Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - dalej u.o.d.o. obliguje pracodawcę do zastosowania środków technicznych i organizacyjnych, które zapewnią ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń, a w szczególności zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. W przypadku naruszeń w zakresie przetwarzania danych osobowych pracodawca ponosi odpowiedzialność karną.
Administrator danych powinien prowadzić dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne, które zapewnią ochronę przetwarzanych danych osobowych. Pracodawca po określonym czasie (np. niezwłocznie, po 1 roku, po 2 latach) dokumenty aplikacyjne powinien usunąć, tj. zniszczyć dane osobowe lub zmodyfikować w sposób, który nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą. Z czynności zniszczenia można przygotować protokół, z którego będzie wynikać, iż w określonym dniu zostały zniszczone dokumenty aplikacyjne (CV) kandydatów na określone stanowiska (nie należy wskazywać nazwisk osób, których cv zostały zniszczone).
Należy jednak dodać, iż kwestia zniszczenia dokumentów lub odesłania kandydatowi nie została uregulowana ani w kodeksie pracy, ani ustawie o ochronie danych osobowych ani też w innych przepisach. W związku z powyższym to pracodawca decyduje o sposobie postępowania może więc je odesłać lub zniszczyć. Jednak zawsze powinien pamiętać o zapewnieniu właściwego zabezpieczenia danych osobowych.
Jednocześnie warto zwrócić uwagę, iż kwestią najistotniejszą jest, iż pracodawca nie ma prawa przetwarzać danych osobowych kandydata do pracy, o ile ten w sposób niebudzący wątpliwości w formie oświadczenia nie wyraził zgody na przetwarzanie danych. Pracodawca, musi uzyskać zgodę kandydatów do pracy na przetwarzanie danych osobowych zgodnie z ustawą o ochronie danych osobowych Przy czym należy zdecydowanie podkreślić, iż nie jest wystarczająca zgoda na przetwarzanie danych w celach rekrutacyjnych. Potwierdza to stanowisko GIODO zgodnie, z którym "dane osobowe kandydatów przesłane na potrzeby rekrutacji, którzy ostatecznie nie zostali zatrudnieni, powinny zostać zniszczone lub odesłane im po zakończeniu rekrutacji na dane stanowisko".
Poniżej przykładowy wzór zgody na przetwarzanie danych osobowych kandydatów do pracy.
ZGODA NA PRZETWARZANIE DANYCH OSOBOWYCH KANDYDATÓW DO PRACY
Ja niżej podpisany/a zgodnie z Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w przedstawionych przeze mnie dokumentach w celach związanych z organizacją procesu rekrutacyjnego przez XYZ z siedzibą w przy ulicy ... w ... (nazwa miasta) jako administratora danych w związku z procesem rekrutacji.
Jednocześnie wyrażam zgodę na umieszczenie moich danych zawartych w przedstawionych przeze mnie dokumentach aplikacyjnych w bazie rekrutacyjnej administrowanej przez XYZ. Rozumiem, iż moje dane osobowe będą przechowywane przez okres ... (wskazać okres przechowywania). Po upływie tego okresu dane zostaną zniszczone.
Rozumiem, że przysługuje mi prawo dostępu do treści swoich danych osobowych, prawo ich poprawiania oraz żądania ich usunięcia.
.......................................
Data i podpis