Po 5 latach obowiązywania RODO w Polsce widać, że przedsiębiorcy przywiązują dużą wagę do tego, w jaki sposób prawidłowo stosować przepisy o ochronie danych osobowych. Szczególnym momentem, kiedy pracodawcy zwracają uwagę na RODO jest czas rekrutacji, który składa się z szeregu czynności, w których przetwarzane są dane osobowe: najpierw pracodawca zamieszcza ogłoszenie, następnie otrzymuje zgłoszenia, które bada i ocenia, a potem umawia się z kandydatami na rozmowy. Warto prawidłowo ukształtować ten proces od początku do końca, aby nie narażać się na ewentualną odpowiedzialność. Z tego względu poniżej przeanalizuję, o czym pracodawca powinien pamiętać przy przetwarzaniu danych osobowych w tym zakresie.
Pracodawca, spółka X sp. z o.o., zamieścił ogłoszenie rekrutacyjne. W ramach ogłoszenia zamieścił następującą klauzulę:
Szanowny Kandydacie! Jeżeli chcesz, aby Twoja kandydatura była rozpatrywana w CV umieść następujące zdanie: Wyrażam zgodę na przetwarzanie moich danych osobowych dla celów prowadzenia rekrutacji przez spółkę X sp. z o.o.
Czy takie postępowanie jest poprawne? Czy udzielanie takiej zgody jest konieczne? Odpowiedź na tak zadane pytanie jest negatywna – kandydat, który składa aplikację na dane stanowisko nie jest zobligowany to umieszczania w CV albo wyrażania w inny sposób zgody na przetwarzanie jego danych osobowych na potrzeby rekrutacji, na którą wysyła zgłoszenie. Oczywiście wszystko zależy od tego, jaką podstawę przetwarzania danych osobowych z art. 6 ust. 1 RODO przyjmiemy, jednak musimy pamiętać, że wszystkie podstawy wskazane w tym przepisie mają charakter równorzędny. Często spotykam się z praktyką zbierania zgód z uwagi na to, że zgoda uważana jest za „lepszą” opcję niż pozostałe, co jest błędne. Jeżeli kandydat wysyła do nas, jako do pracodawcy, swoje CV to nie musi wyrażać zgody na przetwarzanie swoich danych osobowych. Podstawą przetwarzania jego danych osobowych może być zgoda, jednak tylko częściowo. Jak w takim razie określić te podstawy? Mogą to być:
– w przypadku osób ubiegających się o stanowisko w ramach zatrudnienia na podstawie umowy o pracę – art. 6 ust. 1 lit c RODO (konieczność wykonania obowiązku prawnego ciążącego na administratorze) w zw. z art. 221 KP, zgodnie z którym pracodawca żąda od kandydata do pracy określonych danych osobowych oraz
– w zakresie podania danych szerszych niż wskazanych w Kodeksie Pracy z inicjatywy pracownika (np. zdjęcie, często dołączane do CV, dodatkowe informacje o doświadczeniu, np. informacja o wolontariacie, udziale w projektach studenckich itp.);
– w przypadku osób ubiegających się o stanowisko w ramach umowy cywilnoprawnej/B2B – art. 6 ust 1 lit. b RODO (podjęcie działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy).
Na samym początku artykułu napisałem, że zbieranie zgody nie jest konieczne, a poniżej, że w zakresie dodatkowych danych podstawą zbierania danych osobowych będzie właśnie zgoda – nie jest to pomyłka. Krótko uzasadniając chciałbym wskazać, że zgodnie z RODO zgoda niekoniecznie musi mieć charakter wyraźnego oświadczenia, które dana osoba składa. Zgoda może mieć charakter zachowania, z którego jasno wynika intencja danej osoby. Zgodnie z art. 4 pkt 11 RODO „zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Takim okazaniem woli może być przykładowo podanie pracodawcy dodatkowych informacji, których na gruncie Kodeksu Pracy nie ma on prawa żądać. Pracodawca w takim wypadku nie narusza przepisów Kodeksu Pracy ani RODO, skoro dane te są podawane z inicjatywy Pracownika.
Pracodawca, Spółka X sp. z o.o., po przeprowadzonej rekrutacji na dane stanowisko wprowadza dane osobowe kandydata do ATS (Applicant Tracking System – oprogramowanie do zarządzania rekrutacją), z którego korzysta. W Spółce jest spora rotacja pracowników, dlatego Spółka zostawia sobie dane kandydatów i zdarza się jej kontaktować z nimi w zakresie innych rekrutacji, już po zakończeniu rekrutacji, na którą pracownik aplikował. Pracownicy cieszą się, że pracodawca proponuje im kolejne stanowiska.
Czy powyższe model postępowania jest poprawny? Czy wysłanie aplikacji oznacza, że kandydat automatycznie wyraża zgodę na udział w kolejnych rekrutacjach? W tym wypadku można odpowiedzieć: to zależy. W opisywanym przykładzie mieliśmy do czynienia z rekrutacją na konkretne stanowisko, która została zakończona. Pracownik, który wysłał swoje cv, aby wziąć udział w konkretnej rekrutacji może chcieć i oczekiwać udziału wyłącznie w tej jednej rekrutacji.
Jeżeli chodzi o udział w kolejnych rekrutacjach to w tym wypadku zgoda na udział jest niezbędna. Możliwe są tutaj także dwie sytuacje: pracownik wysyła do pracodawcy swoje cv, aby ten wziął go pod uwagę przy prowadzonych przez niego rekrutacjach, bez wskazywania konkretnego stanowiska. Pracodawca ma prawo takie dane przetwarzać, jednak powinien w odpowiedniej informacji (o czym dalej) określić podstawę przetwarzania oraz okres przetwarzania tych danych i przekazać ją pracownikowi. Wówczas samo przesłanie przez pracownika CV oznacza, że wyraża on zgodę na udział w rekrutacjach, prowadzonych przez pracodawcę. Pamiętajmy bowiem, że zgoda oznacza także zachowanie, wskazujące na wyrażenie zgody i nie musi być wyraźnym oświadczeniem. Jeżeli jednak w danym momencie nie prowadzimy rekrutacji to warto z kandydatem potwierdzić, czy zgadza się na udział w rekrutacjach prowadzonych przez pracodawcę w przyszłości.
Druga sytuacja dotyczy tzw. rekrutacji ciągłych. Niektórzy pracodawcy mają takie stanowiska, na które ciągle rekrutują. Takie rekrutacje faktycznie nigdy się nie zamykają, dlatego może być tak, że pomimo tego, że pracodawca nie odezwie się do kogoś na początku to zrobi to po pewnym czasie. Taka polityka jest dopuszczalna, jednak należy odpowiednio poinformować pracownika, jak długo takie dane będą przetwarzane, tj. jak długo faktycznie będzie on brany pod uwagę. Nie możemy przetwarzać jego danych w nieskończoność, zwłaszcza, że po pewnym czasie dane te będą tracić na aktualności z uwagi na możliwe zmiany w życiu pracownika i upływ czasu.
Zwróćmy także uwagę na fakt, że zgoda na udział w rekrutacjach przyszłych nie może być zgodą wymaganą, ponieważ nie byłaby wówczas swobodnie udzielona. Zgoda na udział w przyszłych rekrutacjach nie powinna mieć wpływu na udział w rekrutacji bieżącej. Pracodawca nie powinien zatem jej wymagać w celu zaaplikowania na bieżącą rekrutację.
Spółka X sp. z o. o. otrzymała od kandydata życiorys w odpowiedzi na umieszczoną w serwisie pracuj.pl ofertę pracy. Życiorys przyszedł drogą mailową, z pominięciem serwisu, gdzie zamieszczono ogłoszenie. Kandydat miał świetne cv, dlatego od razu przekazano je odpowiedniemu managerowi, który niezwłocznie zaprosił kandydata na rozmowę.
Czy czegoś brakuje w opisanym powyżej stanie faktycznym? Tak – brakuje obowiązku informacyjnego. Pracodawca powinien zawsze spełnić obowiązek informacyjny niezwłocznie, w opisywanym powyżej przypadku powinno to nastąpić po otrzymaniu od kandydata cv drogą mailową. Gdyby pracownik skorzystał z przesłania cv za pośrednictwem portalu z ogłoszeniami o pracę to wówczas zapewne w tym portalu pracownik uzyskałby informację o przetwarzaniu danych osobowych, zamieszczoną tam przez pracodawcę. Skoro jednak kandydat pominął tę drogę to pracodawca powinien był przesłać mu informację w zwrotnym e-mailu lub przesłać linka, pod którym kandydat może się z taką informacją zapoznać.
W jaki sposób wypełnić obowiązek informacyjny? Najlepiej pokaże to poniższa lista, oparta o art.13 RODO:
Nie będę w tym miejscu rozwijać wszystkich ww. punktów, ponieważ zostały przez nas opisane w pozostałych tekstach w niniejszej publikacji. Odniosę się jedynie do ustalania okresów retencji.
W zakresie ustalenia okresów retencji na potrzeby rekrutacji musimy pamiętać o tym, aby przetwarzać dane tak długo jak jest to konieczne. Zanim ustalimy okres przetwarzania zastanówmy się, jak długo trwa u nas proces rekrutacji, z ilu etapów się składa i jaka jest faktyczna potrzeba w tym zakresie. Jeżeli prowadzimy rekrutacje ciągłe to w tym zakresie przetwarzanie danych osobowych można nieco wydłużyć w stosunku do standardowych procesów, jednak nie może to oznaczać przetwarzania w nieskończoność. Pamiętajmy, że dane zawarte w życiorysach po jakimś czasie stają się nieaktualne, dlatego w każdym przypadku musimy tutaj postawić granicę, jeśli chodzi o przetwarzanie danych w związku z prowadzonymi rekrutacjami. Z naszego doświadczenia wynika, że najczęściej mamy do czynienia z następującymi okresami retencji:
– w zakresie bieżącej rekrutacji na dane stanowisko – dane będą usuwane nie później niż w ciągu miesiąca od momentu zakończenia rekrutacji;
– w zakresie rekrutacji ciągłych – dane będą usuwane po 3-12 miesięcy po ich zebraniu;
– w zakresie rekrutacji przyszłych – dane będą usuwane między 6-24 miesiące po ich zebraniu.
Inną kwestią jest przechowywanie danych osobowych kandydata na potrzeby ewentualnych roszczeń. Problematykę tę opisujemy w artykule „Prawa osób, których dane dotyczą w procesie rekrutacyjnym”.
W dzisiejszych czasach wiele rekrutacji, przynajmniej we wstępnym zakresie, prowadzona jest online. W niektórych przypadkach pracodawcy zatrudniają pracowników, z którymi nigdy się nie spotkali. Rekrutacja jest prowadzona wówczas całkowicie przez internet, co rodzi pewnie praktyczne problemy związane z możliwością weryfikacji tożsamości pracownika, a także podawanych przez niego informacji. Ostatnio w polskiej branży IT głośno było w temacie nowego sposobu oszustwa – pracownicy spoza Polski, posiadający wiarygodne profile na LinkedIn, przedstawiające ich spore doświadczenie i osiągnięcia, składali cv na stanowiska w firmach IT. W czasie rozmów kwalifikacyjnych, prowadzonych oczywiście online, kamerki często im nie działały. Zatrudnieni w ten sposób „pracownicy” niestety następnie znikali po pierwszej wypłacie, bez możliwości ich znalezienia. Podobnych historii było w ostatnim czasie mnóstwo[1], dlatego pracodawcy zaczęli się zastanawiać jak zabezpieczyć się na wypadek takich wypadków i jak zrobić to w zgodzie z RODO oraz polskim prawem pracy.
Polski Kodeks Pracy jest dość restrykcyjny, jeśli chodzi o zakres danych, których można żądać od kandydata do pracy. Art. 221 KP zawiera zamknięty katalog tych danych, a par. 5 tego artykułu wskazuje, że źródłem wiedzy o kandydacie są jego oświadczenia. Pracodawca może żądać ich udokumentowania wyłącznie w zakresie niezbędnym do potwierdzenia tych danych. Oczywiście, w tym zakresie często zawierane są umowy B2B, jednak w takim wypadku będzie nas ograniczało również RODO. W tym zakresie warto także przytoczyć opinię UODO, zgodnie z którą kopiowanie dowodów osobistych pracowników jest niedopuszczalne. W świetle powyższych okoliczności oraz takiej interpretacji przepisów – czy pracodawca ma możliwość zabezpieczenia się przed takimi sytuacjami?
Pracodawca, który prowadzi zdalną rekrutację oraz w sposób zdalny zatrudnia kandydata powinien wprowadzić odpowiednie procedury, które ułatwią mu weryfikację jego tożsamości bez naruszenia przepisów RODO i prawa pracy. Czy to w ogóle możliwe? W mojej opinii, tak. Pracodawca nie może, co prawda, żądać od pracownika przesłania kopii dowodu osobistego, może jednak uzyskać do tego dowodu wgląd w czasie rozmowy. Czego zatem można wymagać od takiego kandydata, aby się zabezpieczyć? Przede wszystkim, skoro prowadzimy rozmowę z kandydatem to wymagajmy, aby kandydat miał włączoną kamerkę. Dodatkowo, uważam, że pracodawca w takim wypadku może oczekiwać, że kandydat pokaże mu dokument ze zdjęciem i zasłoni „wrażliwe” dane osobowe. Jeżeli prowadzimy rozmowę z osobą, która prowadzi działalność gospodarczą, to możemy także sprawdzić dane firmy w odpowiednich rejestrach, o ile takie rejestry są prowadzone i są dostępne, co zależy od danego kraju. Pamiętajmy także, że w przypadku podjęcia decyzji o zatrudnieniu kandydata możemy żądać od niego nieco szerszych danych (por. 22(1) par. 3 KP), co pozwoli nam w późniejszym okresie na jego dodatkową weryfikację. W niektórych przypadkach, o ile jest to możliwe, pracodawcy wymagają także osobistej obecności pracownika w przypadku zawierania z nim umowy. W takich przypadkach nawet jeżeli w toku rekrutacji kandydat był widziany jedynie przez kamerkę, to w czasie obecności w biurze pracodawca może zażądać potwierdzenia przedstawionych informacji odpowiednimi dokumentami, które pracownik udostępni do wglądu. Powyższe rozwiązania nie są idealne, jednak w pewnym zakresie minimalizują ryzyko zatrudnienia fałszywego kandydata.
Pracodawca X sp. z o.o. otworzył rekrutację na stanowisko specjalisty ds. bezpieczeństwa informatycznego. Managerem tego zespołu jest pracownik zatrudniony formalnie w spółce powiązanej z pracodawcą, która swoją siedzibę ma w USA. W związku z powyższym pracownik ten uzyskał dostęp do wszystkich danych kandydata, a także wziął udział w rozmowie rekrutacyjnej z tym kandydatem. Czy takie postępowanie pracodawcy jest dopuszczalne?
W toku rekrutacji pracodawca może przekazywać dane osobowe pracownika różnym podmiotom, co jest dopuszczalne. Pracodawca może bowiem mieć swoich podwykonawców, przy pomocy których wykonuje część swojej działalności. W tym zakresie pracodawca może przykładowo korzystać z usług agencji rekrutacyjnej, a także w dalszej kolejności z usług firmy księgowej czy kadrowej. Pracodawca może również korzystać z narzędzi informatycznych, do których wprowadza dane osobowe kandydata. Wszystkie takie sytuacje są dopuszczalne, pod warunkiem odpowiedniego zabezpieczenia przez pracodawcę takiego powierzenia przetwarzania danych osobowych, a także pod warunkiem wypełnienia wobec kandydata obowiązku informacyjnego.
W dzisiejszych czasach częstym zjawiskiem jest także międzynarodowy charakter przedsiębiorstw, które działają w ramach większych grup firm, zlokalizowanych w różnych krajach. W takim wypadku należy pamiętać, że jeżeli dochodzi do przekazywania danych do kraju trzeciego, to taki transfer musi być odpowiednio zabezpieczony – nawet jeżeli przekazujemy dane do podmiotów powiązanych. Musimy także o takim transferze poinformować kandydata do pracy. O transferze danych osobowych przeczytasz na stronie………….. niniejszego dodatku.
Pracodawca, który decyduje się na korzystanie z mediów społecznościowych i zamieszcza tam ogłoszenie o pracę powinien pamiętać, że wszystkie powyższe uwagi mają zastosowanie do zgłoszeń kandydatów, które wpływają za pośrednictwem takich portali. W tym wypadku nie ma znaczenia, czy mamy do czynienia z portalem Facebook, czy LinkedIn- w każdym wypadku, po otrzymaniu zgłoszenia, musimy pracownikowi przekazać klauzulę o przetwarzaniu jego danych osobowych, zwłaszcza jeżeli zapisujemy dane kandydata poza tymi serwisami. Wówczas niewątpliwie pracodawca staje się administratorem otrzymanych danych osobowych i musi w związku z tym wypełnić swoje obowiązki. Odmiennym zagadnieniem jest tzw. sourcing, gdzie pracodawca aktywnie próbuje dotrzeć do kandydata i zainteresować go swoją ofertą. Analiza problematyki z tym związanej jest jednak przedmiotem odrębnego artykułu z uwagi na mnogość narzędzi, które potencjalnie może zastosować pracodawca.
Zdaniem Autora:
Prawidłowe ukształtowanie procesu rekrutacyjnego przez pracodawcę nie jest sprawą skomplikowaną. Pomimo tego w tym zakresie w dalszym ciągu spotykam się z wieloma błędami, w tym nieprawidłowym zbieraniem zgód, brakiem lub niepełną informacją o przetwarzaniu danych osobowych, w tym brakiem informacji o przekazywaniu danych osobowych do państwa trzeciego albo brakiem zabezpieczeń w tym zakresie. Dodatkowo, w dalszym ciągu zdarza się, że pracodawcy przetwarzają dane osobowe niedoszłych pracowników „w nieskończoność”, nie określają okresów retencji wcale albo po prostu ich nie przestrzegają. Dobrym rozwiązaniem w tym zakresie jest na pewno wdrożenie sprawdzonego programu do zarządzania rekrutacją, tzw. ATS, w którym zgody lub oświadczenia kandydatów zbierane są automatycznie, a dane usuwane po ustawionych okresach retencji. Automatyzacja tych procesów gwarantuje, że dane nie będą przetwarzane nadmiarowo lub bez ważnej podstawy prawnej.
Artykuł ukazał się w publikacji „Poradnik prenumeratora. 5 lat z RODO – przewodnik” wydanej przez „Rzeczpospolitą” w dniu 21.06.2023 r.
Interesujesz się zagadnieniami związanymi z RODO? Przeczytaj koniecznie o sztucznej inteligencji jako narzędziu marketingowym tutaj, o prowadzeniu działań marketingowych z perspektywy przepisów ochrony danych osobowych tutaj, o profilowaniu zgodnym z RODO tutaj, jak prawidłowo stosować cookies tutaj, o kontroli trzeźwości w kontekście ochrony danych tutaj, o inspektorze ochrony danych i jego roli w firmie tutaj oraz kontroli pracy zdalnej tutaj.
[1] https://medium.com/@maximetopolov/the-upwork-problem-fake-chinese-developers-accounts-located-in-serbia-ac277ff01c58