Prowadzisz rekrutację? Jeśli tak, to najprawdopodobniej ogłoszenie o prowadzonym naborze zamieściłeś na swojej stronie internetowej, w mediach społecznościowych lub w innym serwisie internetowym. Zaczynają spływać aplikacje, a Ty wchodzisz w rolę administratora danych osobowych. Tym samym, mając świadomość lub nie, jesteś zobowiązany do stosowania przepisów unijnego rozporządzenia o ochronie danych osobowych (tzw. RODO), które obowiązuje od 25 maja 2018 r. Jeśli nie wiesz w jaki sposób i o czym powinieneś informować kandydatów zamieszczając ogłoszenie o naborze, albo zastanawiasz się jak powinna brzmieć nowa formułka zgody na przetwarzanie danych, to poniższy artykuł jest skierowany właśnie do Ciebie!
Informacje dla kandydatów do pracy
Oprócz strategicznych kwestii dotyczących stanowiska pracy (wymagania, zakres obowiązków, oferta) rekrutujący powinien poinformować potencjalnych kandydatów o tym:
- kto jest administratorem danych – czyli kto ustala cele i sposoby przetwarzania danych osobowych i jak można się nim skontaktować,
- jaki jest cel zbierania danych osobowych,
- czy podanie danych jest niezbędne i jakie skutki rodzi ich niepodanie,
- jaka jest podstawa prawna – czyli skąd wynika możliwość zbierania danych kandydatów do pracy,
- kto będzie odbiorcą danych pozyskanych w związku z rekrutacją (czyli kto może mieć do nich dostęp),
- czy dane będą przekazywane do krajów trzecich – czy otrzyma je od rekrutującego jakiś podmiot spoza UE,
- jak długo dane osobowe kandydatów będą przetwarzane (zbierane, przechowywane, udostępniane itp.),
- czy na podstawie podanych informacji podjęte zostaną zautomatyzowane decyzje (np. profilowanie) i jakie konsekwencje mogą przynieść osobie,
- jakie uprawnienia przysługują uczestnikom w związku z przetwarzaniem ich danych (katalog praw wynikających z RODO i mających zastosowanie).
Wypełnienie obowiązku informacyjnego powinno zostać dokonane w łatwo dostępnej formie, prostym językiem oraz w sposób jasny i zrozumiały.
Zgoda na przetwarzanie danych nie zawsze jest konieczna
Zgoda jest jedną z przesłanek, które uprawniają do legalnego przetwarzania danych osobowych. O zgodzie i legalności przetwarzania danych pisałam tu.
Jeśli zatem istnieje inna podstawa do przetwarzania danych, pozyskiwanie dodatkowej zgody od kandydata do pracy nie będzie konieczne. Taka sytuacja będzie miała miejsce w przypadku zamiaru zatrudnienia pracownika na umowę o pracę. Wówczas zastosowanie znajdą przepisy Kodeksu pracy, w tym w szczególności art. 221 o następującym brzmieniu:
Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:
1) imię (imiona) i nazwisko;
2) imiona rodziców;
3) datę urodzenia;
4) miejsce zamieszkania (adres do korespondencji);
5) wykształcenie;
6) przebieg dotychczasowego zatrudnienia.
Niezależnie od danych osobowych, o których mowa wyżej, pracodawca ma prawo żądać od pracownika także:
1) innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;
2) numeru PESEL pracownika.
W tym miejscu należałoby zastawić się nad dwiema istotnymi kwestiami. Po pierwsze, czy Twoja oferta na pewno dotyczy pracy na etat, a może jednak umowy cywilnoprawnej? Po drugie, czy pozyskujesz także inne dodatkowe informacje, które nie mieszczą się w granicach ww. przepisu? Przykładowo: fotografię przedstawiającą wizerunek osoby aplikującej.
Jeśli Twoja oferta pracy dotyczy umowy cywilnoprawnej albo zakres pozyskiwanych danych znacznie wykracza poza kodeksową przesłankę legalności (przy umowie o pracę) oraz inne przesłanki wynikające z obowiązujących przepisów prawa – pozostaje poprosić kandydata o dołączenie do dokumentów aplikacyjnych odpowiedniego oświadczenia.
Nowa klauzula zgody do CV
Dotychczas stosowaną klauzulę zgody na przetwarzanie danych w oparciu o ustawę z dnia 29.08.1997 r. wypadałoby nieco zmodyfikować. Jak? Przede wszystkim nie należy powoływać się na akt prawny, który został uchylony. Ustawa z 1997 r. już nie obowiązuje! Oświadczenie o zgodzie na przetwarzanie danych powinno mieć zrozumiałą i łatwo dostępną formę, przy jednoczesnym sformułowaniu treści prostym i jasnym językiem. Co ważne, zgoda ma przetwarzanie danych w celu rekrutacji nie może być łączona z innymi zgodami, ani w żaden sposób wymuszona. Powinna być wyraźna i odnosić się do określonego przetwarzania przez konkretnego administratora danych.
W zależności od celu i okresu przetwarzania przykładowe klauzule mogą wyglądać następująco:
Prosimy o zamieszczenie w dokumentach aplikacyjnych jednego z oświadczeń:
Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w zgłoszeniu (CV, list motywacyjny) oraz informacji zebranych podczas ewentualnej rozmowy kwalifikacyjnej w celu przeprowadzenia postępowania rekrutacyjnego na stanowisko xxx w firmie YYY.
Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w zgłoszeniu (CV, list motywacyjny) oraz informacji zebranych podczas ewentualnej rozmowy kwalifikacyjnej przez okres trwania procesu rekrutacyjnego na stanowisko xxxx w firmie YYY, jak również w celu włączenia mnie do bazy kandydatów na potrzeby przyszłych procesów rekrutacyjnych w firmie YYY, w tym również na inne stanowiska.
Zmiany w kodeksie pracy
Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 przewiduje pewne modyfikacje w przepisach prawa pracy w zakresie dotyczącym danych osobowych. Między innymi planowane jest rozszerzenie katalogu z art. 221 Kodeksu pracy o „dane kontaktowe” i wyłączenie z niego „imion rodziców”. Przy czym podanie danych w zakresie wykształcenia, kwalifikacji zawodowych oraz przebiegu dotychczasowego zatrudnienia musi być niezbędne do wykonywania określonego rodzaju pracy lub na określonym stanowisku pracy.
Planowane jest również wprowadzenie nowych przepisów, w tym w szczególności art. 221a i art. 221b. Pierwszy z nich dotyczy przetwarzania przez pracodawcę innych danych niż wymienione w art. 221 za zgodą osoby ubiegającej się o zatrudnienie lub pracownika. Z projektu wynika, że brak zgody lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji. Drugi z przywołanych powyżej przepisów dotyczy przetwarzania tzw. danych wrażliwych oraz danych dotyczących wyroków skazujących i naruszeń prawa. W kontekście proponowanych zmian, dopuszczalność ich przetwarzania może mieć miejsce tylko w przypadku niezbędności wypełnienia obowiązku pracodawcy nałożonego przepisem prawa.
Przechowywanie CV i LM
Przepisy prawa nie wskazują wprost, jak długo pracodawca może przechowywać otrzymane CV i LM oraz kiedy stają się one nieaktualne. Jeśli zgłaszający swoją aplikację wyraźnie zaznaczył, że jego zgoda na przetwarzanie obejmuje wyłącznie okres odpowiadający procesowi rekrutacji na konkretne stanowisko, to po dokonaniu wyboru nie powinniśmy pozostawiać zebranych zgłoszeń w swoich zbiorach. Jeśli zależy nam na pozostawieniu kontaktów „na później” na potrzeby ewentualnych przyszłych naborów, należało zadbać o odpowiednie brzmienie klauzuli zgody.
I choć wydawałoby się, że już samo aplikowanie na stanowisko jest wyraźnym działaniem i powinno samo przez się stanowić zgodę na przetwarzanie jej danych, to budzi pewne wątpliwości interpretacyjne. Oceniając sytuację z perspektywy przedsiębiorcy, na którym ciąży ciężar dowodu legalności przetwarzania danych, pozyskiwanie pisemnej zgody nadal wydaje się być uzasadnione.
Dostęp do aplikacji kandydatów
Pracodawca, gromadząc aplikacje kandydatów do pracy, zobowiązany jest do zastosowania organizacyjnych, technicznych oraz fizycznych środków ochrony danych osobowych. Oznacza to w szczególności bezpieczne przechowywanie otrzymanych zgłoszeń oraz ich usuwanie i niszczenie po upływie legalnego okresu przetwarzania. Przykładowymi rozwiązaniami mogą być: przechowywanie wydrukowanych dokumentów aplikacyjnych w metalowej, zamykanej szafce, zabezpieczenie systemu informatycznego przed dostępem osób nieupoważnionych – uwierzytelnianie dostępu czy szyfrowanie wiadomości zawierających zgłoszenia aplikacyjne.
Podsumowanie
Rekrutacja ściśle wiąże się z przetwarzaniem danych osobowych. Dlatego zarówno w małej firmie, jak i w dziale HR giganta ważna jest weryfikacja dokonywanych na danych operacji pod kątem ryzyka przypadkowego lub niezgodnego z prawem ich ujawnienia, zniszczenia lub utraty. Dostosowanie do obowiązujących przepisów warto zacząć od inwentaryzacji zgromadzonych aplikacji pod kątem zasadności i legalności dalszego przetwarzania zawartych w nich danych. Mówiąc wprost – chodzi o uporządkowanie folderów, skrzynek mailowych, teczek i szuflad zawierających CV i listy motywacyjne kandydatów do pracy. Kolejny krokiem powinno być opracowanie wewnętrznych procedur przetwarzania danych oraz odpowiednich wzorów lub szablonów publikowanych ogłoszeń o naborze.