Kandydat z polecenia z większą ochroną danych osobowych

Pracodawcy mają rok na dostosowanie procesu rekrutacyjnego polecanych osób do wymogów rozporządzenia unijnego, które zastąpi w tym zakresie polską ustawę o ochronie danych osobowych.

Aktualizacja: 17.04.2017 11:52 Publikacja: 17.04.2017 00:01

Kandydat z polecenia z większą ochroną danych osobowych

Foto: 123RF

Rynek pracy w Polsce w zdecydowanej większości należy obecnie do pracownika. Taka sytuacja wymusza na firmach poszukiwanie nowych rozwiązań wspierających procesy rekrutacyjne. Część z nich już wdrożyło lub zastanawia się nad wdrożeniem programu poleceń rekrutacyjnych. Takie rozwiązanie świetnie wspiera proces dotarcia do potencjalnych kandydatów. Jednocześnie jednak stawia przed działami HR, IT i prawnymi dużo wyzwań natury prawnej.

Administrator danych

Rozpoczynając proces rekrutacyjny i gromadząc podczas jego trwania aplikacje kandydatów do pracy, pracodawca staje się administratorem danych osobowych w nich zawartych. W związku z tym, zanim z nich skorzysta, musi wypełnić wiele obowiązków informacyjnych. Reguluje je ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. DzU z 2016 r., poz. 992 ze zm.; dalej: UODO), która w obecnym kształcie ma obowiązywać do 25 maja 2018 r. Potem zastąpi ją Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, dalej: RODO.

Będzie to największa w historii zmiana regulacji w tym obszarze. Nowe przepisy wpłyną na wiele aspektów procesów rekrutacyjnych, w tym na te, w których firmy pozyskują kandydatów przez polecenia rekrutacyjne.

Z RODO bardzo dokładnie powinni się zapoznać przedstawiciele firm, którzy odpowiadają za administrowanie danymi osobowymi kandydatów do pracy. Dotyczy to więc zarówno działów HR, IT jak i prawnych.

Nadchodzące zmiany dotyczą wielu obszarów rekrutacyjnych i obejmują wszystkich kandydatów do pracy, niezależnie od sposobu ich rekrutacji. Pod większą ochroną będą zatem również te osoby, które w ramach programów poleceń rekrutacyjnych zostały zarekomendowane do pracy np. przez innych pracowników firmy lub w kanałach social media.

Ochrona teraz...

Administrator danych, czyli w analizowanym przypadku podmiot, który dla celów własnej rekrutacji otrzymuje z polecenia dane osobowe potencjalnego pracownika, powinien – co do zasady – przekazać mu informacje wynikające z art. 25 UODO, a zatem poinformować o:

- adresie swojej siedziby,

- pełnej nazwie firmy,

- celu i zakresie zbierania danych,

- odbiorcach lub kategoriach odbiorców danych.

Ponadto powinien też podać mu źródło danych, czyli od kogo otrzymał jego dane, oraz poinformować o prawie dostępu do tych danych i ich poprawiania oraz o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 UODO (m.in. wniesienia sprzeciwu). Ten obowiązek informacyjny należy wykonać bezpośrednio po utrwaleniu zebranych danych. Nie ma zatem znaczenia, kiedy rekrutacja została lub zostanie rozpoczęta.

Niezależnie od dopełnienia obowiązku informacyjnego, administrator danych powinien posiadać podstawę prawną upoważniającą go do przetwarzania danych osobowych potencjalnego pracownika otrzymanych z polecenia. Na gruncie UODO pracodawcy mogą mieć w tym aspekcie pewne wątpliwości. Mianowicie nie ma pewności, czy samoistną podstawą prawną przetwarzania jest tu art. 23 ust. 1 pkt 5 UODO – czyli że jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą; czy też konieczne jest zebranie dodatkowej zgody, czyli oparcie podstawy prawnej na art. 23 ust. 1 pkt 1 UODO.

Wydaje się, że w okolicznościach danej sprawy możliwe jest uznanie przez administratora danych, że przetwarzanie danych w celu prowadzenia konkretnej rekrutacji nie narusza praw i wolności potencjalnego pracownika. W takiej sytuacji jego zgoda na przetwarzanie danych w celu prowadzenia konkretnego procesu rekrutacyjnego nie jest konieczna. Jednak tego rodzaju rozwiązanie, chociaż łatwiejsze w realizacji, może się okazać ryzykowne. Dlatego najbezpieczniej jest oprzeć przetwarzanie danych na art. 23 ust. 1 pkt 5 UODO jedynie w celu nawiązania z potencjalnym pracownikiem kontaktu, a następnie uzyskać od niego zgodę na przetwarzanie danych w celu prowadzenia konkretnego procesu rekrutacyjnego. Zasadne może być również zebranie oddzielnej zgody na przetwarzanie danych w celu realizacji procesów rekrutacyjnych przyszłych i nieokreślonych.

... oraz za rok

W stosunku do obecnego stanu prawnego, RODO wprowadza w zakresie ochrony kandydatów do pracy kilka bardzo istotnych zmian.

Po pierwsze, rozszerzono zakres informacji, które administrator będzie musiał podać potencjalnemu pracownikowi, w tym również temu, który został polecony. Zgodnie z art. 14 ust. 1 i 2 RODO, będą to dodatkowo m.in.:

- dane kontaktowe inspektora ochrony danych (jeśli taka osoba będzie w podmiocie wyznaczona),

- informacja o prawie wniesienia skargi do organu nadzorczego (GIODO), czy

- informacja o okresie, przez który dane osobowe będą przechowywane.

Kolejną istotną zmianą wynikającą z RODO jest obowiązek podania ww. informacji nie bezpośrednio po utrwaleniu danych, lecz – jeżeli chodzi o rekrutację – przy pierwszej komunikacji z potencjalnym pracownikiem.

Podstawy prawne upoważniające do przetwarzania danych potencjalnego pracownika z polecenia pozostają na gruncie RODO podobne. Najbezpieczniejszym rozwiązaniem będzie odebranie od takiej osoby zgody.

W celu nawiązania kontaktu podstawą prawną będzie art. 6 ust. 1 lit. f RODO (odpowiednik art. 23 ust. 1 pkt 5 UODO). W kontekście jego stosowania wprost wskazano, że podstawa ta nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań. Wydaje się jednak, że w zakresie prowadzenia rekrutacji organy publiczne nie działają „w ramach realizacji swoich zadań", a zatem wspomniane wyłączenie nie znajdzie zastosowania.

W obliczu wyzwań

Wyzwaniem dla firm jest kwestia gromadzenia danych osób polecających kandydatów do pracy. Czy pracodawca ma obowiązek zgłaszać taki zbiór jako odrębny? Czy osoby polecające powinny wyrażać zgodę na przetwarzanie danych osobowych przez pracodawcę? Sytuacja wydaje się być czytelna, kiedy mówimy o zamkniętym programie poleceń rekrutacyjnych, w którym role polecającego pełni pracownik danego pracodawcy. Co jednak w sytuacji, w której pracodawca rozszerza zakres programu poleceń na alumnów, pracowników firm partnerskich, dostawców, społeczności skupionej wokół marki? Wówczas po jego stronie powstaje wiele obowiązków prawno-informacyjnych, w tym konieczność zgłoszenia do GIODO dodatkowego zbioru – tj. zbioru osób polecających, które nie są jego pracownikami. W takiej sytuacji warto powierzyć obsługę kwestii nie tylko organizacyjno-informatycznych, ale i prawnych, firmom specjalizującym się w kompleksowej obsłudze programów poleceń rekrutacyjnych/outsourcingiem programów poleceń rekrutacyjnych, które oferują kompleksowe rozwiązania pozwalające zadbać o bezpieczeństwo wszystkich uczestników procesu: polecających, potencjalnych kandydatów oraz pracodawców.

W kontekście rekrutacji i wejścia w życie w maju 2018 r. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, istotna rola została również przyznana ustawodawcy krajowemu. Zgodnie z art. 88 ust. 1 RODO może on zawrzeć w ustawodawstwie krajowym bardziej szczegółowe przepisy mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem, w szczególności do celów rekrutacji. Tego rodzaju regulacje mogłyby np. doprecyzowywać zakres danych, które potencjalny pracodawca może przetwarzać w związku z prowadzoną rekrutacją. ?

Polecenia rekrutacyjne

Program poleceń rekrutacyjnych to mechanizm, dzięki któremu firmy mogą pozyskać potencjalnych kandydatów do pracy za pośrednictwem zatrudnionych już pracowników czy osób znajdujących się w otoczeniu firmy (fani marki w social media, alumni). Społecznościowy charakter rozwiązania sprawia, że w odróżnieniu od wewnętrznych programów poleceń pracowniczych, pracownicy to nie jedyne, ale jedno z wielu źródeł poleceń. Społeczność firmy mogą tworzyć m.in. byli pracownicy, agencje, rekruterzy, kandydaci pozyskiwani z innych źródeł, klienci czy fani marki w kanałach social media. W zdecydowanej większości przypadków, w zamian za polecenie wartościowego pracownika, osoba polecająca otrzymuje wynagrodzenie finansowe lub rzeczowe.

Zdaniem autora

Piotr Janiszewski, radca prawny, prezes zarządu Auraco sp. z o.o.

W praktyce istotne jest, aby administrator danych przetwarzał dane osobowe potencjalnych pracowników zgodnie również z zasadami rzetelności, celowości, adekwatności oraz czasowości. Jeżeli zatem procedura rekrutacyjna dobiegła końca, to dane osobowe osób polecanych do pracy (które nie wyraziły zgody na przetwarzanie danych w celu realizacji przyszłych procesów rekrutacyjnych) należy usunąć. Co ważne, dotyczy to dokumentów zarówno w formie papierowej, np. CV, jak i danych przetwarzanych w systemach informatycznych, np. na serwerze pocztowym.

Względnie w celu obrony przed roszczeniami w związku z naruszeniem zakazu dyskryminacji (tj. popełnienie czynu określonego w art. 123 ustawy z 20 kwietnia 2004 r. o promocji zatrudnienia i instytucjach rynku pracy) możliwe jest przetwarzanie (przechowanie) danych osobowych osób biorących udział w rekrutacji przez rok od dnia jej zakończenia (roczny termin przedawnienia karalności wykroczenia). ?

Zdaniem autora

Artur Sibera, Project Leader w ShareHire

Problemem prawnym w kontekście programów poleceń rekrutacyjnych, z jakim muszą sobie poradzić pracodawcy, jest kwestia pozyskania zgody na przetwarzanie danych osobowych potencjalnego pracownika. Idealnym modelem byłaby sytuacja, w której polecony kandydat aplikuje dokładnie w taki sam sposób na daną ofertę pracy, jakby robił to bez polecenia. I aby osoba polecająca nie polecała kandydata do pracy bezpośrednio do zainteresowanej osoby (np. poprzez wysłanie CV polecanego kandydata), tylko przekazała potencjalnemu kandydatowi link do ogłoszenia o pracy, na które ten może zaaplikować samodzielnie akceptując wymagane oświadczenia. Wtedy pozyskanie zgody na przetwarzanie danych osobowych odbywałoby się w sposób analogiczny do standardowego procesu aplikowania na ofertę pracy. Jest to model, który zabezpiecza w sposób kompleksowy interesy zarówno pracodawcy, kandydata, jak i osoby polecającej, która nie dysponuje danymi kandydata wbrew prawu. ?

Rynek pracy w Polsce w zdecydowanej większości należy obecnie do pracownika. Taka sytuacja wymusza na firmach poszukiwanie nowych rozwiązań wspierających procesy rekrutacyjne. Część z nich już wdrożyło lub zastanawia się nad wdrożeniem programu poleceń rekrutacyjnych. Takie rozwiązanie świetnie wspiera proces dotarcia do potencjalnych kandydatów. Jednocześnie jednak stawia przed działami HR, IT i prawnymi dużo wyzwań natury prawnej.

Administrator danych

Pozostało 96% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Prawo karne
Przeszukanie u posła Mejzy. Policja znalazła nieujawniony gabinet
Prawo dla Ciebie
Nowe prawo dla dronów: znikają loty "rekreacyjne i sportowe"
Edukacja i wychowanie
Afera w Collegium Humanum. Wykładowca: w Polsce nie ma drugiej takiej „drukarni”
Edukacja i wychowanie
Rozporządzenie o likwidacji zadań domowych niezgodne z Konstytucją?
Praca, Emerytury i renty
Są nowe tablice GUS o długości trwania życia. Emerytury będą niższe