stosowania RODO przez Prezesa UODO jest to, czy pracodawca może żądać podania (obowiązkowo) innych danych powołując się, na tzw. uzasadniony interes administratora danych (np. informacji o preferowanym wynagrodzeniu). Moim zdaniem taką możliwość należy dopuścić (z wyłączeniem danych szczególnych kategorii i o karalności).
Sprawdź w LEX: „Rodosłowniczek” - czyli omówienie podstawowych pojęć RODO wraz z przykładami >>>
Zobacz w jaki sposób chronić dane osobowe w firmie >>>
Natomiast nie budzi wątpliwości, że pracodawca może po prosić o podanie dodatkowych informacji (fakultatywnie). Podobnie kandydat może z własnej inicjatywy te dodatkowe informacje przesłać. W obu przypadkach podstawą przetwarzania danych będzie zgoda w rozumieniu RODO. Samo przesłanie danych może być już traktowane jako wyrażenie zgody przez kandydata. W tym kontekście należy dodać dwa istotne zastrzeżenia:
- Jeżeli wskazane fakultatywne przesłanie danych dotyczyć będzie danych szczególnych kategorii (np. o stanie zdrowia), to mimo wszystko - ze względu na te szczególne kategorie danych - pracodawca musi pozyskać wyraźną zgodę;
- wskazane fakultatywne przesłanie danych nie może obejmować danych o karalności (w tym przypadku pracodawca może pozyskiwać dane wyłącznie w oparciu o przepisy prawa a nie zgodę kandydata).
Czytaj również: Ochrona danych osobowych ma znaczenie w rekrutacji pracowników>>
Czytaj w LEX: Lista obecności a RODO w pytaniach i odpowiedziach >>>
Cele przetwarzania
Dane osobowe kandydata mogą być przetwarzane do następujących celów:
- przeprowadzenia obecnej rekrutacji (w oparciu o przepisy prawa lub zgodę / uzasadniony interes pracodawcy);
- do przyszłych procesów rekrutacyjnych – za jego zgodą;
- do realizacji obowiązków administratora względem kandydata – np. żądanie wydania kopii danych (przez okres rekrutacji oraz przyszłych rekrutacji – jeżeli wyrazi zgodę);
- do obrony przed roszczeniami, gdyby takie roszczenia się pojawiły.
Wskazane cele należy zakomunikować kandydatowi w klauzuli informacyjnej.
Zgodę na wykorzystanie danych w przyszłych procesach rekrutacyjnych kandydat może wyrazić przez cały okres przetwarzania danych w ramach bieżącej rekrutacji.
Dobrą praktyką (chociaż wprost nie wskazaną w RODO) jest informowanie kandydata jak długo dane będą przetwarzane do celów przyszłej rekrutacji (np. przez 12 miesięcy do momentu wyrażenia zgody na przetwarzanie danych do celów przyszłych rekrutacji, chyba, że zgoda zostanie wcześniej wycofana).
Weryfikacja danych kandydata (np. weryfikacji referencji) u poprzedniego pracodawcy może nastąpić wyłącznie za jego zgodą.
Realizacja obowiązków informacyjnych
W każdym miejscu, gdzie będą zbierane dane osobowe kandydata należy spełnić wobec niego obowiązek informacyjny.
Czytaj więcej w LEX: Dörre-Kolasa Dominika - Ochrona danych osobowych pracowników i kandydatów do pracy >>>
Kilka toczących się procesów rekrutacyjnych
Jeżeli prowadzone będzie jednocześnie kilka procesów rekrutacyjnych dotyczących różnych stanowisk (np. monter, operator maszyn), to należy weryfikować czy kandydat nie sprecyzował w jakim procesie rekrutacyjnym chce wziąć udział. Jeżeli tak, to należy jego dane uwzględnić wyłącznie w tym procesie a w innym wyłącznie za jego zgodą. Podobnie w przypadku stałych rekrutacji np. pracodawca poszukuje stale pracowników na określone stanowisko. W tym przypadku należy przesłane dane zamieszczone w CV czy innych dokumentach jakby zostały przesłane na jedną toczącą się rekrutacje. W takiej sytuacji terminu usunięcia danych nie można odnosić do zakończenia rekrutacji ponieważ takiego momentu najpewniej nie będzie.
WZORY dokumentów w LEX:
- Opis stanowiska pracy - Inspektor Ochrony Danych Osobowych >
- Kwestionariusz osobowy dla pracownika zgodny z RODO >
- Przetwarzanie wizerunku pracownika >
- Zgoda na przetwarzanie danych osobowych pracownika >
- Oświadczenie pracownika o zachowaniu w tajemnicy danych osobowych oraz sposobu ich zabezpieczania >
Sprawdź również książkę: Orzecznictwo Sądu Najwyższego. Izba Pracy i Ubezpieczeń Społecznych - Nr 6/2022 >>
Dostęp do danych osobowych pozyskiwanych w toku rekrutacji
Dostęp do dokumentów rekrutacyjnych – niezależnie od formy przechowywania – powinien być ograniczony wyłącznie do osób, których dostęp do tych materiałów jest niezbędny (np. osoby na kierowniczych stanowiskach, które decydują o zatrudnieniu danego kandydata lub biorą udział w podejmowaniu takiej decyzji). W związku z tym, że może dochodzić do przetwarzania danych szczególnych kategorii w toku rekrutacji takie osoby powinny zostać pisemnie upoważnione do przetwarzania danych osobowych w tym zakresie. Powinny także złożyć oświadczenie o zachowaniu w poufności danych osobowych.
Sprzeczne z RODO będzie m.in.:
- wykorzystywanie dokumentów rekrutacyjnych do celów prywatnych,
- pozostawianie dokumentów rekrutacyjnych bez nadzoru,
- przesyłanie dokumentów rekrutacyjnych na skrzynki mailowe poza organizację administratora danych.
- przechowywanie dokumentów rekrutacyjnych niezgodnie z wewnętrznymi procedurami.
W przypadku, gdy w ramach rekrutacji dochodzi do powierzenia przetwarzania danych (np. w związku z korzystaniem z narzędzie IT do rekrutacji, które przechowują dane kandydatów w chmurze obliczeniowej).
W przypadku korzystania z firm rekrutacyjnych nie zawsze dochodzi do powierzenia przetwarzania danych. Przykładowo, jeżeli taki podmiot buduje własną bazę kandydatów i następnie udostępnia dane pojedynczych kandydatów swoim klientom to taką sytuację należy ocenić jako wzajemne udostępnienie danych pomiędzy niezależnymi administratorami a nie powierzenie przetwarzania danych.
Czytaj w LEX: Akta osobowe pracowników - sposób prowadzenia >>>
Czytaj w LEX: Archiwizowanie dokumentacji kadrowej - organizacja archiwów >>>
Usuwanie danych
Jedną z najbardziej kontrowersyjnych kwestii dotyczących rekrutacji jest problematyka długości przetwarzania danych. Problem dotyczy obecnych rekrutacji. W przypadku przyszłych rekrutacji sprawa jest stosunkowo prosta ponieważ w tym przypadku można przetwarzać dane do momentu wycofania zgody (lub w terminie wskazanym w zapytaniu o zgodę o czym była mowa powyżej).
Sprawdź system do detekcji, retencji i anonimizacji wrażliwych danych
W przypadku gdy nie ma zgody na przetwarzanie danych w ramach przyszłych rekrutacji sprawa się komplikuje. Obecne są dwa stanowiska:
- UODO dane mogą być przetwarzane wyłącznie w toku rekrutacji a dłużej tylko w wyjątkowych przypadkach;
- mniej restrykcyjne – dane mogą być przetwarzane w celu rekrutacyjnych wyłącznie w ramach toczącej się rekrutacji, ale zakończenie rekrutacji nie oznacza automatycznego obowiązku usunięcia danych ponieważ dane mogą być przetwarzane dłużej w innym celu - w celu obrony przed roszczeniami kandydata – do czasu ich przedawnienia.
W wyroku z 4 sierpnia 2022 r. (sygn. akt II SA/Wa 542/22) Wojewódzki Sąd Administracyjny w Warszawie uznał, że pracodawca może przetwarzać dane osobowe kandydatów do pracy po zakończonym procesie rekrutacji ze względu na potencjalne roszczenia z tytułu dyskryminacji.
Jednocześnie brak jednoznacznego stanowiska UODO jak długo można przetwarzać dane w ramach realizacji celu obecnej / trwającej rekrutacji (tj. gdy nie ma zgody na przyszłe rekrutacje). Przykładowo w swojej klauzuli informacyjnej dla kandydatów UODO wskazuje bardzo ogólnie „Państwa dane zgromadzone w obecnym procesie rekrutacyjnym będą przechowywane do zakończenia procesu rekrutacji”.
W związku z powyższym tworząc procedurę przetwarzania danych kandydatów należy odpowiedzieć na następujące pytania:
- jak długo będą przetwarzane dane w toku obecnej rekrutacji?
- czy będzie zbierana zgoda na przyszłe rekrutacje? Jeżeli tak to jak długo dane będą wtedy przetwarzane?
- czy po zakończeniu obecnej rekrutacji – przy braku zgody na przyszłe rekrutacje - dane będą od razu usuwane czy przechowywane dłużej ze względu na obronę przed potencjalnymi roszczeniami ze strony kandydata?
Dr Mirosław Gumularz, WSB Warszawa, GLK Kancelaria Gumularz Kozik.
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
