Każdy pracodawca ma obowiązek chronić dane osobowe osób, które zatrudnia, zgodnie z przepisami o ochronie danych osobowych. Nakaz ten obejmuje nie tylko pracowników, lecz także kandydatów, których dane zdobył w procesie rekrutacji. Jak powinno wyglądać przetwarzanie danych osobowych w rekrutacji? Odpowiadamy.
Przetwarzanie danych osobowych w rekrutacji i w zatrudnieniu
Dane osobowe mogą być przetwarzane bez uzyskania zgody osoby, której dotyczą, jeżeli spełnione zostaną określone przesłanki:
-
jest to konieczne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
-
jest to niezbędne do realizacji umowy, kiedy osoba, której dane dotyczą, jest jej stroną lub kiedy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
-
jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
-
jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych osobowych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
W każdym innym przypadku wymagana jest zgoda osoby, której dane dotyczą. Akceptacja taka powinna przyjąć formę pisemnego oświadczenia woli. Co ważne, w tym wypadku nie wystarczą tzw. zgoda domniemana, dorozumiana ani wymuszona, nie może także wynikać ona z oświadczenia woli o innej treści.
W tym miejscu warto podkreślić, że wspomniana zgoda na przetwarzanie danych osobowych rekrutowanego kandydata nie jest potrzebna w zakresie uwzględnionym w Kodeksie pracy. Dotyczy to takich danych, jak:
-
imię (imiona) i nazwisko,
-
imiona rodziców,
-
data urodzenia,
-
miejsce zamieszkania (adres do korespondencji),
-
wykształcenie,
-
przebieg dotychczasowego zatrudnienia.
Bardzo częstą praktyką jest zamieszczanie w CV znacznie większej liczby danych niż te, które zostały wyliczone w zamkniętym katalogu art. 221k.p. Podstawą legalności przetwarzania takich informacji przez potencjalnego pracodawcę jest zgoda kandydata.
Przez wzgląd na fakt, że kandydat wyraża zgodę na przetwarzanie danych osobowych wyłącznie w celu konkretnej rekrutacji, nie jest możliwe ich wykorzystywanie w innych celach (np. związanych z marketingiem). Co więcej, po zakończeniu procesu rekrutacji powinny one zostać usunięte.
Rekrutacje ukryte
Rekrutacje ukryte (zwane również ślepe), w których nie wiadomo kto jest pracodawcą nie są zgodne z RODO. Stoją one w sprzeczności z obowiązkiem informacyjnym, wg którego należy poinformować kto jest administratorem danych i w jakim celu przetwarzane są dane oraz jak długo będą przechowywane. Pracodawca chcący zatrudnić pracowników jest więc administratorem, przetwarza dane poprzez ich zbieranie, a tego celem jest zatrudnienie osoby. W związku z powyższym pracodawca przetwarzający dane kandydatów do pracy - powinien ich o tym poinformować.
| Uwaga! Portale pośredniczące w rekrutacji nie są administratorem danych osobowych. Takie podmioty jedynie udostępniają narzędzia do publikowania ogłoszeń. Administratorem danych osobowych jest zawsze firma i to pracodawca musi spełnić obowiązki informacyjne, czyli poinformować o tym, kto jest administratorem danych osobowych i w jakim celu dane są przetwarzane. |
Klauzula przetwarzania danych osobowych w CV
Niezbędnym elementem w sporządzanym CV jest zamieszczenie przez kandydata klauzuli o wyrażeniu zgody na przetwarzanie danych osobowych w celu rekrutacji. Bez takiej zgody, pracodawca - chcąc być zgodny z RODO - nie może użyć danych wskazanych w CV. Dlatego bardzo ważne jest, aby na etapie ogłoszenia o pracę poprosić o umieszczenie powyższej zgody w CV.
Dane osobowe nie powinny być przechowywane dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Zatem w przypadku, gdy potencjalni pracownicy nie wyrażą zgody na przetwarzanie ich danych w dalszych procesach rekrutacyjnych, ich CV powinno zostać usunięte w chwili zakończenia rekrutacji na dane stanowisko.
Pracownik a przetwarzanie danych osobowych
Jeżeli proces rekrutacji zakończy się sukcesem, pracodawca ma prawo żądać od nowego pracownika uzupełnienia danych wymienionych w art. 221 § 2 Kodeksu pracy o:
-
inne dane osobowe pracownika, a także imiona i nazwiska oraz daty urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;
-
numer PESEL pracownika nadany przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).
Dodatkowo § 4 wymienionego artykułu wskazuje na możliwość podania innych danych osobowych, jeżeli obowiązek ich podania wynika z odrębnych przepisów.
Zakres danych osobowych, o które pracodawca może prosić swojego pracownika, został uzupełniony przez Rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika. Co więcej, pracodawca może żądać udokumentowania danych osobowych zatrudnionych przez siebie osób w postaci oświadczenia o zgodności danych z dowodem osobistym, z podaniem serii i numeru dokumentu.
W praktyce przetwarzanie danych osobowych musi mieć konkretny i uzasadniony cel, a gromadzone przez pracodawcę dane powinny być adekwatne w odniesieniu do danego celu. Właściciel firmy nie powinien przetwarzać danych niepotrzebnych i zbyt szczegółowych dla osiągnięcia założonego celu. Co ważne, w aktach osobowych nie można przechowywać kserokopii dowodu osobistego pracownika czy też kserokopii aktów zgonu i małżeństwa uprawniających do urlopów okolicznościowych. W takich sytuacjach wystarczające jest spisanie serii i numeru wymienionych dokumentów.
Przetwarzanie danych osobowych przez wyznaczonych pracowników
Każdy pracodawca jest jednocześnie administratorem danych osobowych. W związku z tym spoczywa na nim obowiązek upoważnienia do przetwarzania danych odpowiednich pracowników, którzy mają jakąkolwiek styczność z danymi osobowymi pozostałych osób zatrudnionych w danym zakładzie pracy. Bez takiego dokumentu nie jest możliwe dopuszczenie ich do tego typu informacji. Co ważne, pracodawca zobowiązany jest do prowadzenia ewidencji osób upoważnionych.
Przetwarzanie danych osobowych a odpowiedzialność karna za niedopatrzenia
Należy pamiętać, że osobą odpowiedzialną za dołożenie szczególnej staranności, aby przetwarzanie danych osobowych pracowników odbywało się zgodnie z prawem dane nie były poddawane dalszemu przetwarzaniu niezgodnemu z pierwotnym celem, a także przechowywane były w bezpiecznym miejscu i nie dłużej niż jest to niezbędne dla osiągnięcia celu. W przypadku, gdy nie stosuje się on do ww. obowiązków, przewidziana jest sankcja karna.
