Dołącz do czytelników
Brak wyników

Artykuł partnerski

28 listopada 2018

NR 7 (Listopad 2018)

RODO w rekrutacji
Obalamy mity

Jakie dane można pozyskiwać w procesie rekrutacji, kiedy pracodawca nie musi spełniać żądań kandydata? Czy osoba starająca się o pracę powinna wyrażać odrębną zgodę na przetwarzanie dodatkowych danych? Eksperci HR i prawnicy obalają mity na temat RODO w rekrutacji.

Chyba każdy słyszał o eksperymencie przeprowadzonym w 1953 r. na uniwersytecie w Yale. Studentów poproszono o napisanie, co chcieliby w życiu osiągnąć – im dokładniej, tym lepiej. Dwadzieścia lat później przyjrzano się losom badanych: 3 proc. tych, którzy spisali swoje cele, zgromadziło majątek przewyższający bogactwo 97 proc. pozostałych osób.

Imponujące, prawda? Jest tylko jeden problem: badanie nigdy się nie odbyło. Półprawdy, mity i nieścisłości mogą dotyczyć wielu obszarów biznesowej rzeczywistości. Przykładem jest interpretacja Rozporządzenia o Ochronie Danych Osobowych (RODO). Choć unijne regulacje obowiązują od 25 maja tego roku, duża grupa rekruterów nadal ma wiele wątpliwości i pytań, jak rozumieć i stosować niektóre przepisy, definicje i sformułowania. Część objaśnień i praktyk tak bardzo odbiega od intencji autorów RODO, że mogą rywalizować ze słynnym eksperymentem z Yale. Dlatego postawiliśmy rozprawić się z mitami narastającymi wokół RODO w rekrutacji.

Mit 1: Od kandydatów można pozyskiwać wyłącznie dane wskazane w Kodeksie pracy? NIE 

Wykaz danych zawartych w Kodeksie pracy może okazać się niewystarczający do przeprowadzenia rekrutacji i zatrudnienia odpowiedniego kandydata. Ustawodawca przewidział taką sytuację i dał rekrutującym prawo do tego, by mogli prosić kandydatów o dodatkowe informacje. Po spełnieniu określonych warunków mogą one dotyczyć m.in. oczekiwań finansowych, niekaralności i zainteresowań. 

Z przepisów wykonawczych do Kodeksu pracy1 wynika m.in., że potencjalny pracodawca może wymagać od kandydatów również dodatkowych dokumentów takich jak: wypełniony kwestionariusz osobowy aplikującego, świadectwo pracy z poprzednich firm, w których pracował w roku, w którym ubiega się o zatrudnienie, dokumenty potwierdzające kwalifikacje zawodowe, wymagane do wykonywania pracy, o którą stara się kandydat, orzeczenie lekarskie o braku przeciwwskazań do pracy na określonym stanowisku.

Bezwzględnie ważne jest jednak, by pracodawca miał podstawę prawną do przetwarzania określonych danych kandydata. Zgodnie z przepisami, może to robić w oparciu o:

  • regulacje Kodeksu pracy (m.in. dane identyfikacyjne, kontaktowe, doświadczenie zawodowe),
  • przepisy szczególne (np. informacje o niekaralności),
  • odrębną zgodę kandydata (np. zainteresowania, zdjęcie),
  • uzasadniony interes administratora (np. oczekiwania finansowe).

Osoby prowadzące rekrutację powinny pamiętać o przygotowaniu odpowiedniej klauzuli informacyjnej dla kandydata, dostępnej przed przesłaniem przez niego aplikacji, w której musi znaleźć się wyjaśnienie, jakie dane są wymagane w procesie rekrutacji, na jakiej podstawie prawnej będą przetwarzane, czy podanie danych jest obowiązkiem ustawowym, umownym czy warunkiem zawarcia umowy oraz jakie są konsekwencje niepodania wymaganych danych. Łatwo zrozumieć rekrutera, który chce zweryfikować życiorys kandydata u poprzednich, wymienionych w CV pracodawców. Rekruter nie może tego jednak robić bez zgody kandydata. Dlatego, zanim pracodawca zacznie gromadzić dane kandydatów, musi zastanowić się, jakich danych bezwzględnie potrzebuje w danym procesie rekrutacyjnym, a także jaka jest podstawa prawna przetwarzania konkretnych danych – dodaje Agnieszka Witaszek, Inspektor Ochrony Danych w Grupie Pracuj.

Co więcej, aby z łatwością zarządzać klauzulami informacyjnymi w wielu prowadzonych procesach rekrutacyjnych warto skorzystać ze wsparcia systemu do rekrutacji, który zapamięta, jaką klauzulę informacyjną i kiedy widział aplikujący.

Mit 2: Kandydat musi wyrazić odrębną zgodę na przetwarzanie dodatkowych danych? NIE

Kandydat może wyrazić zgodę na przetwarzanie dodatkowych danych zawartych w CV również przez swoje wyraźne działanie, np. kliknięcie przycisku „Aplikuj” zamieszczonego w ofercie pracy lub formularzu aplikacyjnym. Dotyczy to również zgody na przetwarzanie zamieszczonego w CV zdjęcia. Wyjątkiem jest sytuacja, gdy pracodawca wykorzystuje w rekrutacji narzędzia do identyfikacji kandydatów na podstawie fotografii – wtedy takie zdjęcie może być uznane za daną biometryczną i wymagać odrębnej zgody kandydata na jego wykorzystanie – wyjaśnia Krystian Adamczyk, ekspert eRecruiter, systemu do zarządzania rekrutacjami.

Bardzo ważne jest, aby pracodawca zawarł w klauzuli informacyjnej stosowne postanowienia, które wyjaśniają, kiedy kandydat wyraża zgodę, np.: „Klikając w przycisk „Aplikuj” zgadzasz się na przetwarzanie przez XXX danych osobowych zawartych w Twoim zgłoszeniu rekrutacyjnym dla celów prowadzenia rekrutacji na stanowisko wskazane w ogłoszeniu o pracę (zgoda obejmuje dodatkowe dane osobowe, które nie zostały wskazane w Kodeksie pracy lub w innych przepisach prawa, np. Twoje zdjęcie, zainteresowania). Jeżeli nie chcesz, abyśmy przetwarzali dodatkowe dane o Tobie, nie umieszczaj ich w swoich dokumentach”. 

Należy pamiętać, że kandydat wyraża w ten sposób zgodę tylko na potrzeby jednego, konkretnego procesu rekrutacyjnego w określonej firmie. Rekruter nie może swobodnie dysponować otrzymanym CV, np. wykorzystując je w innym procesie. W przypadku przetwarzania danych osobowych w przyszłych procesach rekrutacyjnych konieczne jest zawsze pozyskanie odrębnej zgody kandydata. 

Zgodnie z RODO pracodawca musi mieć możliwość wykazania, jakie zgody wyraził kandydat i kiedy miało to miejsce. Przy wielu prowadzonych procesach rekrutacyjnych zarządzanie zgodami kandydatów może okazać się dla rekrutujących nie lada wyzwaniem. Prowadzenie tego typu dokumentacji ułatwić może system do rekrutacji, który odpowiednio oznaczy kandydatów, również tych bez zgody na udział w przyszłych rekrutacjach, a dodatkowo, w stosownym momencie, przypomni o zbliżającym się zakończeniu czasu przetwarzania danych osobowych.

Mit 3: W każdej sytuacji należy spełnić żądanie kandydata w stosunku do jego danych? NIE

Kandydat ma prawo: dostępu do danych, w tym uzyskania ich kopii, sprostowania danych, usunięcia danych (bycia zapomnianym), ograniczenia przetwarzania, sprzeciwu oraz niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu oraz prawo do przeniesienia danych do innego administratora.

Zdarzają się sytuacje, kiedy pracodawca nie ma obowiązku spełnienia żądania kandydata. Dzieje się tak np. w sytuacji, kiedy toczy się postępowanie sądowe związane z procesem rekrutacyjnym, a dane kandydata stanowią dowód w sprawie. Wówczas pracodawca ma prawo odmowy lub odroczenia spełnienia żądania.

Jeżeli aplikujący domaga się spełnienia swoich praw, administrator danych musi go poinformować o działaniach podjętych w związku z jego żądaniem, bądź o powodach ich niepodjęcia, a także o możliwości wniesienia skargi do organu nadzorczego i skorzystania ze środków ochrony prawnej przed sądem. Powinien to uczynić niezwłocznie – nie później jednak niż w terminie miesiąca od otrzymania żądania.

Pracodawca ma określony czas na zareagowanie na żądanie kandydata – zwraca uwagę Agnieszka Witaszek z Grupy Pracuj. – Nie musi to nastąpić 
natychmiast po otrzymaniu żądania. Pracodawca musi bowiem mieć zapewniony określony czas, który pozwoli mu na zweryfikowanie tożsamości kandydata, przeanalizowanie żądania i jego zasadności, a następnie podjęcie kroków w celu jego realizacji. 

Spełnianie żądań kandydatów, realizacja ich praw, a także skuteczne zarządzanie danymi wspomagają nowoczesne narzędzia. Dzięki wsparciu technologii zdecydowanie łatwiej jest zadbać o zgodność z wymogami prawa. 

Jeśli rekrutujący ma do dyspozycji system do rekrutacji, może na czas weryfikacji żądania kandydata stosownie oznaczyć go w swojej bazie i w ten sposób ograniczyć przetwarzanie jego danych – dodaje Krystian Adamczyk z eRecruiter.

Należy bezwzględnie pamiętać, że zanim pracodawca zdecyduje się spełnić żądanie, powinien zweryfikować tożsamość osoby, która się tego domaga. Należy określić procedurę identyfikacji np. przez wybranie unikalnego identyfikatora kandydata. Może nim być podany przez aplikującego
adres e-mail (identyczny z tym, z którego napłynęło żądanie).

Zwalczać mity, promować fakty

W odpowiedzi na wątpliwości rekruterów i pojawiające się mity na temat RODO w rekrutacji,  eRecruiter powołał inicjatywę mającą na celu upowszechnianie właściwych interpretacji prawnych i dobrych praktyk związanych z RODO w rekrutacji. W ramach projektu grono ekspertów opracowało Kodeks Ochrony Danych Osobowych w Rekrutacji, którego inicjatorami są eRecruiter oraz Pracuj.pl, a patronem merytorycznym jest GKK Gumularz Kozik Kancelaria. Przedsięwzięciu patronują Stowarzyszenie Agencji Zatrudnienia i Związek Pracodawców Rzeczypospolitej Polskiej. Kodeks ma być praktyczną wskazówką dla wszystkich osób zajmujących się rekrutacją. Więcej informacji o projekcie znajduje się na stronie RODOwRekrutacji.pl. 

 

Literatura:

  1.  Rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika.

Przypisy