Przy rekrutacji pracowników należy pamiętać, że można pozyskiwać tylko określone dane osobowe, pracodawca nie może żądać od kandydata danych wykraczających poza zakres, który został wskazany w Kodeksie pracy, w szczególności takich, które nie mają związku z celem, jakim jest zatrudnienie pracownika.
Urząd Ochrony Danych Osobowych. podkreśla, że pracodawca nie może żądać od kandydata danych nadmiarowych, które są niepotrzebne do przeprowadzenia rekrutacji. Dane osobowe nie mogą być też zbierane na zapas, tj. bez wykazania przez administratora zgodnego z prawem celu ich pozyskania i niezbędności do realizacji tego celu.
Jednym z podstawowych obowiązków wynikających z RODO jest przetwarzanie danych na konkretnej podstawie prawnej. W przypadku kandydatów na pracowników taką podstawą będzie w pierwszej kolejności wypełnianie obowiązków prawnych ciążących na pracodawcy jako administratorze danych osobowych. Będzie nimi między innymi art. 221 § 1 Kodeksu pracy. Zgodnie z jego brzmieniem pracodawca ma obowiązek uzyskać od osoby ubiegającej się
o zatrudnienie następujące dane osobowe:
- Imię (imiona) i nazwisko;
- Datę urodzenia;
- Dane kontaktowe wskazane przez kandydata – w praktyce będzie to najczęściej numer telefonu lub adres e-mail; nic nie stoi na przeszkodzie, aby pracodawca (np. w formularzu rekrutacyjnym) wskazał obie preferowane formy kontaktu, przy czym kandydat powinien podać co najmniej jedną z nich;
- Wykształcenie;
- Kwalifikacje zawodowe – rozumiane szeroko nie tylko jako doświadczenie czy umiejętności, lecz także jako odpowiednie cechy i predyspozycje psychofizyczne (wyrok Sądu Najwyższego (SN) z 4 października 2000 roku, I PKN 61/00);
- Przebieg dotychczasowego zatrudnienia – rozumiane jako zatrudnienie nie tylko
w ramach stosunku pracy, lecz także na podstawie umów cywilnoprawnych, np. umów zlecenia, umów o dzieło (wyrok SN z 11 stycznia 2017 roku, I PK 25/16).
Katalog danych, które mogą być przetwarzane w procesie rekrutacji przez pracodawcę jest zamknięty, co oznacza, że pracodawca nie może przetwarzać danych, które wykraczają poza ten zakres. Powyższy katalog nie obejmuje imion rodziców oraz adresu zamieszkania, adresu korespondencyjnego, których na etapie rekrutacyjnym nie można od kandydata wymagać.
Urząd Ochrony Danych Osobowych podkreśla przy tym, że do przetwarzania wymienionych danych nie jest potrzebna zgoda.
„Dotychczasowa praktyka zamieszczenia w liście motywacyjnym (CV) zgody
na przetwarzanie danych w celach rekrutacyjnych nie jest właściwa. Zgoda, a w szczególności wyraźna zgoda na przetwarzanie wybranych danych, może być niezbędna jedynie w określonych sytuacjach. Na przykład, kandydat może zgodzić się na przetwarzanie jego danych na potrzeby przyszłych rekrutacji przez wskazany czas” – wskazuje UODO. „Może się oczywiście zdarzyć, że osoba kandydująca na konkretne stanowisko będzie musiała spełnić pewne określone prawem wymogi, np. wymóg niekaralności i wówczas pracodawca będzie uprawniony do pozyskania informacji o nim w tym zakresie. Zdarza się, że osoby kandydujące do pracy przekazują z własnej inicjatywy więcej danych, niż jest to wskazane w Kodeksie pracy. Przepisy kodeksu nie nakładają obowiązku przekazywania pracodawcy przez kandydata do pracy swojego zdjęcia (niezależnie od formy jego udostępnienia). Niekiedy podajemy także informację o stanie cywilnym, numer PESEL, miejsce urodzenia czy nawet imiona rodziców” – zauważa UODO. W takiej sytuacji – według UODO – dane osobowe kandydata, o ile nie należą do szczególnej kategorii danych, są przetwarzane przez potencjalnego pracodawcę na podstawie zgody, która może polegać na oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą godzi się na przetwarzanie jej danych osobowych, które sama przekazała.
„Zatem o ile kandydat sam z własnej woli zechce udostępnić dodatkowe informacje na swój temat, np. zdjęcie, to wyrażona przez niego zgoda na ich wykorzystanie będzie elementem legalizującym przetwarzanie tych danych na potrzeby naboru przez pracodawcę” – tłumaczy UODO.
Podkreślenia wymaga natomiast, że nawet zgoda kandydata nie może być podstawą przetwarzania danych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO, gdyż jedyną taką podstawą może być obowiązek prawny nałożony na pracodawcę (art. 221a § 1 Kodeksu pracy w zw. z art. 10 i art. 6 ust. 1 lit. c RODO).
Pracodawca, pozyskując dane osobowe kandydatów do pracy, staje się ich administratorem. Zgodnie z przepisami dane osobowe mogą być przetwarzane tylko dla oznaczonych i zgodnych z prawem celów i nie mogą być poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami. Administrator danych osobowych jest też zobowiązany do zapewnienia, aby dane były przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, jednak nie dłużej, niż jest to niezbędne do osiągnięcia celu przetwarzania.
Jeżeli przyszły pracodawca zbiera dane osób poszukujących zatrudnienia jedynie na potrzeby konkretnego naboru, to nie może ich wykorzystać do innych celów, np. na potrzeby kolejnych rekrutacji, które będzie prowadził w przyszłości. Tym samym jeżeli cel rekrutacyjny zakończył się, a dana osoba nie została przyjęta do pracy, pracodawca powinien usunąć lub zniszczyć dane zawarte w przesłanych przez nią dokumentach aplikacyjnych. Wyjątkiem mogą być sytuacje określone w przepisach szczególnych, zezwalających na przechowywanie niektórych wniosków aplikacyjnych w konkretnych przypadkach. Ma to miejsce np. przy naborze pracowników samorządowych. Zgodnie z art. 15 ust. 3 ustawy z dnia 21 listopada 2008 r. o pracownikach samorządowych (Dz.U. z 2022 r. poz. 530), jeżeli w ciągu 3 miesięcy od dnia nawiązania stosunku pracy z osobą wyłonioną w drodze naboru istnieje konieczność ponownego obsadzenia tego samego stanowiska, możliwe jest zatrudnienie na tym samym stanowisku innej osoby spośród kandydatów, o których mowa w art. 13a ust. 1. Zgodnie z przytoczonym przepisem, w toku naboru komisja wyłania nie więcej niż pięciu najlepszych kandydatów, spełniających wymagania niezbędne oraz w największym stopniu spełniających wymagania dodatkowe, których przedstawia kierownikowi jednostki celem zatrudnienia wybranego kandydata. Ustawa narzuca obowiązek, aby skorzystać z aplikacji z poprzedniego naboru, gdy trzeba ponownie obsadzić to samo stanowisko. Wyboru należy dokonać spośród najlepszych kandydatów wybranych w czasie rekrutacji. Ustawa określająca zasady ich naboru zezwala, by w sytuacji, gdy w ciągu 3 miesięcy od nawiązania stosunku pracy z osobą wybraną w drodze naboru istniała konieczność ponownego obsadzenia tego samego stanowiska. Dlatego aby było to możliwe, złożone przez kandydatów dokumenty muszą być przechowywane przez 3 miesiące.
W pozostałych sytuacjach niezwłocznie po zakończeniu rekrutacji pracodawca powinien usunąć dane osobowe kandydata, z którym nie podpisał umowy (np. zniszczyć je lub odesłać). Może je dalej przechowywać, np. jeżeli zainteresowany angażem wyraził zgodę na przetwarzanie informacji o nim na potrzeby przyszłych naborów. Jeśli pracodawca chciałby pozostawić przesłane dokumenty i dane, by je wykorzystywać w innych celach, np. w kolejnych naborach pracowników lub do przesyłania informacji marketingowych, musiałby wcześniej poinformować osoby, od których te dane pozyskał, o zakładanych celach, w jakich zamierza te dane przechowywać. Ponadto na wykorzystanie danych w każdym z tych celów musiałby uzyskać zgodę osób, które złożyły CV. Przy czym trzeba pamiętać, że taka zgoda może być w każdym czasie odwołana. Wówczas administrator danych osobowych traci prawo do dalszego przetwarzania danych i powinien je zniszczyć w sposób uniemożliwiający ich odtworzenie.
Jak stanowi art. 5 RODO administrator powinien przetwarzać dane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której one dotyczą. Powinien też zbierać je
w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie wykorzystywać ich w sposób niezgodny z tymi celami. Jednocześnie RODO zobowiązuje go, by pozyskując dane osobowe,
w sposób jasny, przejrzysty i zrozumiały informował m.in. o pełnej nazwie i adresie swojej siedziby, o celu i podstawie prawnej przetwarzania danych osobowych, a także o okresie, przez który zebrane dane będą przechowywane. Pracodawca ma obowiązek poinformować kandydata do pracy o tych okolicznościach w chwili pozyskiwania tych danych w sposób jasny, czytelny i łatwo dostępny dla kandydata. Może to zrobić np. w treści ogłoszenia o pracę lub w informacji zwrotnej bezpośrednio po otrzymaniu od kandydata aplikacji do pracy. Pracodawca jako administrator powinien również spełnić wobec każdego kandydata obowiązek informacyjny, o którym mowa w art. 13 RODO. Należy to zrobić w każdym przypadku, w którym pobierane są jakiekolwiek dane osobowe. Najczęściej jest to zgoda pisemna zamieszczona w dokumentach rekrutacyjnych natomiast zgoda ta może zostać wyrażona w dowolnej formie pozwalającej na rozliczenie się przez pracodawcę z obowiązku jej zebrania (np. drogą e-mail, za pomocą formularza papierowego bądź online)
Zgodnie z RODO dane osobowe muszą m.in. być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Muszą też być przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. RODO wprowadza zasadę adekwatności, która w odniesieniu do procesu rekrutacji oznacza, że dozwolone jest gromadzenie wyłącznie tych danych na temat kandydatów, które są niezbędne
do przeprowadzenia procesu rekrutacji.
Życiorysy, listy motywacyjne oraz listy referencyjne to dokumenty, które spływają w czasie rekrutacji. Oprócz ich przeglądania i selekcji, pracodawcy są zobowiązani do zachowania organizacyjnych oraz technicznych środków ochrony tych dokumentów. Zarówno tych wydrukowanych, jak i dostarczonych drogą online. Kodeks pracy mówi o tym, że trzeba chronić dane kandydatów, nie określa natomiast szczegółowo, jakie środki ochrony są wymagane.
Zasady dotyczące ochrony danych osobowych, określane mianem tzw. zasad integralności
i poufności, określone zostały w art. 5 ust. 1 lit. f RODO. Zgodnie z tym przepisem, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Konkretyzacja tej zasady zawarta została w art. 32 ust. 1 RODO zgodnie z którym administrator uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, powinien wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Jednocześnie, w przytoczonym przepisie ustawodawca wymienia przykładowy katalog środków służących ochronie danych osobowych:
– pseudonimizację i szyfrowanie danych osobowych;
– zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
– zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
-regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych
i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
W efekcie, należy stwierdzić, że na gruncie RODO nie wskazuje się konkretnie środków jakie administrator powinien podjąć w danej sytuacji celem ochrony przetwarzanych przez siebie danych osobowych. Ustawodawca unijny wskazuje jedynie przykładowy katalog tych środków, stanowiąc zarazem, że środki służące do ochrony danych osobowych powinny być adekwatne przede wszystkim do stopnia ryzyka i prawdopodobieństwa naruszenia praw lub wolności osób fizycznych.
Ochrona danych osobowych, powinna polegać w szczególności na:
– przechowywaniu dokumentacji zawierającej dane osobowe w zamkniętym pomieszczeniu, do którego dostęp mają tylko upoważnione osoby;
– zachowania w tajemnicy względem osób trzecich miejsca przechowywania tej dokumentacji;
– zapewnieniu odpowiednich warunków przechowywania dokumentacji, tj. uniemożliwiających przypadkowe uszkodzenie lub zniszczenie tych dokumentów.
Ponadto, z wyrażonej na gruncie RODO zasady rozliczalności (art. 5 ust. 2 RODO) wynika, że administrator powinien być w stanie wykazać, że wywiązuje się z realizacji zasady integralności i poufności danych osobowych.
Podstawa prawna:
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).
Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (t.j. Dz. U. z 2022 r. poz. 1510 z późn. zm.).
Ustawa z dnia 21 listopada 2008 r. o pracownikach samorządowych (t.j. Dz. U. z 2022 r. poz. 530).