Miesięcznik Benefit – miesięcznik kadrowych, kierowników i dyrektorów HR

Strona główna » Praca » Prawo

Dane kandydatów pod ochroną

Dane kandydatów pod ochroną
fot. istockphoto
Do wejścia w życie unijnych przepisów dotyczących ochrony danych osobowych, istotnie zmieniających i zaostrzających zasady ich przetwarzania, pozostało kilka miesięcy. To niewiele czasu na ich wdrożenie, odpowiednie przygotowanie kadr, infrastruktury oraz polityki firmowej do nowej rzeczywistości w zakresie data protection.

Firmy już teraz muszą zadbać o wysoki poziom bezpieczeństwa w zakresie przetwarzania danych osobowych oraz wprowadzić odpowiednie procedury dotyczące m.in. zarządzania procesami rekrutacyjnymi, które nierozerwalnie związane są z pozyskiwaniem i przetwarzaniem danych osobowych. Brak ich wdrożenia rodzić będzie poważne konsekwencje finansowe w wysokości do 20 mln euro bądź do 4 proc. całkowitego rocznego obrotu z poprzedniego roku obrotowego oraz możliwość dochodzenia roszczeń na drodze cywilnej w związku z naruszeniem nowych przepisów wobec osób, których dane są przetwarzane.

DANE OSOBOWE W PROCESIE REKRUTACJI
W dniu 25 maja 2018 r. zacznie obowiązywać Rozporządzenie Ogólne o Ochronie Danych Osobowych Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej jako „RODO”), które ze względu na jego jednolite i bezpośrednie stosowanie w Unii Europejskiej zastąpi również polską ustawę o ochronie danych osobowych. Nowe przepisy dotyczyć będą m.in. danych osobowych przetwarzanych w związku z zatrudnieniem, ponieważ każdy podmiot, który zatrudnia pracowników, pozyskuje szereg informacji dotyczących kandydatów do pracy, a pierwsze dane osobowe kandydatów na pracowników pracodawca pozyskuje wraz z otrzymanym CV.
W RODO została przewidziana możliwość uwzględnienia w przepisach krajowych lub w porozumieniach zbiorowych bardziej szczegółowych przepisów mających na celu zapewnienie ochrony praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem, w szczególności do celów rekrutacji i wykonania umowy o pracę.
W dniu 12 września 2017 r. został opublikowany przez Ministerstwo Cyfryzacji projekt ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych, który rozstrzyga m.in. wątpliwości dotyczące możliwości pozyskiwania zgód pracowników i kandydatów do pracy.

KATEGORIE DANYCH OSOBOWYCH
Projektowana ustawa dzieli kategorie danych osobowych pozyskiwanych i przetwarzanych w zakresie procesu rekrutacyjnego na dane osobowe, które mogą być przetwarzane na podstawie przepisu prawa (art. 221 Kodeksu pracy) oraz dane osobowe, które mogą być przetwarzane na podstawie wyrażonej zgody (art. 222 Kodeksu pracy).
Zgodnie z projektowanym art. 221 § 1 Kodeksu pracy katalog danych osobowych kandydatów obejmuje informacje dotyczące imienia i nazwiska kandydata, daty jego urodzenia, adresu do korespondencji, wykształcenia oraz przebiegu dotychczasowego zatrudnienia. Dodatkowo, w przeciwieństwie do obecnie obowiązujących przepisów prawa, w projekcie przewidziano możliwość pozyskiwania przez pracodawcę adresu poczty elektronicznej albo numeru telefonu. Wykorzystanie spójnika „albo” w odniesieniu do wprowadzonych dwóch kategorii danych osobowych oznacza, że pracodawca nie będzie mógł żądać jednoczesnego podania numeru telefonu oraz adresu e-mail, co wydaje się zabiegiem celowym projektodawcy zgodnie z zasadą minimalizacji danych osobowych wyrażoną w RODO. Tym samym jednak pracodawca będzie musiał zdecydować się, którą informację (numer telefonu czy też adres e-mail) będzie chciał pozyskiwać w oparciu o przepis prawa. Powyższe nie wyklucza oczywiście możliwości pozyskania drugiej informacji w oparciu o zgodę kandydata.
Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w projektowanym art. 221 § 1 Kodeksu pracy będzie dopuszczalne tylko wtedy, gdy będą one dotyczyć stosunku pracy i osoba ubiegająca się o zatrudnienie wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej. Zgoda taka musi być wyraźna ‒ pracownik musi wiedzieć, jakie dane chce pozyskać pracodawca i w jakim celu oraz musi zostać poinformowany o prawie do odwołania zgody. Poza tym zgoda musi być dobrowolna, a brak zgody nie może być podstawą do niekorzystnego traktowania osoby ubiegającej się o zatrudnienie, w tym nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia.
Projekt ustawy przewiduje również kategorie danych osobowych, których nie będzie można pozyskiwać nawet w oparciu o zgodę kandydata. Zgodnie z nim możliwość pozyskiwania dodatkowych danych osobowych w oparciu o zgodę kandydata nie obejmie danych wrażliwych, w tym danych o nałogach, o stanie zdrowia, o życiu seksualnym lub orientacji seksualnej oraz danych biometrycznych.
Mając na względzie powyższe wskazania, pracodawca na etapie rekrutacji powinien w pierwszej kolejności zbadać, czy dane, które chce pozyskiwać, mieszczą się w katalogu przewidzianym w Kodeksie pracy, a jeśli nie, to czy obowiązek ich podania wynika z przepisów szczególnych lub czy jest to niezbędne do wypełnienia obowiązku przez pracodawcę. Dopiero w przypadku braku podstawy w tym zakresie pracodawca powinien weryfikować możliwość pozyskiwania danych osobowych w oparciu o zgodę kandydata.
Warto w tym miejscu przypomnieć, iż powyższe uregulowania w zakresie zmian Kodeksu pracy dotyczyć będą jedynie rekrutacji zmierzającej do zawarcia z kandydatem umowy o pracę. Brak jest natomiast takiej podstawy w przypadku innych umów cywilnoprawnych i w takim przypadku podstawą będzie zgoda kandydata na przetwarzanie danych osobowych.

WYKORZYSTYWANIE CV DO WIELU REKRUTACJI
Powszechną praktyką pracodawców jest przechowywanie CV kandydatów do pracy przez okres dłuższy niż czas trwania postępowania rekrutacyjnego, na którego potrzeby dane CV zostało wysłane, jednak praktyka taka nie będzie uznawana za zgodną z wymogami RODO. Jak wskazał europejski organ doradczy w sprawach ochrony danych osobowych Grupa Robocza art. 29 w opinii nr 2/2017 w sprawie przetwarzania danych w pracy, dane kandydatów co do zasady powinny być usuwane w momencie, w którym pracodawca zrezygnuje ze złożenia oferty zatrudnienia osobie ubiegającej się o zatrudnienie.
Wykorzystywanie raz uzyskanych danych osobowych przez dłuższy okres i na potrzeby kolejnych rekrutacji będzie jednak możliwe w oparciu o zgodę kandydata, który będzie mógł zdecydować, czy swoje dane chce przekazać wyłącznie na potrzeby jednej, czy również większej liczby rekrutacji, z zastrzeżeniem, że wyrażona zgoda powinna uwzględniać maksymalny okres przechowywania CV przez pracodawcę. Takie rozwiązanie pozwoli na realizację zasady rozliczalności wymaganej przez nowe przepisy prawa poprzez możliwość wykazania, że dane osobowe są przetwarzane zgodnie z prawem w zakresie, w jakim zostały zebrane na potrzeby rekrutacji.

NARUSZENIA ZASAD I ICH KONSEKWENCJE
Głównym celem RODO jest zmiana w podejściu do procesu przetwarzania danych. Na gruncie nowych przepisów przetwarzanie danych osobowych ma być ciągłym procesem, którego każda część jest równie istotna – począwszy od odpowiedniej dokumentacji, przez procesy organizacyjne, systemy IT, na świadomości pracowników kończąc. Administrator danych (w tym pracodawca prowadzący rekrutację) jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych odbywało się zgodnie z prawem. Jednocześnie administrator powinien wziąć pod uwagę charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych. Wszystkie wprowadzone środki techniczne i organizacyjne muszą być zgodne z zasadami przewidzianymi przez RODO, tj. zasadą zgodności z prawem, rzetelności i przejrzystości, zasadą ograniczenia celu przetwarzania danych, zasadą minimalizacji oraz prawidłowości danych, zasadą ograniczenia przechowania danych, zasadą integralności i poufności danych oraz zasadą rozliczalności. Oparcie się na powyższych zasadach pozwoli na wyeliminowanie lub zabezpieczenie obszarów, w których nowe regulacje mogą wprowadzić niejasność i potencjalne ryzyko naruszeń w zakresie pozyskiwania danych osobowych osób ubiegających się o nawiązanie stosunku pracy, np. w zakresie rekrutacji ukrytych, baz kandydatów odrzuconych bez odpowiednich klauzul i zgód, jak również w zakresie przechowywania i dystrybuowania aplikacji kandydatów wewnątrz firmy w ramach prowadzenia projektu rekrutacyjnego przez więcej niż jedną osobę.
Należy pamiętać, iż brak wdrożenia RODO i niestosowanie się do wprowadzonych przepisów może oznaczać dla przedsiębiorców odpowiedzialność finansową w postaci kar administracyjnych w wysokości do 20 mln euro bądź do 4 proc. całkowitego rocznego obrotu z poprzedniego roku obrotowego oraz możliwość dochodzenia roszczeń na drodze cywilnej w związku z naruszeniem nowych przepisów wobec osób, których dane są przetwarzane.

ANNA ZEJDLER
adwokat, KPRF Law Office

2018-01-26 14:27 Opublikował: Benefit

Reklama:

tel. kom: 508-548-308

Redakcja:

Newsletter


Wyrażam zgodę na przetwarzanie moich danych osobowych w celach marketingowo-promocyjnych oraz na otrzymywanie od Spółki oraz podmiotów wchodzących w skład Grupy Kapitałowej Benefit Systems S.A. za pomocą środków komunikacji elektronicznej
... Rozwiń
Wyrażam zgodę na przetwarzanie moich danych osobowych przez Spółkę, zgodnie z ustawą z dn. 29.08.1997r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002r. Nr 101 poz. 926, ze zm.) w celach marketingowo-promocyjnych oraz wyrażam zgodę na otrzymywanie od Spółki i informacji handlowych za pomocą środków komunikacji elektronicznej, zgodnie z ustawą z dn. 18.07.2002r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 ze zm.). Jednocześnie wyrażam zgodę na przekazanie moich danych osobowych przez Spółkę podmiotom z Grupy Kapitałowej Benefit Systems S.A. w celach marketingowo promocyjnych związanych z promocją lub reklamą produktów i usług oferowanych przez te podmioty jak również wyrażdam zgodę na otrzymywanie od tych podmiotów informacji handlowych za pomocą środków komunikacji elektronicznej, zgodnie z ustawą z dn. 18.07.2002r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 ze zm.) Zgody mogą być odwołane w każdym czasie. Administratorem danych osobowych jest Benefit IP Spółka z ograniczoną odpowiedzialnością spółka komandytowa ul. Canaletta 4, 00-099 Warszawa. Dane osobowe będą przetwarzane w celach marketingowych i nie będą udostępniane innym odbiorcom. Ich podanie jest dobrowolne, a każda osoba ma prawo dostępu do treści swoich danych, ich poprawiania oraz wyrażenia sprzeciwu wobec ich przetwarzania.