fbTrack
REKLAMA
REKLAMA

Kadry

Rekrutacja po wejściu w życie RODO

Adobe Stock
Gromadzenie informacji o kandydatach do pracy wykraczających poza kodeksowy katalog jest ryzykowne. Od 25 maja za naruszenia w tym zakresie szef narazi się tym na karę administracyjną lub roszczenia odszkodowawcze załogi.

Rekrutacja jest bez wątpienia bardzo ważnym i nieraz bardzo złożonym procesem. Jednym z jego nieodłącznych elementów jest przetwarzanie danych osobowych kandydatów.

Proces naboru jest o tyle specyficzny, że firmę i kandydata nie łączą jeszcze relacje pracownicze, a co za tym idzie – wynikające stąd prawa i obowiązki stron stosunku pracy. Kodeks pracy przyznaje jednak potencjalnemu pracodawcy prawo do żądania podania określonych danych osoby ubiegającej się o zatrudnienie. Katalog tych danych jest zamknięty.

Wyszukane w sieci

Zdarza się, że przyszły pracodawca decyduje się na pozyskanie dodatkowych informacji o kandydacie. Ich źródłem są nieraz np. profile w mediach społecznościowych. W praktyce pojawia się wątpliwość, czy firma może swobodnie szperać m.in. w internecie w celu weryfikacji kandydata do pracy, a jeżeli tak – czy może zbierać i przetwarzać uzyskane w ten sposób dane osobowe w celach przeprowadzenia procesu rekrutacji. Wątpliwości budzi także dopuszczalność pobrania zgody kandydata na przetwarzanie takich dodatkowych danych. Sytuacja jest dość kontrowersyjna. Osoba ubiegająca się o zatrudnienie jest bowiem względem pracodawcy w mało uprzywilejowanym położeniu. Swoboda udzielenia takiej zgody jest więc mocno dyskusyjna.

Wątpliwości może częściowo rozwiązać RODO, tj. ogólne unijne rozporządzenie o ochronie danych osobowych z 2016 r., które zacznie obowiązywać w całej Unii Europejskiej od 25 maja 2018 r. Dodatkowo w związku z RODO planowana jest nowelizacja kodeksu pracy w tym zakresie. Niemniej niewykluczone, że jej ostateczny kształt ulegnie jeszcze zmianie.

Kodeks obecnie

Aktualnie obowiązujące przepisy kodeksu pracy uprawniają firmę do żądania od kandydata ściśle określonych danych osobowych, których podanie jest obowiązkowe. Chodzi m.in. o imię i nazwisko, miejsce zamieszkania, wykształcenie czy też przebieg dotychczasowego zatrudnienia. Pracodawca – na podstawie k.p. – może żądać także podania innych danych, jeżeli obowiązek ich wskazania wynika w określonej sytuacji z odrębnych przepisów (np. informację o niekaralności).

Wbrew powszechnie panującej praktyce, przetwarzanie ww. danych kandydata nie wymaga uzyskania jego zgody, zawartej np. w CV. Obowiązek ich podania wynika bowiem wprost z k.p. Problem pojawia się w przypadku, gdy firma zamierza pozyskać dodatkowe informacje o kandydacie, bezpośrednio od niego czy też np. z internetu. Pomocne w tym zakresie mogą się okazać wskazówki tzw. Grupy Roboczej art. 29, tj. unijnego niezależnego podmiotu zajmującego się problematyką ochrony danych osobowych oraz prywatności.

Wskazówki Grupy Roboczej

Grupa Robocza w opinii z czerwca 2017 r. zajęła się m.in. kwestią przetwarzania danych osobowych w procesie rekrutacji. Wskazała w tym dokumencie, że publiczna dostępność profilu społecznościowego kandydata nie oznacza, że firma może przetwarzać jego dane z tego profilu do własnych celów. Zdaniem GR, takie przetwarzanie wymaga podstawy prawnej, czyli tzw. uzasadnionego interesu. Przyszły pracodawca – zanim przejrzy zawartość takiego profilu – powinien przede wszystkim rozważyć, czy jest on powiązany z celami biznesowymi czy prywatnymi kandydata.

Co istotne, potencjalny pracodawca może gromadzić oraz przetwarzać dane kandydatów jedynie w takim zakresie, w jakim jest to konieczne i istotne dla wykonywania pracy, której dotyczy rekrutacja. Ponadto, po zakończeniu procesu rekrutacji, firma powinna usunąć dane kandydatów, którzy nie zostali zatrudnieni.

Zalecenia GR będą przydatne także pod rządami unijnego rozporządzenia.

Reguły z RODO

RODO przewiduje szereg zasad, które musi spełnić każdy administrator – czyli również potencjalny pracodawca, aby móc legalnie przetwarzać dane osobowe. W procesie rekrutacji istotne są m.in. zasada minimalizacji danych, ograniczenia przechowywania, czy też np. zasada rozliczalności.

Pierwsza oznacza, że dane muszą być adekwatne i ograniczone do celów, w których są przetwarzane. Druga zobowiązuje do przechowywania danych jedynie w niezbędnym czasie. Trzecia natomiast nakłada na administratora obowiązek wykazania, że przestrzega on wszystkich wytycznych z RODO.

PRZYKŁAD

Firma kurierska pozyskuje od kandydata dane osobowe określone w k.p. oraz dodatkowo – za jego zgodą – także wizerunek i informację o posiadanym prawie jazdy. Po skończonej rekrutacji i odrzuceniu kandydatury dane osobowe tej osoby pozyskane w związku z rekrutacją zostają usunięte. W takim przypadku wydaje się, że firma spełni ww. zasady. Przetwarzała bowiem dane jedynie w zakresie adekwatnym do celu przetwarzania, czyli procesu naboru, jak również usunęła je, gdy ten cel ustał. Inaczej sytuacja wyglądałaby w przypadku, w którym potencjalny szef zgromadziłby liczne dane kandydata dotyczące np. jedynie jego życia prywatnego bądź przechowywałby je długo po skończonej rekrutacji, mimo odmowy zatrudnienia.

Właściwe rozeznanie

Po 24 maja 2018 r., czyli od momentu, kiedy zacznie obowiązywać RODO, pracodawcy będą musieli zwrócić szczególną uwagę na kwestię przetwarzania danych osobowych w procesie rekrutacji. W razie wątpliwości będą musieli wykazać, że spełniają wszelkie wymogi RODO, w tym dotyczące zasad przetwarzania danych potencjalnych pracowników. Pobierając zaś zgodę na przetwarzanie danych kandydata, przyszły szef będzie musiał zapewnić, że w razie jej odmowy takiej osobie nie będą grozić negatywne konsekwencje, np. w postaci odmowy zatrudnienia.

W praktyce może się to okazać trudne do wykazania. Warto byłoby więc przed przystąpieniem do procesu rekrutacji rozważyć, jakie dane kandydata są niezbędne do jej przeprowadzenia oraz czy istnieje konieczność uzyskania jego zgody. Po jej zakończeniu firma musi zaś pamiętać o konieczności usunięcia danych osób, które nie zostały zatrudnione. Właściwe przygotowanie tego procesu z pewnością pomoże uniknąć ewentualnego naruszenia postanowień unijnego rozporządzenia. ?

Zdaniem autora

Piotr Andruszaniec, prawnik, specjalizacja prawo pracy i ochrona danych osobowych

Unijne rozporządzenie daje państwom członkowskim możliwość wprowadzenia bardziej szczegółowych przepisów odnoszących się do przetwarzania danych w kontekście zatrudnienia, w tym w zakresie rekrutacji. Efektem tego są trwające aktualnie prace nad nowelizacją kodeksu pracy. Nowy projekt opublikowany pod koniec marca br. znacznie różni się od poprzedniego w niektórych kwestiach, w tym np. poprzez wyłączenie możliwości pobrania od pracownika zgody na przetwarzanie jego danych biometrycznych. Przewiduje on m.in. możliwość pobrania zgody od osoby ubiegającej się o zatrudnienie na przetwarzanie jej danych, jeśli jest to dla niej korzystne. Projekt zakłada również ograniczenie możliwości przetwarzania danych kandydata na podstawie jego zgody do sytuacji, w której dane zostały przekazane bezpośrednio przez niego, a nie np. od byłego pracodawcy czy też np. z mediów społecznościowych. ?

Źródło: Rzeczpospolita
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA
REKLAMA
REKLAMA: automatycznie wyświetlimy artykuł za 15 sekund.
REKLAMA
REKLAMA