Prywatność kandydata a RODO
Podstawowe założenia RODO w kwestii ochrony prywatności skupiają się na minimalizacji danych. Wedle tej zasady istotne jest, aby dane były ograniczone i adekwatne do celu, w którym są przetwarzane. Zasadności nabiera także ograniczenie okresu przechowywania zgromadzonych danych. Administrator danych musi wykazać, że przestrzega wytycznych RODO. Niezbędne jest zastosowanie środków bezpieczeństwa w przechowywaniu danych, zabezpieczenie dokumentów wydrukowanych i szyfrowanie wiadomości elektronicznych.
Z punktu widzenia pracodawcy...
Pracodawca, chcąc zatrudnić pracownika, staje się administratorem danych osobowych i każdy bezwzględnie powinien mieć tego świadomość. Takiej funkcji nie spełniają portale ogłoszeniowe, które pośredniczą w rekrutacji, ani osoby zarządzające nimi. W przypadku agencji rekrutacyjnych to one w pierwszym etapie procesu rekrutacyjnego przyjmują rolę administratora. Przy przekazaniu danych do pracodawcy istotna jest zgoda kandydata.
Pracodawca musi poinformować kandydata, kto jest administratorem jego danych osobowych oraz w jakim celu zostaną one przez niego przetworzone. Obowiązek informacyjny to również zasada płynąca z RODO. Jeśli dane będą przetwarzane przez pracowników, muszą oni zostać do tego celu upoważnieni. Odnosząc się do zasady minimalizmu, pożądane jest, aby możliwie ograniczać liczbę oraz zakres upoważnień. W praktyce, w ogłoszeniu o pracę powinna znaleźć się informacja, że wymagana jest zgoda na przetwarzanie danych osobowych przez osoby aplikujące, co może znacząco usprawnić proces rekrutacji. Jeśli w trakcie przetwarzania danych zajdzie konieczność wykorzystania danych w innym celu, niż ten, który został wskazany pierwotnie w ogłoszeniu, to pracodawca musi o tym poinformować kandydata oraz uzyskać zgodę na przetwarzanie danych w nowym celu. Przetwarzanie szczególnych kategorii danych osobowych, określanych często w praktyce jako dane wrażliwe, jest zabronione, nawet jeśli wyrazisz na to zgodę.
Z punktu widzenia kandydata...
W przepisach obecnie obowiązującego Kodeksu Pracy, który niedługo zapewne ulegnie znowelizowaniu względem RODO, mamy do czynienia z nadaniem uprawnień pracodawcy do zażądania od kandydata ubiegającego się o zatrudnienie konkretnych danych osobowych. W art. 221. § 1. znajduje się katalog zamknięty i wymienionymi danymi, których pracodawca ma prawo żądać, są: imię (imiona) i nazwisko, imiona rodziców, data urodzenia, miejsce zamieszkania, wykształcenie, przebieg dotychczasowego zatrudnienia. Ponadto pracodawca może zażądać podania dodatkowych danych, jeśli obowiązek ich wskazania wynika z odrębnych przepisów. Taka sytuacja ma miejsce na przykład, kiedy niezbędna jest informacja o niekaralności, posiadanym prawie jazdy. Zgodnie z przepisami Kodeksu Pracy pracodawca ma możliwość żądania od kandydata udokumentowania podanych danych osobowych. W Kodeksie znajduje się także ukierunkowanie na przepisy o ochronie danych osobowych, które doprecyzowują wszelkie kwestie związane z przetwarzaniem danych kandydatów w procesie rekrutacji, zatem, w obecnej sytuacji prawnej, przepisy RODO.
Według przepisów RODO istotna jest adekwatność, zatem w dokumentach aplikacyjnych powinieneś podać wszystkie niezbędne dane dla procesu rekrutacyjnego. Uwzględniając zapisy Kodeksu Pracy, istotne będą:
- imię i nazwisko
- data urodzenia
- aktualne miejsce zamieszkania (istotny jest adres do korespondencji)
- dane na temat Twojego wykształcenia (ukończonych szkół, kursów itp.)
- historia dotychczasowego zatrudnienia.
Możesz oczywiście podać wszelkie dodatkowe informacje, ale jest to dobrowolne. Dodatkowo dołączane dokumenty są istotne jedynie wtedy, gdy wymagają tego przepisy ze względu na charakter pracy. Nie ma zatem obowiązku, by programista przedstawiał zaświadczenie o niekaralności. Od kandydatów, ze względu na charakter pracy, wymagane może być na przykład orzeczenie o stopniu niepełnosprawności. Przepisy w aktualnie nowelizowanym Kodeksie Pracy wskazują, że to kandydat zdecyduje o podaniu dodatkowych danych kontaktowych, takich jak adres poczty elektronicznej czy numer telefonu.
Pracodawca nie ma zatem prawa do zażądania od Ciebie dołączenia do CV fotografii z Twoim wizerunkiem. Z punktu widzenia prawa nie może też dyskryminować Twojej osoby, jeśli nie zdecydujesz się na jej dołączenie.
Klauzula o przetwarzaniu danych osobowych w CV
Na mocy postanowień RODO przepisy Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych zostały uchylone. Wszelkie klauzule powołujące się na tę ustawę są zatem nieaktualne. Z uwagi na ogólne zasady i brak konkretnych wytycznych w RODO pojawiają się głosy, że klauzula o przetwarzaniu danych w dokumentach aplikacyjnych nie jest obowiązkowa. Jest to zasadne, gdyż RODO kładzie nacisk na to, by to firmy rekrutujące dochowały wszelkich starań w kierunku postępowania z danymi w zgodzie z prawem. W praktyce na podstawie przepisów obowiązujących w Polsce oświadczenie woli jest niezbędne. Wysłanie dokumentów aplikacyjnych, CV czy listu motywacyjnego, bez dołączonej klauzuli będzie skutkowało odrzuceniem kandydatury.
Nie istnieje jeden, ogólnie przyjęty szablon z treścią klauzuli
RODO, wprowadzając zasadę minimalizmu, odchodzi od zbytniego formalizmu. Pracodawcy niejednokrotnie podają treść wymaganej przez nich klauzuli w ogłoszeniu, co stanowi ułatwienie. Trzeba tylko pamiętać o zaktualizowaniu jej we wszystkich przesyłanych dokumentach. W przypadku, kiedy w ogłoszeniu brak wskazówek w tym zakresie, możesz skorzystać z gotowych formuł zamieszczonych poniżej:
Klauzula z odniesieniem do aktu prawnego
„Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w niniejszym CV dla potrzeb niezbędnych do realizacji procesu rekrutacji zgodnie z Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (tekst jednolity: Dz.U. 2018 poz. 1000).”
Klauzula w wersji uproszczonej
„Wyrażam zgodę na przetwarzanie danych osobowych przez (nazwa firmy) w celu i zakresie niezbędnym w procesie rekrutacyjnym.”
Klauzula w języku angielskim
„I hereby agree to the processing of personal data provided in this document for realising the recruitment process pursuant to the Personal Data Protection Act of 10 May 2018 (Journal of Laws 2018, item 1000) and in agreement with
Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).”
Klauzula dla osób dołączających orzeczenie o stopniu niepełnosprawności
„Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w niniejszym CV oraz w załączonym orzeczeniu o stopniu niepełnosprawności dla potrzeb niezbędnych do realizacji procesu rekrutacji zgodnie z Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (tekst jednolity: Dz.U. 2018 poz. 1000)."
Ogólnie przyjmuje się, że aplikując do zagranicznego pracodawcy, nie ma konieczności zamieszczania klauzuli. Inaczej jest jednak, jeśli wysyłasz CV w języku obcym do polskiego pracodawcy.
Firma przeprowadzająca rekrutację (niezależnie od tego, czy jest firmą zewnętrzną, czy bezpośrednim pracodawcą) po zakończeniu procesu rekrutacyjnego jest zobowiązana do usunięcia danych kandydatów, którzy w jego wyniku nie zostali zatrudnieni, chyba że w klauzuli zamieszczonej w CV określą oni inny maksymalny termin przetwarzania danych. W razie potrzeby pracodawca może poprosić kandydata o zgodę na przetwarzanie danych dla celów przyszłej rekrutacji. Często zdarza się, że firma rekrutuje na kilka stanowisk. Przy dołączeniu standardowo brzmiącej klauzuli do CV pracodawca nie ma możliwości wykorzystania Twoich danych w innych procesach rekrutacyjnych. Żeby móc uczestniczyć w kolejnej rekrutacji warto zastosować dodatkową klauzulę następującej treści:
„Wyrażam zgodę na przetwarzanie moich danych osobowych przez (nazwa firmy) również na potrzeby przyszłej rekrutacji.
Ten prosty zapis (co ważne ze względu na RODO) pozwoli na wykorzystanie Twoich dokumentów w następnej rekrutacji. Być może jednak w przyszłości będą prowadzone kolejne rekrutacje, w których miałbyś szansę na zatrudnienie. Wówczas zamiast słowa „przyszłej” można zamieścić sformułowanie „przyszłych”, jednak pamiętaj, że przechowywanie Twoich danych zbyt długo nie jest wskazane. Ponadto pracodawca, chcąc stosować się do zasady ograniczenia czasu przechowywania danych ze względu na RODO, nie będzie przechowywał danych zbyt długo.
Wyszukiwanie danych z profili na portalach społecznościowych
Zarządzanie prywatnością danych na portalach społecznościowych pozwala ich użytkownikom na ograniczenie dostępności dla innych osób. Jednak nawet publicznie dostępny profil osobowy nie może służyć w celu przetwarzania wszystkich zawartych w nim danych bez ograniczeń. Do takiego przetwarzania musi zaistnieć uzasadniony interes.
W przypadku kiedy rekruter poszukuje osób do pracy, powinien najpierw przesłać zapytanie o możliwość przedstawienia oferty zatrudnienia, a dopiero po uzyskaniu zgody ją przedstawić.
Jak widzisz, ochrona danych osobowych jest szeroko regulowana przez przepisy, a postanowienia RODO wymuszają dostosowanie prawa i stąd czeka nas zmiana Kodeksu Pracy. Co istotne, zgoda na przetwarzanie danych osobowych zależy od Ciebie. Warto wyrażać ją świadomie. Ponadto lepiej zwrócić uwagę na to, czy proces rekrutacyjny przeprowadzany jest zgodnie z przepisami. Na pracodawcy spoczywa bowiem obowiązek informacyjny. Niestety kandydaci rzadko mają szansę zapoznania się ze sposobem i celem przetwarzania ich danych osobowych jeszcze przed wysłaniem CV.