Proces rekrutacji a ochrona danych osobowych

Przetwarzanie danych osobowych to nieodłączny element rekrutacji. Dodatkowo, na jej potrzeby zbierana jest niezwykle duża ilość różnych informacji dotyczących potencjalnych pracowników – informacji, które w większości stanowią dane osobowe. Na co w związku z tym powinni zwrócić uwagę pracodawcy, aby proces ten nie naruszał Ustawy o ochronie danych osobowych?

Obejrzyj w formie video na YouTube…

… albo odsłuchaj w formie podcastu

Jakich danych można żądać od kandydatów do pracy?

Zasadniczym pytaniem jakie zadają sobie osoby przeprowadzające rekrutację jest to, jakich danych osobowych można żądać od kandydatów do pracy. Zakres ten wskazano w art. 221 § 1 Kodeksu pracy. I tak, od osób ubiegających się o pracę pracodawca ma prawo żądać podania danych osobowych obejmujących: imię (imiona), nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie, przebieg dotychczasowego zatrudnienia. Innych danych niż wyżej wymienione można wymagać wyłącznie w przypadku, gdy obowiązek ich podania wynika z odrębnych przepisów. Nie ma zatem podstaw prawnych wprowadzanie wymogu dołączenia do CV np. zdjęcia. Częstym błędem popełnianym przez pracodawców jest również żądanie dostarczenia zaświadczenia o niekaralności. W sytuacji, gdy przepisy prawa nie uprawniają podmiotu rekrutującego do tego, działania te stanowią naruszenie prawa.

Co do zasady za niezgodne z art. 221 § 1 Kodeksu pracy nie będzie uznane natomiast przetwarzanie przez pracodawcę danych w znacznie szerszym zakresie niż wynika to z przywołanego przepisu, jeśli osoba ubiegająca się o zatrudnienie udostępniła te dane z własnej inicjatywy. W takim wypadku nie można bowiem mówić o żądaniu ich przez pracodawcę.

CV bez klauzuli zgody – czy przetwarzamy dane nielegalnie?

W momencie, gdy pracodawca otrzymuje CV rozpoczyna się proces przetwarzania danych osobowych w nim zawartych. Zgodnie natomiast z Ustawą o ochronie danych osobowych (UODO), przetwarzanie danych zwykłych (co do zasady to właśnie ten rodzaj danych zawierają dokumenty aplikacyjne) jest dopuszczalne tylko w przypadkach wymienionych w art. 23 UODO. Wśród nich znajduje się m.in. wyrażenie zgody przez osobę, której dane dotyczą. Co jednak, jeśli kandydat nie opatrzył CV klauzulą zgody? Czy pracodawca będzie przetwarzał jego dane osobowe nielegalnie? W takim przypadku pracodawca może powołać się na inną przesłankę legalizującą wskazaną w art. 23 ust. 1 pkt. 5 UODO, a mianowicie prawnie usprawiedliwiony cel. Za taki właśnie cel należy bowiem uznać prowadzenie procesu rekrutacji.

Jak zabezpieczyć dokumentację rekrutacyjną?

Otrzymując CV, listy motywacyjne itd., pracodawca jest zobowiązany do ochrony zawartych w nich danych osobowych. Ustawa o ochronie danych osobowych nie wskazuje wprost, w jaki sposób należy zabezpieczać przetwarzane dane (nie wprowadza np. wymogu przechowywania określonych dokumentów w metalowych, a nie drewnianych szafach itd.). Zastosowane środki techniczne i organizacyjne mają być natomiast odpowiednie do zagrożeń oraz kategorii przetwarzanych danych. Zatem to pracodawca musi samodzielnie ocenić, jakie zabezpieczenia pozwolą we właściwy sposób chronić dane kandydatów do pracy.

W szczególności należy pamiętać, iż dostęp do nich mogą mieć wyłącznie osoby, które posiadają upoważnienie do przetwarzania danych osobowych. Dokumenty muszą być również zabezpieczone przed dostępem osób nieuprawnionych (np. poprzez przechowywanie ich w zamykanych szafkach). Ponadto, usuwając dokumenty aplikacyjne koniecznie korzystajmy z niszczarek.

Istotne jest także to, iż pracownicy zajmujący się rekrutacją nie mogą udostępniać danych osobowych – z którymi zapoznali się w związku z pełnionymi funkcjami – osobom nieupoważnionym (np. współpracownikom z innych działów).

Co zrobić z dokumentami kandydatów po zakończeniu rekrutacji?

Zgodnie z art. 26 UODO, Administrator danych (a więc pracodawca) powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Przede wszystkim jest zobowiązany zapewnić, aby dane te były m.in. przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (art. 26 ust. 1 pkt. 4 UODO). Reguła ta określana jest jako tzw. zasada ograniczenia czasowego. Generalnie opiera się ona na założeniu, iż czasowym wyznacznikiem przetwarzania danych osobowych jest zrealizowanie celu, dla którego dane te były przetwarzane. Dlatego też, po zakończeniu rekrutacji dokumenty aplikacyjne powinny być zniszczone. Ustał już bowiem cel, dla którego dane były zbierane. Należy pamiętać, iż dotyczy to nie tylko dokumentów dostarczanych w wersji papierowej, ale również w wersji elektronicznej.

Czy pracodawca możne zachować CV na potrzeby przyszłych naborów?

Oczywiście może zdarzyć się, że rekrutacja na określone stanowisko prowadzona jest cyklicznie, a osoba, która nie została wybrana w trakcie bieżącego naboru, chciałaby uczestniczyć w nim ponownie. W takiej sytuacji powinna jednak wyrazić zgodę na przetwarzanie jej danych osobowych na potrzeby przyszłych rekrutacji. Wówczas pracodawca będzie mógł pozostawić jej dokumenty aplikacyjne i uwzględnić podczas kolejnych rekrutacji.

Podczas procesu naboru pracodawcy przetwarzają bardzo dużo danych osobowych osób ubiegających się o zatrudnienie. Warto zatem przyjrzeć się bliżej temu, jak proces ten przebiega u nas i sprawdzić, czy prowadzimy go zgodnie z Ustawą o ochronie danych osobowych. Pamiętajmy, iż prowadzenie rekrutacji przy zachowaniu wysokiego standardu ochrony danych osobowych z całą pewnością pozytywnie wpłynie na wizerunek podmiotu rekrutującego. Jest to szczególnie ważne – zwłaszcza, że współcześnie coraz więcej osób zwraca uwagę na to, czy potencjalny pracodawca respektuje ich prawo do prywatności i ochrony danych.

Źródła:

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.),
  • Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. z 1998 r. Nr 21, poz. 94 ze zm.),
  • Barta J., Fajgielski P., Markiewicz R., Ochrona danych osobowych. Komentarz, LEX el/2011,
  • http://www.giodo.gov.pl/348/id_art/3491/j/pl/
  • http://www.giodo.gov.pl/348/id_art/6433/j/pl/

Related Posts

Jak długo przechowywać CV?
RODO w kadrach
Zmiany w kodeksie pracy i ZFŚS po 4 maja 2019 r.
dokumentacja RODO
Przetwarzanie danych osobowych pracowników zgodnie z RODO – wyodrębnienie procesów

15 Responses

  1. Moriel

    Mam pytanie. Czy firma po zakończeniu rekrutacji (2010r. ) może po kilku latach zadzwonić i oferować mi swoje produkty…powinni zniszczyć moje cv po zakończeniu rekrutacji

    1. Kancelaria Lex Artist

      Po zakończeniu rekrutacji potencjalny pracodawca nie ma już podstaw prawnych dla dalszego przetwarzania danych osobowych kandydatów – chyba, że osoba ubiegająca się o pracę wyraziła zgodę na wykorzystanie dokumentów aplikacyjnych na potrzeby przyszłych naborów. Ponadto, do przekazywania informacji handlowych w formie kontaktu telefonicznego niezbędna jest odrębna zgoda (co wynika m.in. z art. 172 Ustawy Prawo telekomunikacyjne).

  2. Alicja

    Przypuśćmy, że nabór na określone stanowisko zostało zakończone. CV w formie papierowej niszczymy przy pomocy niszczarki, a co z wiadomościami e-mailowymi, na których mamy CV?

  3. Julia

    Często słyszę, że w CV nie jest wymagane zamieszczanie zdjęcia, stanu cywilnego oraz daty urodzenia. Z tego artykułu dowiaduję się, że jednak data urodzenia jest wymagana. O imionach rodziców pierwsze słyszę. Jeszcze nigdy nie widziałąm CV z imionami rodziców… Czy wymienione dane w art. 22 § 1 Kodeksu pracy na pewno dotyczą informacji zamieszczanych w CV?

    1. Kancelaria Lex Artist

      Artykuł 22 (1) § 1 Kodeksu pracy wskazuje dane, jakich pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie. Jeśli informacje te nie będą podane w CV, mogą być zbierane np. na etapie wypełniania kwestionariusza osobowego dla kandydata.

  4. Majk

    Spotkałem się ze stanowiskiem urzędników GIODO, które oprócz niszczenia CV-ków dopuszcza również ich odesłanie kandydatowi po zakończeniu procesu rekrutacji. Czy zgadzają się Państwo z tym stanowiskiem?

    1. Kancelaria Lex Artist

      Jak najbardziej dokumenty można odsyłać kandydatom. Nie jest to jednak często stosowana praktyka, gdyż jest bardziej czasochłonna niż usunięcie dokumentów.

  5. Dominika

    Witam, co zrobić w przypadku kiedy fundacja prowadząca stażowy projekt unijny zgubi nasz formularz rekrutacyjny (zawierający dane osobowe, kontaktowe, dot. niepełnosprawności itp.) w trakcie trwania projektu? Po sugestiach jednego z pracowników, że nie biorę udziału w tym projekcie (do którego zostałam zakwalifikowana) zostałam poproszona o ponowne wypełnienie ww dokumentów.

    1. Kancelaria Lex Artist

      Dzień dobry,
      W myśl obecnych przepisów ma Pani prawo do pełnej informacji o tym co dzieje się z Pani danymi osobowymi.
      Jeśli jednak nie ma Pani żadnego potwierdzenia, że taki formularz Pani złożyła i wypełniła, to może być trudno udowodnić/wykazać, że fundacja jest odpowiedzialna ze ewentualny wyciek/zniszczenie Pani danych osobowych.
      Kluczowe w tej sytuacji (dla celów ewentualnych skarg czy roszczeń), jest posiadanie dowodu na to, że dane osobowe zaginęły. Bez dowodów, będzie to tylko słowo przeciwko słowu.
      Abstrahując od kwestii prawnych – jeśli dane faktycznie zaginęły to z całą pewnością należy się przynajmniej słowo „przepraszam”.

  6. Piotr

    Witam,
    mam wątpliwość czy sama baza plików CV, to zbiór danych osobowych (np. pliki przechowywane na dysku i/lub w programie pocztowym w postaci zbioru maili zawierających załącznik z CV) ?

    1. Kancelaria Lex Artist

      Dzień dobry,
      Pojecie zbioru w sensie prawniczym, nieco się różni od tego czym zbiór danych jest dla informatyka. GIODO kontrolując administratora danych osobowych, bada zbiory w sensie prawnym. Jeśli na przykład wyodrębnimy zbiór danych „kadrowych”, to ten zbiór będzie przetwarzany w postaci teczek akt osobowych, systemu kadrowo – płacowego, tabel excelowych z ewidencją urlopową czy przez odrębny system do ewidencji czasu pracy.
      Oczywiście możemy zbiór kadrowy podzielić np. na: umowy cywilnoprawne, umowy o pracę, baza danych systemu X, baza danych systemu Y. Problem w tym, że to dość czasochłonne i wcale nie zwiększy poziomu bezpieczeństwa danych. Pojawi się też kłopot z nadawaniem upoważnień (tych w sensie prawniczym) dla poszczególnych pracowników.

      CV mogą stanowić element zbioru o nazwie „rekrutacja”.

      Taka jest też najczęstsza praktyka – administrator danych tworzy zbiór „rekrutacja” i to w jego skład wchodzą pliki CV w skrzynce mailowej, CV w wersji papierowej i ew. inne dokumenty związane z rekrutacją, zawierające dane osobowe.

  7. Piotr

    Dziękuję za odpowiedź,
    mam jeszcze jedno pytanie – sytuacja czysto hipotetyczna: przyszły pracownik przynosi nam CV na USB, które zgrywamy sobie do folderu zawierającego CV osób biorących udział w rekrutacji. Czy taki zbiór plików mogę uznać za zbiór danych osobowych według UODO (jest to zestaw danych o ch. osobowym, dane mają strukturę, a jak przystało na pliki – są dostępne wg. określonych kryteriów takich jak nazwa, data, itp.) ?

    1. Kancelaria Lex Artist

      To będzie fragment zbioru danych (np. rekrutacja), bo inne jego elementy zapewne znajdą się załącznikach do maili lub w wersji papierowej. Oczywiście ABI może zdecydować aby wyodrębnić taki zestaw informacji i nazwać go np. „CV zgrane z USB kandydatów”… pytanie tylko czy takie działanie w jakikolwiek sposób wpływanie na bezpieczeństwo danych w organizacji… a na pewno będzie czasochłonne.

  8. Joanna

    W firmie, w której pracuje wciąż około 75% kandydatów przynosi swoje CV w wersji papierowej – bądź zostawiając je na portierni bądź przekazując je przez naszych pracowników. Jak powinnam w takiej sytuacji podstępować jako rekruter?

    1. Kancelaria Lex Artist

      Dzień dobry. Po pierwsze, wobec takich osób powinien zostać dopełniony obowiązek informacyjny (art. 24 ustawy o ochronie danych osobowych). Po drugie, po zakończeniu rekrutacji na dane stanowisko (jeżeli osoba aplikująca nie wyraziła zgody na przetwarzanie jej danych osobowych w celu prowadzenia przyszłych rekrutacji), takie CV powinny być zniszczone. Pozdrawiamy!

Leave a Reply

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO