Poradnik Przedsiębiorcy

Przetwarzanie danych osobowych w dziale kadr po wejściu RODO

Ze względu na gromadzenie informacji dotyczących pracowników ochrona danych osobowych stała się istotna dla każdego pracodawcy. Wymaga tego nie tylko profesjonalizm, lecz także przepisy prawa nadające przedsiębiorcy rolę administratora danych osobowych. 25 maja 2018 r. weszło w życie RODO oraz nowa ustawa o ochronie danych osobowych, które nakładają na administratorów danych osobowych nowe obowiązki. O czym powinni pamiętać pracodawcy? Jak wygląda przetwarzanie danych osobowych? Omawiamy poniżej.

Pracodawca jako administrator danych osobowych

Pracodawca gromadząc dane pracowników oraz kandydatów na stanowiska pracy, pełni rolę administratora danych osobowych, w związku z czym na podstawie art. 36 ustawy  z dnia 29 sierpnia 1997 r. o ochronie danych osobowych ma obowiązek:

    1) stosować środki techniczne i organizacyjne zapewniające  ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem;

    2) prowadzić dokumentację opisującą sposób przetwarzania danych oraz środków zapewniających ochronę danych osobowych.

Na podstawie art. 36a przywołanej ustawy do kompetencji administratora danych należy powoływanie administratora bezpieczeństwa informacji. W przypadku niepowołania administratora bezpieczeństwa, jego zadania będzie wykonywał administrator danych. Do zadań tych należy:

1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

a) sprawdzanie czy przetwarzanie danych osobowych jest zgodne z  przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

b) nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,

c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

Legalne przetwarzanie danych osobowych w dziale kadr

Zgodnie z art. 6 rozporządzenia RODO przetwarzanie danych osobowych jest legalne, gdy spełnione zostaną następujące warunki:

1.     osoba, której dane dotyczą wyraziła zgodę na ich przetwarzanie;

2.     przetwarzanie danych jest niezbędne do:

  • wykonania umowy lub podjęcia działań przed jej zawarciem;

  • wypełnienia obowiązku prawnego;

  • ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej;

  • wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej;

  • celów wynikających z prawnie uzasadnionych interesów.

Z tego względu należy wymagać od kandydatów na stanowisko pracy oświadczenia o wyrażeniu zgody na przetwarzanie danych osobowych w procesie rekrutacji.

Podkreślenia wymaga, że rozporządzenie RODO wprowadziło zasadę minimalizmu, zgodnie z którą przetwarzanie danych osobowych jest dopuszczalne w zakresie, w jakim jest to niezbędne. Zakazane jest gromadzenie danych osobowych „na zapas”.

Z tego względu pracodawca, po zakończonej rekrutacji, nie może zachować CV osoby, której w jej wyniku nie zatrudnił. Budowanie bazy CV na potrzeby ewentualnych rekrutacji jest niedopuszczalne. Pracodawca może wykorzystać pozyskane CV w przyszłości, jeżeli dany kandydat wyraził na to zgodę. To osoba, której zgromadzone dane dotyczą, decyduje o tym, jak długo dział kadr będzie mógł nimi dysponować.

Przykład 1.

Pracodawca ogłosił nabór na stanowisko. Kandydat odpowiedział na ogłoszenie o pracę, przesyłając swoje CV, nie zawarł w nim jednak zgody na wykorzystanie i przetwarzanie danych osobowych w celach rekrutacji. Czy w takiej sytuacji pracodawca musi zniszczyć dokumenty rekrutacyjne kandydata bez ich rozpatrzenia?

Zgodnie z art. 221 § 1 Kodeksu pracy pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:

1) imię (imiona) i nazwisko;

2) imiona rodziców;

3) datę urodzenia;

4) miejsce zamieszkania (adres do korespondencji);

5) wykształcenie;

6) przebieg dotychczasowego zatrudnienia.

Pracodawca ma prawo na przetwarzanie danych osobowych kandydata w powyższym zakresie, niezależnie od jego zgody. Stanowisko to potwierdził Generalny Inspektor Danych Osobowych wskazując, iż  „zgoda kandydata do pracy na przetwarzanie jego danych osobowych nie jest potrzebna, gdy chodzi o zakres danych wynikający z art. 22¹ KP. Przepis ten stanowi bowiem podstawę do przetwarzania przez potencjalnego pracodawcę danych osobowych kandydata do pracy obejmujących jego imię (imiona) i nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie oraz przebieg dotychczasowego zatrudnienia. Jest to jednocześnie podstawa prawna z art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.). Natomiast jeśli osoba ubiegająca się o zatrudnienie podaje w dokumentach rekrutacyjnych więcej informacji, niż wynika to z wymienionych przepisów prawa, wówczas podstawą prawną do ich przetwarzania przez potencjalnego pracodawcę jest zgoda tej osoby (czyli podstawa prawna z art. 23 ust. 1 pkt 1 ustawy). Taka zgoda jest także wymagana, jeśli dane miałyby być przetwarzane nie tylko w celu rekrutacji, ale także np. w celach marketingowych. Z punktu widzenia przepisów ustawy o ochronie danych osobowych przez zgodę osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, Formuła zgody na przetwarzanie danych osobowych powinna stanowić odrębne oświadczenie osoby, której dane dotyczą, od innych oświadczeń, z jej treści zaś powinno w sposób niebudzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Przy odbieraniu zgody zagwarantowana powinna być opcjonalność, tj. osoba składająca oświadczenie powinna mieć możliwość wyrażenia zgody na określone działania albo jej niewyrażenia” (decyzja GIODO z 23 stycznia 2015, DOLiS/DEC 41/15/5125).

Obowiązki informacyjne RODO 

W procesie rekrutacji dział kadr powinien również zadbać o należyte wykonanie obowiązków informacyjnych.

Na podstawie art. 13 rozporządzenia RODO podczas pozyskiwania danych osobowych, osobie, której te dane dotyczą, podaje się następujące informacje:

  • swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

  • gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

  • cel jaki ma przetwarzanie danych osobowych oraz podstawę prawną przetwarzania;

  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

  • informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

  • informacje o prawie wniesienia skargi do organu nadzorczego;

  • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.

Jeżeli dane osobowe będą przetwarzane w związku z procesem rekrutacyjnym, informacje te można zamieścić w ogłoszeniu o naborze.

Przykładowa klauzula informacyjna

Dane osobowe są przetwarzane zgodnie z przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Każdy kandydat przystępujący do naboru podaje swoje dane dobrowolnie. Bez podania wymaganych danych osobowych nie będzie możliwy udział w naborze.

Szablon klauzuli informacyjnej

Administrator danych i kontakt do niego: adres, tel., e-mail:

Kontakt do inspektora ochrony danych: adres, tel., e-mail:

Cel przetwarzania danych: przeprowadzenie rekrutacji na stanowisko pracy

Informacje o odbiorcach danych: Dane osobowe są przetwarzane wyłącznie przez Administratora danych i nie są udostępniane osobom i podmiotom trzecim.

Okres przechowywania danych: czas niezbędny do przeprowadzenia rekrutacji na stanowisko pracy

Uprawnienia kandydata:

prawo żądania od administratora danych dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania tych danych, a także prawo do przeniesienia danych; żądanie w tej sprawie można przesłać na adres kontaktowy administratora danych, podany powyżej,

prawo do wniesienia skargi do organu nadzorczego,

Podstawa prawna przetwarzania danych: art. 221 Kodeksu pracy w zw. z art. 6 ust. 1 lit. c RODO

Inne informacje: podane dane nie będą podstawą do zautomatyzowanego podejmowania decyzji; nie będą też profilowane

Uwaga! Pozyskiwanie informacji na temat kandydata na oferowane stanowisko pracy, z Facebooka albo od poprzedniego pracodawcy jest dopuszczalne wyłącznie za zgodą kandydata.