Przetwarzanie danych osobowych w procesach rekrutacyjnych

Opublikowany dnia przez af
Drukuj

Obowiązujący stan prawny:
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Ustawa o ochronie danych osobowych z 10 maja 2018 r. (dalej: RODO)

Dane osobowe: zgodnie z  Dyrektywą 95/46/WE „dane osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („osoby, której dane dotyczą”).

Są to: 

  • imię i nazwisko
  • PESEL
  • adres zamieszkania
  • data urodzenia
  • email
  • telefon
  • identyfikator internetowy (adres IP, identyfikator plików cookie)
  • lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość.

Dane osobowe wrażliwe: RODO nie definiuje wprost pojęcia wrażliwych danych osobowych. W przepisach dotyczących zasad przetwarzania danych znaleźć można w Art. 9 informacje podlegające szczególnej ochronie i określono zasady tej ochrony. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Podstawa prawna przetwarzania danych osobowych: Dane osobowe mogą być przetwarzane na podstawie jednej z trzech przesłanek:

  • Interes prawny. Sytuacja, w której z uwagi na uzasadniony prawnie interes podmiot może przetwarzać dane osobowe nawet bez zgody. Przykład: rekruter posiada interes prawny w przetwarzania danych osobowych kandydata, ponieważ jego praca polega na rekrutacji pracowników.
  • Zgoda. Zgoda osoby, której dane są przetwarzane. To najprostsza sytuacja, w której kandydat wyraził swoją zgodę w sposób bezpośredni lub domniemany na przetwarzanie jego danych.
  • Obowiązek prawny. Sytuacja, w której prawo, np. kodeks pracy, uprawnia podmiot do przetwarzania danych osobowych.

Wystarczy wystąpienie jednej z powyższych podstaw, aby przetwarzać dane osobowe zgodnie z prawem.  

Obowiązki pracodawcy związane z RODO:

Potencjalny pracodawca jest zobowiązany ujawnić kandydatowi na pracownika:

  • nazwę i adres siedziby firmy
  • nazwisko Inspektora ochrony danych (jeżeli w firmie jest osoba pełniąca obowiązki IOD)
  • cel, w jakim chce przetwarzać dane (i podstawę prawną, czyli odnośnik do konkretnego paragrafu)
  • znanych mu odbiorców danych osobowych
  • zamiar transgranicznego przetwarzania danych osobowych(jeżeli istnieje taka potrzeba)
  • jak długo dane osobowe będą przetwarzane
  • oraz poinformować:
  • jak można żądać dostępu do swoich danych osobowych
  • czy i kiedy ma się prawo cofnąć zgodę na przetwarzanie danych
  • o prawie wniesienia skargi do Prezesa UODO
  • o dobrowolności lub obowiązku podania danych i konsekwencjach ich niepodania.

Gdzie potencjalny pracodawca powinien zamieścić te informacje?

W treści ogłoszenia o pracę lub w informacji zwrotnej bezpośrednio po otrzymaniu aplikacji do pracy od kandydata.

Dane osobowe wymagane na etapie rekrutacji od kandydata:

Zgodnie z obecnym brzmieniem art. 221 § 1 Kodeksu pracy pracodawca ma obowiązek uzyskać („żąda”) następujące dane osobowe: 

  • Imię (imiona) i nazwisko,
  • Datę urodzenia,
  • Dane kontaktowe wskazane przez kandydata w praktyce będzie to najczęściej numer telefonu lub adres e-mail; nic nie stoi na przeszkodzie, aby pracodawca (np. w formularzu rekrutacyjnym) wskazał obie preferowane formy kontaktu, przy czym kandydat powinien podać co najmniej jedną z nich,
  • Wykształcenie,
  • Kwalifikacje zawodowe rozumiane szeroko nie tylko jako doświadczenie czy umiejętności, lecz także jako odpowiednie cechy i predyspozycje psychofizyczne,
  • Przebieg dotychczasowego zatrudnienia

Ustawodawca wprowadził jednak pewne ograniczenie, wskazując, że informacji dotyczących wykształcenia, kwalifikacji zawodowych oraz przebiegu dotychczasowego zatrudnienia można wymagać jedynie wówczas, gdy dane te są niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. Pracodawca nie powinien zbierać takich informacji, jeśli do pracy na danym stanowisku nie są wymagane żadne konkretne kwalifikacje czy doświadczenie albo dane stanowisko wymaga każdorazowo wcześniejszego przeszkolenia. (Ważne: Powyższy katalog danych nie obejmuje już imion rodziców oraz adresu zamieszkania/korespondencyjnego, których obecnie od kandydata nie można wymagać na etapie rekrutacyjnym.)

Sposób udokumentowania przez firmę informacji podawanych przez kandydata potwierdzenie

Powyższe dane kandydat powinien udostępnić pracodawcy w formie oświadczenia (np. poprzez zamieszczenie odpowiednich informacji w CV). Pracodawca jednak ma prawo żądać ich udokumentowania, w tym w szczególności poprzez przedłożenie odpowiednich dokumentów (np. dyplomu ukończenia studiów czy świadectw pracy).  Mając jednak na względzie zasadę minimalizacji oraz ograniczenia przechowywania (Art. 5 ust. 1 lit. c i e RODO), zalecane jest, aby co do zasady kopii takich dokumentów nie zachowywać, jeżeli na podstawie okazanych oryginałów możemy stwierdzić, że informacje podane w CV są prawidłowe i zgodne ze stanem faktycznym.

Czasami jednak kopie takie mogą być przydatne w celu realizacji obowiązków pracodawcy np. dyplom ukończenia studiów pozwala zaliczyć staż do dłuższego urlopu wypoczynkowego. Gromadzenie takich dokumentów powinno mieć jednak miejsce tylko w uzasadnionych przypadkach.

Okres przechowywania danych osobowych kandydata

Okres przechowywania danych osobowych kandydatów zależy od wyniku rekrutacji. Jeżeli określona osoba nie zostanie wytypowana, to nie ma podstaw do dalszego przetwarzania jej danych osobowych. Powinny one zostać niezwłocznie usunięte chyba że kandydat wyraził zgodę na przetwarzanie tych danych na poczet przyszłych rekrutacji przez określony czas. Pojawiło się rozstrzygnięcie sądowe, które uchyliło decyzję Prezesa UODO i które sugeruje, że CV kandydata pracodawca może przechowywać 3 lata po zakończeniu procesu rekrutacyjnego.

W pewnych okolicznościach, zwłaszcza, gdy istnieje duże prawdopodobieństwo, że niewybrany kandydat będzie dochodził roszczeń, powołując się na rzekomą dyskryminację w procesie rekrutacji, pracodawca może zachować dane osobowe takiego kandydata do czasu przedawnienia roszczeń, powołując się na swój prawnie uzasadniony interes (Art. 6 ust. 1 lit. f RODO). Taką sytuację należy jednak uznać za wyjątkową i odpowiednio uzasadnioną przebiegiem konkretnej rekrutacji. 

Z kolei w razie zatrudnienia danego kandydata, oświadczenia i dokumenty dotyczące jego danych osobowych zgromadzone w trakcie rekrutacji należy przechowywać w aktach osobowych pracownika (część A). Będą one przetwarzane do końca jego zatrudnienia i przez 10 lat  od końca roku kalendarzowego, w którym stosunek pracy ustał. (Rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z 10 grudnia 2018 roku w sprawie dokumentacji pracowniczej, § 3 pkt 1, Art. 94 pkt 9b Kodeksu pracy)

Dane osobowe kandydatów mogą przetwarzać pracownicy posiadający stosowne upoważnienie  nadane przez pracodawcę i związane z ich obowiązkami służbowymi. Powinni oni również zobowiązać się do zachowania tych danych w poufności. Jedynie w przypadku przetwarzania danych wrażliwych obowiązek poufności nie musi wynikać z treści upoważnienia, ponieważ jest to obowiązek ustawowy wynikający wprost z art. 22(1)b § 3 zdanie drugie Kodeksu pracy.

Obowiązek informacyjny wobec kandydata: Pracodawca jako administrator danych osobowych powinien również spełnić wobec każdego kandydata obowiązek informacyjny, o którym mowa w Art. 13 RODO. Należy to zrobić w każdym przypadku, w którym pobierane są jakiekolwiek dane osobowe. Klauzula taka powinna być udostępniona możliwie jak najszybciej, tj. wraz z ogłoszeniem o pracę (poprzez zamieszczenie jej treści, linka przekierowującego do jej treści lub w postaci checkboxa do odhaczenia), w mailu w odpowiedzi na otrzymaną aplikację od kandydata (w postaci załącznika, w treści maila albo poprzez przekazanie linka, po którego kliknięciu nastąpi przekierowanie do tej klauzuli), a w ostateczności należy przekazać ją w formie papierowej przed rozpoczęciem rozmowy kwalifikacyjnej.

Czy pracodawca może wykorzystać dane kandydatów do pracy pozyskane w konkretnym procesie rekrutacyjnych do celów przyszłych rekrutacji?

Nie, jeżeli kandydat nie wyraził na to zgody. Pracodawca po zakończeniu procesu rekrutacji powinien usunąć dane osobowe kandydata. Jeżeli jednak kandydat do pracy, w składanych potencjalnemu pracodawcy dokumentach, wyraził zgodę na przetwarzanie jego danych w celu wzięcia udziału w przyszłych rekrutacjach prowadzonych przez pracodawcę, dane te mogą być w tym celu przetwarzane.

Czy można poszukiwać pracowników w ramach tzw. rekrutacji „ukrytych”?

Do przeprowadzenia rekrutacji „ukrytej” wykorzystywane są zazwyczaj portale internetowe, które pośredniczą w rekrutacji udostępniając narzędzie wykorzystywane do publikowania ogłoszeń. Takiego typu rekrutacji, nie można uznać za zgodną z przepisami o ochronie danych osobowych, ponieważ kandydat do pracy nie posiada wiedzy, jaki podmiot zbiera jego dane osobowe i wobec jakiego podmiotu może realizować swoje prawa. O prawidłowym wykonaniu obowiązku informacyjnego, nie możemy mówić również w sytuacji, gdy klauzula informacyjna zostanie wysłana przez potencjalnego pracodawcę w odpowiedzi na otrzymaną aplikację, ponieważ obowiązek poinformowania m.in. o tożsamości pracodawcy powinien być realizowany przez niego na etapie zbierania danych osobowych, a nie na etapie ich utrwalania. Osoba przekazująca dane osobowe powinna posiadać wiedzę odnośnie tego, komu je udostępnia. Ma to szczególne znaczenie w związku z sytuacjami, w których ogłoszenia o prace są sposobem na wyłudzanie danych osobowych przez nieuczciwe podmioty do własnych celów niezwiązanych z zatrudnianiem pracowników.

Kary za naruszenie RODO (nie pojawiło się żadne szerzej znane orzeczenie sądu dotyczące przetwarzania danych osobowych kandydatów do pracy).

RODO wskazuje maksymalne kwoty kar jakie organy nadzoru mogą nałożyć na organizację przetwarzającą dane osobowe i dopuszczające się naruszeń. Za przetwarzanie  danych osobowych uważa się każdą operację na danych osobowych jak np. przeglądanie, przesyłanie, zbieranie, pobieranie, modyfikowanie czy też usuwanie.

W Polsce uprawnionym organem do nakładania kar przewidzianych w RODO jest Prezes Urzędu Ochrony Danych Osobowych. Kary nakładane są w wyniku przeprowadzonego postępowania w drodze decyzji administracyjnej. Administracyjne kary pieniężne maja na celu odstraszanie przed nieuczciwymi praktykami przetwarzania danych osobowych. W przypadku wykrycia naruszenia RODO organ nadzorczy może nałożyć administracyjną karę pieniężną. UODO może zastosować także, np. upomnienie czy wprowadzenie ograniczenie przetwarzania danych. Administracyjna kara pieniężna jest nakładana gdy inne środki zostaną uznane za niewystarczające.

  • Administracyjna kara pieniężna

W przypadku naruszenia podstawowych zasad przetwarzania danych (Art. 5 RODO), takich jak zgodność z prawem, rzetelność i przejrzystość, minimalizacja danych, brak oparcia przetwarzania w jednej z przesłanek wskazanych w Art. 6 albo Art. 9 RODO, administrator podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa w wysokości do 4 % jego całkowitego rocznego światowego obrotu.

Mniejszą karą (10 000 000 EUR, przedsiębiorstwo 2% rocznego światowego obrotu) zagrożone jest naruszenie przepisów dotyczących np. wdrożenia odpowiednich środków organizacyjnych i technicznych (Art. 32 RODO), czy też obowiązku przeprowadzenia oceny skutków dla ochrony danych (Art. 35 RODO).

RODO wskazuje na szereg czynników, które powinny być wzięte pod uwagę w czasie ustalania wysokości kary finansowej są to m.in.:

  • charakter naruszenia, jego waga i czas trwania,
  • działania podjęte w celu zminimalizowania szkody,
  • stopień odpowiedzialności administratora danych,
  • zachowanie po naruszeniu zasad ochrony (np. stopień współpracy z organem nadzorczym),
  • kategorie danych osobowych, których dotyczyło naruszenie przepisów RODO,
  • inne czynniki obciążające lub łagodzące (np. osiągnięte korzyści finansowe lub uniknięcie strat).
  • Odpowiedzialność karna. Oprócz odpowiedzialności związanej z możliwością nałożenia administracyjnej kary pieniężnej, możliwa jest również odpowiedzialność karna (Art. 107 RODO). Odpowiedzialność karną mogą ponieść tylko osoby fizyczne, w praktyce będą to np. pracownicy czy też członkowie kadry kierowniczej bądź konkretni urzędnicy. Odpowiedzialności karnej nie może ponieść natomiast żadna organizacja jak np. spółka z ograniczoną odpowiedzialnością, fundacja czy organ władzy publicznej.
  • Odpowiedzialność cywilna. Ustawa RODO przewiduje również odpowiedzialność cywilną wobec podmiotów danych. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów RODO, ma prawo uzyskać odszkodowanie za poniesioną szkodę. Żądanie może być skierowane zarówno wobec podmiotu przetwarzającego jak i administratora. W zakresie możliwych odszkodowań przepisy nie określają ich maksymalnych kwot.

Za co mogą być nakładane kary RODO do 20 mln euro lub wysokość do 4% całkowitego rocznego obrotu przedsiębiorstwa?

Rozporządzenie wymienia następujące rodzaje naruszeń:

  • naruszenie podstawowych zasad przetwarzania w tym warunków zgody, o których mowa w Art. 5, 6, 7 i 9 RODO,
  • nieprzestrzeganie obowiązków właściwego informowania i komunikacji zgodnie z Art. 12 RODO,
  • nieprzestrzegania obowiązków informacyjnych w przypadku pierwotnego i wtórnego zbierania danych zgodnie z Art. 13 i 14 RODO,
  • nieprzestrzegania praw przysługujących osobie, której dane są przetwarzane: prawo do dostępu do danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania, prawo do przenoszenia danych, prawo do złożenia sprzeciwu, prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji,
  • naruszenie zasad transferów danych poza EOG, czyli przekazywania danych osobowych odbiorcy w państwie trzecim albo organizacji międzynarodowej,
  • nieprzestrzegania nakazu tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy na podstawie Art. 58 ust. 2 RODO lub nie zapewnienie dostępu skutkującego naruszeniem Art. 58 ust 1 RODO.

Kary w wysokości do 10 mln euro lub w wysokości do 2% rocznego obrotu organ nadzorczy może nałożyć w przypadku naruszeń:

  • zasad przetwarzania danych osobowych dzieci w zakresie warunków wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego Art. 8 RODO,
  • zasad związanych z przetwarzaniem niewymagającym identyfikacji Art. 11 RODO,
  • obowiązku uwzględniania zasady privacy by design i privacy by default,
  • zasad i obowiązków wynikających z współadministrowania Art. 26 RODO,
  • obowiązków podmiotu przetwarzającego oraz obowiązków administratora związanych z powierzeniem przetwarzania Art. 28 RODO,
  • związanych przetwarzaniem danych bez właściwych upoważnień nadanych przez administratora lub podmiot przetwarzający Art. 29 RODO,
  • obowiązku prowadzenia rejestru czynności lub rejestru kategorii czynności – Art. 30 RODO
  • obowiązku współpracy z organem nadzorczym Art. 31 RODO,
  •  obowiązku zapewnienia bezpieczeństwa przetwarzania  zgodnie z Art. 32 RODO,
  • obowiązku zgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego Art. 33 RODO,
  • obowiązku zawiadomienia osoby, której dane dotyczą o naruszeniu danych osobowych zgodnie z Art. 34 RODO,
  • obowiązku dokonania oceny skutków dla ochrony danych Art. 35 RODO,
  • obowiązku uprzednich konsultacji Art. 36 RODO
  • obowiązku powołania inspektora ochrony danych, a także gwarancji statusu inspektora oraz przepisów, które opisują jego zadania,
  • przepisów związanych z ubieganiem się o certyfikacie zawartych w Art. 42 RODO.
Feedback