Ebook pobrany przez biuro@pawlas.eu
Ochrona danych osobowych w procesie rekrutacji
1
Ebook pobrany przez biuro@pawlas.eu
Ochrona danych osobowych w procesie rekrutacji
2
Źródła danych o kandydatach ........................................................................................................................................... 3
CV i list motywacyjny ........................................................................................................................................................ 3
Dane kandydatów odrzuconych ....................................................................................................................................... 5
Agencje pracy tymczasowej .............................................................................................................................................. 5
Proces rekrutacji jest jednym z bardziej newralgicznych w każdej organizacji. By go rozpocząć,
wymagane jest zaangażowanie co najmniej kilku osób, które muszą być świadome istnienia przepisów
ustawy o ochronie danych osobowych. Warto pamiętać, by mimo uzasadnienia biznesowego
szanować prawo do prywatności kandydatów do pracy i pracowników.
Większość przedstawicieli firm i instytucji ochronę danych osobowych kojarzy przede wszystkim z
ochroną danych klientów lub interesantów, zapominając o danych pracowników i kandydatów do
pracy.
Rosnąca świadomość społeczna zasad ochrony prywatności powoduje większe ryzyko pozwów o
zadośćuczynienie lub odszkodowanie. Warto się zastanowić, czy procesy rekrutacji są prowadzone
zgodnie z uodo.
Ebook pobrany przez biuro@pawlas.eu
Ochrona danych osobowych w procesie rekrutacji
3
Rekrutacja pracowników jest najczęściej prowadzona wielowątkowo. Z jednej strony mamy nabór
wewnętrzny, z drugiej – ogłoszenia własne i firmy pośredniczące w rekrutacji (np. agencje pracy czy
headhunting). Gromadząc dokumenty aplikacyjne kandydatów z różnych źródeł, warto się zastanowić,
kto jest administratorem ich danych na każdym poziomie rekrutacji.
Jeżeli kandydat wyraził zgodę na przetwarzanie danych osobowych w celu rekrutacji innemu
podmiotowi, pojawia się pytanie, czy możemy się z nim skontaktować i na co tak naprawdę wyraził
zgodę. W praktyce to treść klauzuli zgody pod dokumentami aplikacyjnymi – pozornie mało istotny
element – określa, kto może przetwarzać dane, jak długo oraz w jakim celu.
Przykład
Najczęściej to przyszły pracodawca proponuje treść klauzuli zgody, warto więc uzgodnić ją z
administratorem bezpieczeństwa informacji, zanim kandydat, np. niezadowolony z wyniku rekrutacji,
postanowi dochodzić swojego prawa do prywatności.
Dokumenty aplikacyjne mogą zawierać dane osobowe wrażliwe. Dlatego niezwykle istotne jest
uzyskanie od kandydatów pisemnej zgody na ich przetwarzanie. Zgoda jest bezterminowa, co oznacza,
że aby przetwarzanie danych stało się nielegalne, musi on ją odwołać.
CV i list motywacyjny to dwa najczęściej wymagane przez rekruterów dokumenty aplikacyjne. Zdarza
się jednak, że pracodawcy oczekują dodatkowych informacji, np. oświadczenia o niekaralności czy
skanu dowodu tożsamości.
Czy mają do tego prawo? Okazuje się, że takie wymagania mogą naruszać tzw. zasadę adekwatności
określoną w ustawie o ochronie danych osobowych (art. 26 uodo). W dużym skrócie, mówi ona o tym,
że można pobierać od osoby tylko tyle informacji, ile jest niezbędne do osiągnięcia założonego celu ich
przetwarzania. Dodatkowe informacje i zaświadczenia, o których mowa powyżej, to tzw. dane
nadmiarowe.
To, czy ich wymaganie i przetwarzanie będzie legalne, zależy od dodatkowych przepisów, np.
ustawowy wymóg niekaralności w przypadku pracowników sądów powoduje, że w procesie rekrutacji
od kandydatów wymagane jest odpowiednie zaświadczenie. Szczegółowe informacje o tym, jakich
danych rekruter może wymagać, są określone w art. 221 Kodeksu pracy – jest to katalog otwarty, który
zawiera odniesienie do ustawy o ochronie danych osobowych.
Ebook pobrany przez biuro@pawlas.eu
Ochrona danych osobowych w procesie rekrutacji
4
Kolejnym etapem procesu rekrutacji jest rozmowa kwalifikacyjna. W jej trakcie również może dojść do
naruszenia prawa kandydatów do prywatności. Zdarzają się np. przypadki udostępnienia kandydatowi
treści aplikacji jego kontrkandydatów.
Najczęściej wynika to z nieuwagi lub lekkomyślności osób przeprowadzających rozmowę, które
zabierają na spotkanie aplikacje wszystkich kandydatów i umożliwiają osobie, z którą prowadzą
rozmowę, niemal swobodny wgląd w dokumenty. Skrajnym przypadkiem jest pozostawianie
kandydata w takim pomieszczeniu z aplikacjami bez nadzoru.
Innym rodzajem przewinień rekruterów są pytania, które nie mają prawa padać w rozmowach
kwalifikacyjnych. Przykładów takich pytań jest wiele – dotyczą m.in. nałogów, życia seksualnego, religii,
poglądów politycznych, sytuacji rodzinnej. Warto wiedzieć, że zadanie takiego pytania może skłonić
osobę, która nie została wybrana w procesie rekrutacji, do złożenia skargi do GIODO lub PIP.
Ostatnim etapem rekrutacji jest poinformowanie kandydatów o jej wynikach. Tutaj często ujawnia się
zbyt wiele informacji. Na stronie internetowej lub w publicznie dostępnym miejscu pracodawcy
czasem publikują, oprócz podstawowych danych (imię, nazwisko i miejscowość), także adres
zameldowania, wiek czy numer PESEL.
Wybrany kandydat otrzymuje do wypełnienia zestaw dokumentów. Najczęściej jest to kwestionariusz
osobowy, informacja o członkach rodziny objętych ubezpieczeniem zdrowotnym czy numer rachunku
bankowego. Są to formularze jak najbardziej zgodne z przepisami, jednak bywają wśród nich takie,
które naruszają konstytucyjne prawo do prywatności.
Najczęściej spotykanymi, niezgodnymi z prawem, wymaganiami wobec nowo zatrudnionych
pracowników są:
•
żądanie dostarczenia wyciągu z Krajowego Rejestru Karnego lub oświadczenia o
niekaralności,
•
dostarczenie zdjęcia do zamieszczenia go na stronie internetowej pracodawcy (bez
możliwości sprzeciwu, a czasem bez pytania o zgodę),
•
skanowanie lub kserowanie dowodu tożsamości pracownika.
Trzeba pamiętać, że wyciągu z Krajowego Rejestru Karnego mogą żądać tylko niektórzy pracodawcy,
np. urzędy (wobec pracowników służby cywilnej) czy sądy. Za każdym razem podstawa takiego żądania
musi wynikać z przepisu prawa (art. 6 ustawy o krajowym rejestrze karnym).
Dodatkowo ustawa o prawach autorskich i prawach pokrewnych precyzyjnie określa tzw. prawo do
wizerunku – jego rozpowszechnianie wymaga zezwolenia, chyba że osoba wyraźnie nie zastrzegła, że
nie chce, by jej wizerunek był wykorzystywany.
Poza tym kopiowanie dokumentów tożsamości pracowników (zamiast spisania danych, by ułatwić
sobie pracę) narusza zasady celowości i adekwatności. Problem dotyczy pozostałych danych (zdjęcie,
czyli wizerunek osoby, oraz wzór podpisu), które znajdują się w dokumencie, a które dla pracodawcy
są zbędne.
Ebook pobrany przez biuro@pawlas.eu
Ochrona danych osobowych w procesie rekrutacji
5
Najczęściej pojawiającą się wątpliwością w działach kadr i HR jest dopuszczalność przetwarzania
dokumentów aplikacyjnych kandydatów po zakończeniu procesu rekrutacji. Ze względu na
obowiązujący do 7 marca 2011 r. art. 50 ustawy o ochronie danych osobowych, który przewidywał
odpowiedzialność karną za przetwarzanie danych osobowych po ustaniu celu ich przetwarzania,
mylnie zakłada się, że należy usuwać wszystkie zgromadzone CV po zakończeniu procesu rekrutacji.
Jednak jeżeli klauzula zgody w CV jest tzw. klauzulą ogólną, czyli dotyczy wszelkich procesów rekrutacji
prowadzonych przez dany podmiot, to przechowywanie CV osób, które nie zostały wybrane, jest
dopuszczalne.
Istnieje również tzw. zasada merytorycznej poprawności danych (art. 26 pkt 3 uodo). Zgodnie z nią,
jeżeli chcemy przechowywać jakieś dane przez dłuższy czas, powinny one być merytorycznie
poprawne. CV ma to do siebie, że często się dezaktualizuje – zmieniają się np. numery telefonów
kandydatów, adresy poczty elektronicznej, staż pracy. Warto więc określić konkretny termin usunięcia
zebranych w procesie rekrutacji danych, tak by nie stały się one merytorycznie niepoprawne.
Przykład
W proces rekrutacji zaangażowani są najczęściej przyszli przełożeni kandydatów do pracy. Zazwyczaj
dołączają do niego na końcowym etapie i otrzymują do wglądu tylko kilka wybranych aplikacji.
Przechowywanie czy drukowanie przez nich tych dokumentów tworzy dodatkową kopię, o której się
często zapomina po zakończeniu rekrutacji. Warto zadać sobie pytanie, czy bezpieczne jest, by CV
funkcjonowało w kilku kopiach. Jeżeli zdecydujemy się na takie rozwiązanie, należy każdorazowo
pamiętać o zarchiwizowaniu lub usunięciu nadmiaru egzemplarzy – oczywiście w sposób bezpieczny, z
wykorzystaniem niszczarki do dokumentów.
Częstym rozwiązaniem stosowanym przez firmy jest korzystanie z outsourcingu pracowników
(pracownicy zatrudniani są przez firmy zewnętrzne). Taka forma zatrudnienia powoduje jeszcze więcej
niejasności w zakresie przetwarzania danych osobowych. Podmiot, który chce skorzystać z
outsourcingu pracowniczego, przed rozpoczęciem takiej współpracy otrzymuje dokumenty aplikacyjne
kandydatów na pracowników, a więc przetwarza ich często wrażliwe dane osobowe.
Nie robi tego jednak w celu rekrutacji (nie zamierza zatrudnić tych osób), a w celu zatrudnienia
kandydatów przez podmiot zewnętrzny. Pojawia się więc pytanie, kto w tej sytuacji jest
Ebook pobrany przez biuro@pawlas.eu
Ochrona danych osobowych w procesie rekrutacji
6
administratorem danych osobowych, a kto tzw. procesorem danych, czyli podmiotem zewnętrznym
przetwarzającym dane osobowe, których administratorem jest inny podmiot (art. 31 uodo).
Dodatkowe wątpliwości budzi fakt, że podmiot korzystający z outsourcingu pracowników formalnie
nie jest ich pracodawcą, a jednak pracownik taki musi przestrzegać wszelkich regulacji obowiązujących
w miejscu wykonywania pracy, czyli np. przepisów bhp czy wewnętrznych regulacji dotyczących
danych osobowych. Tu pojawia się kolejna wątpliwość – w jakim celu podmiot może przetwarzać te
dane. Przepisy nie regulują tej kwestii. Trzeba je więc określić w umowie powierzenia między
administratorem danych a osobą, której dane się przekazuje.
Konrad Gałaj-Emiliańczyk,
ekspert ds. ochrony danych osobowych ODO 24 Sp. z o.o. | odo24.pl
Ebook pobrany przez biuro@pawlas.eu
Ochrona danych osobowych w procesie rekrutacji
7
Redaktor:
Wioleta Szczygielska
ISBN:
978-83-269-4727-8
E-book nr:
2HH0419
Wydawnictwo:
Wydawnictwo Wiedza i Praktyka sp. z o.o.
Adres:
03-918 Warszawa, ul. Łotewska 9a
Kontakt:
Telefon 22 518 29 29, faks 22 617 60 10, e-mail: cok@wip.pl
NIP:
526-19-92-256
Numer KRS:
0000098264 – Sąd Rejonowy dla m.st. Warszawy, Sąd Gospodarczy
XIII Wydział Gospodarczy Rejestrowy. Wysokość kapitału zakładowego:
200.000 zł
Copyright by:
Wydawnictwo Wiedza i Praktyka sp. z o.o. Warszawa 2016
Ebook pobrany przez biuro@pawlas.eu