Rekrutacja zgodna z RODO (+ niezbędne klauzule)

Jak powinien wyglądać proces rekrutacji, aby cechował się zgodnością z przepisami o ochronie danych osobowych? Jakich danych osobowych może żądać pracodawca i na jakiej podstawie prawnej te dane może przetwarzać? Kiedy i w jaki sposób przekazać kandydatom obowiązek informacyjny? Na te pytanie musi odpowiedzieć sobie każdy pracodawca, zanim przystąpi do przeprowadzenia procesu rekrutacyjnego w swoim przedsiębiorstwie.

Podstawowym aktem prawnym, na którym należy się oprzeć prowadząc rekrutację (umowa o pracę) jest Kodeks Pracy. Trzeba jednak mieć na uwadze, że każda rekrutacja jest też bezpośrednio związana z przetwarzaniem danych osobowych kandydatów, a co za tym idzie – podlega RODO. W praktyce zebranie od kandydata jego danych, zawartych w CV może nastąpić w różnoraki sposób.  Wielość tych okoliczności powoduje w poszczególnych przypadkach rozbieżność obowiązków pracodawcy oraz podstaw prawnych, na jakich oprzeć on może przetwarzanie tych informacji. Ma też wpływa moment i sposób spełnienia obowiązku informacyjnego. Jednakowy bez względu na te okoliczności będzie natomiast zakres danych osobowych,  jakich pracodawca może żądać od potencjalnego pracownika.

Jakie informacje można zbierać w ramach rekrutacji?

Zakres danych, które pracodawca z mocy prawa może zbierać od kandydata na stanowisko, wskazuje art. 22(1) Kodeksu pracy. Danymi tymi są:

  • Imię (imiona) i nazwisko
  • Data urodzenia
  • Dane kontaktowe wskazane przez osobę
  • Wykształcenie
  • Kwalifikacje zawodowe
  • Przebieg dotychczasowego zatrudnienia

Zebranie tych danych jest dopuszczalne jedynie w ramach rekrutacji. Nie można zatem przetwarzać ich w innym celu bez wyraźnej zgody osoby, której one dotyczą.

Zabronione jest zbieranie od kandydatów danych wrażliwych, wymienionych w art. 9 RODO (takich jak: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej). Wyjątkiem od tego zakazu jest uzyskanie zgody oraz przekazanie tych informacji z inicjatywy samego kandydata.

Bezwzględnie zabronione jest natomiast zbieranie danych, dotyczących wyroków skazujących i naruszeń prawa. Informacje te są szczególnie chronione i jedynym przypadkiem, w którym można zbierać te informacje od kandydata jest jasno wskazany w przepisach prawa obowiązek (występuje w przypadku takich zawodów jak: nauczyciel, taksówkarz, detektyw, straż graniczna). W innych przypadkach nawet zgoda osoby nie legalizuje przetwarzania tego typu informacji.

Rekrutacja przez ogłoszenie

To najczęściej stosowany sposób pozyskania nowego pracownika. W przypadku umowy o pracę podstawą będzie obowiązek, wynikający z przepisów prawa – art. 6 ust. 1 lit. c RODO (ale jedynie w zakresie danych, które są podane w art. 22(1) Kodeksu pracy). Obowiązek wynika z przytoczonego przepisu, którego brzmienie zostało zmienione aktualizacją KP z dnia 4 maja 2019 r. W przypadku podania przez kandydata dodatkowych informacji ich przetwarzanie odbywa się na podstawie zgody art. 6 ust. 1 lit. a RODO  (za której działanie wyraźnie potwierdzające można uznać samo wysłanie CV, zawierające te dane- należy o tym poinformować w obowiązku informacyjnym).

Inaczej wygląda sytuacja w przypadku umowy zlecenia, jako że nie podlega ona pod przepisy Kodeksu pracy. Podstawą do przetwarzania danych w tym wypadku będzie zgoda, bądź działania zmierzające do zawarcia umowy, które są inicjowane przez kandydata czyli art. 6 ust. 1 lit. b RODO. W przypadku poszukiwania pracownika poprzez umieszczenie ogłoszenia obowiązek informacyjny należy zamieścić w treści ogłoszenia.

PUODO uznał natomiast rekrutacje ukryte (bez informacji o tożsamości przyszłego pracodawcy) za niezgodne z prawem, wobec czego nie należy ich praktykować. Organ nadzoru argumentuje to faktem, że wobec niewiedzy kandydata o administratorze danych nie może on korzystać z przysługujących mu na gruncie RODO praw. Niektóre podmioty, próbując obejść zakaz stosują procedurę, w której po wpłynięciu CV wysyłają następczo obowiązek informacyjny. Jest to niezgodne z przepisami, które stanowią przecież, że obowiązek powinien zostać spełniony w momencie zbierania informacji od osoby, a nie dopiero po ich zebraniu. Kandydat ma prawo wiedzieć, komu udostępnia swoje dane.

Rekrutacja poprzez polecenie kandydata przez innego pracownika

Przetwarzanie danych poleconego kandydata na pierwszym etapie, który jest sam kontakt odbywa się na podstawie prawnie uzasadnionego interesu Administratora – art. 6 ust. 1 lit. f. Natomiast na następnym etapie, czyli już po nawiązaniu kontaktu należy uzyskać od niego samego zgodę na przetwarzanie. Przy pierwszej możliwej okazji zgodę taką należy udokumentować.  W tym przypadku zbieranie danych nie następuje też bezpośrednio od osoby, której dane te dotyczą.  Obowiązek informacyjny z art. 14 RODO, powinien być spełniony podczas pierwszego kontaktu. W przypadku, kiedy okaże się to niemożliwe (np. pierwszy kontakt telefoniczny) wszelkie informacje trzeba przedstawić najpóźniej w trakcie rozmowy rekrutacyjnej.

Rekrutacja wewnętrzna

W przypadku chęci obsadzenia stanowiska osobą spośród aktualnie pracujących już w firmie osób, pracodawca prowadzi tzw. rekrutacje wewnętrzną. Wówczas kandydatami nie muszą być tylko osoby z zewnątrz, lecz także aktualni pracownicy.

Mimo tego, że pracodawca już przetwarza dane tych osób ze względu na umowę o pracę, która ich łączy to nie może wykorzystać podstawy przetwarzania tych danych w procesie rekrutacji. Cel przetwarzania się zmienia, wobec czego pracodawca powinien uzyskać zgodę od pracownika na użycie jego danych w innym celu (rekrutacja), niż ten w którym zostały zebrane (zawarcie umowy o pracę). Przyjmuje się, że – o ile zostanie to zawarte w klauzuli informacyjnej – za zgodę uznać można przystąpienie pracownika do procesu rekrutacyjnego- należy o tym poinformować  w obowiązku informacyjnym.

Jak zgodnie z RODO wykorzystać CV w przyszłych rekrutacjach?

Co do zasady nie ma możliwości wykorzystania przez pracodawcę danych, przekazanych podczas konkretnego procesu rekrutacyjnego, w innej, późniejszej rekrutacji. Wyjątkiem może być okoliczność, w której kandydat umieści w przesyłanym przez siebie CV zgodę na przyszłe rekrutacje u danego pracodawcy. Nie ma zatem możliwości przyjęcia domniemania zgody na przyszłe rekrutacje poprzez samo dostarczenie CV przez kandydata. Jeśli osoba takiej zgody nie udzieli należy od razu po skończeniu procesu rekrutacyjnego usunąć dostarczone dane.

Dozwolony zakres sprawdzania pracownika poprzez źródła zewnętrzne

Portale społecznościowe – co do zasady nie ma możliwości wykorzystywać informacji o kandydatach do pracy, pozyskanych z mediów społecznościowych. Wyjątkiem są portale o celu branżowym, jak LinkedIn, gdzie osoby udostępniają swoje dane osobowe np. poszukując pracy.

Uczelnie – kontakt z uczelnią w celu chociażby potwierdzenia wykształcenia jest definitywnie zabroniony. PUODO twierdzi, że nawet na podstawie zgody zbieranie takich informacji nie jest możliwe, a wynika to z faktu, że ewentualne jej niewyrażenie może pociągać za sobą negatywne konsekwencje dla kandydata.

Poprzedni pracodawca – w przypadku chęci zasięgnięcie rekomendacji u poprzedniego pracodawcy kandydata może się to odbyć wyłącznie za jego zgodą

Jak długo można przechowywać CV

Już w ogłoszeniu pracodawca powinien podać przez jaki okres czasu będzie przechowywał dane kandydatów do pracy. Według RODO dane osobowe należy usunąć, kiedy staną się zbędne dla administratora. W przypadku rekrutacji takim momentem będzie wyłonienie osoby, z którą podpisana zostanie umowa. Wówczas należy usunąć (zniszczyć) wszystkie inne przesłane w danym procesie rekrutacyjnym CV. Wyjątkiem jest udzielenie wskazanej wyżej zgody na przetwarzanie danych w przyszłych rekrutacjach. Jeśli sam kandydat nie określi czasu trwania tej zgody, pracodawca określa go i zamieszcza w obowiązku informacyjnym (optymalnym okresem jest 1 rok).

Zachowanie zgodności w procesie rekrutacji jest zadaniem kluczowym dla każdego przedsiębiorcy. W żadnym przedsiębiorstwie nie da się przecież uniknąć tej procedury. Co więcej, jak można zauważyć na podstawie podanych wyżej i dosyć ogólnych informacji, jest to aspekt, w którym odnajdziemy mnóstwo czynności z zakresu przetwarzania danych osobowych.

W celu zdobycia bardziej obszernej wiedzy na temat ochrony danych osobowych w procesie rekrutacji, zapraszamy do skorzystania z naszego kursu e-learningowego.

Zapisz się na Newsletter i otrzymaj zestaw klauzul niezbędnych w rekrutacji!

 

Reklama

Poprzedni artykułCo to jest rejestr czynności przetwarzania i dlaczego powinieneś go prowadzić?
Następny artykułZgoda na pliki Cookies- wyrok TSUE
Jesteśmy firmą wspierającą małych i średnich przedsiębiorców w bezpiecznym i legalnym przetwarzaniu przez nich danych osobowych. Na eRODO.pl dzielimy się swoją wiedzą i doświadczeniem.

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

The reCAPTCHA verification period has expired. Please reload the page.