Jednym z gorętszych tematów po rozpoczęciu stosowania RODO była kwestia przeprowadzania rekrutacji. W przeszłości standardem było, że każde CV zawierało klauzulę zgody na przetwarzanie danych osobowych w celach rekrutacyjnych. Co więcej, brak takiej zgody skutkował przeważnie tym, że kandydatura takiej osoby była z góry odrzucana. Bez weryfikacji kwalifikacji i doświadczenia. Czy RODO coś w tej kwestii zmieniło? Czy nadal nieumieszczenie zgody w CV może nas pozbawić szansy otrzymania wymarzonej oferty pracy? Zapraszamy na artykuł – rekrutacja zgodna z RODO.
Obejrzyj w formie video na YouTube…
… albo odsłuchaj w formie podcastu
Zamieszanie wokół podstawy prawnej przetwarzania danych osobowych w rekrutacji
Naprawdę, szczerze chciałabym powiedzieć, że w przedmiocie rekrutacji i podstawy prawnej przetwarzania danych osobowych kandydatów w tym procesie wszyscy eksperci, organy czy urzędy mają jednolite stanowisko. Chciałabym, ale nie mogę, bo wcale tak nie jest. Tak więc znów na barkach „biednego” administratora spoczywa podjęcie decyzji, jak będzie postępował.
Wśród podstaw prawnych przetwarzania danych osobowych, które zawiera art. 6 ust. 1 RODO, przewijał się niemalże cały alfabet od litery a) do f) w różnych konfiguracjach. Wiodące stanowiska zaprezentowały: Ministerstwo Cyfryzacji oraz Urząd Ochrony Danych Osobowych. Poradnik Ministerstwa Cyfryzacji ukazał się jako pierwszy i był wsparciem dla niejednego przedsiębiorcy. Sytuacja zrobiła się, mówiąc delikatnie, problematyczna, gdy swój poradnik wydał UODO i okazało się, że różni się od tego, co wcześniej napisało Ministerstwo.
Z czego wynika problem podstawy prawnej?
21 lutego br. Sejm uchwalił Ustawę o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (tzw. ustawa sektorowa).
Ustawa zmieni niemal 170 aktów prawnych, w przeważającej części dostosowując ich treść do wymogów stawianych przez RODO. Zmiany obejmą również Kodeks pracy (dalej: KP). W szczególności znowelizowany zostanie art. 221 KP, który wskazuje zakres (kategorie) danych osobowych osoby ubiegającej się o zatrudnienie oraz pracownika, które może przetwarzać pracodawca.
Wskazany wyżej przepis, w ustępie 1, brzmi obecnie następująco: pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych (następnie ustawodawca wylicza kategorie danych, których podania ma prawo żądać pracodawca). Z kolei art. 221 KP, według ustawy sektorowej, otrzyma treść: pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych, po czym ponownie wskazany jest katalog danych, jakich pracodawca może żądać od potencjalnego pracownika.
Z punktu widzenia podstaw prawnych przetwarzania danych osobowych w procesie rekrutacji, kluczowe znaczenie ma również projektowany art. 221a § 1 KP, który umożliwi pozyskiwanie przez potencjalnego pracodawcę od osób ubiegających się o zatrudnienie innych danych, niż wskazane w katalogu zawartym w art. 221 KP, za zgodą osoby, której dane dotyczą.
Jaka podstawa prawna do prowadzenia rekrutacji zgodnej z RODO?
Obowiązek informacyjny
Pamiętajmy, że określenie tego na jakiej podstawie dane przetwarzamy jest niezbędne z uwagi na prawidłowe sformułowanie obowiązku informacyjnego, który musimy spełnić wobec osoby, która chce aplikować na wolne stanowisko w firmie.
- tożsamości i danych kontaktowych administratora;
- tożsamości i danych kontaktowych przedstawiciela administratora danych;
- danych kontaktowych IOD (o ile jest wyznaczony);
- celu przetwarzania danych oraz podstawie prawnej;
- prawnie uzasadnionych interesach realizowanych przez ADO lub przez osobę trzecią;
- odbiorcach danych osobowych lub kategoriach odbiorców (o ile istnieją);
- przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej (o ile taka sytuacja ma miejsce);
- okresie, przez który dane będą przechowywane bądź kryteria ustalenia tego okresu;
- prawie do żądania dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (o ile przetwarzanie odbywa się na podstawie zgody);
- prawie wniesienia skargi do organu nadzorczego;
- tym, czy podanie danych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą jest zobowiązania do jej podania i jakie są ewentualne konsekwencje niepodania danych;
- zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu (o ile ma to miejsce).
Więcej informacji na ten temat znajdziesz w naszym artykule: obowiązek informacyjny w RODO.
Podstawa prawna
Jak wspomniałam wyżej, póki co nie możemy mówić o przesłance legalności przetwarzania danych osobowych w procesie rekrutacji w postaci obowiązku prawnego. To nie oznacza jednak, że do czasu nowelizacji Kodeksu pracy nie możemy powołać się na żadną inną podstawę prawną. W naszej ocenie w pełni uzasadnione jest powołanie się na art. 6 ust. 1 litera:
b) wykonanie umowy, a dokładniej podjęcie działań na żądanie osoby, której dane dotyczą przed zawarciem umowy. Zasadne jest bowiem twierdzić, że skoro osoba aplikuje na dane stanowisko, to z zamiarem podjęcia pracy/współpracy, której dokładne warunki oraz wzajemne zobowiązania będzie określała umowa,
a) zgoda – wyrażona poprzez wyraźne działanie potwierdzające przesłanie dokumentów aplikacyjnych. Każdy z nas ma świadomość, że przesłanie CV oraz innych dokumentów celem wzięcia udziału w postępowaniu rekrutacyjnym, będzie łączyło się z tym, że potencjalny pracodawca będzie przetwarzał nasze dane osobowe (będzie je pobierał, przeglądał, porządkował, przechowywał, a potem niszczył).
Co więcej, przecież tego chcemy! Zależy nam, by nasze CV było odczytane, a najlepiej pozytywnie rozpatrzone i zakończyło się zaproszeniem na rozmowę kwalifikacyjną. Pewne nasze czynności trudno odczytać inaczej, jak wyrażenie naszej woli, chęci czy zgody. I za to akurat lubię RODO – wprowadziło łatwą w użyciu formę wyrażenia zgody, czyli wyraźne działanie potwierdzające.
Oczywiście, aby mówić o zgodzie w postaci wyraźnego działania potwierdzającego administrator w treści ogłoszenia powinien wyraźnie zaznaczyć, jakie skutki niesie za sobą przesłanie CV (tj. wyrażenie zgody). W dalszym ciągu bowiem, zgoda musi zostać okazana w sposób jednoznaczny, co oznacza, że osoba, której dane dotyczą, musi podjąć celowe i świadome działanie w celu wyrażenia zgody na określone przetwarzanie jej danych.
Więcej informacji na ten temat znajdziesz w naszym artykule: Zgoda na gruncie RODO.
f) prawnie uzasadniony interes – jest nim np. przeprowadzenie badań pod kątem zatrudnienia. Prawnie uzasadniony interes jest również dobrą podstawą prawną do przetwarzania danych osobowych ewentualnie przekazanych przez kandydata w trakcie rozmowy kwalifikacyjnej np. notatki z rozmowy kwalifikacyjnej, które zawierają informacje przekazanie ustnie przez kandydata, a których nie znaliśmy wcześniej.
A co z przyszłymi rekrutacjami?
W tym temacie akurat niewiele się zmieniło. Jeżeli chcemy, by nasze CV pracodawca zachował i miał do tego podstawę prawną, z którą będzie mógł „spać spokojnie”, niezbędne jest zamieszczenie stosownego oświadczenia, które może brzmieć w następujący sposób:
Nie możemy w tej sytuacji skorzystać ze zgody wyrażonej poprzez wyraźne działanie potwierdzające, ponieważ samo wysłanie CV nie oznacza z automatu, że taki kandydat chce wziąć udział w każdym procesie rekrutacyjnym jaki się odbywa w danej firmie.
Praktyczny kurs e-learningowy RODO w kadrach
Ze szkolenia dowiesz się jak sprawnie i zgodnie z RODO: rekrutować, zatrudniać, gromadzić i usuwać dane, wykorzystywać wizerunek oraz monitoring wizyjny i poczty elektronicznej, udostępniać spółkom z grupy kapitałowej, placówkom medycznym i dostawcom benefitów.
Sprawdź jak przetwarzać dane osobowe pracowników i kandydatów do pracy.
Podsumowanie
Wyrażone w niniejszym artykule stanowisko jest zbieżne z tym prezentowanym przez Prezesa Urzędu Ochrony Danych Osobowych. Nie można jednak wykluczyć, że w momencie przyjęcia zmian w KP trzeba będzie ten proces poddać korekcie.
My bacznie śledzimy zmiany i na pewno, jeżeli jesteś naszym stałym czytelnikiem, poinformujemy Cię niezwłocznie o zmianach. Wszystkie newsy umieszczamy w RODO-aktualnościach, a także na blogowym newsletterze (możliwość zapisu po lewej stronie – ikonka białej koperty na jasnozielonym tle).
Pobierz artykuł w PDFŹródła:
- Projekt Ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (druk sejmowy nr 3050, wersja opublikowana w dniu 18 lutego 2019),
- Ustawa z dnia 26 czerwca 1874 r. Kodeks pracy (Dz.U. 1974 Nr 24 poz. 141 ze zm.),
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych),
- Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców, październik 2018.
9 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Dobry wpis! Warto mówić o temacie RODO, gdyż już niespełna minął rok od jego wdrożenia i trzeba przyznać, że na prawdę wiele się zmieniło w tym temacie. Administrujący naszymi danymi zupełnie inaczej je przetwarzają 😉
Witam serdecznie,
do mojej instytucji często przysyłają dobrowolnie swoje CV praktykanci z prośbą o przyjęcie na praktyki. Rozsyłamy takie maile wśród pracowników.
Co powinniśmy jeszcze zrobić, żeby w tym zakresie być w porządku z RODO?
Pozdrawiam
Dzień dobry. Wystarczy jeszcze dopełnić obowiązku informacyjnego z art. 13 RODO. Pozdrawiamy!
A to w momencie, gdy dostajemy takiego maila czy jeśli decydujemy się na przyjęcie danego praktykanta? Rozumiem, że podstawą przetwarzania jest zgoda tej osoby, która świadomie i dobrowolnie przesyła swoje CV.
Pozdrawiam
Po szersze informacje zapraszamy do skorzystania z usługi konsultacji. 🙂 Pozdrawiamy!
Witam,
czy klauzula informacyjna powinna być również umieszczona pod ogłoszeniem, które jest publikowane na portalach rekrutacyjnych (np. praca, pracuj) ?
Dzień dobry – tak, jak najbardziej. Pozdrawiamy!
Dobry wieczór.
Co sądzicie Państwo o podstawach prawnych przetwarzania danych w ramach rekrutacji, które wskazuje UODO w nowych klauzulach?
Mianowicie zgodnie z klauzulą informacyjną dane określone w art. 221 § 1 pkt 1-3 kp są przetwarzane na podstawie art. 6 ust. 1 lit. c RODO, pozostałe dane wskazane w przepisach prawa pracy na podstawie art. 6 ust. 1 lit. b RODO, a dodatkowe dane zwykłe niewskazane w przepisach na podstawie art. 6 ust. 1 lit. a RODO. Powiem szczerze, że taki podział jest dla mnie zaskakujący.
Bardziej spodziewałem się podania podstaw określonych w art. 6 ust. 1 lit. c oraz a. W końcu „pracodawca żąda podania danych osobowych, o których mowa w § 1 pkt 4-6, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku” – czyli ma obowiązek żądać podania takich danych jeśli oceni że w danym wypadku są niezbędne, co potwierdza również uzasadnienie ustawy wdrażającej RODO, która miała właśnie dostosować art. 221 kp do brzmienia art. 6 ust. 1 lit. c RODO. Bardzo intrygująca sprawa. Link do najnowszego ogłoszenia o pracę (klauzula na samym dole): https://uodo.gov.pl/pl/101/1242
Dzień dobry, polemika z UODO jest niezwykle trudna. Zwłaszcza, że mamy do czynienia z regulatorem wyznaczającym standardy w ochronie danych osobowych w PL. Pozdrawiamy!