Przetwarzanie danych osobowych w procesach rekrutacyjnych

Drukuj

Dane Osobowe: Zgodnie z Dyrektywą 95/46/WE, termin “dane osobowe” odnosi się do wszelkich informacji związanych z identyfikowaną lub możliwą do zidentyfikowania osobą fizyczną (zwanej “osobą danych”). Wśród tych informacji znajdują się:

  • Imię i nazwisko,
  • Numer PESEL (Numer Identyfikacji Osobistej),
  • Adres zamieszkania,
  • Data urodzenia,
  • Adres e-mail,
  • Numer telefonu,
  • Identyfikatory internetowe (np. adres IP, identyfikatory plików cookie),
  • Jeden lub więcej określonych czynników identyfikujących osobę pod względem fizycznym, fizjologicznym, genetycznym, psychicznym, ekonomicznym, kulturowym lub społecznym.

Dane Osobowe o Szczególnym Charakterze: Rozporządzenie RODO nie dostarcza dokładnej definicji danych osobowych o szczególnym charakterze. Niemniej jednak, Artykuł 9 wylicza informacje podlegające szczególnej ochronie. Obejmuje to dane dotyczące pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, członkostwa w związkach zawodowych, danych genetycznych, danych biometrycznych służących do identyfikacji osoby, a także danych dotyczących zdrowia lub orientacji seksualnej osoby.

Podstawa prawna przetwarzania danych osobowych:

Dane osobowe mogą być przetwarzane na trzech głównych podstawach:

  1. Interes Legitimny: W przypadkach, gdy podmiot ma uzasadniony interes, dane osobowe mogą być przetwarzane nawet bez zgody. Przykładem może być sytuacja, w której rekruter ma uzasadniony interes w przetwarzaniu danych kandydata ze względu na swoją rolę w procesie rekrutacji.
  2. Zgoda: Dane osobowe mogą być przetwarzane za zgodą osoby, której dane dotyczą. To zachodzi, gdy kandydat udziela wyraźnej lub dorozumianej zgody.
  3. Obowiązek Prawny: Czasami prawo, takie jak Kodeks Pracy, pozwala na przetwarzanie danych osobowych. Posiadanie jednej z tych podstaw jest wystarczające do legalnego przetwarzania danych osobowych.

Obowiązki pracodawcy związane z RODO:

  • Potencjalny pracodawca musi dostarczyć kandydatowi informacje dotyczące nazwy i adresu siedziby firmy.
  • Jeśli w firmie istnieje Inspektor Ochrony Danych, jego imię powinno być ujawnione.
  • Cel przetwarzania danych i podstawa prawna (z odwołaniem do konkretnych przepisów) muszą być przekazane.
  • Odbiorcy danych powinni być poinformowani.
  • Jeśli dane osobowe będą przetwarzane poza granicami kraju, informacja ta powinna być udostępniona w odpowiednich przypadkach.
  • Informacje dotyczące sposobu, w jaki pracodawca będzie zarządzać danymi osobowymi w dłuższym okresie, powinny być ujawnione.
  • Pracodawca musi również poinformować kandydata o jego prawach, w tym prawo dostępu do swoich danych, prawo do wycofania zgody na przetwarzanie danych oraz prawo do skargi do Prezesa Urzędu Ochrony Danych Osobowych (UODO).
  • Należy wyjaśnić, czy udostępnienie danych jest dobrowolne czy obowiązkowe, wraz z konsekwencjami związanymi z nieudzieleniem takich danych.

Te informacje powinny być przekazywane w ogłoszeniach o pracę lub niezwłocznie po otrzymaniu zgłoszenia kandydata na stanowisko pracy.

Dane osobowe wymagane podczas procesu rekrutacji:

Zgodnie z Artykułem 221 § 1 Kodeksu Pracy, pracodawca jest zobowiązany do uzyskania następujących danych osobowych:

  • Imię i nazwisko,
  • Data urodzenia,
  • Dane kontaktowe podane przez kandydata (zazwyczaj numer telefonu lub adres e-mail),
  • Wykształcenie,
  • Kwalifikacje zawodowe, obejmujące doświadczenie, umiejętności, cechy psychofizyczne i predyspozycje istotne dla stanowiska,
  • Historię zatrudnienia kandydata.

Te dane mogą być zbierane tylko wtedy, gdy są niezbędne do określonej roli lub zadań. Jeśli konkretne stanowisko nie wymaga określonych kwalifikacji lub doświadczenia, pracodawca powinien powstrzymać się od zbierania takich informacji.

Dokumentacja pozyskiwania danych:

Kandydaci zwykle udostępniają swoje informacje poprzez oświadczenie lub poprzez uwzględnienie odpowiednich szczegółów w swoim CV. Jednak pracodawca może poprosić o odpowiednie dokumenty, takie jak dyplomy czy świadectwa pracy, jeśli jest to konieczne.

Okres przechowywania danych:

Czas przechowywania danych zależy od wyniku procesu rekrutacji. Jeśli firma nie zatrudnia kandydata, nie ma podstaw do dalszego przetwarzania danych, a dane powinny być natychmiast usunięte, chyba że kandydat wyraził zgodę na przetwarzanie danych na potrzeby przyszłych rekrutacji w określonym okresie.

Uprawnione przetwarzanie danych:

Pracownicy mogą przetwarzać dane kandydatów tylko w ramach swoich uprawnień służbowych i zobowiązani są do zachowania poufności tych danych. Obowiązek zachowania poufności wynika zwykle z zgody pracodawcy, chyba że dane są wrażliwe, wówczas poufność jest uregulowana przepisami prawnymi.

Obowiązek informacyjny wobec kandydata:

Pracodawca, jako administrator danych, musi także spełnić obowiązek informacyjny wobec każdego kandydata, zgodnie z Artykułem 13 RODO. Ta informacja powinna być dostępna jak najszybciej, na przykład wraz z ogłoszeniem o pracę (poprzez zamieszczenie jej treści, odnośnika lub w formie zaznaczenia zgody) lub w wiadomości e-mail w odpowiedzi na zgłoszenie kandydata (w formie załącznika, w treści wiadomości e-mail lub poprzez udostępnienie odnośnika do tej klauzuli). Wartościowe jest także dostarczenie jej na papierze przed rozpoczęciem rozmowy kwalifikacyjnej.

Czy pracodawca może używać danych kandydata uzyskanych w konkretnym procesie rekrutacji do przyszłych procesów rekrutacyjnych?

Tylko wtedy, gdy kandydat wyrazi na to zgodę. Zazwyczaj pracodawca powinien usunąć dane kandydata po zakończeniu procesu rekrutacji. Jednak jeśli kandydat wyrazi zgodę na przetwarzanie swoich danych w celu uczestnictwa w przyszłych procesach rekrutacyjnych pracodawca może przechowywać te dane.

Czy jest możliwe poszukiwanie pracowników w tzw. “ukrytej” rekrutacji?

Rekrutacja za pośrednictwem portali internetowych, które nie ujawniają tożsamości podmiotu zbierającego dane, nie jest zgodna z przepisami o ochronie danych. Kandydaci muszą być świadomi, kto zbiera ich dane i jak mogą korzystać z swoich praw.

Kary za naruszenie RODO:

Kary za naruszenie przepisów RODO są nakładane przez Prezesa Urzędu Ochrony Danych Osobowych (UODO). Mają one na celu odstraszanie od nieuczciwych praktyk związanych z przetwarzaniem danych osobowych. Kary mogą obejmować grzywny administracyjne, ostrzeżenia lub ograniczenia przetwarzania danych. Istnieje także możliwość odpowiedzialności karno-administracyjnej i cywilnej dla osób zaangażowanych w naruszenia.

Grzywny administracyjne: Grzywny administracyjne za naruszenia przepisów RODO mogą wynosić do 20 000 000 EUR lub 4% rocznego obrotu firmy, w zależności od charakteru i ciężkości naruszenia.

Odpowiedzialność karno-administracyjna: Odpowiedzialność karno-administracyjna za naruszenia przepisów RODO dotyczy tylko osób fizycznych, takich jak pracownicy, kierownicy czy urzędnicy, a nie organizacji.

Odpowiedzialność cywilna: Osoby, które poniosły szkodę materialną lub niematerialną w wyniku naruszenia RODO, mają prawo do ubiegania się o odszkodowanie zarówno od podmiotu przetwarzającego dane, jak i od administratora danych.

Czynniki brane pod uwagę przy nałożeniu kar: Przy określaniu wysokości kary brane są pod uwagę różne czynniki, w tym charakter i czas trwania naruszenia, próby minimalizacji szkody, stopień odpowiedzialności, zachowanie po naruszeniu (np. stopień współpracy z organem nadzoru), kategorie dotkniętych danych osobowych oraz inne czynniki łagodzące lub obciążające.

Rodzaje naruszeń: Grzywny zgodnie z RODO mogą być nałożone za szereg naruszeń, w tym naruszenia zasad przetwarzania danych, brak zgodności z obowiązkami informacyjnymi oraz naruszenia związane z przekazywaniem danych poza obszar EOG.

Unions Help Refugees