Wróć do artykułów

Zjawisko Sourcingu a ochrona danych osobowych – czy aktywne poszukiwanie kandydatów jest zgodne z prawem?

Autor

Radca Prawny Maciej Bednarek
02.08.2023

W dzisiejszych czasach mówimy, że mamy tzw. rynek pracownika, przynajmniej w niektórych branżach. Typową branżą nastawioną na pracownika, spełnianie jego oczekiwań, jest branża IT, gdzie kandydaci nieraz stawiają pracodawcom wysokie wymagania. Właśnie w tej branży tzw. sourcing (z ang. zaopatrzenie) jest bardzo popularną metodą poszukiwania kandydatów, którzy często są pasywni i choć sami aktywnie nie poszukują pracy to ich wysokie kompetencje i umiejętności są dla pracodawców bardzo cenne.

Czym jest sourcing kandydatów?

Nie ma jasnej i jednoznacznej definicji sourcingu, jednak z licznych źródeł internetowych dowiadujemy się, że sourcing polega na aktywnej postawie pracodawcy, który wyszukuje kandydatów, a następnie inicjuje z nimi kontakt, jeżeli uzna, że mogą stanowić realną wartość dla firmy i mogą objąć określone stanowisko. Cały proces składa się z kilku, niekoniecznie takich samych etapów, gdzie rekruter poznaje kandydata, bada jego doświadczenie, czy kwalifikacje, a w końcu nawiązuje kontakt by uzyskać więcej informacji. Nieraz w czasie „luźnej” rozmowy buduje z danym kandydatem relację, a dopiero po pewnym czasie proponuje mu przykładowo wzięcie udziału w procesie rekrutacyjnym.

Korzyści z sourcingu

Zgodnie z najnowszym badaniem Serwisu OLX Praca „EWOLUCJA HR. KNOW HOW 2023” obecnie 3 na 10 osób poszukuje pracy[i]. Są to osoby, które poszukują pracy aktywnie, przeglądają ogłoszenia i podejmują inne działania, aby nową pracę znaleźć. Jest jednak grupa takich osób, które pozostają pasywne, często funkcjonując w danym środowisku i na określonej posadzie od wielu lat nie myślą o zmianie, choć taka zmiana byłaby dla nich być może korzystna. To właśnie do takich kandydatów chcą dotrzeć specjaliści ds. sourcingu i pozyskać ich do nowych projektów. Jest to oczywiście częste w branży IT, gdzie zapotrzebowanie na pracowników jest ogromne.

Gdzie szukać kandydatów?

Pracodawca poszukujący kandydatów ma do wyboru kilka opcji, z których niestety nie każda będzie dobrym wyborem. Jeżeli chodzi o sourcing to zdecydowanie najczęstszą sytuacją będzie sytuacja, w której kandydat będzie poszukiwany w sieci, za pośrednictwem różnych portali, w tym takich, które niekoniecznie będą miały coś wspólnego z rekrutacją. Pracodawca ma obecnie wiele narzędzi, które mogą mu pomóc znaleźć i pozyskać odpowiedniego kandydata. Stosując te narzędzie musimy jednak pamiętać o tym, że nie każde z tych narzędzi będzie bezpieczne i będzie w należyty sposób zapewniało ochronę danych osobowych. Najbezpieczniej oczywiście korzystać z takich danych, które kandydat sam udostępnia o sobie.

Wybór nr 1 – portale społecznościowe

Portale społecznościowe mogą być świetnym źródłem, które pozwoli na pozyskanie cennego kandydata do pracy lub współpracy. Z naszych doświadczeń wynika, że wielu klientów interesuje się bezpośrednim poszukiwaniem kandydatów za pośrednictwem mediów społecznościowych albo zleca takie poszukiwania agencjom rekrutacyjnym. Przy korzystaniu z mediów społecznościowych należy jednak zachować ostrożność, zwłaszcza mając na uwadze charakter danego medium oraz profil kandydata. Nie każdy będzie sobie życzył kontaktu ze strony rekrutera przy korzystaniu z profili w mediach społecznościowych. Czym zatem powinien kierować się pracodawca, który chce w sposób legalny pozyskiwać kandydatów za pośrednictwem tych mediów i jak taki proces powinien przebiegać?

W „Poradniku dotyczącym zatrudnienia” wydanym przez Urząd Ochrony Danych Osobowych w 2018 r. czytamy, że gromadzenie danych osobowych udostępnionych przez kandydatów w mediach społecznościowych jest „niedopuszczalne”. Wydaje się jednak, ze to stanowisko jest jednak nieco zbyt daleko idące, mając na uwadze, że mamy obecnie różnego rodzaju portale społecznościowe, w tym takie, które są nakierowane stricte na znalezienie pracy. Jeżeli pracownik korzysta z takiego portalu, to należy uznać, że jego celem jest znalezienie pracy.

LinkedIn – portal biznesowy

Najpopularniejszym tego typu portalem jest oczywiście LinkedIn, który jest portalem o charakterze biznesowym. Polityka prywatności LinkedIn wprost przewiduje, że portal może proponować użytkownikom oferty pracy, a informacje udostępnione przez użytkownika mogą być wykorzystane przez rekruterów. LinkedIn umożliwia także zasygnalizowanie przez użytkowników dodatkowo chęci otrzymania ofert pracy poprzez ustawienie odpowiedniej „nakładki” na zdjęcie („open to work”). Brak ustawienia takiego statusu nie wyklucza jednak, że taką ofertę się otrzyma. W przypadku portalu LinkedIn zasady te są akceptowane przez użytkownika na etapie zakładania konta. W związku z powyższym wykorzystanie LinkedIn do sourcingu nie budzi wątpliwości, z tym zastrzeżeniem, że jeżeli ktoś wyraźnie napisze, że nie jest zainteresowany daną ofertą to niedoszły pracodawca nie będzie miał podstaw, aby dane takiej  osoby w jakimkolwiek zakresie przetwarzać.

GitHub

Podobnie należy ocenić poszukiwanie kandydatów na portalu GitHub, który skupia programistów. Nadrzędnym celem portalu nie jest poszukiwanie pracy, jednak jest to portal o charakterze biznesowym, a w internecie dostępne są poradniki, w jaki sposób dobrze zaprezentować się na portalu GitHub i jak stworzyć dobre portfolio. Wydaje się zatem, że korzystanie z portalu GitHub w celach rekrutacyjnych jest powszechnie akceptowalne i pożądane – zarówno przez potencjalnych pracowników, jak i pracodawców.

Facebook, Instagram, Twitter

Facebook, Instagram czy Twitter mają już nieco inny charakter niż LinkedIn. Facebook i Instagram to portale typowo rozrywkowe, gdzie ciężko będzie prowadzić działania o charakterze sourcingu, podobnie jak na Twitterze. Musimy tutaj zachować daleko idącą ostrożność, ponieważ portale te, co do zasady, nie mają charakteru biznesowego i dla zwykłych użytkowników stanowią jedynie rozrywkę, sposób na spędzenie czasu, ale już niekoniecznie na poszukiwanie pracy. Oczywiście nie ma problemu, aby za pośrednictwem tych portali umieszczać ogłoszenia o pracę, jednak nie to jest przedmiotem tego artykułu. Czy zatem można skutecznie sourcować kandydatów na tych portalach? Odpowiedź może być tylko jedna: to zależy. Nie wyobrażam sobie sytuacji, w której potencjalny pracodawca bez żadnego uzasadnienia przesyła propozycję pracy do kandydata za pośrednictwem portalu społecznościowego, gdzie większość z nas nie życzyłoby sobie takiego kontaktu. Sourcing na tych portalach mógłby jednak polegać na czymś innym, choć byłaby to bardziej promocja i marketing pracodawcy – na tworzeniu ciekawych treści, pokazywaniu pracy w firmie oraz angażowaniu się w dyskusje dotyczące danej branży. Wówczas pracodawca może liczyć na to, że zostanie zauważony przez kandydata i to potencjalny kandydat nawiąże z nim kontakt albo w wyniku innej interakcji z potencjalnym kandydatem będzie mógł nawiązać kontakt w sprawie zaproponowania oferty pracy.

Bazy pozyskujące dane kandydatów z internetu

Ostatnimi czasy bardzo popularne stały się portale, które pozwalają na wyszukiwanie danych osobowych w internecie, takie jak Apollo, Rocketreach, czy Lusha. Portale te przeszukują internet w poszukiwaniu danych osób i gromadzą je w jednym miejscu. Źródła pochodzenia danych są różne, jednak według regulaminów i polityk tych serwisów mają to być źródła powszechnie dostępne w sieci internet. Będą to przykładowo strony internetowe firm, portale społecznościowe, publicznie dostępne rejestry. Oczywiście portale te wykorzystywane są nie tylko w celach sourcingu, ale także w celach marketingowych, czy poszukiwania klientów. Za pośrednictwem tych portali możemy znaleźć dane biznesowe, będą to zatem (raczej) dane potencjalnych współpracowników, którzy mogliby podjąć współpracę w ramach umów B2B. Korzystanie z takich portali niesie ze sobą jednak wiele ryzyk z punktu widzenia RODO.

Ryzyka związane z korzystaniem z baz danych

Ryzyko związane z udostępnianiem danych

Niektóre z takich portali nie tylko zapewniają dostęp do danych osobowych, ale także wymuszają na użytkowniku udostępnienie im danych osobowych. Takie dane są następnie udostępniane innym użytkownikom. Brak podania danych może oznaczać, że dany podmiot nie będzie w stanie szukać danych samodzielnie. Właściwie dochodzi do sytuacji, w której kontrola nad danymi osobowymi jest utracona, ponieważ nie mamy wpływu na to, komu takie dane będą następnie udostępnione. Niektóre z portali przewidują w tym zakresie nieodwołalną licencję na wykorzystanie takich danych. Na takie udostępnienie danych trzeba najpierw uzyskać zgodę osób, których dane dotyczą, ale w tej sytuacji ciężko sobie wyobrazić, aby ktoś takiej zgody udzielił.

Ryzyko związane z nieprawidłowością danych

Zazwyczaj w przypadku portali, które tworzą bazy danych nie mamy informacji, skąd dane pochodzą. W politykach niektórych portali czytamy wręcz, że dane osobowe mogą być wnioskowane na podstawie innych danych osobowych – np. dane firmowego maila danej osoby mogą zostać wygenerowane przez portal na podstawie innych adresów. Dodatkowo, jeżeli dane się zmieniają to nie mamy informacji na temat tej zmiany i przetwarzamy dane nieprawidłowe, choć należy zaznaczyć, że niektóre z portali informują o zmianach danych. Przetwarzanie danych osobowych nieprawidłowych stanowi naruszenie art. 5 ust. 1 lit d RODO, zgodnie z którym dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. W opisywanej sytuacji może być tak, że administrator nie będzie nawet wiedział, że przetwarzane dane się zmieniły i nie będzie mógł ich uaktualnić.

Ryzyko związane z transferem międzynarodowym danych osobowych

Niektóre (o ile nie wszystkie) z portali działających jako bazy danych potencjalnych kontaktów biznesowych zlokalizowane są poza terytorium Europejskiego Obszaru Gospodarczego. Oznacza to, że korzystanie z nich może wiązać się z transferem danych osobowych do krajów trzecich – najczęściej do Stanów Zjednoczonych. Weryfikując takie portale należy sprawdzić, czy istnieje możliwość zawarcia tzw. standardowych klauzul umownych, które zabezpieczą taki transfer. Obecnie stosowanie standardowych klauzul umownych wydaje się powszechne, jednak w przypadku jednego z portali podstawą przekazania danych osobowych była zgoda, a nie klauzule – pomimo tego, że portal wymagał nie tylko przekazania danych osobowych osoby, która zakładała konto, ale także udostępnienia danych, które mogłyby zostać później dalej wykorzystane.

Brak informacji o źródle pozyskania danych

Zgodnie z art. 14 RODO, jeżeli administrator pozyskuje dane osoby z innego źródła niż bezpośrednio od osoby, której dane dotyczą, to powinien takiej osobie przekazać informację m.in. o źródle pozyskania jej danych osobowych. Jak już wyżej wspomniano, w przypadku korzystania z takich portali, nie zawsze będziemy wiedzieć skąd dane pochodzą. Mało tego, w przypadku, gdy dany podmiot udostępnia dane na rzecz innych użytkowników, to jeden z tego typu portali zapewnia, że źródło danych nie będzie pozostałym użytkownikom udostępniane. Tymczasem, najlepiej byłoby, abyśmy mogli samodzielnie zweryfikować dane źródło podania danych – np. klikając w odpowiedni link.

Z powyższego jasno wynika, że korzystanie z portali, które zbierają dane z internetu i tworzą z nich bazy danych, może być ryzykowne z powyższych powodów. Dodatkowo, samo nawiązanie kontaktu przy pomocy tak pozyskanych danych osobowych może być problematyczne – jak bowiem taki kontakt uzasadnić i jak określić podstawę prawną naszego działania?

Sourcing – co z podstawą przetwarzania danych osobowych?

Zgodnie z RODO, aby przetwarzać dane osobowe musimy legitymować się jedną z podstaw, określoną w art. 6 RODO. W praktyce, w przypadku prowadzenia rekrutacji w formie sourcingu, możemy oprzeć się na następujących podstawach prawnych:

  1. Art. 6 ust. 1 lit f – uzasadniony interes administratora, polegający na poszukiwaniu kandydatów na stanowiska w ramach swojej firmy;
  2. Art. 6 ust. 1 lit b – przetwarzanie jest niezbędne do podjęcia działań na żądanie osoby, której dane dotyczą przed zawarciem umowy;
  3. Art. 6 ust. 1 lit. a – zgoda osoby, której dane dotyczą na przetwarzanie;
  4. Art. 6 ust. 1 lit. c – przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.

W przypadku sourcingu podstawa przetwarzania danych będzie płynna. Początkowo administrator, działając w ramach uzasadnionego interesu będzie przeglądał dostępne źródła, aby „wyłowić” potencjalnych kandydatów, którzy mogą być zainteresowani pracą albo współpracą. Następnie pracodawca (albo rekruter, działający w jego imieniu) nawiąże kontakt z potencjalnym pracownikiem. Przykładowo, prześle wiadomość na portalu GitHub albo LinkedIn. Następnie, w toku rozmowy, okaże się czy kandydat jest zainteresowany udziałem w rekrutacji, czy nie. Wówczas, w zależności od tego, w jakim kierunku pójdzie rozmowa, podstawa przetwarzanie ulegnie zmianie i obejmie jedną z podstaw wskazanych w lit. b-d, w zależności od rodzaju procesu rekrutacyjnego, tego kto go prowadzi oraz planowanej formy współpracy kandydata.

Należy przy tym pamiętać, że zgoda w rozumieniu art. 6 RODO nie oznacza wyłącznie zgody wyraźnej, ale może być wyrażona poprzez zachowanie kandydata. Jeżeli przykładowo rekrutację prowadzi agencja rekrutacyjna i kandydat po otrzymaniu pierwszej wiadomości kontynuuje rozmowę, przesyła CV, przedstawia swoje doświadczenie i kwalifikacje, to należy uznać, że wyraża zgodę na taki kontakt poprzez swoje zachowanie.

Obowiązek informacyjny

Zgodnie z art. 13 oraz 14 RODO mamy w stosunku do kandydatów obowiązek informacyjny, tj. powinniśmy przekazać im dokładną informację, m.in. kto przetwarza ich dane, w jakich celach, na jakiej podstawie itd. Taki obowiązek informacyjny może zostać wypełniony w ten sposób, że prześlemy kandydatowi link do jego treści albo jako załącznik w formacie pdf. Często także kandydat otrzymuje link do formularza aplikacyjnego, gdzie może złożyć aplikację na dane stanowisko – wówczas w takim właśnie formularzu znajdzie się obowiązek informacyjny.

Obowiązek informacyjny może być natomiast trudny lub wręcz niemożliwy do spełnienia w przypadku pozyskania danych z portali, które tworzą bazy danych, ale nie ujawniają źródła pochodzenia danych. W takim wypadku może okazać się, że nie będziemy mogli wypełnić tego obowiązku.

Co gdy kandydat nie życzy sobie rozmowy?

Jeżeli wyszukany przez nas kandydat w sposób jasny zamanifestuje, że nie jest zainteresowany rozmową to nie możemy dalej przetwarzać jego danych osobowych.  Swoim zachowaniem pokazuje bowiem, że nie wyraża zgody na taki kontakt, nie jest zainteresowany ofertą pracy, a my nie mamy już dalej uzasadnionego interesu, aby dane osobowe kandydata przetwarzać.

Zdaniem Autora:

Korzystanie z sourcingu jest obecnie jednym z powszechnie stosowanych i akceptowanych sposobów na poszukiwanie kandydatów do pracy lub współpracy. Sourcing pozwala na dotarcie do kandydatów pasywnych, jest więc szczególnie cenny dla pracodawców, którzy nie byliby w stanie dotrzeć do takich osób w inny sposób. Przy stosowaniu sourcingu należy jednak zachować ostrożność, zwłaszcza korzystając z portali, które nie mają charakteru biznesowego. W każdym przypadku należy zadbać o to, aby mieć ważną podstawę przetwarzania danych osobowych, a także aby przekazać kandydatom odpowiednie informacje dotyczące przetwarzania ich danych osobowych. Jeżeli chodzi o portale, które agregują dane osobowe z różnych źródeł, to przed podjęciem decyzji o skorzystaniu z takich portali należy dokładnie przeanalizować regulaminy i polityki danego portalu i ocenić, czy wykorzystanie go w procesie sourcingu nie uniemożliwi wypełnienia obowiązków, które nakłada na administratora RODO.


[i] https://zawodowo.olx.pl/raporty/raport-know-how-23.pdf