RODO a rekrutacja
Przepisy RODO (GDPR) wchodzą w życie 25 maja br. Wprowadzają one zmiany dotyczące ochrony danych osobowych – także danych pracowników i kandydatów. Ma to znaczący wpływ na obowiązki rekruterów i działów HR w firmach.
Przepisy RODO mają dotyczyć m.in. rodzaju danych, jakie pracodawca może pozyskiwać o kandydatach w procesie rekrutacji. Dlatego Ministerstwo Cyfryzacji zamierza wprowadzić zmiany w Kodeksie Pracy, aby dostosować polskie prawo pracy do wymogów RODO.
Pe3check/bigstockphoto.com
Zgodnie z planowaną nowelizacją, kandydaci mieliby być zobowiązani do podawania następujących danych: imię (imiona) i nazwisko, data urodzenia, dane kontaktowe (o tym, jakie to będą dane – czy np. numer telefonu, czy adres poczty elektronicznej, miałby decydować sam kandydat), wykształcenie i przebieg dotychczasowego zatrudnienia. W uzasadnionych przypadkach (np. rekrutacji do służby cywilnej) pracodawca może wymagać zaświadczenia o niekaralności.
Inne dane, takie jak numer PESEL, numer i seria dokumentu tożsamości, a także dane członków rodziny pracownika, byłyby wymagane tylko w sytuacjach, gdy są niezbędne do skorzystania z przysługujących pracownikowi uprawnień. Brak lub wycofanie zgody na przetwarzanie danych osobowych innych niż w proponowanym art. 221 §1 i 2 nie mógłby przy tym działać na niekorzyść kandydata i być uzasadnieniem niezatrudnienia go. Pewne informacje (np. o stanie cywilnym czy wyznaniu religijnym) mogłyby być uznane za podstawę do dyskryminacji kandydata, więc ich gromadzenie jest zabronione. Zwróćmy też uwagę, że wśród wymienionych informacji, których można wymagać od kandydata, nie ma mowy o jego wizerunku. Nie można więc uzależniać możliwości złożenia dokumentów aplikacyjnych od dodania zdjęcia. Wizerunek kandydata może być pozyskany jedynie za jego zgodą.
Dane osobowe zawarte w dokumentach rekrutacyjnych (CV, list motywacyjny) musiałyby być odpowiednio zabezpieczone. Mogłyby one trafić jedynie do osób uprawnionych, prowadzących proces rekrutacji. Nie mogłyby też być przechowywane w nieskończoność, a jedynie do końca procesu rekrutacji – o ile kandydat nie wyrazi zgody na ich dalsze przetwarzanie.
Na końcu CV standardowo umieszcza się klauzulę zgody na przetwarzanie danych osobowych. Jednak, według przepisów RODO, mogłaby być ona wykorzystywana tylko dla potrzeb konkretnej rekrutacji, o ile nie zawarto w niej zapisu o przyszłych rekrutacjach. Jeśli takiego sformułowania w klauzuli nie ma, należy zapytać kandydata, czy jest takim uczestnictwem zainteresowany i czy w związku z nim wyraża zgodę na dalsze przetwarzanie danych. Podobnie należy postąpić, jeśli kandydat aplikuje na konkretne stanowisko, ale potencjalny przyszły pracodawca uzna, że ta osoba lepiej się nadaje na inne. Jeśli po zakończonej rekrutacji kandydat nie wyrazi zgody na uczestnictwo w przyszłych procesach tego typu, jego dane będą musiały zostać usunięte – w przypadku korespondencji elektronicznej wykasowane, a te, które zostały wydrukowane, trwale zniszczone.
RODO nakłada też na pracodawców określone obowiązki informacyjne. Kandydat będzie musiał być poinformowany m.in. o nazwie i danych kontaktowych administratora danych; o celu i podstawie prawnej przetwarzania danych; odbiorcach lub kategoriach odbiorców danych; zamiarze przekazania danych osobowych do państwa trzeciego (jeśli dotyczy); czasie przechowywania danych; prawie do żądania dostępu do danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu wobec przetwarzania; prawie do cofnięcia zgody w dowolnym momencie; prawie do wniesienia skargi do organu nadzorczego; a także o tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym i o ewentualnych konsekwencjach niepodania danych. Informacje te można umieścić w ogłoszeniu lub w formularzu rekrutacyjnym.
Wymogi RODO miałyby też wpływ na rekrutacje tzw. „ślepe” czy „ukryte”, w których pracodawca nie ujawnia swoich danych. Rekrutacje takie nie są zgodne ze wspomnianym obowiązkiem informacyjnym, gdyż kandydat nie wie, do kogo trafią jego dane. W takich sytuacjach można powierzyć rekrutację firmie rekrutacyjnej, która pełni wówczas obowiązki administratora danych osobowych. Po wstępnej selekcji osoby, które zakwalifikowały się do dalszego etapu, otrzymywałyby dane potencjalnego pracodawcy i pytanie o zgodę na przetwarzanie swoich danych.