Stosunek pracy

Obowiązki pracodawcy i pracownika

Ochrona danych osobowych

Przetwarzanie danych przy rekrutacji pracowników a RODO

Jak potencjalni pracodawcy powinni przetwarzać dane osobowe kandydatów do pracy zgodnie z RODO, czyli ogólnym rozporządzeniem o ochronie danych? Jakie dane kandydatów mogą pozyskiwać i jak długo mogą je przetwarzać?

Rekrutacja po nowemu

25 maja 2018 roku we wszystkich krajach należących do Unii Europejskiej zaczęło być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce większość procesów przetwarzania danych. Lepsza ochrona danych każdego człowieka - to - według prawodawców - główny cel tych zmian. 

RODO i nowe polskie regulacje to ogromna reforma podejścia do ochrony naszej prywatności. Powodują zmiany również w obszarze zatrudnienia, m.in. zmiany w rozmowach rekrutacyjnych i potwierdzaniu przez pracodawców informacji podawanych przez kandydatów w CV. W skrócie: po wejściu w życie nowych przepisów pracodawca nie może pozyskać innych danych na temat pracownika niż te, na których wykorzystanie pracownik się zgodził się.


Żądać tylko tyle, ile pozwalają przepisy

Bez względu na to, w jaki sposób pracodawca będzie poszukiwał kandydatów do pracy, proces ten zawsze będzie wiązał się z pozyskiwaniem przez niego danych osobowych zawartych w dokumentach rekrutacyjnych (np. CV, listach motywacyjnych, świadectwach pracy, listach referencyjnych, zaświadczeniach itd.). Pracodawca od osób ubiegających się o zatrudnienie może żądać podania jedynie tych danych, do zbierania których uprawniają go przepisy prawa. 

Pracodawca powinien przetwarzać tylko takie dane, które są niezbędne ze względu na cel ich zbierania, jakim jest podjęcie przez niego decyzji o zatrudnieniu nowego pracownika. Pracodawca nie może zatem żądać od kandydata danych nadmiarowych, które nie są niezbędne do przeprowadzenia rekrutacji.

Dane osobowe nie mogą być zbierane "na zapas", „na wszelki wypadek”, tzn. bez wykazania zgodnego z prawem celu ich pozyskania i wykazania ich niezbędności dla realizacji tego celu przez administratora. Dane nie mogą więc być zbierane „na zapas” ani „na wszelki wypadek”, gdy pracodawca dopiero rozważa zatrudnienie kogoś w bliżej nieokreślonym czasie.

Niezgodne z przepisami o ochronie danych osobowych jest również prowadzenie rekrutacji „ślepych” lub „ukrytych”, czyli takich, w których pracodawca poszukujący pracowników pozostaje anonimowy. 

Ponadto żądanie przez pracodawcę od kandydatów do pracy informacji wykraczających poza to, co przede wszystkim przewidują przepisy prawa pracy może naruszać zarówno postanowienia RODO, jak i przepisy prawa pracy, rodząc np. zarzut dyskryminacji.

Po zakończeniu rekrutacji dane kandydatów powinny być niezwłocznie usunięte – chyba że ze względu na zainteresowanie przyszłymi naborami sami wyrażą zgodę na dłuższe wykorzystywanie ich danych.

„Dane osobowe” według RODO

„Dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Na gruncie RODO dane osobowe dzielą się na 3 kategorie:

  1. dane tzw. zwykłe, takie jak imię, nazwisko, adres zamieszkania, data i miejsce urodzenia, numer telefonu, wykonywany zawód, wizerunek, adres e-mail itp., 
  2. szczególne kategorie danych osobowych (uprzednio zwane danymi wrażliwymi), wymienione w art. 9 RODO ujawniające: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne bądź światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby, 
  3. dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa wymienione w art. 10 rozporządzenia (uprzednio również zaliczane do danych wrażliwych).

Dane wymagane od kandydata w toku rekrutacji

Pracodawca może oczekiwać od kandydata do pracy podania mu danych, które ogólnie możemy określić, jako dane:

  • identyfikacyjne (imię, nazwisko, imiona rodziców, data urodzenia);
  • kontaktowe (adres zamieszkania) oraz 
  • o wykształceniu, umiejętnościach, doświadczeniu zawodowym (ukończonych szkołach oraz studiach, przebytych szkoleniach i kursach, poprzednich pracodawcach, zajmowanych stanowiskach oraz obowiązkach zawodowych). 

Zakres danych, których pracodawca może żądać od osoby ubiegającej się o zatrudnienie wskazany został w art. 22[1] Kodeksu pracy oraz rozporządzeniu Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika. 

Jest to katalog danych, których pracodawca może żądać od kandydata do pracy, w celu podjęcia działań zmierzających do zawarcia z nim umowy (art. 6 ust. 1 lit. b RODO). Co istotne, z uwagi na specyfikę procesu rekrutacji, do zawarcia tej umowy wcale nie musi ostatecznie dojść.

Uwzględniając cel, jaki przyświeca gromadzeniu tych danych, tzn. podjęcie przez pracodawcę decyzji o zatrudnieniu pracownika, która będzie się opierała na ocenie jego przydatności do pracy na określonym stanowisku, informacje przekazywanie przez pracownika muszą być konkretne, a więc nie mogą ograniczać się tylko do zdawkowej informacji, że odbył jakieś kursy lub ukończył studia, bez wskazywania, jakie dokładnie.

Jakich danych pracodawca nie może żądać od kandydata do pracy?

Pracodawca nie może żądać od kandydata danych wykraczających poza zakres, który został wskazany w przepisach prawa, danych nadmiarowych, w szczególności takich, które nie mają związku z celem, jakim jest zatrudnienie pracownika (np. danych o stanie cywilnym, wyznaniu, poglądach religijnych bądź orientacji seksualnej).

Może się oczywiście zdarzyć, że osoba kandydująca na konkretne stanowisko będzie musiała spełnić pewne określone prawem wymogi, np. wymóg niekaralności i wtedy pracodawca będzie uprawniony do pozyskania informacji o nim w tym zakresie.

Czy pracodawca może zbierać informacje o karalności kandydata do pracy?

Zaświadczenie o niekaralności

Zaświadczenie o niekaralności jest dokumentem zawierającym dane o wyrokach skazujących, czynach zabronionych lub powiązanych środkach bezpieczeństwa zawartych w Krajowym Rejestrze Karnym, którego funkcjonowanie jest uregulowane przepisami ustawy z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym ("ustawy o KRK"). Zgodnie z art. 6 ust. 1 pkt 10 ustawy o KRK, prawo do uzyskania informacji o osobach, których dane osobowe zgromadzone zostały w rejestrze, przysługuje pracodawcom, w zakresie niezbędnym dla zatrudnienia pracownika, co do którego z przepisów ustawy wynika wymóg niekaralności, korzystania z pełni praw publicznych, a także ustalenia uprawnienia do zajmowania określonego stanowiska, wykonywania określonego zawodu lub prowadzenia określonej działalności gospodarczej.

Zobacz także: Jak uzyskać zaświadczenie z Krajowego Rejestru Karnego?

Pracodawca może żądać od przyszłego i obecnego pracownika dokumentów wynikających również z przepisów szczególnych, odnoszących się do konkretnych uregulowań wykonywania określonych zawodów. Jednak pracodawca musi przy tym pamiętać, iż w odniesieniu do danych dotyczących niekaralności, musi wynikać to wprost z przepisów prawa. Oznacza to, że pracodawca nie może żądać każdego dokumentu na wszelki wypadek, np. zaświadczenia o niekaralności, chyba że jest do tego uprawniony z mocy ustawy.

Przykład:

Są zawody, do których dostęp ograniczony jest ze względu na wymóg niekaralności, w tym np.:

  •   nauczyciele (art. 10 ust. 8a ustawy – Karta Nauczyciela), 
  • straż graniczna (art. 31 ust. 1 ustawy o Straży Granicznej), 
  • detektywi (art. 29 ust. 2 ustawy o usługach detektywistycznych),
  • osoby ubiegającej się o zatrudnienie w podmiotach sektora finansowego (art. 3 ustawy z dnia z dnia 12 kwietnia 2018 r. o zasadach pozyskiwania informacji o niekaralności osób ubiegających się o zatrudnienie i osób zatrudnionych w podmiotach sektora finansowego) – w zakresie dotyczącym skazania prawomocnym wyrokiem za przestępstwa wskazane w tej ustawie.

Czy pracodawca, który poszukuje pracowników cieszących się nieposzlakowaną opinią, może żądać od nich informacji o karalności?

Nie. Przepisy szczególne regulujące wykonywanie niektórych zawodów wskazują często na przesłankę nieposzlakowanej opinii, która jest terminem nieostrym i stanowi zwrot niedookreślony, odwołujący się do przesłanek uznaniowych, o charakterze ocennym. Nie stanowi ona jednakże podstawy do tego, żeby pracodawca miał prawo przetwarzać dane pracownika o jego niekaralności, gdyż nie wynika to bezpośrednio z przepisów prawa.

Pracodawca nie może przetwarzać danych, o których mowa w art. 10 RODO, nawet za zgodą pracownika. Przesłanka zgody, rozpatrywana na gruncie prawa pracy, wskazuje na nierówność podmiotów, w związku z tym w przedmiotowym przypadku nie miałaby podstawy zastosowania. Informacja, że dana osoba nie widnieje w Krajowym Rejestrze Karnym, jest również informacją zawierającą dane określone w art. 10 RODO. Każde więc zaświadczenie o niekaralności, które będzie zawierało informacje o wyrokach skazujących, czy też informację o tym, że dana osoba nie była skazana, będzie informacją dotyczącą wyroków skazujących i czynów zabronionych w rozumieniu RODO.

Czy pracodawca musi poinformować kandydatów do pracy o przetwarzaniu ich danych osobowych?

Każdy potencjalny pracodawca, który zbiera dane od kandydatów do pracy, jest zobowiązany poinformować te osoby o (wg art. 13 RODO):

  • pełnej nazwie i adresie swojej siedziby, 
  • danych kontaktowych inspektora ochrony danych (o ile go wyznaczył), 
  • celu przetwarzania danych oraz podstawie prawnej przetwarzania, 
  • znanych mu w chwili gromadzenia danych odbiorcach danych (rozumianych szeroko) lub ich kategoriach, 
  • zamiarze transgranicznego przetwarzania danych (o ile taki istnieje), 
  • okresie, przez który dane będą przetwarzane bądź kryteriach ustalania tego okresu, 
  • przysługujących jej prawach do żądania dostępu do danych, w tym otrzymania ich kopii, ich sprostowania, usunięcia lub ograniczenia ich przetwarzania, 
  • prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (jeśli dane są zbierane na podstawie zgody), 
  • prawie wniesienia skargi do Prezesa UODO, 
  • dobrowolności lub obowiązku podania danych i konsekwencjach ich nie podania. 

Pracodawca ma obowiązek poinformować kandydata do pracy o tych okolicznościach w chwili pozyskiwania tych danych w sposób jasny, czytelny i łatwo dostępny dla kandydata. Może to zrobić np. w treści ogłoszenia o pracę bądź w informacji zwrotnej bezpośrednio po otrzymaniu od kandydata aplikacji do pracy.

Przykład klauzuli informacyjnej:

Administrator

Administratorem Państwa danych przetwarzanych w ramach procesu rekrutacji jest X, jako pracodawca.

Inspektor ochrony danych

Mogą się Państwo kontaktować z inspektorem ochrony danych osobowych pod adresem: …

Cel i podstawy przetwarzania

Państwa dane osobowe w zakresie wskazanym w przepisach prawa pracy będą przetwarzane w celu przeprowadzenia obecnego postępowania rekrutacyjnego (art. 6 ust. 1 lit. b RODO), natomiast inne dane, w tym dane do kontaktu, na podstawie zgody (art. 6 ust. 1 lit. a RODO), która może zostać odwołana w dowolnym czasie. X będzie przetwarzał Państwa dane osobowe, także w kolejnych naborach pracowników, jeżeli wyrażą Państwo na to zgodę (art. 6 ust. 1 lit. a RODO), która może zostać odwołana w dowolnym czasie. Jeśli w dokumentach zawarte są dane, o których mowa w art. 9 ust. 1 RODO konieczna będzie Państwa zgoda na ich przetwarzanie (art. 9 ust. 2 lit. a RODO), która może zostać odwołana w dowolnym czasie. Przepisy prawa pracy: art. 22 Kodeksu pracy oraz §1 rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika.

Odbiorcy danych osobowych

Odbiorcą Państwa danych osobowych będzie …..

Okres przechowywania danych

Państwa dane zgromadzone w obecnym procesie rekrutacyjnym będą przechowywane do zakończenia procesu rekrutacji. W przypadku wyrażonej przez Państwa zgody na wykorzystywane danych osobowych dla celów przyszłych rekrutacji, Państwa dane będą wykorzystywane przez 9 miesięcy.

Prawa osób, których dane dotyczą

Mają Państwo prawo do: 1) prawo dostępu do swoich danych oraz otrzymania ich kopii 2) prawo do sprostowania (poprawiania) swoich danych osobowych; 3) prawo do ograniczenia przetwarzania danych osobowych; 4) prawo do usunięcia danych osobowych; 5) prawo do wniesienia skargi do Prezes UODO (na adres Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00 - 193 Warszawa)

Informacja o wymogu podania danych

Podanie przez Państwa danych osobowych w zakresie wynikającym z art. 221 Kodeksu pracy jest niezbędne, aby uczestniczyć w postępowaniu rekrutacyjnym. Podanie przez Państwa innych danych jest dobrowolne.

Jakie znaczenie ma zgoda na przetwarzanie danych osobowych?

Zgoda jest jedną z podstaw prawnych uprawniających do przetwarzania danych. Dotychczasowa praktyka zamieszczenia w liście motywacyjnym czy CV zgody na przetwarzanie danych w celach rekrutacyjnych nie jest właściwa. Zgoda, a w szczególności wyraźna zgoda na przetwarzanie wybranych danych, może być niezbędna jedynie w określonych sytuacjach.

Zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Czy pracodawca może przetwarzać dane zamieszczone przez kandydata w CV, które wykraczają poza to, co przewidują przepisy prawa pracy?

Zdarza się, że osoby kandydujące do pracy przekazują z własnej inicjatywy więcej danych niż wskazane w Kodeksie pracy. W takiej sytuacji dane osobowe kandydata, o ile nie należą do szczególnej kategorii danych, są przetwarzane przez potencjalnego pracodawcę na podstawie zgody, która może polegać na oświadczeniu lub zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.

Aplikacja kandydata stanowi zazwyczaj odpowiedź na ogłoszenie o pracę pracodawcy, kandydat jest świadomy, do jakiego podmiotu składa aplikację oraz w jakim celu jego dane mają być przetwarzane. Kandydat zna jednocześnie zakres danych, jaki przekazuje pracodawcy. Zwykłe dane osobowe, które wykraczają poza zakres uregulowany przepisami prawa pracy, są zatem przetwarzane przez pracodawcę na podstawie zgody kandydata, która przejawia się przez działanie, polegające np. na przesłaniu pracodawcy życiorysu i listu motywacyjnego.

Czy pracodawca może przetwarzać szczególne kategorie danych (tzw. dane wrażliwe), które osoba ubiegająca się o pracę zamieściła w CV?

W toku prowadzonej rekrutacji może zdarzyć się, że kandydat z własnej inicjatywy przekaże administratorowi dane osobowe np. o swoim stanie zdrowia. Jeżeli kandydat do pracy nie wyrazi odrębnej zgody na przetwarzanie tego rodzaju danych osobowych, a pracodawca nie legitymuje się przepisem prawa, który zobowiązuje go do ich przetwarzania, pracodawca powinien usunąć te dane ze swoich zasobów.

Ewentualna zgoda na przetwarzanie szczególnych kategorii danych powinna być wyraźna, np. w formie odrębnego oświadczenia.

Przykład takiej zdody:

„Wyrażam zgodę na przetwarzanie szczególnych kategorii danych, o których mowa w art. 9 ust. 1 RODO, które zamieściłem w liście motywacyjnym oraz załączonych do niego dokumentach.”

Są jednak pewne sytuacje, w których potencjalny pracodawca będzie uprawniony do przetwarzania szczególnych kategorii danych na podstawie odrębnych przepisów prawa. 

Przykład:

Przykładem takich regulacji są np. przepisy dotyczące wymogów dotyczących stanu zdrowia, jakie musi spełniać kandydat na policjanta. Art. 25 ust. 2 ustawy z dnia 6 kwietnia 1990 r. o policji (t.j. Dz.U. z 2017 r., poz. 2067) stanowi, iż przyjęcie kandydata do służby w policji następuje po przeprowadzeniu postępowania kwalifikacyjnego mającego na celu ustalenie, czy kandydat spełnia warunki przyjęcia do służby w policji oraz określenie jego predyspozycji do pełnienia tej służby. Postępowanie kwalifikacyjne, składa się m.in. z testu sprawności fizycznej, test psychologicznego oraz ustalenia zdolności fizycznej i psychicznej do służby w policji.

Czy pracodawca może wykorzystać dane kandydatów do pracy pozyskane w konkretnym procesie rekrutacyjnych do celów przyszłych rekrutacji?

Nie może, jeśli kandydat nie wyraził na to zgody.

Generalnie pracodawca po zakończeniu procesu rekrutacji powinien usunąć dane osobowe kandydata. Jeżeli jednak kandydat do pracy, w składanych potencjalnemu pracodawcy dokumentach, wyraził zgodę na przetwarzanie jego danych w celu wzięcia udziału w przyszłych rekrutacjach prowadzonych przez pracodawcę, to dane te mogą być w tym celu przetwarzane.

Przykład takiej zdody:

„Wyrażam zgodę na przetwarzanie danych w celu wykorzystania ich w kolejnych naborach prowadzonych przez X przez okres najbliższych 4 miesięcy.”

Czy pracownik może wycofać swoją zgodę?

Tak. Zgoda na przetwarzanie danych w celach rekrutacyjnych może być wycofana w dowolnym momencie. W takiej sytuacji pracodawca traci uprawnienie do dalszego przetwarzania tych danych i powinien niezwłocznie je usunąć.

O prawie do wycofania zgody pracodawca powinien poinformować pracownika w momencie pozyskania jego danych. Kandydat musi być zatem poinformowany o możliwości i sposobie wycofania zgody. Sposób wycofania zgody powinien być zaś równie łatwy, jak było jej wyrażenie.

Nowoczesne technologie ujarzmione przez RODO

Prowadzenie rekrutacji on-line

Korzystanie przez pracodawców z nowoczesnych technologii musi odbywać się z poszanowaniem przepisów z zakresu ochrony danych osobowych. Dotyczy to np. rekrutacji on-line. 

Gromadzenie danych przez Internet jest obecnie jednym z najbardziej popularnych sposobów tworzenia baz danych, często wykorzystywanym również w procesie rekrutacji pracowników.

Jeśli potencjalny pracodawca zdecyduje się pozyskiwać dane kandydatów przez Internet, to powinien wdrażać odpowiednie środki techniczne i organizacyjne, żeby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności tych osób związanym ze specyfiką cyberprzestrzeni. Obowiązek ten ma zastosowanie także do administratorów innych niż pracodawcy, np. agencji zatrudnienia. Każdy bowiem administrator, bez względu na sposób gromadzenia danych, musi działać zgodnie z przepisami o ochronie danych osobowych.

Na co pracodawca powinien zwrócić uwagę, decydując się na poszukiwanie pracowników za pośrednictwem stron internetowych?

W zależności od tego, czy zadaniem podmiotu zajmującego się publikacją ogłoszeń o pracę jest tylko i wyłącznie udostępnienie narzędzi do ich publikacji, czy także przetwarzanie danych kandydatów, pracodawca powinien rozważyć, czy zawrzeć z takim podmiotem umowę powierzenia przetwarzania danych osobowych.

Umowę powierzenia należy zawrzeć, jeśli podmiot zajmujący się publikacją ogłoszeń o pracę będzie przetwarzał dane kandydatów wyłącznie w imieniu i na rzecz pracodawcy. Należy w niej określić m.in. charakter i cel przetwarzania, przedmiot i czas trwania przetwarzania, rodzaj danych osobowych oraz kategorie osób (w tym przypadku dane kandydatów do pracy), których dane dotyczą, a także obowiązki i prawa administratora.

Pracodawca może przy tym korzystać wyłącznie z usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie spełniało wymogi prawa i chroniło prawa osób, których dane dotyczą, a więc osób fizycznych (kandydatów do pracy).

Przed powierzeniem danych pracodawca musi zatem ocenić, czy poziom zabezpieczeń danych osobowych, stosowanych przez podmiot przetwarzający, jest odpowiedni.

Czy potencjalny pracodawca może pozyskiwać dane kandydata z portali społecznościowych? 

Co do zasady niedopuszczalne jest gromadzenie przez pracodawców i agencje rekrutacyjne informacji zamieszczanych przez kandydatów do pracy na swój temat w mediach społecznościowych oraz innych ogólnodostępnych źródłach. Co prawda rozwój społeczeństwa informacyjnego pozwala na „budowanie” przez potencjalnych kandydatów do pracy swojego wizerunku w sieci, również w oczach przyszłego pracodawcy, poprzez zamieszczane w Internecie różnych informacji na swój temat, lecz nie oznacza to, że informacje te mogą zostać wykorzystane w procesie rekrutacyjnym. Takie działanie potencjalnie może mieć negatywny wpływ na ocenę kandydata do pracy i prowadzić do profilowania go na podstawie dostępnych w Internecie danych.

Czy potencjalny pracodawca może zweryfikować kandydata lub komunikować się z nim za pośrednictwem branżowych portali społecznościowych, jak np. LinkedIn?

Ponieważ żyjemy w dobie społeczeństwa informacyjnego, coraz częściej przyszli pracodawcy korzystają z możliwości weryfikacji kandydatów do pracy bądź do komunikacji z nimi za pomocą portali internetowych dedykowanych takim celom. Portale takie, umożliwiając kandydatom do pracy oraz pracodawcom wzajemny kontakt, umożliwiają efektywne znalezienie pracy lub pracownika.

Użytkownicy takich portali (poszukujący pracy), najczęściej zanim zaczną korzystać z usług oferowanych przez portale, muszą zapoznać się z regulaminami, politykami prywatności i je zaakceptować. Jeżeli możliwość korzystania z takiego portalu będzie wiązała się z obowiązkiem udostępnienia danych (a może tak być np., żeby założyć konto i aby dane z tego konta mogły być udostępniane potencjalnym pracodawcom), to portal musi mieć do tego podstawy prawne.

Podstawą umożliwiającą pozyskiwanie, gromadzenie, udostępnianie danych użytkowników (kandydatów) do pracy będzie zgoda osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO), bądź też potrzeba wykonania zawartej umowy (ewentualnie konieczność podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, art. 6 ust. 1 lit. b RODO).

Inną kwestią natomiast będzie możliwość kontaktowania się (przetwarzania danych w związku z tym) przez pracodawcę z kandydatem w innej formie np. mailowej (poza portalem, na którym doszło do kontaktu).

Czy można poszukiwać pracowników w ramach tzw. rekrutacji „ślepych”, „ukrytych”?

Prowadzenie procesów rekrutacyjnych, w których pracodawca zlecający firmie rekrutacyjnej przeprowadzenie postępowania rekrutacyjnego, zastrzega sobie anonimowość, jest coraz powszechniejszym zjawiskiem na rynku pracy. Motywy pracodawców decydujących się na ich przeprowadzenie są różne – od chęci utajnienia rekrutacji przed pracownikiem, którego mają zamiar zwolnić (najczęściej, kiedy zatrudniony jest na samodzielnym stanowisku, np. głównego księgowego), po chęć gromadzenia bazy kandydatów niejako „na zapas”.

Do przeprowadzenia rekrutacji „ukrytej” wykorzystywane są zazwyczaj portale internetowe, które pośredniczą w rekrutacji, udostępniając narzędzie wykorzystywane do publikowania ogłoszeń.

Takiego typu rekrutacji nie można uznać za zgodną z przepisami o ochronie danych osobowych, ponieważ kandydat do pracy nie posiada wiedzy, jaki podmiot zbiera jego dane osobowe i wobec jakiego podmiotu może realizować swoje prawa.

O prawidłowym wykonaniu obowiązku informacyjnego nie możemy mówić także w przypadku, gdy klauzula informacyjna zostanie wysłana przez potencjalnego pracodawcę w odpowiedzi na otrzymaną aplikację, gdyż obowiązek poinformowania m.in. o tożsamości pracodawcy powinien być realizowany przez niego na etapie zbierania danych osobowych, a nie na etapie ich utrwalania.

Osoba przekazująca dane osobowe powinna posiadać wiedzę odnośnie tego, komu je udostępnia. Ma to szczególne znaczenie w związku z sytuacjami, w których ogłoszenia o pracę są sposobem na wyłudzanie danych osobowych przez nieuczciwe podmioty do własnych celów niezwiązanych z zatrudnianiem pracowników.

Agencje zatrudnienia

Rozwiązaniem umożliwiającym pracodawcy utrzymanie anonimowości na wstępnym etapie rekrutacji może być zlecenie jej przeprowadzenia innym podmiotom, np. agencjom zatrudnienia, których działalność uregulowana jest prawnie i które zobowiązane są do przetwarzania posiadanych danych osobowych zgodnie z przepisami o ochronie danych osobowych.

Gdy pracodawca zleca rekrutację agencji zatrudnienia, kandydaci mogą kierować swoje zgłoszenia do agencji, która w takiej sytuacji będzie pełniła rolę administratora ich danych. Będzie ona przetwarzać dane osobowe kandydatów na podstawie ich zgody wyrażonej w zgłoszeniu w celu przeprowadzenia pierwszego etapu rekrutacji – pozyskania CV oraz selekcji pracowników. W tej sytuacji obowiązek informacyjny podczas pozyskiwania danych powinna spełnić agencja.

Obowiązek informacyjny po stronie pracodawcy, który wcześniej nie ujawnił swojej tożsamości, powstaje w momencie, kiedy dane wybranych przez agencję kandydatów mają być mu przekazane. Wówczas wybrani kandydaci przed przekazaniem danych powinni zostać poinformowani przez agencję o danych potencjalnego pracodawcy oraz wyrazić zgodę na przekazanie ich kandydatur. Pracodawca otrzymuje dane osobowe tylko tych kandydatów, którzy wyrażą stosowną zgodę.

Jakie dane kandydata pracodawca może gromadzić w trakcie rozmowy kwalifikacyjnej?

W toku rekrutacji pracodawca zwykle może zechcieć spotkać się z kandydatem osobiście, żeby sprawdzić jego doświadczenie i umiejętności oraz upewnić się, czy jest właściwą osobą na stanowisko, na które aplikuje (np. podczas rozmowy kwalifikacyjnej czy testu wiedzy i umiejętności). W trakcie tego procesu również dochodzi do gromadzenia danych osobowych.

Podczas rozmowy kwalifikacyjnej pracodawca może bowiem zadawać szereg szczegółowych pytań odnoszących się do informacji, jakie kandydat na pracownika zawarł w swoim CV. Musi jednak pamiętać, że powinny się one odnosić wyłącznie do kwestii związanych ze stanowiskiem, na które on aplikuje.

Należy unikać zadawania pytań, które kandydata na pracownika mogą zawstydzić bądź naruszyć jego prawo do prywatności lub dobra osobiste (np. dotyczących wyznania, orientacji seksualnej, przekonań politycznych, życia prywatnego, rodzicielstwa czy planowanego potomstwa).

W pewnych sytuacjach jednak, o ile wynika to bezpośrednio z przepisów prawa, pracodawca może być uprawniony do zadania pytań niedyskretnych (np. pytanie starającego się o posadę nauczyciela w szkole publicznej, czy był karany za przestępstwo popełnione umyślnie).

Czy można skontaktować się z poprzednim pracodawcą kandydata w celu uzyskania informacji na jego temat?

Niedopuszczalne jest pozyskiwanie przez potencjalnego pracodawcę informacji o kandydacie na pracownika od jego poprzedniego pracodawcy, jeśli nie uzyskał on od kandydata zgody na powyższe.

 Złożenie przez kandydata do pracy tzw. referencji nie uprawnia pracodawcy do kontaktu z podmiotem je wystawiającym w celu pozyskania dodatkowych informacji o kandydacie.

Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Potencjalny pracodawca nie może tym samym zwrócić się do poprzedniego pracodawcy o informację, jakie zadania realizował kandydat u tego podmiotu oraz jaką ma opinię o kandydacie do pracy.

Podczas procesu rekrutacyjnego źródłem informacji, które dotyczą przebiegu pracy zawodowej, powinien być sam kandydat.

Czy potencjalny pracodawca może zwrócić się do uczelni wyższej z prośbą o potwierdzenie, czy kandydat do pracy uzyskał w niej dyplom?

Nie. Potwierdzanie prawdziwości dyplomu ukończenia studiów wyższych, jak też innych danych zawartych w dokumentach przedkładanych przez kandydata w toku rekrutacji, poprzez kierowanie zapytań do podmiotów, które wydały te dokumenty, jest niedopuszczalne.

 Polski prawodawca co zasady nie przewiduje w przepisach krajowych uprawnienia pracodawcy do występowania do innych podmiotów w celu potwierdzenia lub sprawdzenia prawdziwości dokumentów i danych w nich zawartych przedłożonych przez kandydatów w toku rekrutacji. Takie działanie nie ma również oparcia w przesłance określonej w art. 6 ust. 1 lit. f RODO.

Polski ustawodawca zdecydował, w jakiej formie pracodawca powinien pozyskiwać informacje o kandydacie do pracy. Ponieważ, zgodnie z art. 22[1] § 3 Kodeksu pracy, udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą, stąd należy uznać, że praktyka polegająca na dodatkowej weryfikacji informacji uzyskanych od kandydata naruszałaby jego prawa i wolności.

Praktyka polegająca na pozyskiwaniu zgód od kandydata na weryfikowanie prawdziwości złożonych oświadczeń oraz danych zawartych w dokumentach nie znajduje także oparcia w przepisach RODO.

Niewyrażenie zgody przez kandydata na kontakt z uczelnią przez pracodawcę (choćby z powodów subiektywnych np. konfliktu z uczelnią), może spowodować, że potencjalny pracodawca odrzuci jego kandydaturę. Jednak jednym z warunków skuteczności zgody jest jej dobrowolność, co oznacza, że osoba, której dane dotyczą nie powinna ponosić żadnych negatywnych konsekwencji, jeżeli odmówi jej wyrażenia.

Jeśli pracodawca ma podejrzenia, że przedkładany dokument został sfałszowany, to powinien złożyć zawiadomienie o możliwości popełnienia przestępstwa określonego w art. 270 § 1 Kodeksu karnego.

Czy można tworzyć tzw. „czarne listy” osób ubiegających się o zatrudnienie?

Nie można. Za niedopuszczalne należy uznać tworzenie tzw. „czarnych list” osób ubiegających się o zatrudnienie.

Podstawy prawnej nie znajduje też wymienianie się informacjami pomiędzy pracodawcami o kandydatach do pracy, których zatrudniać nie chcą.

Tworzenie zbiorów danych o charakterze negatywnym może także prowadzić do dyskryminacji i podejmowania niekorzystnych dla danej osoby decyzji w oparciu o często nierzetelne, bezpodstawnie pozyskane informacje.

Jak długo można przetwarzać dane kandydatów do pracy?

Okres przechowywania danych kandydata do pracy winien być dostosowany do zasad przetwarzania danych i z góry określony przez administratora.

Co do zasady pracodawca powinien trwale usunąć dane osobowe (np. poprzez zniszczenie lub odesłanie) kandydata, z którym nie zdecydował się zawrzeć umowy o pracę, niezwłocznie po zakończeniu procesu rekrutacji, tzn. po podpisaniu umowy o pracę z nowozatrudnionym pracownikiem, chyba że ziściły się inne przesłanki uprawniające administratora do ich przetwarzania.

Konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania. Wydłużenie okresu przechowywania danych zawartych w aplikacji winno być więc wyjątkiem od reguły niezwłocznego ich usuwania oraz powinno być szczególnie uzasadnione.

Czy niedoszły pracodawca może przetwarzać dane kandydatów do pracy po zakończeniu rekrutacji w celu zabezpieczenia się przed ich ewentualnymi roszczeniami?

Niedopuszczalne jest przetwarzanie danych jedynie w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem osoby, której dane dotyczą. W przeciwnym razie mogłaby pojawić się wątpliwość, jak długo należy przetwarzać dane osobowe, gdy ta osoba nie zdecyduje się na wytoczenia powództwa przeciwko pracodawcy.

W toku rekrutacji nie powstaje żaden stosunek zobowiązaniowy między kandydatem do pracy a pracodawcą. Brak jest dokonania wzajemnych rozliczeń czy możliwości zarzucenia drugiej stronie niewykonania umowy lub nieprawidłowego jej wykonania. Nie ma więc podstaw do uznania, że pracodawca jest uprawniony do przetwarzania danych z uwagi na konieczność ustalenia bądź nieistnienia roszczenia.

Takie działanie pracodawcy stanowiłoby zakazane przetwarzanie danych kandydata „na wszelki wypadek”.

Czy możliwość wystąpienia roszczeniem z tytułu dyskryminacji uzasadnia dłuższe przechowywanie danych?

W przypadku roszczeń wynikających z dyskryminacji kandydata do pracy, to na kandydacie spoczywa obowiązek przedstawienia faktów, z których wynika domniemanie nierównego traktowania, a następnie na pracodawcę zostaje przerzucony ciężar udowodnienia, że nie traktował kandydata gorzej od innych albo, że, traktując go odmiennie od innych, kierował się obiektywnymi i usprawiedliwionymi przyczynami. Pracodawca może np. wykazać przed sądem, z jakiego powodu zatrudnił inną osobę na stanowisko, na które aplikował kandydat.

Pracodawca w procesie rekrutacji podejmuje czynności zmierzające do zatrudnienia pracownika. Powszechną praktyką jest zaś zapraszanie na rozmowę kwalifikacyjną kandydatów do pracy. To głównie w jej wyniku kandydat może odnieść wrażenie, że jest dyskryminowany. Jednak osobiste przekonanie kandydata o tym, że jest dyskryminowany, nie jest równoznaczne z uprawdopodobnieniem przez niego wystąpienia dyskryminacji.

Może zatem dojść do sytuacji, w której kandydat - zgodnie z jego CV - legitymuje się dużym doświadczeniem, w porównaniu do innych kandydatów ma wysokie kwalifikacje, ale nie otrzymuje propozycji pracy, z uwagi na to, że rozmowa kwalifikacyjna nie poszła mu dobrze (np. był nieuprzejmy bądź nie znał odpowiedzi na merytoryczne pytania zadawane przez rekrutera), w efekcie czego pracodawca nie zatrudnia takiego kandydata. Kandydat natomiast uważa, że nie dostał pracy z uwagi na dyskryminację, np. ze względu na płeć. W takim i podobnych przypadkach przechowywanie danych osobowych takiego kandydata do pracy po zakończeniu rekrutacji nie można uznać za niezbędne dla pracodawcy.

Istotą roszczenia z tytułu dyskryminacji ze względu na jakąś cechę lub przekonania jest uprawdopodobnienie, że to właśnie z tej przyczyny kandydat został potraktowany w sposób gorszy niż reszta kandydatów, natomiast dopiero wówczas pracodawca musi wykazać, że ta cecha nie miała wpływu na dokonanie przez niego oceny negatywnej, do czego nie jest konieczne przetwarzanie danych zawartych w życiorysie kandydata do pracy.

Czy pracodawca może zachować na potrzeby przyszłych rekrutacji przesłane dane zawarte w CV potencjalnego kandydata do pracy, które wpłynęło doń, kiedy nie prowadził on rekrutacji?

Zdarzają się sytuacje, gdy osoby poszukujące pracy z własnej inicjatywy, niezależnie od tego, czy potencjalny pracodawca prowadzi proces rekrutacji, czy też nie, wysyłają do różnych podmiotów swoje aplikacje. Pracodawca po otrzymaniu takiej kandydatury powinien rozważyć, czy chce rozpocząć rekrutację, czy też nie jest zainteresowany zatrudnianiem nowych pracowników. Jeśli zdecyduje, że jest zainteresowany zatrudnieniem nowej osoby, to powinien niezwłocznie wykonać w stosunku do niej obowiązek informacyjny oraz rozpocząć podejmowanie działań zmierzających do zawarcia umowy (np. przeprowadzenie rozmowy kwalifikacyjnej, gromadzenie koniecznej dokumentacji).

Jeżeli jednak pracodawca stwierdzi, że nie jest zainteresowany poszerzeniem swojej kadry, to powinien niezwłocznie usunąć dane dotyczące kandydata ze swoich zasobów.

Jak powinien się zachować pracodawcą z sektora służby cywilnej, gdy wpływa do niego CV (lub inne dokumenty rekrutacyjne), chociaż nie jest przeprowadzany nabór do pracy?

Z art. 28 ust. 1 ustawy z dnia 21 listopada 2008 r. o służbie cywilnej (t.j. Dz.U. z 2018 r. poz. 1559) wynika obowiązek dyrektora generalnego urzędu do upowszechniania informacji o wolnych stanowiskach pracy przez umieszczanie ogłoszeń o naborach w miejscu powszechnie dostępnym w siedzibie urzędu, w Biuletynie Informacji Publicznej urzędu, oraz w Biuletynie Informacji Publicznej Kancelarii Prezesa Rady Ministrów.

W przypadku gdy do urzędu wpłyną dokumenty potencjalnego kandydata do pracy, a nie jest przeprowadzany nabór na wolne stanowisko pracy, dyrektor generalny nie ma prawa zatrudnić takiej osoby. Musi więc albo niezwłocznie usunąć dane dotyczące takiego kandydata ze swoich zasobów, albo skontaktować się z kandydatem, aby otrzymać ewentualną zgodę kandydata na przetwarzanie jego danych osobowych zawartych w takiej dokumentacji dla celów przyszłych naborów na wolne stanowiska pracy w urzędzie.

Jakimi zasadami powinien się kierować pracodawca z sektora służby cywilnej, publikując informacje związane z prowadzonym naborem?

Są przepisy prawa, które w sposób szczególny regulują kwestie dotyczące naboru pracowników, np. w służbie cywilnej. I tak, art. 31 ustawy o służbie cywilnej stanowi, że dyrektor generalny urzędu niezwłocznie po przeprowadzonym naborze upowszechnia informację o wyniku naboru przez umieszczenie jej w miejscu powszechnie dostępnym w siedzibie urzędu, w Biuletynie urzędu oraz w Biuletynie Kancelarii.

Przepisy ustawy nie wskazują okresu, przez jaki taka informacja ma być dostępna publicznie.

W takim przypadku administrator danych osobowych powinien kierować się zasadą ograniczenia przechowywania (retencji) danych osobowych, określoną w art. 5 ust. 1 lit. e RODO. Zgodnie z tą zasadą, dane osobowe muszą być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.

Celem publikacji danych wybranego kandydata jest realizacja zasady jawności, która umożliwia dokonanie społecznej kontroli prawidłowości przebiegu postępowania rekrutacyjnego. Czas publikacji takich danych powinien być więc wystarczający do umożliwienia przeprowadzenia takiej kontroli w czasie niezbyt odległym od dokonanego wyboru, tzn. w czasie, kiedy kandydaci lub osoby trzecie mogą być zainteresowane danym naborem i będą chciały skorzystać z prawa do takiej informacji, jakie mają na podstawie art. 31 tej ustawy.

Optymalnym okresem czasu, przez jaki takie informacje mogą być ujawniane na podstawie art. 31 ww. ustawy jest okres 3 miesięcy, liczony od dnia ich publikacji. Na taki okres czasu może wskazywać art. 33 ustawy, dotyczący wyjątku od zasady obowiązku przeprowadzenia naboru (według niego, jeżeli w ciągu 3 miesięcy od dnia nawiązania stosunku pracy z osobą wyłonioną w drodze naboru istnieje konieczność ponownego obsadzenia tego samego stanowiska pracy, dyrektor generalny urzędu może zatrudnić na tym samym stanowisku inną osobę spośród kandydatów, o których mowa w art. 29a ust. 1).

Przepis art. 29 ustawy o służbie cywilnej uznaje wyniki naboru za informację publiczną, a zatem każda osoba zainteresowana wynikiem naboru może złożyć wniosek o udostępnienie takich informacji w sytuacji, kiedy zostaną one usunięte z Biuletynu urzędu, Biuletynu Kancelarii bądź przestaną być dostępne w siedzibie urzędu, do którego przeprowadzany był nabór.

Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.   

Podstawa prawna:

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1); 
  • ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r., poz. 1000);
  • ustawa z dnia 26 czerwca 1974 r. - Kodeks pracy (tekst jednolity: Dz.U. 1998 r., Nr 21, poz. 94, ze zm.).

Na podst. informacji UODO, uodo.gov.pl

Obserwuj nas na:

Potrzebujesz porady prawnej?

KOMENTARZE (0)

Nie dodano jeszcze żadnego komentarza. Bądź pierwszy!!


Dodaj komentarz

DODAJ KOMENTARZ

ZOBACZ TAKŻE:

  • 4.11.2018

    Decyzje administracyjne bez numeru PESEL

    Do oznaczania stron postępowania nie powinno się wykorzystywać numeru PESEL. Takie działanie jest niezgodne z prawem, np. z RODO.

  • 14.6.2018

    Jak rozumieć i stosować podejście oparte na ryzyku?

    Zgodnie z RODO, każdy podmiot musi samodzielnie oceniać ryzyko, jakie przetwarzanie danych osobowych może spowodować dla praw i wolności osób, których te dane dotyczą. Dla (...)

  • 20.4.2018

    Nowe obowiązki informacyjne

    Od wszystkich administratorów danych wymagać się będzie, aby wszelkie informacje kierowane do osób, których dane dotyczą, były formułowane jasnym i prostym językiem, by były (...)

  • 18.4.2018

    Automatyczne przetwarzanie danych oparte na profilowaniu

    RODO szczególny nacisk kładzie na operacje przetwarzania przy użyciu technik profilowania w sytuacji, gdy to przetwarzanie: jest zautomatyzowane, dokonywane jest na danych osobowych, ma (...)

  • 21.4.2018

    Powierzenie danych osobowych

    Powierzenie danych powinno być regulowane umową lub innym instrumentem prawnym, określającym przedmiot i czas trwania przetwarzania, charakter i cele przetwarzania, rodzaj danych osobowych i kategorie (...)