Na źle przeprowadzonym naborze firma straci reputację

Ustawa o ochronie danych osobowych nakłada na pracodawcę, który jest administratorem danych osobowych, obowiązek przetwarzania danych kandydata do pracy wyłącznie w celu, dla którego dane zostały zebrane. Chodzi więc tylko o podjęcie decyzji o zatrudnieniu pracownika na konkretne stanowisko.

- Czy wyrażenie zgody w dokumentach aplikacyjnych kandydata na przetwarzanie jego danych osobowych jest konieczne, aby uwzględnić go w procesie rekrutacji?

Wbrew powszechnej opinii – najczęściej nie. Przyszły pracodawca przetwarza bowiem dane kandydatów na podstawie przepisów, a nie na mocy ich zgody.

Podstawą prawną do przetwarzania danych osobowych kandydatów na pracowników jest art. 221 § 1 k.p. Szczegółowo określa on, jakie dane może uzyskać firma prowadząca nabór do pracy. Należą do nich m.in. imię i nazwisko, imiona rodziców, data urodzenia, miejsce zamieszkania, wykształcenie czy przebieg dotychczasowego zatrudnienia. To niezbędne informacje, które pozwolą wybrać najbardziej odpowiedniego kandydata na oferowane stanowisko.

Z klauzulą

- Przeprowadzając rekrutację, pracodawcy powinni spełnić tzw. obowiązek informacyjny. Na czym on polega?

Gromadząc życiorysy kandydatów, pracodawca staje się administratorem danych osobowych w nich zawartych. Dlatego zanim zacznie je wykorzystywać, musi spełnić wiele obowiązków informacyjnych, w tym te dotyczące celu swoich działań (przeprowadzenie rekrutacji). Nie oznacza to jednak, że indywidualnie do wszystkich aplikujących musi wysłać np. e-mail z taką wiadomością. Najbardziej skuteczną formą realizacji obowiązku informacyjnego jest stworzenie odpowiedniej klauzuli oraz zamieszczenie jej pod formularzem, za pośrednictwem którego dane są pozyskiwane. Spełni także ten obowiązek w formie tzw. pop-upu, czyli wyskakującego okienka na stronie internetowej.

Tylko konkretna rekrutacja

- Pracodawcy pozyskujący dane osobowe na potrzeby konkretnej rekrutacji bardzo często wykorzystują je także w innych celach, np. dla przyszłych naborów lub w celach marketingowych. Czy to dopuszczalne działanie?

Tak, ale pod warunkiem, że pracodawca pozyskał wcześniej od kandydata odrębną zgodę na przetwarzanie jego danych w innym celu niż udział w tym konkretnym procesie rekrutacyjnym. Aby taką zgodę uznać za skuteczną, powinna spełniać określone wymogi. Chodzi m.in. o to, aby ją wyodrębnić od innych zgód i klauzul informacyjnych, by była dobrowolna i świadoma, tj. kandydat powinien uzyskać wiele informacji, w tym o celu przetwarzania danych i ich administratorze.

Operowanie takimi klauzulami ułatwiają profesjonalne narzędzia do zarządzania rekrutacjami. Dzięki gotowym szablonom w formularzu aplikacyjnym prowadzący nabór zamieszcza prośbę o zgodę na udział w przyszłych procesach aplikacyjnych. Jeżeli kandydat nie zgodzi się na kolejne projekty, taka informacja w systemie zostanie umieszczona przy jego nazwisku.

Bez pytań o wiarę i kary

- Czym są tzw. dane wrażliwe? Czy firma prowadząca rekrutację może się domagać od przyszłego pracownika ich podania?

Katalog danych możliwych do pozyskania od kandydata na podstawie art. 221 § 1 k.p. jest wyczerpujący. Nie ma tu mowy np. o stanie cywilnym.

Pracodawcy nie wolno pozyskiwać także tzw. danych wrażliwych. Chodzi o informacje ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową. Są to także informacje o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatach karnych, a także innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym.

Oczywiście pewnym branżom (np. usługom medycznym) szczególne przepisy zezwalają na pozyskanie dodatkowych danych. Każdorazowo wymaga to jednak wskazania tej specyficznej podstawy prawnej.

Kontrolowane niszczenie

- W wielu firmach dość często pracownicy przekazują między sobą interesujące życiorysy kandydatów. Czy jest to dozwolone?

Takie działanie narusza zarówno ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. DzU z 2015 r., poz. 2135 ze zm.), jak i dobra osobiste kandydata. Dokumenty aplikacyjne powinny trafiać wyłącznie do osób odpowiedzialnych za rekrutację i upoważnionych do przetwarzania danych (w tym zakresie). Ponadto muszą być przechowywane w miejscu niedostępnym dla pozostałych pracowników. Dodatkowo gdy kończy się proces rekrutacji, należy odpowiednio chronić oraz zarchiwizować dane kandydatów. W momencie, kiedy odpadnie powód do przechowywania danych rekrutacyjnych (np. ze względu na możliwe roszczenia dotyczące dyskryminacji kandydatów), należy je usunąć. Trzeba przy tym zachować szczególną staranność, pamiętając o usunięciu danych z poczty elektronicznej. Eliminując zaś dokumenty papierowe, należy posługiwać się niszczarką tak, aby mieć całkowitą pewność, że informacje te nie dostaną się w niepowołane ręce. Z kolei dla bezpieczeństwa elektronicznych danych kandydatów warto wdrożyć elektroniczne systemy rekrutacyjne. Dzięki temu zbieranie i przechowywanie informacji będzie się odbywało zgodnie z przepisami o ochronie danych osobowych.

Jakie roszczenia

- Czy jeśli rekruter nie dopełni obowiązków związanych z ochroną danych osobowych, poszkodowany kandydat może dochodzić swoich praw?

Oczywiście. Takie roszczenia mogą wynikać z co najmniej dwóch podstaw prawnych. Jedną jest ustawa o ochronie danych osobowych i kandydat może żądać np. usunięcia danych niekompletnych, nieaktualnych czy nieprawdziwych. Drugą podstawą jest kodeks cywilny i naruszenia gwarantowanych w nim dóbr osobistych, np. wizerunku czy tajemnicy korespondencji.