Pozyskiwanie danych osobowych w rekrutacji - fakty i mity

Czy pracodawca powinien zrealizować wszystkie żądania kandydata np. związane z usunięciem danych? Sześć miesięcy stosowania Rozporządzenia o Ochronie Danych Osobowych pokazuje, że rekruterzy nadal mają wiele wątpliwości odnośnie zastosowania przepisów w praktyce. W przyszłości pomocny będzie Kodeks Ochrony Danych Osobowych w Rekrutacji, który obecnie poddany jest konsultacjom. Już teraz jednak podajemy kilka cennych wskazówek.

Mit 1: Rekruter nie może pozyskiwać od kandydatów więcej danych niż te wskazane w Kodeksie Pracy

Fakt: Podczas procesów rekrutacyjnych zdarzają się sytuacje, w których zgromadzone dane niezbędne do przeprowadzenia rekrutacji i zatrudnienia są niewystarczające, by podjąć decyzję o zatrudnieniu. Dotyczy to na przykład oczekiwań finansowych. W takich sytuacjach rekruter może poprosić o przesłanie dodatkowych informacji.

Przed rozpoczęciem gromadzenia danych kandydatów pracodawca powinien określić, jakich danych potrzebuje w tym konkretnym procesie rekrutacyjnym oraz jaka jest podstawa prawna ich przetwarzania. W ramach projektu Kodeksu Ochrony Danych Osobowych powstała przykładowa tabela, która pomoże rekruterom w zdefiniowaniu odpowiednich podstaw.

Zakres danych	Podstawa	Czy można zażądać?
Wskazane w projekcie KP z dnia 23/11/2018: 1) imię (imiona) i nazwisko; 2) datę urodzenia; 3) dane kontaktowe wskazane przez taką osobę; 4) wykształcenie; 5) kwalifikacje zawodowe; 6) przebieg dotychczasowego zatrudnienia	Art. 6 ust. 1 lit. c) RODO w zw. z przepisami KP	Tak, z tym zastrzeżeniem, że w zakresie danych wskazanych w pkt 4-6, tylko gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.
Wskazane w przepisach szczególnych np. karalność	Art. 6 ust. 1 lit. c) RODO lub art. 9 ust. 2 lit. b) w zw. z przepisami kodeksu pracy	Tak
Niewskazane w KP i przepisach szczególnych, ale podane przez kandydata (np. zdjęcie na CV, informacja o hobby)	Art. 6 ust. 1 lit. a) RODO lub art. 9 ust. 2 lit. a) RODO	Nie
Niewskazane w KP i przepisach szczególnych, ale które pracodawca ma uzasadniony interes przetwarzać w celu prowadzenia Rekrutacji (np. w pewnych sytuacjach informacja o wynagrodzeniu / określone testy kompetencyjne)	Art. 6 ust. 1 lit. f) RODO – jeżeli w danym przypadku Pracodawca ma uzasadniony interes przetwarzać te dane	Tak (jeżeli Test uzasadnionego interesu, w tym Test równowagi wskazuje na taką możliwość)

Źródło: Projekt Kodeksu Ochrony Danych Osobowych w Rekrutacji, https://RODOwrekrutacji.pl

Mit 2: Wyrażenie zgody na przetwarzanie danych osobowych musi mieć formę odrębnego oświadczenia

Fakt: Kandydat może wyrazić zgodę na przetwarzanie danych zawartych w CV poprzez wyraźne działanie potwierdzające, np. kliknięcie przycisku „Aplikuj”, zamieszczonego w ofercie pracy lub formularzu aplikacyjnym (taki mechanizm nie dotyczy danych wrażliwych – w takim przypadku potrzebna jest zgoda wyraźna).

- Wysyłając swoją aplikację kandydat wyraża zgodę na przetwarzanie danych w ramach procesu rekrutacyjnego, w którym bierze udział. To ważna kwestia, ponieważ rekruter nie może swobodnie dysponować otrzymanym CV w ramach innych procesów. Przetwarzanie danych osobowych w przyszłych rekrutacjach wymaga zawsze pozyskania odrębnej zgody kandydata. Pracodawca powinien wskazać także, jak długo będzie przetwarzał dane.
W zarządzaniu bazą danych kandydatów może pomóc system rekrutacyjny, który przypomni o tym, że czas przetwarzania zakończył się lub zbliża się do końca. Może to w znacznym stopniu ułatwić spełnienie wymogu rozliczalności nałożonego przez RODO – podkreśla Julia Urbańska, ekspert eRecruiter, systemu do zarządzania rekrutacjami.

Mit 3: Wszystkie żądania kandydata w stosunku do jego danych muszą być spełnione

Fakt: Zdarzają się sytuacje, kiedy pracodawca nie może usunąć danych na żądanie kandydata. Mowa tutaj na przykład o toczącym się postępowaniu sądowym związanym z procesem rekrutacyjnym, kiedy dane kandydata stanowią dowód w sprawie. W tym przypadku pracodawca ma prawo odmowy lub ewentualnego odroczenia spełnienia żądania. Przy wsparciu technologii zdecydowanie łatwiej jest zadbać o zgodność z wymogami prawa, by na czas weryfikacji żądania kandydata stosownie oznaczyć w swojej bazie i w ten sposób ograniczyć przetwarzanie jego danych.

Polecamy: Kodeks pracy 2019. Praktyczny komentarz z przykładami

- Jeżeli aplikujący domaga się realizacji swoich praw, administrator danych musi go poinformować o działaniach podjętych w związku z jego żądaniem, bądź o powodach ich niepodjęcia, a także o możliwości wniesienia skargi do PUODO oraz skorzystania ze środków ochrony prawnej przed sądem. To pierwszy krok, który powinien zostać zrealizowany niezwłocznie, jednak nie później niż w terminie miesiąca od otrzymania żądania. Ponadto, przed realizacją żądań kandydata, pracodawca musi zweryfikować jego tożsamość, stosując określoną wcześniej procedurę (np. przez wybranie unikalnego identyfikatora kandydata, którym może być podany przez aplikującego adres e-mail, identyczny z tym, z którego napłynęło żądanie) – informuje dr Mirosław Gumularz, radca prawny z GKK Gumularz Kozik Radcowie Prawni, członek Grupy Roboczej ds. ochrony danych osobowych przy Ministerstwie Cyfryzacji.

Fakty nie mity

Nie istnieje obecnie jeden dokument, który odpowiadałby na wszystkie wątpliwości i pytania rekruterów. Z tego względu powstała inicjatywa stworzenia Kodeksu Ochrony Danych Osobowych w Rekrutacji, którego inicjatorami są eRecruiter, Pracuj.pl i kancelaria GKK Gumularz Kozik Radcowie Prawni. Obecnie trwają konsultacje, podczas których wszystkie osoby prowadzące rekrutacje, prawnicy i przedsiębiorcy mogą pobrać dokument i zgłaszać swoje uwagi, pytania i sugestie, wysyłając wiadomość e-mail na adres: kodeks@erecruiter.pl.

Więcej informacji znajduje się na stronie: www.RODOwrekrutacji.pl.