Wejście w życie 25 maja 2018 roku przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej RODO, wprowadziło szereg innowacji w zakresie przetwarzania wszelkiego rodzaju danych osobowych. Nie ominęło to również procesów rekrutacyjnych, w których ramach przetwarzane są dane osobowe kandydatów na pracowników i współpracowników. Co więcej, RODO spowodowało również zmianę regulacji krajowych, wynikiem czego była nowelizacja art. 221 oraz wprowadzenie dodatkowych przepisów art. 221a oraz art. 221b Kodeksu pracy, które mają kluczowe znaczenie dla procesów rekrutacyjnych. RODO w procesie rekrutacji - ten temat omawiamy w artykule!
Dane wymagane na etapie rekrutacji
Zgodnie z obecnym brzmieniem art. 221 § 1 Kodeksu pracy pracodawca ma obowiązek uzyskać („żąda”, a nie „może żądać”) następujące dane osobowe:
- Imię (imiona) i nazwisko;
- Datę urodzenia;
- Dane kontaktowe wskazane przez kandydata – w praktyce będzie to najczęściej numer telefonu lub adres e-mail; nic nie stoi na przeszkodzie, aby pracodawca (np. w formularzu rekrutacyjnym) wskazał obie preferowane formy kontaktu, przy czym kandydat powinien podać co najmniej jedną z nich;
- Wykształcenie;
- Kwalifikacje zawodowe – rozumiane szeroko nie tylko jako doświadczenie czy umiejętności, lecz także jako odpowiednie cechy i predyspozycje psychofizyczne (wyrok Sądu Najwyższego (SN) z 4 października 2000 roku, I PKN 61/00);
- Przebieg dotychczasowego zatrudnienia – rozumiane jako zatrudnienie nie tylko w ramach stosunku pracy, lecz także na podstawie umów cywilnoprawnych, np. umów zlecenia, umów o dzieło (wyrok SN z 11 stycznia 2017 roku, I PK 25/16).
Polski ustawodawca wprowadził jednak pewne ograniczenie, wskazując, że informacji dotyczących wykształcenia, kwalifikacji zawodowych oraz przebiegu dotychczasowego zatrudnienia można wymagać jedynie wówczas, gdy dane te są niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. Może mieć bowiem miejsce sytuacja, w której na dane stanowisko nie są wymagane żadne konkretne kwalifikacje czy doświadczenie albo dane stanowisko – ze względu na swoją specyfikę – wymaga każdorazowo wcześniejszego przeszkolenia.
Na marginesie podkreślenia wymaga, że powyższy katalog nie obejmuje już imion rodziców oraz adresu zamieszkania/korespondencyjnego, których obecnie od kandydata nie można wymagać na etapie rekrutacyjnym.
Sposób udokumentowania informacji podawanych przez kandydata
Powyższe dane kandydat powinien udostępnić pracodawcy w formie oświadczenia (np. poprzez zamieszczenie odpowiednich informacji w CV lub liście motywacyjnym). Pracodawca jednak ma prawo żądać ich udokumentowania w celu ich potwierdzenia, w tym w szczególności poprzez przedłożenie odpowiednich dokumentów (np. dyplomu ukończenia studiów czy świadectw pracy).
Mając jednak na względzie zasadę minimalizacji oraz ograniczenia przechowywania (art. 5 ust. 1 lit. c i e RODO), zalecane jest, aby – co do zasady – kopii takich dokumentów nie zachowywać, jeżeli na podstawie okazanych oryginałów możemy stwierdzić, że informacje podane w CV są prawidłowe i zgodne ze stanem faktycznym. Czasami jednak kopie takie mogą być przydatne w celu realizacji obowiązków w zakresie prawa pracy czy zabezpieczeń społecznych (np. dyplom ukończenia studiów w celu zaliczenia stażu do dłuższego urlopu wypoczynkowego). Gromadzenie takich dokumentów powinno mieć jednak miejsce wyjątkowo i w przypadkach uzasadnionych.
Podstawy prawne przetwarzania danych osobowych kandydata
Jednym z podstawowych obowiązków wynikających z RODO jest przetwarzanie danych w oparciu na konkretnej podstawie prawnej. W przypadku kandydatów na pracowników taką podstawą będzie w pierwszej kolejności wypełnianie obowiązków prawnych ciążących na pracodawcy jako administratorze danych osobowych. Będzie nimi wspomniany art. 221 § 1 Kodeksu pracy, zgodnie z którym pracodawca „żąda” od kandydata podania wskazanego wyżej katalogu danych osobowych. Inne obowiązki prawne mogą z kolei wynikać z dalszych przepisów prawa pracy czy związanych z zabezpieczeniem społecznym.
W zakresie tym można zauważyć pewną lukę prawną w postaci nieodróżniania na gruncie RODO tzw. osoby przyjmowanej do pracy. Chodzi tutaj o kandydata, który ma zostać zatrudniony, ale formalnie nie zawarł jeszcze umowy o pracę, co oznacza, że jest w swego rodzaju okresie przejściowym. Przykładowo przed zawarciem umowy o pracę osoba przyjmowana do pracy musi zostać skierowana na badanie lekarskie zgodnie z urzędowym formularzem, na którym należy podać m.in. adres zamieszkania, który nie jest objęty przytoczonym wyżej katalogiem. Pracodawca ma jednak obowiązek pobrać taką informację, ponieważ jest ona wymagana przez ten formularz. Podstawą prawną zatem w dalszym ciągu będzie realizacja obowiązków nałożonych przez przepisy prawa (art. 6 ust. 1 lit. c RODO). Co więcej, podstawą taką mógłby być również art. 6 ust. 1 lit. b RODO, jeśli mamy na względzie, że dopełnienie wszelkich formalności (w tym uzyskania zaświadczenia lekarskiego od lekarza medycyny pracy) jest niezbędne do zawarcia umowy o pracę.
Ponadto, jak dotąd zwyczajowo od każdego kandydata wymagało się uzyskania zgody na przetwarzanie danych w celu udziału w danej rekrutacji. W obecnym stanie prawnym takie działanie należy uznać za nieprawidłowe, ponieważ zgoda może być podstawą prawną przetwarzania danych tylko wówczas, gdy inna podstawa z art. 6 ust. 1 RODO nie występuje. Stanowisko takie potwierdza w swoich wytycznych również Prezes Urzędu Ochrony Danych Osobowych (dalej PUODO), a poprzednio urzędujący Generalny Inspektor Ochrony Danych Osobowych (GIODO) wyraźnie wskazywał, że podstaw przetwarzania nie można ze sobą mieszać, ponieważ wtedy wprowadza się daną osobę w błąd co do faktycznej podstawy przetwarzania jej danych osobowych (np. dane są przetwarzane w związku z realizacją obowiązków prawnych, ale gdy odebrana została zgoda, to taka osoba może być mylnie przekonana, że to właśnie zgoda jest taką jedyną podstawą), co w obecnym stanie prawnym nadal pozostaje aktualne.
Zgoda jako podstawa prawna przetwarzania danych osobowych kandydata
Najczęściej jednak kandydat w swoim CV zawiera więcej informacji na swój temat niż te wymagane przez Kodeks pracy (np. adres zamieszkania, PESEL czy zdjęcie). Pozostaje wówczas pytanie, czy w takim przypadku należy pobrać od niego zgodę na przetwarzanie danych wykraczających poza przewidziany prawem katalog. Z pewnością taka zgoda nie będzie konieczna, gdy podstawą przetwarzania dodatkowych danych zwykłych będzie realizacja uprawnienia lub spełnienie obowiązku wynikającego z przepisu prawa.
Jeżeli jednak taka sytuacja nie ma miejsca, to należy stanąć na stanowisku, że pobieranie specjalnego oświadczenia ze zgodą jest możliwe, ale nie jest konieczne. Zgoda bowiem w rozumieniu RODO (art. 4 pkt 11) może przybrać formę oświadczenia lub wyraźnego działania potwierdzającego. Ta druga opcja może być nie do końca zrozumiała, ale wydaje się jak najbardziej właściwa w przypadku, w którym kandydat poda w swoich dokumentach aplikacyjnych dodatkowe dane osobowe, pod warunkiem, że nie są to dane szczególnie chronione, o których mowa w art. 9 ust. 1 oraz w art. 10 RODO. Wyraźnym działaniem potwierdzającym jest bowiem zachowanie, które w sposób jednoznaczny oznacza zgodę na przetwarzanie danych osobowych, za co można uznać dobrowolne i świadome zamieszczenie w CV swoich dodatkowych danych osobowych przez osobę uczestniczącą w rekrutacji. Jest to z pewnością rozwiązanie najbardziej praktyczne, ponieważ nie wiąże się z koniecznością zbierania dodatkowych oświadczeń.
Z kolei zgoda w formie wyraźnego oświadczenia będzie konieczna w celu przetwarzania:
- Tzw. danych wrażliwych, o których mowa w art. 9 ust. 1 RODO (gdy kandydat wskazuje w CV np. informację o stopniu swojej niepełnosprawności, przewlekłej chorobie czy wadzie wzroku), przy czym ich podanie może nastąpić jedynie z inicjatywy samego pracownika – wyjątek ustanowiono jedynie dla danych biometrycznych, w których przypadku pracodawca jest uprawniony do ich przetwarzania także wtedy, gdy jest to niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji lub pomieszczeń;
- Danych osobowych na potrzeby przyszłych rekrutacji, przy czym w takim przypadku należy wskazać okres, przez który dane te będą przetwarzane (zalecany jest okres nie dłuższy niż 3 lata).
Istotne jest, że brak zgody kandydata na przetwarzanie dodatkowych danych zwykłych oraz danych wrażliwych nie może być podstawą dyskryminacji danej osoby w procesie rekrutacji, w tym w szczególności nie może być podstawą odmowy zatrudnienia. Wynika to z tego, że jedną z podstawowych i bezwzględnych cech zgody jest jej dobrowolność.
Podkreślenia wymaga natomiast, że nawet zgoda kandydata nie może być podstawą przetwarzania danych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO, gdyż jedyną taką podstawą może być obowiązek prawny nałożony na pracodawcę (art. 221a § 1 Kodeksu pracy w zw. z art. 10 i art. 6 ust. 1 lit. c RODO).
Obowiązek informacyjny wobec kandydata
Pracodawca jako administrator powinien również spełnić wobec każdego kandydata obowiązek informacyjny, o którym mowa w art. 13 RODO. Należy to zrobić w każdym przypadku, w którym pobierane są jakiekolwiek dane osobowe. Klauzula taka powinna być udostępniona możliwie jak najszybciej, tj. wraz z ogłoszeniem o pracę (poprzez zamieszczenie jej treści, linka przekierowującego do jej treści lub w postaci checkboxa do odhaczenia), w mailu w odpowiedzi na otrzymaną aplikację od kandydata (w postaci załącznika, w treści maila albo poprzez przekazanie linka, po którego kliknięciu nastąpi przekierowanie do tej klauzuli), a w ostateczności należy przekazać ją w formie papierowej przed rozpoczęciem rozmowy kwalifikacyjnej.
Nic nie stoi na przeszkodzie, aby poprosić kandydata, żeby pod jednym egzemplarzem potwierdził podpisem otrzymanie klauzuli (najlepiej podpis, data oraz zwrot „Otrzymałem”). Nie można jednak tego bezwzględnie wymagać, a w razie odmowy kandydat nie może ponieść negatywnych konsekwencji (np. nie można przez to nie dopuścić go do odbycia rozmowy kwalifikacyjnej).
Okres przechowywania danych osobowych kandydata
Okres przechowywania danych osobowych kandydatów będzie zależny od wyniku danej rekrutacji. Jeżeli bowiem określona osoba nie zostanie wytypowana, to wówczas nie ma podstaw do dalszego przetwarzania jej danych osobowych (dokumentów aplikacyjnych), dlatego powinny one – co do zasady – zostać niezwłocznie usunięte po zakończeniu tej rekrutacji, chyba że kandydat wyraził zgodę na przetwarzanie tych danych na poczet przyszłych rekrutacji przez określony czas. W pewnych okolicznościach jednak, a zwłaszcza, gdy istnieje duże prawdopodobieństwo, że niewybrany kandydat będzie dochodził roszczeń, powołując się na rzekomą dyskryminację w procesie rekrutacji, pracodawca może zachować dane osobowe takiego kandydata do czasu przedawnienia roszczeń, powołując się na swój prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO). Taką sytuację należy jednak uznać za wyjątkową i odpowiednio uzasadnioną przebiegiem konkretnej rekrutacji.
Z kolei w razie zatrudnienia danego kandydata, zgodnie z § 3 pkt 1 Rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z 10 grudnia 2018 roku w sprawie dokumentacji pracowniczej w części A jego akt osobowych należy przechowywać m.in. oświadczenia i dokumenty dotyczące jego danych osobowych zgromadzone w związku z ubieganiem się o zatrudnienie. Oznacza to, że będą one przetwarzane w trakcie zatrudnienia, a także w ciągu 10 lat od końca roku kalendarzowego, w którym stosunek pracy ustał, o czym wprost stanowi art. 94 pkt 9b Kodeksu pracy.
Należy również pamiętać, że przetwarzania danych osobowych kandydatów mogą dokonywać pracownicy posiadający stosowne upoważnienie do ich przetwarzania nadane przez pracodawcę i związane z ich obowiązkami służbowymi. Powinni oni również zobowiązać się do zachowania tych danych w poufności. Jedynie w przypadku przetwarzania danych wrażliwych obowiązek poufności nie musi wynikać z treści upoważnienia, ponieważ jest to obowiązek ustawowy wynikający wprost z art. 221b § 3 zdanie drugie Kodeksu pracy.
Podsumowanie: RODO w procesie rekrutacji
RODO wprowadziło szereg zmian przy przetwarzaniu danych w procesie rekrutacji, w tym w szczególności poprzez zmianę lub wprowadzenie nowych przepisów w Kodeksie pracy. Najistotniejszą innowacją jest to, że w praktyce nie należy wymagać od kandydatów oświadczenia ze zgodą na uczestnictwo w danej rekrutacji, jeżeli ich CV nie zawiera danych wrażliwych. Jeżeli bowiem kandydat zawrze w swojej aplikacji dodatkowe dane zwykłe, to samo ich zamieszczenie i przekazanie pracodawcy stanowi zgodę w postaci wyraźnego działania potwierdzającego. Zgoda w formie oświadczenia będzie natomiast bezwzględnie wymagana, gdy przetwarzane mają być dane wrażliwe lub gdy kandydat zamierza uczestniczyć w przyszłych rekrutacjach.
Wszelkie informacje podane przez kandydata powinny być odpowiednio udokumentowane (potwierdzone), a pracodawca powinien spełnić w sposób zgodny z RODO obowiązek informacyjny wobec niego, jak również – zależnie od wyniku rekrutacji – przechowywać dane osobowe przez okresy wynikające z przepisów prawa.