Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

Rekrutacja zgodna z RODO – jak ją przeprowadzić?

Jednym z gorętszych tematów po rozpoczęciu stosowania RODO była kwestia przeprowadzania rekrutacji. W przeszłości standardem było, że każde CV zawierało klauzulę zgody na przetwarzanie danych osobowych w celach rekrutacyjnych. Co więcej, brak takiej zgody skutkował przeważnie tym, że kandydatura takiej osoby była z góry odrzucana. Bez weryfikacji kwalifikacji i doświadczenia. Czy RODO coś w tej kwestii zmieniło? Czy nadal nieumieszczenie zgody w CV może nas pozbawić szansy otrzymania wymarzonej oferty pracy? Zapraszamy na artykuł – rekrutacja zgodna z RODO.

Zamieszanie wokół podstawy prawnej przetwarzania danych osobowych w rekrutacji

Naprawdę, szczerze chciałabym powiedzieć, że w przedmiocie rekrutacji i podstawy prawnej przetwarzania danych osobowych kandydatów w tym procesie wszyscy eksperci, organy czy urzędy mają jednolite stanowisko. Chciałabym, ale nie mogę, bo wcale tak nie jest. Tak więc znów na barkach „biednego” administratora spoczywa podjęcie decyzji, jak będzie postępował.

Wśród podstaw prawnych przetwarzania danych osobowych, które zawiera art. 6 ust. 1 RODO, przewijał się niemalże cały alfabet od litery a) do f) w różnych konfiguracjach. Wiodące stanowiska zaprezentowały: Ministerstwo Cyfryzacji oraz Urząd Ochrony Danych Osobowych. Poradnik Ministerstwa Cyfryzacji ukazał się jako pierwszy i był wsparciem dla niejednego przedsiębiorcy. Sytuacja zrobiła się, mówiąc delikatnie, problematyczna, gdy swój poradnik wydał UODO i okazało się, że różni się od tego, co wcześniej napisało Ministerstwo.

PS: Pamiętaj, że zgodnie z przepisami RODO, do wyłącznej kompetencji organów nadzorczych i Europejskiej Rady Ochrony Danych Osobowych należy dokonywanie oficjalnej wykładni przepisów o ochronie danych osobowych. Co za tym idzie, Prezes Urzędu Ochrony Danych Osobowych jest jedynym, uprawnionym organem do wydawania wytycznych i interpretowania przepisów prawa.

Z czego wynika problem podstawy prawnej?

21 lutego br. Sejm uchwalił Ustawę o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (tzw. ustawa sektorowa).

Ustawa zmieni niemal 170 aktów prawnych, w przeważającej części dostosowując ich treść do wymogów stawianych przez RODO. Zmiany obejmą również Kodeks pracy (dalej: KP). W szczególności znowelizowany zostanie art. 221 KP, który wskazuje zakres (kategorie) danych osobowych osoby ubiegającej się o zatrudnienie oraz pracownika, które może przetwarzać pracodawca.

Wskazany wyżej przepis, w ustępie 1, brzmi obecnie następująco: pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych (następnie ustawodawca wylicza kategorie danych, których podania ma prawo żądać pracodawca). Z kolei art. 221 KP, według ustawy sektorowej, otrzyma treść: pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych, po czym ponownie wskazany jest katalog danych, jakich pracodawca może żądać od potencjalnego pracownika.

Zmiany KP mają na celu przede wszystkim dostosowanie brzmienia obowiązujących przepisów prawa pracy do art. 6 ust. 1 lit c. RODO, który wprowadził przesłankę istnienia wyłącznie „obowiązku prawnego" w miejsce „realizacji uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa” jako podstawy pobierania danych osobowych. Obecnie brzmienie przepisu KP, z użyciem słowa „może”, póki co uniemożliwia nam skorzystanie z przesłanki określonej w lit. c) art. 6 ust. 1 RODO, ponieważ może nigdy nie oznacza musi.

Z punktu widzenia podstaw prawnych przetwarzania danych osobowych w procesie rekrutacji, kluczowe znaczenie ma również projektowany art. 221a § 1 KP, który umożliwi pozyskiwanie przez potencjalnego pracodawcę od osób ubiegających się o zatrudnienie innych danych, niż wskazane w katalogu zawartym w art. 221 KP, za zgodą osoby, której dane dotyczą.

Jaka podstawa prawna do prowadzenia rekrutacji zgodnej z RODO?

Obowiązek informacyjny

Pamiętajmy, że określenie tego na jakiej podstawie dane przetwarzamy jest niezbędne z uwagi na prawidłowe sformułowanie obowiązku informacyjnego, który musimy spełnić wobec osoby, która chce aplikować na wolne stanowisko w firmie.

Obowiązek informacyjny musi zawierać informację o:
  • tożsamości i danych kontaktowych administratora;
  • tożsamości i danych kontaktowych przedstawiciela administratora danych;
  • danych kontaktowych IOD (o ile jest wyznaczony);
  • celu przetwarzania danych oraz podstawie prawnej;
  • prawnie uzasadnionych interesach realizowanych przez ADO lub przez osobę trzecią;
  • odbiorcach danych osobowych lub kategoriach odbiorców (o ile istnieją);
  • przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej (o ile taka sytuacja ma miejsce);
  • okresie, przez który dane będą przechowywane bądź kryteria ustalenia tego okresu;
  • prawie do żądania dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  • prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (o ile przetwarzanie odbywa się na podstawie zgody);
  • prawie wniesienia skargi do organu nadzorczego;
  • tym, czy podanie danych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą jest zobowiązania do jej podania i jakie są ewentualne konsekwencje niepodania danych;
  • zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu (o ile ma to miejsce).

Więcej informacji na ten temat znajdziesz w naszym artykule: obowiązek informacyjny w RODO.

Podstawa prawna

Jak wspomniałam wyżej, póki co nie możemy mówić o przesłance legalności przetwarzania danych osobowych w procesie rekrutacji w postaci obowiązku prawnego. To nie oznacza jednak, że do czasu nowelizacji Kodeksu pracy nie możemy powołać się na żadną inną podstawę prawną. W naszej ocenie w pełni uzasadnione jest powołanie się na art. 6 ust. 1 litera:

Umowa

b) wykonanie umowy, a dokładniej podjęcie działań na żądanie osoby, której dane dotyczą przed zawarciem umowy. Zasadne jest bowiem twierdzić, że skoro osoba aplikuje na dane stanowisko, to z zamiarem podjęcia pracy/współpracy, której dokładne warunki oraz wzajemne zobowiązania będzie określała umowa,

Zgoda

a) zgoda – wyrażona poprzez wyraźne działanie potwierdzające przesłanie dokumentów aplikacyjnych. Każdy z nas ma świadomość, że przesłanie CV oraz innych dokumentów celem wzięcia udziału w postępowaniu rekrutacyjnym, będzie łączyło się z tym, że potencjalny pracodawca będzie przetwarzał nasze dane osobowe (będzie je pobierał, przeglądał, porządkował, przechowywał, a potem niszczył).

Co więcej, przecież tego chcemy! Zależy nam, by nasze CV było odczytane, a najlepiej pozytywnie rozpatrzone i zakończyło się zaproszeniem na rozmowę kwalifikacyjną. Pewne nasze czynności trudno odczytać inaczej, jak wyrażenie naszej woli, chęci czy zgody. I za to akurat lubię RODO – wprowadziło łatwą w użyciu formę wyrażenia zgody, czyli wyraźne działanie potwierdzające.

Oczywiście, aby mówić o zgodzie w postaci wyraźnego działania potwierdzającego administrator w treści ogłoszenia powinien wyraźnie zaznaczyć, jakie skutki niesie za sobą przesłanie CV (tj. wyrażenie zgody). W dalszym ciągu bowiem, zgoda musi zostać okazana w sposób jednoznaczny, co oznacza, że osoba, której dane dotyczą, musi podjąć celowe i świadome działanie w celu wyrażenia zgody na określone przetwarzanie jej danych.

Więcej informacji na ten temat znajdziesz w naszym artykule: Zgoda na gruncie RODO.

Prawnie uzasadniony interes

f) prawnie uzasadniony interes – jest nim np. przeprowadzenie badań pod kątem zatrudnienia. Prawnie uzasadniony interes jest również dobrą podstawą prawną do przetwarzania danych osobowych ewentualnie przekazanych przez kandydata w trakcie rozmowy kwalifikacyjnej np. notatki z rozmowy kwalifikacyjnej, które zawierają informacje przekazanie ustnie przez kandydata, a których nie znaliśmy wcześniej.

A co z przyszłymi rekrutacjami?

W tym temacie akurat niewiele się zmieniło. Jeżeli chcemy, by nasze CV pracodawca zachował i miał do tego podstawę prawną, z którą będzie mógł „spać spokojnie”, niezbędne jest zamieszczenie stosownego oświadczenia, które może brzmieć w następujący sposób:

Zgoda na przyszłe rekrutacje
„Wyrażam zgodę na przetwarzanie moich danych osobowych ujawnionych w złożonych dokumentach aplikacyjnych w celu prowadzenia przyszłych procesów rekrutacyjnych”

Nie możemy w tej sytuacji skorzystać ze zgody wyrażonej poprzez wyraźne działanie potwierdzające, ponieważ samo wysłanie CV nie oznacza z automatu, że taki kandydat chce wziąć udział w każdym procesie rekrutacyjnym jaki się odbywa w danej firmie.

Praktyczny kurs e-learningowy RODO w kadrach

rodo w kadrach

Pokażemy Ci praktyczne sposoby bezpiecznego i zgodnego z RODO przetwarzania danych osobowych pracowników i kandydatów do pracy. Dowiesz się jak w zgodzie z RODO realizować procesy: rekrutacji, zatrudnienia, gromadzenia i usuwania danych, kopiowania dokumentów tożsamości, wykorzystywania wizerunku, udostępniania danych w ramach grup kapitałowych, przekazywania danych podmiotom zewnętrznym m.in.: placówkom medycznym, wykorzystywania monitoringu wizyjnego i poczty elektronicznej w miejscu pracy, realizacji praw i żądań byłego pracownika.

Sprawdź

Podsumowanie

Wyrażone w niniejszym artykule stanowisko jest zbieżne z tym prezentowanym przez Prezesa Urzędu Ochrony Danych Osobowych. Nie można jednak wykluczyć, że w momencie przyjęcia zmian w KP trzeba będzie ten proces poddać korekcie.

My bacznie śledzimy zmiany i na pewno, jeżeli jesteś naszym stałym czytelnikiem, poinformujemy Cię niezwłocznie o zmianach. Wszystkie newsy umieszczamy w RODO-aktualnościach, a także na blogowym newsletterze (możliwość zapisu po lewej stronie – ikonka białej koperty na jasnozielonym tle).

Pobierz artykuł: Rekrutacja zgodna z RODO

Pobierz artykuł w PDF

Źródła:

Powiązane artykuły

Agencja Rekrutacyjna a RODO
Agencja rekrutacyjna, a RODO – jak powinna wyglądać współpraca
Przetwarzanie danych osobowych w rekrutacji
Co zrobić z CV po zakończonej rekrutacji, czyli „dwugłos” MC i UODO
Zgoda na przetwarzanie danych osobowych RODO
Zgoda na przetwarzanie danych osobowych według RODO

7 Odpowiedzi

  1. Dobry wpis! Warto mówić o temacie RODO, gdyż już niespełna minął rok od jego wdrożenia i trzeba przyznać, że na prawdę wiele się zmieniło w tym temacie. Administrujący naszymi danymi zupełnie inaczej je przetwarzają 😉

  2. Gabriela

    Witam serdecznie,
    do mojej instytucji często przysyłają dobrowolnie swoje CV praktykanci z prośbą o przyjęcie na praktyki. Rozsyłamy takie maile wśród pracowników.
    Co powinniśmy jeszcze zrobić, żeby w tym zakresie być w porządku z RODO?

    Pozdrawiam

  3. Gabriela

    A to w momencie, gdy dostajemy takiego maila czy jeśli decydujemy się na przyjęcie danego praktykanta? Rozumiem, że podstawą przetwarzania jest zgoda tej osoby, która świadomie i dobrowolnie przesyła swoje CV.
    Pozdrawiam

  4. Adrianna

    Witam,

    czy klauzula informacyjna powinna być również umieszczona pod ogłoszeniem, które jest publikowane na portalach rekrutacyjnych (np. praca, pracuj) ?

Zostaw odpowiedź