Rodo w procesie rekrutacji pracownika

Czym jest RODO w procesie rekrutacji pracownika?

RODO, czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych, reguluje przetwarzanie danych osobowych osób fizycznych, w tym kandydatów na stanowiska pracy. Pracodawcy, którzy organizują rekrutację, muszą przestrzegać wymagań tego rozporządzenia, aby zapewnić bezpieczeństwo i prywatność danych kandydatów.

Jakie dane mogą być przetwarzane w procesie rekrutacyjnym?

W ramach procesu rekrutacji pracownika, pracodawca może przetwarzać tylko te dane, które są niezbędne do oceny kandydata i zawarcia umowy o pracę.

Art.  221.  [Dane osobowe pracownika]
§  1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:
1) imię (imiona) i nazwisko;
2) datę urodzenia;
3) dane kontaktowe wskazane przez taką osobę;
4) wykształcenie;
5) kwalifikacje zawodowe;
6) przebieg dotychczasowego zatrudnienia.
§  2. Pracodawca żąda podania danych osobowych, o których mowa w § 1 pkt 4-6, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.

O co nie wolno pytać na rozmowie rekrutacyjnej ?

Pracodawca nie ma prawa żądać od kandydata danych, które wykraczają poza te określone przepisami prawa. Oznacza to, że nie powinien prosić o informacje nadmiarowe, szczególnie takie, które nie są związane z celem zatrudnienia, jak np.:

  • poglądów politycznych,
  • stanu majątkowego,
  • przekonań religijnych,
  • stanu zdrowie,
  • planów dotyczących macierzyństwa lub ilości dzieci,
  • orientacji seksualnej
  • pochodzenia etnicznego i karalności.

WAZNE! Pracodawca może żądać od przyszłych pracowników zaświadczenia o niekaralności, jednak musi wynikać to wprost z przepisów prawa.

Przykładami zawodów, w których wymóg niekaralności jest warunkiem koniecznym do podjęcia pracy, są między innymi:

  • nauczyciele (art. 10 ust. 5 pkt 4 Ustawy Karta Nauczyciela),
  • funkcjonariusze Straży Granicznej (art. 31 ust. 1 Ustawy o Straży Granicznej),
  • detektywi (art. 29 ust. 1 pkt 6 Ustawy o usługach detektywistycznych),
  • osoby ubiegające się o pracę w podmiotach sektora finansowego (art. 3 Ustawy o zasadach pozyskiwania informacji o niekaralności osób ubiegających się o zatrudnienie i osób zatrudnionych w podmiotach sektora finansowego).

Pracodawca, który poszukuje pracowników cieszących się nieposzlakowaną opinią, nie może żądać od nich informacji o karalności, nawet za ich zgodą

Obowiązki pracodawcy w kontekście RODO w procesie rekrutacji pracownika

Pracodawca, jako administrator danych, ma obowiązek poinformowania kandydata o przetwarzaniu jego danych osobowych. Obejmuje to obowiązek informacyjny, który wynika z artykułu 13 RODO. Pracodawca powinien przekazać kandydatowi wszystkie następujące informacje:

  • swoją tożsamość i dane kontaktowe;
  • gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  • cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  • zamiarze transgranicznego przetwarzania danych (o ile taki istnieje)
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania a także o prawie do przenoszenia danych;
  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  • informacje o dobrowolności lub obowiązku podania danych i konsekwencjach ich nie podania

Zgoda kandydata na przetwarzanie danych osobowych

Zgoda kandydata na przetwarzanie jego danych osobowych w procesie rekrutacji pracownika powinna być dobrowolna i wyrażona w sposób jednoznaczny. Kandydat musi mieć możliwość wycofania zgody w dowolnym momencie, a pracodawca powinien zapewnić, że wycofanie zgody nie wpłynie na legalność wcześniejszego przetwarzania.

Pracodawca może przetwarzać dane zamieszczone przez kandydata w CV, które wykraczają poza wymagane przez prawo pracy, o ile kandydat wyrazi na to zgodę. Zgoda ta może być wyrażona przez przesłanie aplikacji, jeśli kandydat jest świadomy, do jakiego podmiotu i w jakim celu przekazuje swoje dane. Dotyczy to tzw. danych zwykłych, takich jak imię, nazwisko, adres czy numer telefonu.

W przypadku szczególnych kategorii danych, jak informacje o zdrowiu, przekonaniach czy przynależności do związków zawodowych, pracodawca może je przetwarzać jedynie po uzyskaniu wyraźnej zgody kandydata lub na podstawie przepisów prawa. Jeśli zgody brak, pracodawca powinien takie dane usunąć. Przykładem legalnego przetwarzania szczególnych danych mogą być przepisy wymagające określonego stanu zdrowia na danym stanowisku, np. w służbach mundurowych.

Pracodawca nie może wykorzystać danych kandydata z konkretnego procesu rekrutacyjnego do przyszłych rekrutacji, jeśli kandydat nie wyraził na to zgody. Po zakończeniu rekrutacji dane powinny zostać usunięte. Jeżeli jednak kandydat zgodzi się na przetwarzanie swoich danych w przyszłych rekrutacjach, pracodawca może je wtedy wykorzystać w tym celu.

Kontakt z poprzednim pracodawcą i weryfikacja dyplomów kandydata – czy to dopuszczalne?

Pracodawca nie może kontaktować się z poprzednim pracodawcą kandydata ani z uczelnią wyższą w celu potwierdzenia informacji bez zgody kandydata. Pozyskiwanie informacji od poprzedniego pracodawcy, nawet jeśli kandydat przedłożył referencje, wymaga wyraźnej zgody kandydata. W procesie rekrutacyjnym jedynym źródłem informacji o dotychczasowej karierze zawodowej powinien być sam kandydat.

Podobnie, sprawdzanie autentyczności dyplomów czy innych dokumentów poprzez kontakt z uczelnią jest zabronione. Polski prawo nie przewiduje uprawnienia dla pracodawcy, by weryfikować dokumenty bezpośrednio u ich wystawcy, a takie działania naruszałyby przepisy o ochronie danych osobowych.

Przetwarzanie danych osobowych kandydata po rekrutacji a ochrona przed roszczeniami

Dane osobowe kandydatów mogą być przechowywane tylko przez okres niezbędny do realizacji celu rekrutacji. Po zakończeniu procesu rekrutacji pracownika, dane te powinny zostać usunięte, chyba że kandydat wyrazi zgodę na ich dalsze przetwarzanie w celu udziału w przyszłych rekrutacjach.

Pracodawca nie może przetwarzać danych osobowych kandydata wyłącznie w celu zabezpieczenia się przed ewentualnymi przyszłymi roszczeniami, ponieważ nie istnieje w procesie rekrutacji stosunek prawny pomiędzy pracodawcą a kandydatem. Nie ma więc podstaw do zachowania danych „na wszelki wypadek,” np. w przypadku roszczeń o dyskryminację.

Jeśli kandydat uważa, że został dyskryminowany, to on musi przedstawić fakty potwierdzające domniemanie nierównego traktowania. Pracodawca może wykazać, że decyzja o wyborze innego kandydata była obiektywna i uzasadniona. Nie oznacza to jednak, że pracodawca ma prawo przechowywać dane kandydata po zakończeniu rekrutacji – nie jest to konieczne dla udowodnienia braku dyskryminacji. Na przykład, kandydat o wysokich kwalifikacjach, który źle wypadł na rozmowie kwalifikacyjnej, może błędnie sądzić, że nie dostał pracy z powodu dyskryminacji, a nie z powodu słabego wyniku rozmowy.

Podsumowując, przetwarzanie danych osobowych kandydata po zakończeniu rekrutacji powinno być ograniczone i uzasadnione, a roszczenia o dyskryminację mogą być obronione bez potrzeby przechowywania danych kandydatów.

Przesyłanie aplikacji bez ogłoszonej rekrutacji – obowiązki pracodawcy

Czasami osoby poszukujące pracy przesyłają swoje aplikacje do firm z własnej inicjatywy, nawet jeśli nie prowadzą one aktualnie rekrutacji. W takiej sytuacji pracodawca musi zdecydować, czy jest zainteresowany zatrudnieniem. Jeśli tak, powinien jak najszybciej spełnić obowiązek informacyjny wobec kandydata i rozpocząć proces rekrutacyjny. Jeśli jednak nie planuje zatrudnienia, powinien niezwłocznie usunąć otrzymane dane kandydata.

Bezpieczeństwo danych w rekrutacji online

Gromadzenie danych przez Internet stało się powszechną praktyką w procesie rekrutacji. Pracodawcy, decydując się na pozyskiwanie informacji o kandydatkach i kandydatkach online, muszą wdrożyć odpowiednie środki techniczne i organizacyjne, aby chronić prawa tych osób w kontekście ryzyka związane z cyberprzestrzenią. Obowiązek ten dotyczy nie tylko pracodawców, ale także innych administratorów, jak agencje zatrudnienia. Każdy administrator danych powinien działać zgodnie z przepisami o ochronie danych osobowych.

Pracodawcy poszukujący pracowników przez strony internetowe powinni zwrócić szczególną uwagę na kilka kluczowych kwestii. Jeśli podmiot publikujący ogłoszenia o pracę przetwarza dane kandydatów, warto rozważyć zawarcie umowy powierzenia przetwarzania danych osobowych. Umowa ta powinna określać m.in. cel przetwarzania, przedmiot oraz czas trwania przetwarzania, rodzaj danych osobowych oraz obowiązki obu stron.

Pracodawca powinien korzystać wyłącznie z usług podmiotów, które zapewniają odpowiednie zabezpieczenia danych osobowych, chroniąc tym samym prawa kandydatów. Przed powierzeniem danych warto ocenić poziom bezpieczeństwa stosowanego przez dany podmiot.

Ważnym aspektem jest również informowanie kandydatów o możliwości wycofania zgody na przetwarzanie ich danych. Sposób wycofania zgody powinien być równie łatwy jak jej udzielenie.

Anonimowe rekrutacje: rola agencji zatrudnienia i obowiązki pracodawców

Rekrutacje, w których pracodawca zleca firmie rekrutacyjnej przeprowadzenie postępowania w anonimowy sposób, stają się coraz bardziej powszechne. Motywacje pracodawców są różnorodne, od ukrywania rekrutacji przed aktualnymi pracownikami po gromadzenie bazy kandydatów „na zapas”. Do takich procesów często wykorzystuje się portale internetowe, które umożliwiają publikację ogłoszeń.

Jednak takie podejście rodzi poważne problemy z przestrzeganiem przepisów o ochronie danych osobowych. Kandydaci nie są informowani, kto zbiera ich dane, co uniemożliwia im realizację swoich praw. Obowiązek informacyjny nie jest również spełniony, jeśli klauzula informacyjna jest wysyłana po złożeniu aplikacji. Kandydaci muszą wiedzieć, komu udostępniają swoje dane, aby uniknąć sytuacji, w których ich dane mogą być wykorzystywane przez nieuczciwe podmioty.

Agencje zatrudnienia mogą zapewnić anonimowość pracodawcy na wstępnym etapie rekrutacji, przetwarzając dane osobowe kandydatów zgodnie z obowiązującymi przepisami. Gdy pracodawca zleca rekrutację agencji, ta staje się administratorem danych kandydatów. Agencja przetwarza dane na podstawie zgody kandydatów w celu przeprowadzenia wstępnej selekcji.

Obowiązek informacyjny należy do agencji na etapie pozyskiwania danych, natomiast pracodawca ma obowiązek poinformować kandydatów o swojej tożsamości w momencie przekazywania ich danych. Kandydaci mogą otrzymać informacje o potencjalnym pracodawcy i muszą wyrazić zgodę na przekazanie swoich danych. Pracodawca zyskuje dostęp tylko do danych tych kandydatów, którzy wyrazili stosowną zgodę.

Konsekwencje naruszenia przepisów RODO w rekrutacji

Naruszenie przepisów RODO w procesie rekrutacji pracownika może wiązać się z poważnymi konsekwencjami, w tym karami finansowymi. Pracodawcy, którzy nie przestrzegają zasad ochrony danych osobowych, mogą zostać ukarani grzywną, która może wynieść nawet do 20 milionów euro lub 4% rocznego światowego obrotu.

Źródło: Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców (wersja poradnika z 2018 r.), Urząd Ochrony Danych Osobowych (UODO).