Poradnik Przedsiębiorcy

Ochrona danych kandydata podczas procesu rekrutacyjnego

Należy przypomnieć, że 25 maja 2018 r. zaczęło obowiązywać w prawie polskim Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. W sejmie przyjęty został projekt polskiej ustawy o ochronie danych osobowych i nadal trwają prace nad zmianami oraz wprowadzeniem przepisów, które powinny odpowiadać powyższemu rozporządzeniu. Jak wygląda ochrona danych kandydata podczas rekrutacji? Sprawdź!

Dane osobowe, które mogą być pozyskiwane od kandydata na pracownika zgodnie z nowelizacją Kodeksu pracy

Przede wszystkim warto zwrócić uwagę na zmiany dotyczące art. 221 i następnych Kodeksu pracy, który dawał możliwość żądania różnych informacji od pracownika biorącego udział w procesie rekrutacyjnym. Warto wspomnieć, że ochrona danych kandydata w wyniku zmian przepisów osobowych stanowi, że pracodawca na etapie pozyskiwania osób do pracy nie może żądać informacji o imionach rodziców czy adresie zamieszkania. Ważne, iż w zamian tych informacji pracodawca może zobowiązać osobę do podania adresu do korespondencji i adresu e-mail czy numeru telefonu. Jednak warto pamiętać, że w przypadku zatrudnienia pracownika żądanie podania adresu zamieszkania będzie zasadne. Należy zaznaczyć, iż powyższe dane mogą być przetwarzane jedynie po wyrażeniu zgody przez pracownika w stosownym oświadczeniu. Przetwarzane dane osobowe pracownika powinny mieć wyłączny związek z wykonywaniem stosunku pracy. W przypadku pozyskania innych danych, niewskazanych w powyższym przepisie, pracodawca będzie musiał uzyskać od pracownika zgodę na przetwarzanie tych danych. Należy pamiętać, że ochrona danych kandydata do pracy jest bardzo istotna w procesie rekrutacji.

Ochrona danych kandydata podczas rekrutacji

Zgodnie z art. 9 powyższego rozporządzenia zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Wobec powyższego ważną kwestią w procesie rekrutacyjnym jest ograniczona możliwość pozyskiwania danych biometrycznych. W przypadku braku innych uregulowań w tym zakresie w polskim prawie, pracodawcy pozyskując zdjęcia kandydatów do CV będą musieli uzyskać stosowną zgodę. Zatem warto zastanowić się nad tym, czy w ogłoszeniach o pracę umieścić obowiązek przesłania CV ze zdjęciem, z uwagi na to, że pracodawca nie może zmusić do tego kandydatów. Brak zdjęcia nie powinien też wpływać negatywnie na dobór kandydata do pracy.

Ponadto warto dodać, że ochrona danych kandydata dotyczy rownież zagadnień dotyczących stanu zdrowia (wyjątkiem jest zaświadczenie o zdolności do pracy), uzależnień czy orientacji seksualnej. Należy zwrócić uwagę na to, że zbieranie informacji dotyczących niekaralności kandydata nie zawsze będzie zasadne. Wyjątkiem są jedynie pracodawcy, którzy zobowiązani są na podstawie szczególnych przepisów do zatrudniania pracowników posiadających zaświadczenie o niekaralności.

Pozyskiwanie zgód na przetwarzanie danych osobowych w procesie rekrutacyjnym

Warto podkreślić, że w CV kandydatów do pracy powinna znaleźć się klauzula dotycząca zgody na przetwarzanie danych osobowych przez przyszłego, ewentualnego pracodawcę, w celu przetwarzania tych danych na to konkretne stanowisko pracy. Jeśli pracodawca prowadzi rekrutację na inne stanowiska w swojej firmie, powinien on uzyskać zgodę od kandydatów na przetwarzanie danych osobowych odpowiednio do potrzeb danej rekrutacji.

Ochrona danych kandydata występuje również po zakończeniu rekrutacji, należy wtedy pamiętać, że pracodawca nie powinien przechowywać danych kandydatów i dlatego ma obowiązek je usunąć. W przypadku uzyskania od osób starających się o pracę stosownych oświadczeń o przetwarzaniu danych osobowych na potrzeby przyszłych rekrutacji, przechowywanie tych danych jest dopuszczalne, jednak tylko w czasie niezbędnym do przeprowadzanych procesów rekrutacyjnych. Dokumenty rekrutacyjne powinny być stosownie zabezpieczone u pracodawcy, odpowiednio przechowywane i z ograniczonym dostępem do nich przez osoby trzecie. Natomiast pracownicy firmy, którzy będą uczestniczyć w procesie rekrutacyjnym powinni posiadać odpowiednie umocowania do przetwarzania danych osobowych.

Zgodnie z wytycznymi wskazanymi we wstępie do Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych w prawie państwa członkowskiego lub w porozumieniach zbiorowych, w tym zakładowych porozumieniach z przedstawicielami pracowników, mogą być przewidziane przepisy szczegółowe o przetwarzaniu danych osobowych pracowników w związku z zatrudnieniem, w szczególności warunki, na których dane osobowe w związku z zatrudnieniem można przetwarzać za zgodą pracownika do celów procedury rekrutacyjnej, wykonywania umowy o pracę, w tym wykonywania obowiązków określonych w przepisach lub w porozumieniach zbiorowych, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy (155). Wobec powyższego państwa członkowskie Unii Europejskiej mogą wprowadzić odrębne przepisy dotyczące zgód na przetwarzanie danych osobowych wobec kandydatów w procesie rekrutacyjnym. W przypadku firm międzynarodowych, które zatrudniają pracowników z różnych krajów, przepisy dotyczące zgody na przetwarzanie danych osobowych mogą się różnić.

Zgody na przetwarzanie danych osobowych mogą być wyrażane w oświadczeniach w formie papierowej lub elektronicznej. Warto jednak zwrócić uwagę, iż brak zgody na przetwarzanie danych nie może stanowić podstawy negatywnego traktowania kandydata do pracy, w szczególności nie może stanowić przyczyny do odmowy zatrudnienia.

Jakie informacje powinny znaleźć się w klauzuli informacyjnej o przetwarzaniu danych osobowych?

Pracodawcy, którzy prowadzą procesy rekrutacyjne, będą zobowiązani do przekazania kandydatom do pracy szeregu informacji zgodnie z wytycznymi rozporządzenia. Ważne, by pracodawcy przygotowali stosowne zgody do przetwarzania danych osobowych wraz z podstawą prawną, zgodne również z przepisami Kodeksu pracy. Kandydaci do pracy powinni zostać poinformowani o zakresie przetwarzania danych osobowych, dobrowolności wyrażenia przez nich zgody, braku możliwości przetwarzania pewnych danych wrażliwych czy danych biometrycznych. Zgodnie z art. 12 rozporządzenia administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem, w szczególności gdy informacje są kierowane do dziecka, udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14 oraz prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 w sprawie przetwarzania informacji. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.

W przypadku kontroli pracodawcy są zobowiązani wykazać, że ochrona danych kandydata jest realizowania z obowiązkiem informacyjnym zgodnym z przepisami rozporządzenia i Kodeksu pracy wobec kandydatów do pracy.

Pracodawcy, którzy uruchamiają proces rekrutacji, powinni zadbać o stosowne brzmienie klauzuli informacyjnej dotyczącej zebrania danych osobowych kandydata. Ochrona danych kandydata w treści powyższej klauzuli powinna wskazywać:

  • informacje dotyczące administratora danych, tj. imię i nazwisko, jego siedziba, adres mail i numer telefonu kontaktowego;

  • informacje dotyczące Inspektora Ochrony Danych, tj. imię i nazwisko, jego siedziba, adres mail i numer telefonu kontaktowego;

  • w jakim celu będą przetwarzane dane osobowe;

  • podstawę prawną np. art. 221 Kodeksu pracy w zw. z art. 6 ust. 1 lit. c. rozporządzenia z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;

  • w jakim zakresie będą przetwarzane dane osobowe;

  • informacja o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

  • sposób cofnięcia zgody na przetwarzanie danych osobowych;

  • informacja o dobrowolności wyrażenia zgody na przetwarzanie danych osobowych;

  • wskazanie okresu, przez jaki będą przetwarzane dane;

  • informacje dotyczące dostępu innych osób do danych;

  • informacje o prawie do żądania od administratora dostępu do swoich danych osobowych, możliwości ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo sprzeciwu oraz prawo do przenoszenia danych.

Konkludując, warto pamiętać o katalogu jakie powinna zawierać informacje ochrona danych kandydata, które będzie mógł pozyskać pracodawca. W szczególności są to: imię i nazwisko, data urodzenia, adres do korespondencji, adres e-mail, numer telefonu, wykształcenie, informacje o dotychczasowym zatrudnieniu. Jeśli chodzi o pracownika, pracodawca w celu przetwarzania jego danych może pozyskać takie informacje jak: adres zamieszkania, numer PESEL lub rodzaj i numer dowodu tożsamości, dane dzieci czy innych członków rodziny, jeśli są niezbędne do uzyskania innych uprawnień pracowniczych.

Ochrona danych kandydata zabrania rownież na  pozyskiwanie referencji czy opinii o pracowniku na podstawie rozmowy z byłym pracodawcą jest niedopuszczalne z uwagi na niezgodne z prawem udostępnienie tych danych. Ponadto niedopuszczalne jest przesyłanie dokumentów rekrutacyjnych pomiędzy spółkami w grupie kapitałowej bez szczegółowych oświadczeń na przetwarzanie danych osobowych.

Zgodnie z przepisami RODO pracodawcy, którzy korzystają z zewnętrznych firm rekrutacyjnych lub portali internetowych, które ułatwiają aplikowanie na stanowiska pracy, powinni posiadać stosowne umowy dotyczące powierzenia przetwarzania danych osobowych. Dane pozyskane w ten sposób należy usunąć po zakończeniu procesu rekrutacyjnego, chyba że zostaną oddane pracodawcy, który zdecyduje się zatrudnić nowych pracowników.