Ważne!
Powołane niżej przepisy mają zastosowanie tylko do 25 maja 2018 roku, kiedy to zacznie być stosowane ogólne rozporządzenie o ochronie danych osobowych (RODO).
RODO. Ogólne rozporządzenie o ochronie danych. Komentarz >>
1. NIC POZA OKREŚLONY KATALOG DANYCH
Pozyskiwanie danych osobowych potencjalnych pracowników musi odbywać się w sposób zgodny z prawem (zasada legalizmu – art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych), a więc z zachowaniem jednej z przesłanek określonych w art. 23 tej ustawy. Zakres danych osobowych, jakich może żądać zatrudniający w procesie rekrutacji, jest wyraźnie wskazany w art. 221 ustawy – Kodeks pracy. Pracodawca może zatem domagać się informacji o: imieniu (imionach) i nazwisku, imionach rodziców, dacie urodzenia, miejscu zamieszkania (adres do korespondencji), wykształceniu, przebiegu dotychczasowego zatrudnienia. Wskazany katalog jest katalogiem zamkniętym, co oznacza, że co do zasady pracodawca nie ma prawa pozyskiwać innych informacji, np. dotyczących stanu cywilnego (szerszy katalog mogą ewentualnie przewidywać przepisy szczególne).
2. ADEKWATNOŚĆ GROMADZONYCH DANYCH
Pozyskiwanie danych osobowych musi odbywać się zgodnie z zasadą adekwatności (art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych) – administrator powinien przetwarzać tylko takiego rodzaju dane i tylko o takiej treści, które są niezbędne ze względu na cel zbierania danych. Dane osobowe nie mogą być zbierane na zapas, „na wszelki wypadek”, tj. bez wykazania celowości ich pozyskania i niezbędności dla realizacji zadań administratora danych. Pracodawca nie może przetwarzać danych w zakresie szerszym niż niezbędny dla osiągnięcia zamierzonego celu, jak również danych o większym, niż uzasadniony tym celem, stopniu szczegółowości. Żądanie przez pracodawcę informacji wykraczających poza przepisy może być uznane jako dyskryminujące.
3. „CZARNE LISTY” OSÓB UBIEGAJĄCYCH SIĘ O ZATRUDNIENIE
Praktyka tworzenia tzw. czarnych list rekrutacyjnych, zawierających dane osobowe kandydatów, których z różnych powodów nie powinno się zatrudniać, nie znajduje oparcia w obowiązujących przepisach, jest zatem niezgodna z prawem. Tworzenie zbiorów danych o charakterze negatywnym może prowadzić do dyskryminacji i podejmowania niekorzystnych dla danej osoby decyzji w oparciu o często nierzetelne, bezpodstawnie pozyskane informacje.
4. WARUNKI ZGODY JAKO PODSTAWY PRZETWARZANIA DANYCH
Jeżeli podstawą przetwarzania danych jest zgoda kandydata do pracy – np. na wykorzystanie ich dla celów innych, przyszłych rekrutacji – należy pamiętać, że prawidłowo wyrażona zgoda powinna spełniać kryteria określone w art. 7 pkt 5 ustawy o ochronie danych osobowych. Powinna ona być wyrażona w sposób jasny i wyraźny, nie może być domniemana ani dorozumiana. Ważne jest, aby zgoda dotyczyła przetwarzania danych w konkretnym, wskazanym przez administratora danych celu, a nie przetwarzania danych „w ogóle”. Formuła zgody na przetwarzanie danych osobowych powinna zatem stanowić odrębne oświadczenie osoby, której dane dotyczą, zaś z jej treści w sposób niebudzący wątpliwości powinno wynikać w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego na co się godzi. Podkreślić przy tym należy, że zgoda musi zostać podjęta swobodnie i zgodnie z art. 7 pkt 5 ustawy o ochronie danych osobowych, może być w każdym czasie odwołana. Jednak w wielu przypadkach zdarza się, że zgoda na przetwarzanie danych osobowych bywa wymuszana, co jest związane z charakterem relacji, jakie zachodzą pomiędzy pracodawcą a kandydatem do pracy. Zatem żeby wyrażoną przez kandydata do pracy zgodę na przetwarzanie jego danych osobowych można było uznać za prawidłową przesłankę umożliwiającą wykorzystywanie tych danych, niezbędne jest dokonanie oceny, czy została ona wyrażona w sposób dobrowolny.
5. NIEDOPUSZCZALNOŚĆ SWOBODNEGO DYSPONOWANIA DANYMI
Nie jest dopuszczalne swobodne dysponowanie przez pracodawcę czy agencję rekrutacyjną pozyskanymi danymi osobowymi kandydatów do pracy, tj. wykorzystywanie ich w dowolnych celach (konieczność zachowania zasady celowości). Wymiana danych osobowych między różnymi podmiotami, jako forma przetwarzania danych, nie może odbywać się bez posiadania ku temu odpowiedniej podstawy prawnej (vide art. 23 ustawy o ochronie danych osobowych).
6. OBOWIĄZEK INFORMACYJNY WOBEC KANDYDATÓW
W czasie procesu rekrutacyjnego pracodawca powinien także spełnić obowiązek informacyjny wobec kandydatów do pracy. Odbywa się to poprzez zawarcie w zamieszczanym ogłoszeniu rekrutacyjnym klauzuli informacyjnej wskazującej na:
• adres siedziby i pełną nazwę pracodawcy (gdy pracodawcą jest osoba fizyczna, należy podać miejsce zamieszkania oraz imię i nazwisko pracodawcy),
• cel zbierania danych (w tym informację o znanych pracodawcy w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych),
• prawo dostępu do treści danych oraz ich poprawiania,
• dobrowolność albo obowiązek podania danych wraz z podstawą prawną takiego obowiązku (w tym przypadku na obowiązek podania danych wskazują odpowiednie przepisy Kodeksu pracy).
Dopełnienie obowiązku informacyjnego powinno nastąpić jeszcze przed zebraniem danych, a nie później niż w momencie ich zgromadzenia.
W przypadku zbierania danych nie od osoby, której one dotyczą – np. gdy pracodawca korzysta z usług agencji rekrutacyjnej – administrator musi dodatkowo poinformować osobę, bezpośrednio po utrwaleniu zebranych danych, o źródle, z jakiego pozyskał informacje na jej temat.
7. PRAWO OSOBY UBIEGAJĄCEJ SIĘ O ZATRUDNIENIE DO KONTROLI DANYCH
Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, w tym prawo do uaktualnienia, uzupełnienia czy też usunięcia tych danych. Wskazać należy, że uprawnieniom osób, których dane są przetwarzane w zbiorach, ustanowionym w art. 32 ustawy, odpowiada obowiązek administratorów danych określony w art. 33 ust. 1 ustawy - na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie do jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt. 1-5a. W myśl ust. 2 tego przepisu, na wniosek osoby, której dane dotyczą, informacji, o których mowa w ust. 1, udziela się na piśmie. Podkreślić należy, że złożenie wniosku, zależnie od jego treści, zobowiązuje administratora danych do udzielenia informacji o procesie przetwarzania danych osobowych.
8. USUWANIE DANYCH PO ZAKOŃCZENIU REKRUTACJI
Po zakończeniu rekrutacji zgromadzone dane powinny być przez pracodawcę usunięte. Nie ma bowiem podstawy do przechowywania ich „na zapas” (chyba że kandydat wyraził uprzednią zgodę na przetwarzanie jego danych osobowych dla celów przyszłych rekrutacji prowadzonych przez tego pracodawcę). Zgodnie z zasadą ograniczenia czasowego, dane osobowe mogą być przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż to jest niezbędne do osiągnięcia celu przetwarzania (art. 26 ust. 1 pkt 4 ustawy o ochronie danych osobowych). Wyjątki od stosowania powyższej zasady mogą wynikać z przepisów szczególnych (np. przepisów o archiwizacji), określających dłuższe okresy retencji danych.
9. BEZPIECZEŃSTWO DANYCH OSÓB BIORĄCYCH UDZIAŁ W REKRUTACJI
Administrator danych musi dopełnić wynikających z przepisów prawa obowiązków dotyczących odpowiedniego zabezpieczenia gromadzonych danych, także pod kątem technicznym i organizacyjnym. Również podmiot, któremu na podstawie art. 31 ustawy o ochronie danych osobowych powierzono przetwarzanie danych (np. agencja prowadząca rekrutację na zlecenie pracodawcy), jest obowiązany podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39 ustawy o ochronie danych osobowych. W zakresie przestrzegania tych przepisów podmiot przetwarzający ponosi odpowiedzialność jak administrator danych. Pamiętać ponadto należy, że podmiot ten może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w zawartej z administratorem danych umowie powierzenia (art. 31 ust. 2). Administrator ma z kolei możliwość kontroli tego, czy podmiot, któremu powierzył dane, przetwarza je zgodnie z postanowieniami zawartej między nimi umowy.
Dbałość o bezpieczeństwo przetwarzanych danych osobowych powinna być procesem ciągłym, a nie jednorazowym (doraźnym).
10. BUDOWANIE WŁASNEGO WIZERUNKU
Rozwój społeczeństwa informacyjnego pozwala na „budowanie” swojego wizerunku w sieci. Osoby biorące udział w rekrutacji muszą pamiętać, że mają wpływ na budowanie swojego wizerunku w oczach przyszłego pracodawcy poprzez treści, jakie zamieszczają w Internecie. Z tego względu powinny uważać, jakie informacje na swój temat zamieszczają w mediach społecznościowych i innych ogólnodostępnych źródłach. Coraz częściej zdarza się bowiem, że pracodawcy i agencje rekrutacyjne sięgają do takich informacji – mimo niedopuszczalności ich gromadzenia – co potencjalnie może mieć negatywny wpływ na ocenę kandydata do pracy i prowadzić do profilowania go na podstawie dostępnych w Internecie danych.