Za nami cykl webinarów „Akademia RODO w rekrutacji”, które prowadziliśmy wspólnie z elevato S.A. (dostawcą przyjaznego i bezpiecznego systemu do rekrutacji). Podczas trzech spotkań poruszyliśmy wiele tematów istotnych ze strony praktycznej. Zdajemy sobie sprawę, że w codziennej pracy rekrutera są kwestie wymagające pochylenia się i zastanowienia, jak faktycznie przetwarzać dane osobowe kandydatów zgodnie z RODO, jednocześnie z poszanowaniem biznesu i z uwzględnieniem realiów rynkowych.
W tym wpisie chcemy przybliżyć Wam obszary, które wzbudzają szczególne zainteresowanie, o czym świadczą pytania, jakie otrzymywaliśmy w trakcie Akademii RODO w rekrutacji.
Zakres danych i podstawy prawne
Mówiąc o danych osobowych kandydatów pamiętajmy, że chodzi o wszelkie informacje o kandydacie już zidentyfikowanym lub takie, które umożliwiają jego identyfikację. A więc dane osobowe zwarte np. w wypełnianych formularzach rekrutacyjnych, CV, czy także zawarte na profilu w portalu zrzeszającym specjalistów.
Jednym z punktów wyjścia do oceny zgodności przetwarzania danych osobowych kandydatów z RODO jest ich zakres. Jeżeli pracodawca zamierza zatrudnić kandydata na umowę o pracę, to tego pracodawcę obowiązuje art. 22(1) § 1 i § 2 Kodeksu pracy (KP). Uwaga – analogicznych, jak niżej wymienione, przepisów prawa nie znajdziemy, kiedy podstawą zatrudnienia jest umowa cywilnoprawna.
Zgodnie z ww. przepisem prawa, pracodawca może żądać na etapie rekrutacji (od kandydata) informacji w zakresie:
- Imię (imiona) i nazwisko;
- data urodzenia;
- dane kontaktowe wskazane przez kandydata;
- wykształcenie, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku;
- kwalifikacje zawodowe, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku;
- przebieg dotychczasowego zatrudnienia, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. Przy okazji tego punktu warto zadać sobie pytanie, czy żądanie kopii świadectwa pracy, nad czym czasami zastanawiają się pracodawcy, jest uzasadnione. Zgodnie z omawianym punktem pracodawca może żądać informacji o przebiegu dotychczasowego zatrudnienia, ale czy to jest równoznaczne z możliwością oczekiwania świadectwa pracy? Moim zdaniem nie. Patrząc na pomocniczy kwestionariusz osoby ubiegającej się o zatrudnienie opublikowany przez Ministerstwo Rodziny i Polityki Społecznej, przy omawianym punkcie znajdziemy wyjaśnienie, że chodzi o „okresy zatrudnienia u kolejnych pracodawców oraz zajmowane stanowiska pracy”. Świadectwo pracy zawiera więcej informacji, zatem moim zdaniem nie jest uzasadnione żądanie jego dostarczenia przez kandydata do pracy.
Podstawą prawną przetwarzania powyższych danych jest sam przepis prawa, czyli art. 6 ust. 1 lit. c) RODO w zw. z przepisami KP. Innych danych można żądać, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Wówczas podstawą prawną przetwarzania takich danych też byłby sam przepis prawa, czyli 6 ust. 1 lit. c) RODO lub art. 9 ust. 2 lit. b) w zw. KP i z przepisami, w których znajduje się takie szczególne uwzględnienie zbierania konkretnych danych.
Takim przykładem jest np. pozyskiwanie informacji o stopniu niepełnosprawności kandydatów do pracy, jeżeli pracodawcą jest zakład pracy chronionej i ma stosować przepisy szczególne dotyczące zatrudniania osób niepełnosprawnych. Z tych przepisów wynikają z jednej strony uprawnienia pracownicze, a z drugiej – obowiązki pracodawców. Aby wypełnić te uprawnienia lub obowiązki niezbędne jest posiadanie informacji o stopniu niepełnosprawności danej osoby (przy czym dotyczy to tylko tych ogłoszeń o pracę, kiedy poszukujemy kandydata w ramach stanowiska pracy przeznaczonego dla osoby z niepełnosprawnością, a nie wszystkich rekrutacji w ogóle). W takiej sytuacji w świetle wyjaśnień UODO „pracodawca może przetwarzać dane osobowe zawarte w oświadczeniu o niepełnosprawności zarówno w postępowaniu rekrutacyjnym, jak i później, nawiązując stosunek pracy. […] Również w świetle [art. 22(1) – przyp. autorki tekstu] § 4 KP pracodawca żąda podania innych danych osobowych niż określone w § 1 i 3, gdy jest to niezbędne do realizacji uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Zatem pracodawca nie może objąć pracownika ulgami i świadczeniami, odpowiednimi dla jego stopnia niepełnosprawności, jeżeli nie przedstawi on właściwych dokumentów. Natomiast, jeżeli takie dokumenty pracownik przedstawi, to pracodawca przetwarza je w celu realizacji swoich obowiązków wynikających z określonych przepisów.”[1]
Zasługującym na komentarz przykładem, kiedy przyszli pracodawcy oczekują danych osobowych w szerszym zakresie niż wskazany w 22(1) § 1 Kodeksu pracy, jest PESEL osoby dopiero mającej stawić się w pracy, zbierany na potrzeby wystawienia skierowania na wstępne badania profilaktyczne, tzw. medycyny pracy. Zwracam tutaj uwagę na rozporządzenie Ministra Zdrowia i Opieki Społecznej w sprawie przeprowadzania badań lekarskich pracowników, zakresu profilaktycznej opieki zdrowotnej nad pracownikami oraz orzeczeń lekarskich wydawanych do celów przewidzianych w Kodeksie pracy. Jednym z załączników do tego rozporządzenia jest wzór skierowania na badania medycyny pracy, który zawiera informację o numerze PESEL osoby kierowanej na badania, ale z przypisem. Przypis ten stanowi, że w polu do podania PESEL w przypadku osób przyjmowanych do pracy podaje się datę urodzenia. Aby zatem spełnić przepis prawa i wystawić skierowanie zgodnie z wzorem, to data urodzenia osoby przychodzącej do pracy jest niezbędna, a nie PESEL. To data urodzenia powinna i może – zgodnie z prawem – się pojawić na skierowaniu wystawianym dla osoby przyjmowanej do pracy.
Przy tym warto zwrócić uwagę, że powyższe obowiązki dotyczące zakresu danych dotyczą potencjalnego pracodawcy zarówno w przypadku, kiedy poszukuje pracowników siłami własnego, wewnętrznego działu rekrutacji/HR, jak też wtedy, kiedy w jego imieniu działają rekruterzy zewnętrznej agencji rekrutacyjnej (jako podmiotu przetwarzającego).
Mając prawidłowe podstawy prawne, administrator może wykorzystywać dane osobowe w oznaczonym celu, w tym dopuścić do ich przetwarzania upoważnione osoby bez odrębnego informowania o tym kandydata. Ważne jednak, aby krąg tych osób był ograniczony do niezbędnego minimum (zasada dostępu do danych osobowych na zasadzie „wiedzy koniecznej”). Jeżeli w danym dziale HR pracuje kilka, kilkanaście rekruterów, to warto pomyśleć o rozwiązaniu, które pozwoli przypisać danej rekrutacji poszczególnych opiekunów – czyli rekruterów, którzy mogą się kontaktować z danym kandydatem (są do tego uprawnieni). Taki zabieg organizacyjny pozwoliłby uniknąć dublowania kontaktów przez dwóch rekruterów z jednym i tym samym kandydatem. W przypadku ATS taką adnotację o opiekunie rekrutacji odpowiedzialnym za kontakt z kandydatem można przypisać przy profilu danego kandydata.
Dodatkowe dane
Jeszcze na etapie rekrutacji może się zdarzyć tak, że kandydaci – z własnej woli lub z inicjatywy pracodawcy – podają więcej danych osobowych (np. wizerunki na zdjęciach w CV, informacje o zainteresowaniach, hobby czy oczekiwanym wynagrodzeniu). Posiłkując się kodeksem pracy: art. 22 (1a) §3 KP potwierdza, że takie dane mogą być przetwarzane za zgodą kandydata do pracy (na umowę o pracę), jeżeli zostały przekazane dobrowolnie na wniosek pracodawcy lub z inicjatywy kandydata. Zatem jest możliwe, aby pracodawca wystąpił z inicjatywą zbierania dodatkowych danych i pozwolił kandydatowi zostawić informacje na temat np. jego zainteresowań czy oczekiwanego wynagrodzenia, ale nie powinien tych informacji wymagać (musi pozostawić dobrowolność ich wyrażenia) i musi też pozyskać na ich przetwarzanie zgodę.
Do tego musimy tylko dodać, że jeżeli jako takie dodatkowe dane miałyby być pozyskiwane dane szczególnej kategorii wg RODO (czyli nie ma przepisu prawnego uprawniającego do ich żądania przez pracodawcę), to ich przetwarzanie może się odbyć wyłącznie za zgodą kandydata i tylko, jeżeli to kandydat z własnej inicjatywy je przekazuje pracodawcy (a więc już bez możliwości aktywnego wnioskowania o ich podanie przez pracodawcę). Przykładem może tutaj być ponownie informacja o niepełnosprawności. Jeżeli nie istnieje przepis prawa, na podstawie którego pracodawca może żądać podania danych w takim zakresie, to pracodawca nie może prosić kandydata o udzielenie takiej informacji. Nie może wychodzić z inicjatywą ich podania. Takie przetwarzanie byłoby dopuszczalne wyłącznie wtedy, kiedy kandydat udzieli zgody na przetwarzanie takich danych i tylko, jeżeli podaje je z własnej inicjatywy (z własnej inicjatywy zamieści w CV informacje o swoim stanie zdrowia, np. przebytej niedawno operacji czy wadzie serca).
Z uwagi na to, że kandydat jednak może podać – nawet z własnej inicjatywy – więcej danych niż oczekiwane przez pracodawcę, jak też oferowane zatrudnienie może być inne niż umowa o pracę (i wtedy nie ma opcji bazowania na przepisie prawa, jako podstawie prawnej przetwarzania danych), temat pozyskania zgody na przetwarzanie danych może się okazać nieunikniony (i praktyka pokazuje, że tak właśnie jest). Jeżeli kandydaci z własnej inicjatywy informują w aplikacji o swoim stanie rodzinnym, stanie zdrowia, itp., ale nie zaznaczają zgody na przetwarzanie „dodatkowych” danych, to te wszystkie dodatkowe dane nie mogą być przetwarzane przez pracodawcę (powinny zostać usunięte, zanonimizowane). Aby uniknąć niezrozumienia ze strony kandydata można jeszcze na etapie przekazywania danych jasno określić, jakich danych pracodawca żąda i wyraźnie poinstruować kandydata, że jeżeli przesyła dane w szerszym zakresie, to musi potwierdzić, że zgadza się na ich przetwarzanie. W takiej sytuacji również ostrożnie i indywidualnie trzeba wybrać, w jakiej formie taką zgodę pozyskać – czy wyróżnić (dla uzmysłowienia kandydatowi) checkbox dotyczący takiej zgody, czy np. pozyskać ją w formie wyraźnego działania potwierdzającego (czyli np. poinformować kandydata, bardzo wyraźnie, że załączenie CV z dodatkowymi danymi i kliknięcie przycisku typu „Aplikuj” oznacza konkretnie wskazaną zgodę na przetwarzanie danych osobowych przez konkretny podmiot i w konkretnym celu).
Zasada zbierania odrębnej zgody kandydata dotyczy także, kiedy chcemy uzyskać referencje z poprzedniego miejsca pracy. Zawsze w przypadku zbierania zgody zalecana jest taka forma pozyskania zgody, którą da się udokumentować na potrzeby dowodowe (np. e-mail). Takie zezwolenie kandydata musi być konkretne: powinno wskazywać, jakiemu podmiotowi udzielana jest zgoda i w jakim konkretnie celu, w tym określać poprzednich pracodawców, od których zgodnie z wolą kandydata można uzyskać potwierdzenie zatrudnienia/referencje. Jeżeli kandydat podaje dane osobowe konkretnej osoby zatrudnionej u byłego pracodawcy, z którą można się skontaktować, to na przetwarzanie jej danych osobowych nie musimy mieć zgody. Takie dane kontaktowe osoby ze strony pracodawcy mogą być przetwarzane w prawnie uzasadnionym interesie (czyli na podstawie art. 6 ust. 1 lit. f) RODO), ale konieczne jest podanie takiej osobie klauzuli informacyjnej, w tym z wymienieniem źródła danych (art. 14 RODO).
Podkreślić przy tym trzeba, że zawsze, kiedy mówimy o zgodzie na przetwarzanie danych musi to być działanie wyraźne, potwierdzające wyrażenie zgody lub wprost złożone oświadczenie. Przez sam fakt przesłania danych, przekazania CV, wypełnienia pola w formularzu rekrutacyjnym, założenia profilu na portalu zrzeszającym profesjonalistów, wprowadzenia w CV większego zakresu danych niż wskazany w KP, itp. nie możemy zakładać, że została wyrażona konkretna zgoda, na przetwarzanie danych w konkretnym celu rekrutacyjnym i przez konkretny podmiot (pracodawcę). Również samo przekazanie klauzuli informacyjnej (pełnej, o której mowa w art. 13 lub art. 14 RODO) nie oznacza, że pozyskano klauzulę zgody (są to dwie odrębne kwestie).
Jeżeli administrator danych zbiera zgody, to ważne jest, aby była to treść zrozumiała dla kandydata. Gdy zatrudnienie oferowane jest obcokrajowcom i ogłoszenie publikowane jest w języku angielskim (aby było zrozumiałe), także klauzula (lub klauzule) zgody i informacyjna powinny być podane w takim zrozumiałym języku.
Zgoda kandydata nie może być podstawą prawną przetwarzania danych innych niż niezbędne do realizacji rekrutacji (zawsze obowiązuje nas zasada minimalizacji danych). Dlatego po zakończeniu rekrutacji CV nie powinno być przechowywane w teczce osobowej pracownika nawet, jeżeli na etapie rekrutacji kandydat wyraził zgodę. Zgoda bowiem dotyczyła celów rekrutacyjnych, które zostały zrealizowane. Zakres akt osobowych określony jest z kolei odrębnymi przepisami kodeksu pracy i porównując to, jakie dane zostały wymienione w urzędowym wzorcu kwestionariusza osoby ubiegającej się o zatrudnienie dochodzimy do wniosku, że CV może zawierać tych danych więcej. Stąd też moim zdaniem przechowywanie całego CV w teczce osobowej generowałoby ryzyko naruszenia zasady minimalizacji danych (w praktyce – dochodziłoby do przechowywania danych w zbyt szerokim zakresie).
Kodeks pracy a inne podstawy prawne
Tak jak wskazałam na samym wstępie, podstawy kodeksowe (czyli przepisy KP) stosuje się wtedy, kiedy oferujemy umowę o pracę kodeksową. Jeżeli podstawą zatrudnienia jest umowa cywilnoprawna, wówczas pracodawca musi być przygotowany na wykazanie podstaw prawnych właściwych dla takich przypadków. Taką podstawą prawną będzie zgoda (art. 6 ust. 1 lit. a RODO) albo dążenie do zawarcia umowy (art. 6 ust. 1 lit. b. RODO). Na potrzeby tego wpisu przyjmiemy, że bazujemy na zgodzie. Chcę bowiem zobrazować, jak można w jednej klauzuli informacyjnej poinformować kandydata o podstawach prawnych przetwarzania jego danych osobowych w zależności od tego, czy aplikuje na stanowisko z umową o pracę, czy umową cywilnoprawną. Poniższy przykład klauzuli jest dostępny w systemie do rekrutacji – elevato:
Cele i podstawy prawne przetwarzania danych
Podane przez Pana/Panią dane osobowe będą przetwarzane przez administratora w celach rekrutacyjnych, na podstawie:
- szczególnego przepisu prawa regulującego zbieranie danych od osoby ubiegającej się o zatrudnienie w oparciu o umowę o pracę (art. 6 ust. 1 lit. c RODO w zw. z art. 221 1 Kodeksu Pracy), czyli w przypadku oferowania zatrudnienia w oparciu o umowę o pracę i dostarczenia danych wyłącznie objętych tym przepisem, tj.: imię̨ (imiona) i nazwisko, data urodzenia, dane kontaktowe wskazane przez Pana/Panią oraz wykształcenie, kwalifikacje zawodowe i przebieg dotychczasowego zatrudnienia, jeżeli są one niezbędne Pracodawcy do wykonywania pracy określonego rodzaju lub na określonym stanowisku lub
- na podstawie wyrażonej przez Pana/Panią zgody – zgodnie z art. 6 ust. 1 lit. a RODO – co dotyczy przypadków, kiedy:
-
w przypadku bieżącego procesu rekrutacji: oferowana jest umowa o pracę, a w celach rekrutacyjnych podaje Pan/Pani w CV lub dokumentach aplikacyjnych inne dane, niż takie, które Pracodawca może przetwarzać w oparciu o Kodeks pracy, czyli inne, niż: imię̨ (imiona) i nazwisko, datę̨ urodzenia, dane kontaktowe wskazane przez Pana/Panią oraz wykształcenie, kwalifikacje zawodowe i przebieg dotychczasowego zatrudnienia, jeżeli są one niezbędne Pracodawcy do wykonywania pracy określonego rodzaju lub na określonym stanowisku bądź
-
w przypadku bieżącego procesu rekrutacji: oferowana jest umowa inna niż umowa o pracę (np. umowa zlecenie), a przetwarzanie danych dotyczy wszystkich, które podaje Pani/Pan w CV lub dokumentach aplikacyjnych do przetwarzania w celu realizacji procesu rekrutacji, bądź
-
chciałaby Pani/Pan wziąć udział w przyszłych procesach rekrutacyjnych u Pracodawcy (przetwarzanie danych dotyczy wszystkich, które podaje Pani/Pan w CV lub dokumentach aplikacyjnych do przetwarzania w celu realizacji przyszłych procesów rekrutacyjnych).
Powyższe to tylko część klauzuli informacyjnej. Zgodnie z art. 13 (lub art. 14) RODO, kandydatowi należy podać także inne informacje wskazane w tych przepisach. Jeżeli jakiegoś elementu zabraknie, należałoby jak najszybciej uzupełnić klauzulę i przesłać kandydatowi zaktualizowaną całość lub brakującą treść.
Pracodawca, agencja rekrutacyjna, klient pracodawcy – wymiana danych
Jeżeli w proces rekrutacji zaangażowany jest zarówno pracodawca, jak i agencja rekrutacyjna, należy bardzo ostrożnie ustalić jeszcze przed rozpoczęciem zbierania danych, jakie klauzule informacyjne i zgody przedstawiamy kandydatowi. W każdym indywidualnym przypadku należy bowiem rozstrzygnąć, który podmiot jest administratorem danych, a modeli działania co do zasady możemy wyróżnić aż trzy (tak co do zasady): kiedy agencja i pracodawca są odrębnymi administratorami, kiedy agencja jest wyłącznie podmiotem przetwarzającym działającym na rzecz pracodawcy-administratora, bądź model mieszany (kiedy agencja działa zarówno jako odrębny administrator, jak i podmiot przetwarzający).
Pamiętajmy, że klauzule informacyjne i klauzule zgody powinny dotyczyć administratora danych, dlatego to w jego interesie jest zabezpieczyć, aby wszystkie treści były zgodne z przepisami. Statusu administratora nie determinuje to, który podmiot fizycznie przetwarzania dane osobowe lecz to, który podmiot ustala cele przetwarzania tych danych. Można to zobrazować na poniższym przykładzie:
Firma A prowadzi duży projekt na rzecz swojego wieloletniego partnera (Firmy B). Firma B zainteresowana jest zatrudnieniem do siebie nowego pracownika. Firma B nie posiada w swoich strukturach działu HR, a w związku z tym, że stanowisko jest specjalistyczne, zamierza skorzystać z pomocy rekrutera – pracownika Firmy A. Pracownik Firmy A będzie mieć dostęp do bazy kandydatów Firmy B, będzie prowadził kontakty z kandydatami, rozmowy, spotkania – całą rekrutację. Co zgodnie z prawem powinno się zadziać, aby dostęp pracownika Firmy A do danych osobowych kandydatów Firmy B był uprawniony?
W powyższym przypadku to Firma B jest administratorem danych kandydatów do pracy nawet, jeżeli fizycznie przetwarzać je będzie pracownik Firmy A. To ona bowiem jest zainteresowana rekrutacją, a ze względu na brak własnych zasobów HR (brak rekruterów), skorzysta ze wsparcia Firmy A. W tym przypadku najprostszym rozwiązaniem byłoby powierzenie przetwarzania danych osobowych przez Firmę B Firmie A, w celu realizacji procesu rekrutacji. Firma A byłaby wówczas podmiotem przetwarzającym dane osobowe kandydatów na rzecz Firmy B – administratora. Konieczne byłoby zawarcie umowy powierzenia przetwarzania danych osobowych (sama umowa o współpracy nie wystarczy, jeżeli nie ma w niej postanowień dotyczących powierzenia przetwarzania danych, o których mowa w art. 28 RODO). Pracownik Firmy A musiałby z kolei uzyskać od Firmy A stosowne upoważnienie do przetwarzania danych osobowych, aby formalnie potwierdzić uprawnienie dostępu do powierzonych danych osobowych.
Może też zaistnieć taka sytuacja, kiedy podczas rekrutacji konkretny podmiot zatrudnia na stanowisko we własnej strukturze (jest formalnie pracodawcą), ale kandydat docelowo fizycznie pracować będzie u klienta pracodawcy, w ramach outsourcingu. W takiej sytuacji należy ustalić z klientem pracodawcy, jakie dane osobowe kandydata mają być udostępniane takiemu klientowi i w jakich celach. To bowiem determinuje, czy takie udostępnienie danych mieści się w prawnie uzasadnionym interesie pracodawcy lub klienta pracodawcy, czy może jednak wymaga odrębnej zgody kandydata. Na szczególną uwagę zasługuje także zbadanie, czy dane osobowe kandydata są udostępniane klientowi pracodawcy przez pracodawcę, czy może jednak klient sam zbiera dane od kandydata niezależnie i we własnych celach (tzn. sam decyduje, w jakim zakresie i celach je pozyskuje, np. w celu uwierzytelnienia w swoich systemach informatycznych, wydania karty dostępowej, itp.). Jeżeli dochodzi do udostępnienia danych, to pracodawca musi zastanowić się nad podstawą prawną udostępnienia danych (najczęściej: zgodą lub prawnie uzasadnionym interesem), a także w klauzuli informacyjnej musi poinformować kandydata m.in. o znanym odbiorcy jego danych, celach i podstawach udostępnienia danych. Jeżeli zaś klient pracodawcy samodzielnie będzie realizował swoje własne cele i niezależnie zbierał dane osobowe od kandydata, to o tych celach nie musi informować pracodawca, lecz klient pracodawcy, jako odrębny administrator danych (któremu cele zbierania danych przez siebie są dobrze znane). W tym przypadku to także klient pracodawcy powinien wykazać podstawę prawną pozyskiwania danych od kandydata.
Klauzule informacyjne
Wspomniałam powyżej o obowiązku informacyjnym z art. 13 lub art. 14 RODO. Wiadomo, że taki obowiązek należy spełnić, ale często pojawia się pytanie: „Jak?” Jeżeli dajemy kandydatowi możliwość pozostawienia danych np. na formularzu www, to idealnie byłoby uzupełnić ten formularz o klauzulę informacyjną. Warto też już w ogłoszeniu o pracę przekazywać wszystkie informacje wymagane przez RODO. Jeżeli kandydat zostawia swoje dane osobowe z własnej inicjatywy (np. przesyła e-mailem, zostawia na recepcji), to dla celów dowodowych warto odesłać klauzulę informacyjną również e-mailem (jeżeli decydujemy się na zachowanie danych w celach rekrutacyjnych i mamy ku temu podstawę prawną). Jeżeli to rekruter pierwszy kontaktuje się z kandydatem, np. za pośrednictwem portalu zrzeszającego profesjonalistów, to w momencie rozpoczęcia przetwarzania danych przez spółkę, w której jest zatrudniony (czyli przez administratora), także należy dopełnić obowiązku informacyjnego. W jaki sposób? Można kandydatowi wysłać całą treść klauzuli informacyjnej jako załącznik do maila lub w treści maila. Można wysłać link do strony www, na której zamieszczono treść z wszystkimi informacjami z art. 13 lub art. 14 RODO (np. treść dedykowanej klauzuli informacyjnej albo treść ogłoszenia o pracę, formularza aplikacyjnego, czy formularza do potwierdzenia zgód uzupełnionego o klauzulę informacyjną). Można też spełnić obowiązek informacyjny warstwowo: w treści wiadomości, ogłoszenia, e-maila, czy stopki maila podać kluczowe informacje: administratorze, celach i podstawach prawnych przetwarzania danych i poprzez odnośnik do właściwej strony www, jednym kliknięciem przekierować kandydata do pełnej treści klauzuli informacyjnej.
Może się pojawić pytanie: dlaczego w ogóle pracodawca (lub agencja – jako administrator danych) musi spełnić obowiązek informacyjny? O ile kontakty prowadzone w ramach portali mających swój regulamin dla użytkowników mogą być uzasadnione celami związanymi z funkcjonowaniem takiego portalu, to zachowywanie danych na własne potrzeby potwierdza, że mamy cel leżący wyłącznie po stronie odrębnego administratora danych. Skopiowanie linku do profilu, wygenerowanie danych do pliku .pdf, przepisanie danych ręcznie do ATS lub tabeli .xls to nic innego jak przetwarzanie danych osobowych. W tym momencie odrębny administrator realizuje swój własny cel przetwarzania i powinien o nim poinformować kandydata (najczęściej jest nim nawiązanie kontaktu z kandydatem w celu przekazania informacji o prowadzonej rekrutacji). Sam kontakt może się odbyć na podstawie prawnie uzasadnionego interesu – ta podstawa musi jednak zostać zweryfikowana u każdego z administratorów z osobna, ale jeżeli test równowagi dla tego prawnie uzasadnionego interesu przejdziemy pozytywnie, nie musimy zbierać odrębnej zgody w takim celu (i oprzeć się na art. 6 ust. 1 lit. f RODO). Ale kluczem jest tutaj przejście pomyślnie testu równowagi interesów administratora i kandydata. Pamiętajmy jednak o innej ważnej zasadzie: nie zakładamy, że posiadanie profilu na portalu, przyjęcie zaproszenia do kontaktów, wysłanie zaproszenia czy zareagowanie (w tym odpowiedź) na ogłoszenie oznacza, że kandydat zna wszystkie informacje, które administrator musi przekazać na podstawie art. 13 lub art. 14 RODO. Podobnie nie możemy zapominać, że dane publicznie dostępne podlegają zasadom RODO tak jak każde inne. Oznacza to, że jeżeli chcemy wykorzystać e-mail lub numer telefonu kandydata, które to dane znaleźliśmy w sieci, zasada jest taka sama jak w przypadku, kiedy e-mail lub numer telefonu znaleźliśmy na portalu, w którym trzeba mieć założone konto lub które dane podał nam sam kandydat (i zachowujemy je na własne potrzeby) – zanim zaprosimy kandydata do rekrutacji i wyślemy mu ofertę pracy, należy przekazać kandydatowi klauzulę informacyjną przedstawiającą okoliczności przetwarzania danych osobowych przez administratora (tak, aby kandydat miał pełną jasność, co się dzieje z jego danymi w ramach kontaktu i co się ewentualnie zadzieje z jego danymi w ramach rekrutacji). Powinniśmy najpierw pozyskać od kandydata potwierdzenie zainteresowania rekrutacją a następnie przedstawić ofertę pracy.
Zgodnie z RODO, jeżeli zbieramy dane osobowe ze źródła innego niż sam kandydat, to informacje o przetwarzaniu jego danych osobowych należy przekazać w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca, a jeżeli dane osobowe mają być stosowane do komunikacji z kandydatem – najpóźniej przy pierwszej takiej komunikacji z kandydatem.
Dokumentowanie zgody
Innym w praktyce powtarzającym się pytaniem jest to, w jaki sposób pozyskiwać zgody na przetwarzanie danych. RODO nie definiuje formy, nie narzuca jednej czy kilku konkretnych. Teoretycznie więc nawet forma ustna jest dopuszczalna. Jednak mamy obowiązek wykazania, że zgoda została udzielona. Wychodzi więc na to, że powinniśmy zebrać zgodę tak, aby móc ją udowodnić – zadbać o zachowanie takiej zgody na mailu, w wiadomości, SMSie, nagraniu rozmowy, na piśmie, w ATS, itp.
Zanim jednak zdecydujecie się na konkretną formę warto rozważyć inne czynniki, od których może zależeć finalne rozwiązanie, czyli… inne obowiązki prawne. Pamiętajmy, że w każdej chwili kandydat może zgodę odwołać albo może zapytać o podstawy prawne przetwarzania danych, o informację, od kiedy są przetwarzane – a więc dane (i zgodę) trzeba wyszukać. Rekruter może się też zwolnić z pracy – a zatem dowód wyrażenia zgody nie powinien zostać w miejscu niedostępnym dla administratora (np. na personalnym koncie w portalu ogłoszeniowym czy społecznościowym). Kandydat może żądać usunięcia danych – a wyszukanie danych z nagrania może się okazać bolączką. Dlatego zalecam wybranie jednego, scentralizowanego miejsca (np. ATS), gdzie wraz z danymi osobowymi będzie można w łatwy sposób odnotować informacje o zgodzie (kiedy, kto i w jakim zakresie ją wyraził).
Usuwanie danych kandydatów
Kolejną ważną kwestią jest usuwanie danych kandydatów do pracy. Najczęściej powinno to mieć miejsce wtedy, gdy np.:
- kandydaci sami przysłali swoje CV (tzw. rekrutacje spontaniczne) i administrator nie jest zainteresowany zachowaniem danych osobowych,
- kandydat wyraził swoją zgodę na przetwarzanie danych wyłącznie w celu bieżącego procesu rekrutacji, który się skończył,
- kandydat odwołał swoją zgodę na przetwarzanie danych w celach rekrutacyjnych,
- kandydat zażądał usunięcia danych osobowych,
i jednocześnie administrator nie ma innego celu przetwarzania danych osobowych kandydata, pozwalających mu na dalsze przetwarzanie (np. celów dokumentowych na wypadek dochodzenia, ustalenia lub obrony roszczeń).
Jeżeli dochodzi do usunięcia danych osobowych, to pamiętajmy, że mówimy o trwałym pozbyciu się danych osobowych. Spakowanie ich do archiwum, przeniesienie do innego miejsca z dostępem wyłącznie administratorskim nie jest trwałym usunięciem danych. Jeżeli rekruterzy korzystają z zewnętrznych systemów do przetwarzania danych kandydatów, to te systemy powinny zapewnić funkcjonalność usunięcia danych osobowych kandydata, chyba że dostawca systemu jest jednocześnie jego administratorem przetwarzającym dane we własnych celach (tj. mimo wniesienia żądania usunięcia danych do pracodawcy i usunięcia danych z zasobów pracodawcy). Przykładem może być portal ogłoszeniowy czy społecznościowy, który jest odrębnym administratorem danych osobowych przetwarzanych w ramach prowadzenia kont kandydatów-użytkowników tego portalu (innymi słowy – dostawca danego portalu nadal będzie utrzymywał konta użytkowników portalu, nawet jeżeli pracodawca usunie dane kandydata z wszystkich innych miejsc, którymi zarządza).
Żądanie usunięcia danych kandydata może być w minimalnym zakresie odnotowane np. w wewnętrznym rejestrze zgłoszeń, na okoliczność ustalenia, dochodzenia lub obrony roszczenia związanego z realizacją żądanie. Zwróćmy jednak uwagę, że przy takim odnotowaniu nadal przetwarzane są – w minimalnym zakresie – dane osobowe zgłaszającego. W tej sytuacji informując kandydata o usunięciu wszystkich jego danych przetwarzanych w celach rekrutacyjnych należy przekazać także informację o przechowywaniu danych w celach dowodowych.
[1] https://www.uodo.gov.pl/pl/138/1639