Prenumerata 2018 ju˜ż w sprzedża˜y - SPRAWD˜!

Kadry

Dekalog rekrutera - jak podczas rekrutacji nie naruszać przepisów o ochronie danych osobowych

123RF
Przy rekrutacji do pracy wcišż dochodzi do różnego rodzaju nieprawidłowoœci. Generalny Inspektor Ochrony Danych Osobowych przygotował zestaw zasad, których bezwzględnie muszš przestrzegać podmioty zamierzajšce zatrudniać pracowników.

1. NIC POZA OKREŒLONY KATALOG DANYCH

Pozyskiwanie danych osobowych potencjalnych pracowników musi odbywać się w sposób zgodny z prawem (zasada legalizmu – art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych), a więc z zachowaniem jednej z przesłanek okreœlonych w art. 23 tej ustawy. Zakres danych osobowych, jakich może żšdać zatrudniajšcy w procesie rekrutacji, jest wyraŸnie wskazany w art. 221 ustawy – Kodeks pracy. Pracodawca może zatem domagać się informacji o:

- imieniu (imionach) i nazwisku,

- imionach rodziców,

- dacie urodzenia,

- miejscu zamieszkania (adres do korespondencji),

- wykształceniu,

- przebiegu dotychczasowego zatrudnienia.

To katalog zamknięty - co do zasady pracodawca nie ma prawa pozyskiwać innych informacji, np. dotyczšcych stanu cywilnego kandydata do pracy(szerszy katalog mogš ewentualnie przewidywać przepisy szczególne).

2. ADEKWATNOŒĆ GROMADZONYCH DANYCH

Pozyskiwanie danych osobowych musi odbywać się zgodnie z zasadš adekwatnoœci (art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych) – administrator powinien przetwarzać tylko takiego rodzaju dane i tylko o takiej treœci, które sš niezbędne ze względu na cel zbierania danych.

Dane osobowe nie mogš być zbierane na zapas, „na wszelki wypadek", tj. bez wykazania celowoœci ich pozyskania i niezbędnoœci dla realizacji zadań administratora danych. Pracodawca nie może przetwarzać danych w zakresie szerszym niż niezbędny dla osišgnięcia zamierzonego celu, jak również danych o większym, niż uzasadniony tym celem, stopniu szczegółowoœci. Żšdanie przez pracodawcę informacji wykraczajšcych poza przepisy może być uznane jako dyskryminujšce.

3. „CZARNE LISTY" OSÓB UBIEGAJĽCYCH SIĘ O ZATRUDNIENIE

Praktyka tworzenia tzw. czarnych list rekrutacyjnych, zawierajšcych dane osobowe kandydatów, których z różnych powodów nie powinno się zatrudniać, nie znajduje oparcia w obowišzujšcych przepisach. Jest zatem niezgodna z prawem. Tworzenie zbiorów danych o charakterze negatywnym może prowadzić do dyskryminacji i podejmowania niekorzystnych dla danej osoby decyzji w oparciu o często nierzetelne, bezpodstawnie pozyskane informacje.

4. WARUNKI ZGODY JAKO PODSTAWY PRZETWARZANIA DANYCH

Jeżeli podstawš przetwarzania danych jest zgoda kandydata do pracy – np. na wykorzystanie ich dla celów innych, przyszłych rekrutacji – należy pamiętać, że prawidłowo wyrażona zgoda ma spełniać kryteria okreœlone w art. 7 pkt 5 ustawy o ochronie danych osobowych. Powinna być wyrażona w sposób jasny i wyraŸny, nie może być domniemana ani dorozumiana. Ważne jest, aby zgoda dotyczyła przetwarzania danych w konkretnym, wskazanym przez administratora danych celu, a nie przetwarzania danych „w ogóle". Formuła zgody na przetwarzanie danych osobowych powinna zatem stanowić odrębne oœwiadczenie osoby, której dane dotyczš, zaœ z jej treœci w sposób niebudzšcy wštpliwoœci powinno wynikać w jakim celu, w jakim zakresie i przez kogo dane osobowe będš przetwarzane. Wyrażajšcy zgodę musi mieć pełnš œwiadomoœć tego na co się godzi.

GIODO podkreœla przy tym należy, że zgoda musi zostać podjęta swobodnie i zgodnie z art. 7 pkt 5 ustawy o ochronie danych osobowych, może być w każdym czasie odwołana. Jednak w wielu przypadkach zdarza się, że zgoda na przetwarzanie danych osobowych bywa wymuszana, co jest zwišzane z charakterem relacji, jakie zachodzš pomiędzy pracodawcš a kandydatem do pracy.

- Aby wyrażonš przez kandydata do pracy zgodę na przetwarzanie jego danych osobowych można było uznać za prawidłowš przesłankę umożliwiajšcš wykorzystywanie tych danych, niezbędne jest dokonanie oceny, czy została ona wyrażona w sposób dobrowolny - przypomina GIODO.

5. NIEDOPUSZCZALNOŒĆ SWOBODNEGO DYSPONOWANIA DANYMI

Pracodawca czy agencja rekrutacyjna nie mogš  swobodnie dysponować pozyskanymi danymi osobowymi kandydatów do pracy, tj. wykorzystywać ich w dowolnych celach (koniecznoœć zachowania zasady celowoœci). Wymiana danych osobowych między różnymi podmiotami, jako forma przetwarzania danych, nie może odbywać się bez posiadania ku temu odpowiedniej podstawy prawnej (vide art. 23 ustawy o ochronie danych osobowych).

6. OBOWIĽZEK INFORMACYJNY WOBEC KANDYDATÓW

W czasie procesu rekrutacyjnego pracodawca powinien także spełnić obowišzek informacyjny wobec kandydatów do pracy. Odbywa się to poprzez zawarcie w zamieszczanym ogłoszeniu rekrutacyjnym klauzuli informacyjnej wskazujšcej na:

- adres siedziby i pełnš nazwę pracodawcy (gdy pracodawcš jest osoba fizyczna, należy podać miejsce zamieszkania oraz imię i nazwisko pracodawcy),

- cel zbierania danych (w tym informację o znanych pracodawcy w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych),

- prawo dostępu do treœci danych oraz ich poprawiania,

- dobrowolnoœć albo obowišzek podania danych wraz z podstawš prawnš takiego obowišzku (w tym przypadku na obowišzek podania danych wskazujš odpowiednie przepisy Kodeksu pracy).

Obowišzku informacyjnego powinno się dopełnić jeszcze przed zebraniem danych, a nie póŸniej niż w momencie ich zgromadzenia.

W przypadku zbierania danych nie od osoby, której one dotyczš – np. gdy pracodawca korzysta z usług agencji rekrutacyjnej – administrator musi dodatkowo poinformować osobę, bezpoœrednio po utrwaleniu zebranych danych, o Ÿródle, z jakiego pozyskał informacje na jej temat.

7. PRAWO OSOBY UBIEGAJĽCEJ SIĘ O ZATRUDNIENIE DO KONTROLI DANYCH

Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczš, zawartych w zbiorach danych, w tym prawo do uaktualnienia, uzupełnienia czy też usunięcia tych danych. GIODO wskazuje, że uprawnieniom osób, których dane sš przetwarzane w zbiorach, ustanowionym w art. 32 ustawy, odpowiada obowišzek administratorów danych okreœlony w art. 33 ust. 1 ustawy - na wniosek osoby, której dane dotyczš, administrator danych jest obowišzany, w terminie 30 dni, poinformować o przysługujšcych jej prawach oraz udzielić, odnoœnie do jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt. 1-5a. W myœl ust. 2 tego przepisu, na wniosek osoby, której dane dotyczš, informacji, o których mowa w ust. 1, udziela się na piœmie. Podkreœlić należy, że złożenie wniosku, zależnie od jego treœci, zobowišzuje administratora danych do udzielenia informacji o procesie przetwarzania danych osobowych.

8. USUWANIE DANYCH PO ZAKOŃCZENIU REKRUTACJI

Po zakończeniu rekrutacji zgromadzone dane powinny być przez pracodawcę usunięte. Nie ma bowiem podstawy do przechowywania ich „na zapas" (chyba że kandydat wyraził uprzedniš zgodę na przetwarzanie jego danych osobowych dla celów przyszłych rekrutacji prowadzonych przez tego pracodawcę). Zgodnie z zasadš ograniczenia czasowego, dane osobowe mogš być przechowywane w postaci umożliwiajšcej identyfikację osób, których dotyczš, nie dłużej niż to jest niezbędne do osišgnięcia celu przetwarzania (art. 26 ust. 1 pkt 4 ustawy o ochronie danych osobowych). Wyjštki od stosowania powyższej zasady mogš wynikać z przepisów szczególnych, okreœlajšcych dłuższe okresy retencji danych.

9. BEZPIECZEŃSTWO DANYCH OSÓB BIORĽCYCH UDZIAŁ W REKRUTACJI

Administrator danych musi dopełnić wynikajšcych z przepisów prawa obowišzków dotyczšcych odpowiedniego zabezpieczenia gromadzonych danych, także pod kštem technicznym i organizacyjnym. Również podmiot, któremu na podstawie art. 31 ustawy o ochronie danych osobowych powierzono przetwarzanie danych (np. agencja prowadzšca rekrutację na zlecenie pracodawcy), jest obowišzany podjšć œrodki zabezpieczajšce zbiór danych, o których mowa w art. 36-39 ustawy o ochronie danych osobowych. W zakresie przestrzegania tych przepisów podmiot przetwarzajšcy ponosi odpowiedzialnoœć jak administrator danych. Pamiętać ponadto należy, że podmiot ten może przetwarzać dane wyłšcznie w zakresie i celu przewidzianym w zawartej z administratorem danych umowie powierzenia (art. 31 ust. 2). Administrator ma z kolei możliwoœć kontroli tego, czy podmiot, któremu powierzył dane, przetwarza je zgodnie z postanowieniami zawartej między nimi umowy.

Dbałoœć o bezpieczeństwo przetwarzanych danych osobowych powinna być procesem cišgłym, a nie jednorazowym (doraŸnym).

10. BUDOWANIE WŁASNEGO WIZERUNKU

Rozwój społeczeństwa informacyjnego pozwala na „budowanie" swojego wizerunku w sieci. Osoby bioršce udział w rekrutacji muszš pamiętać, że majš wpływ na budowanie swojego wizerunku w oczach przyszłego pracodawcy poprzez treœci, jakie zamieszczajš w Internecie. Dlatego powinny uważać, jakie informacje na swój temat zamieszczajš w mediach społecznoœciowych i innych ogólnodostępnych Ÿródłach. Coraz częœciej zdarza się bowiem, że pracodawcy i agencje rekrutacyjne sięgajš do takich informacji – mimo niedopuszczalnoœci ich gromadzenia – co potencjalnie może mieć negatywny wpływ na ocenę kandydata do pracy i prowadzić do profilowania go na podstawie dostępnych w Internecie danych.

ródło: rp.pl

WIDEO KOMENTARZ

REDAKCJA POLECA

NAJNOWSZE Z RP.PL