Wróć do artykułów

Proces rekrutacji zgodny z RODO – CV, klauzule a ochrona danych osobowych kandydatów?

Autor

Kancelaria Pałucki & Szkutnik
10.01.2025

Pracodawca, który poszukuje pracowników musi mierzyć się z dużym wysiłkiem przy wyborze najlepszego kandydata. Coraz częściej musi sam wychodzić z inicjatywą, poszukując na własną rękę odpowiednich osób. Kluczowe przy tych działaniach jest postępowanie zgodne z prawem, a przede wszystkim przestrzeganie zasad przetwarzania danych osobowych, głównie wynikających z RODO. 

RODO a CV – jakie dane mogą być zbierane i przetwarzane podczas procesu rekrutacji?

Podczas realizacji procesu rekrutacji niejednokrotnie zdarza się, że pracodawca zbiera bardzo dużo danych od osób ubiegających się o pracę. Często jest jednak tak, że część z nich jest po prostu zbędna w danej sytuacji, a pracodawca nie może zbierać takich danych. Jakich zatem informacji, zgodnie z Kodeksem pracy, pracodawca ma obowiązek wymagać podczas rekrutacji?

·         imię (lub imiona) i nazwisko kandydata;

·         datę urodzenia;

·         dane kontaktowe kandydata (numer telefonu, adres e-mail);

·         wykształcenie;

·         klasyfikacje zawodowe;

·         przebieg dotychczasowego zatrudnienia kandydata.

Zgodnie z polskim prawem pracodawca może wymagać danych o wykształceniu i zatrudnieniu tylko w wypadku, gdy są one niezbędne do wykonywania pracy określonego rodzaju. Istnieje zatem dążenie do jak największego zminimalizowania wymaganych danych osobowych. W praktyce jednak wydaje się, że rozmowa na temat dotychczasowego doświadczenia i wykształcenia kandydata będzie miała istotne znaczenie dla większości stanowisk. W niektórych przypadkach pracodawca może także żądać udokumentowania twierdzeń przez kandydata.  Wszelkie okazywane dodatkowo dokumenty nie powinny być jednak kopiowane i powinny być okazywane jedynie do wglądu podczas konkretnej rekrutacji. 

Pracownicy często przekazują więcej danych osobowych niż wynika to z ww. katalogu. O ile wynika to z ich inicjatywy to należy przyjąć, że wszelkie dodatkowe informacje będą przekazywane na podstawie zgody, która zgodnie z przepisami RODO nie musi być wyraźnym oświadczeniem, ale może być także działaniem, które potwierdza wolę danej osoby – a takim działaniem będzie przekazanie większej ilości danych niż wskazane powyżej. W szczególności będzie to miało miejsce w przypadku, gdy kandydat przekaże swoje cv, gdzie zawrze także swój wizerunek (zdjęcie), czy adres zamieszkania. Pracodawca będzie wówczas uprawniony do przekazywania tych danych w celach rekrutacyjnych.

Jakie są podstawy prawne przetwarzania danych osobowych kandydata – co poza zgodą na przetwarzanie danych?

Udzielenie zgody, jako podstawy prawnej przetwarzania, nie jest wcale, wbrew pozorom konieczne. Nie ma zatem konieczności, aby pracodawca zbierał od każdego kandydata zgody. Wszystko zależy tutaj, jaką podstawę przetwarzania danych osobowych z art. 6 RODO, przyjmie pracodawca – wszystkie zawarte w tym artykule są równorzędne. Mogą nimi być:

·         konieczność wykonywania obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO) w związku z art. 221 Kodeksu pracy (określone dane osobowe wymienione powyżej) – dotyczy osób ubiegających się o stanowisko w ramach zatrudnienia na podstawie umowy o pracę;

·         podjęcie działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (art. 6 ust. 1 lit. b RODO) – w przypadku osób ubiegających się o stanowisko w ramach umowy cywilnoprawnej/B2B;

·         zgoda (art. 6 ust. 1 lit. a RODO)- w przypadku, gdy kandydaci podają więcej danych z własnej inicjatywy (np. zdjęcia, nr PESEL, informacje o wolontariacie itd.).

Zgoda może być za to podstawą prawna zbierania dodatkowych danych osobowych w celu prowadzenia rekrutacji. Zgodnie z art. 4 pkt. 11 RODO zgoda osoby zastanowi dobrowolne, konkretne, świadome i jednoznaczne okazanie woli. Takim okazaniem woli może być np. podanie przez kandydata dodatkowych informacji w CV, których na gruncie Kodeksu pracy pracodawca nie mógłby żądać. 

 Z poszanowaniem ochrony danych osobowych – czym jest sourcing kandydatów?

Sourcing stanowi przejaw aktywnej działalności pracodawcy, który wyszukuje kandydatów, po czym kontaktuje się z nimi, o ile uzna, że mogą być potencjalnymi pracownikami. Proces może składać się z kilku etapów: rekruter poznaje kandydata, ocenia jego doświadczenie i kwalifikacje na stanowisko, a następnie nawiązuje kontakt. Ewentualnie może później zaproponować udział w procesie rekrutacyjnym.

Najczęściej kandydaci do pracy są szukani na różnych portalach internetowych, niekoniecznie takich, które miały coś wspólnego z rekrutacją. Najbezpieczniej jest skorzystać z danych, które kandydat sam udostępnia w celu nawiązania kontaktu w celu poszukiwania pracy, np. w ramach LinkedIn. LinkedIn umożliwia nawet wykorzystanie specjalnej nakładki, w której dana osoba zaznacza, że jest otwarta na poszukiwanie pracy („Open to work”). LinkedIn jako narzędzie biznesowe, gdzie poszczególne osoby prezentują swoje doświadczenie zawodowe, jest na pewno lepszym wyborem niż Facebook czy Instagram, które są raczej wykorzystywane w celach prywatnych. Korzystanie z Facebooka, czy Instagrama mogłoby ograniczyć się do grup lub profili nastawionych na szukanie pracy, jednak nawiązywanie kontaktu z potencjalnymi pracownikami przez prywatne konta na tych portalach mogłoby zostać uznane za naruszenie prywatności tych osób. Przed wykorzystaniem jakiegokolwiek portalu społecznościowego w celach nawiązania kontaktu z kandydatami warto najpierw sprawdzić co na ten temat przewidziano w regulaminie i czy jest to w ogóle dopuszczalne.

Co może być podstawą prawną przetwarzania danych w przypadku sourcingu?

W przypadku sourcingu, w zależności od etapu podejmowanych przez nas działań, możemy oprzeć się na następujących podstawach prawnych, bazując na art. 6 ust. 1 RODO:

·         uzasadniony interes administratora, polegający na poszukiwaniu kandydatów na stanowiska w ramach własnej firmy (lit. f);

·         przetwarzanie jest niezbędne do podjęcia działań na żądanie osoby, której dane dotyczą przed zawarciem umowy (lit. b); 

·         zgoda osoby, której dane dotyczą, na przetwarzanie (lit. a).

==

Podstawy przetwarzania w tym wypadku będą dość płynne, tzn. na różnych etapach sourcingu, pracodawca może opierać przetwarzanie na innej podstawie. Ponadto należy pamiętać, że zgoda w rozumieniu art. 6 RODO, nie musi oznaczać wyraźnej zgody, lecz może wynikać z zachowania kandydata, które w sposób jednoznaczny pokazuje wolę kandydata.

Nie zapomnij o tej klauzuli – czym jest obowiązek informacyjny?

Pracodawca powinien spełnić obowiązek informacyjny w każdym wypadku, gdy poszukuje kandydatów – zarówno, gdy robi to w sposób aktywny – np. poprzez ogłoszenie o pracę, jak i wówczas, gdy to kandydaci się z nim kontaktują, przesyłając swoje cv. Oznacza to, że obowiązek informacyjny musimy spełnić także wtedy, gdy kontaktujemy się z kandydatem za pośrednictwem chociażby mediów społecznościowych. Musimy wówczas zadbać o to, aby przekazać kandydatowi odpowiednie informacje zgodnie z art. 13 RODO. 

Klauzula informacyjna powinna zawierać:

·         dane administratora – czyli dane pracodawcy, nazwę, adres dane kontaktowe;

·         dane inspektora ochrony danych osobowych – o ile został on wyznaczony;

·         cele i podstawy przetwarzania danych (np. rekrutacja, marketing, ochrona przed roszczeniami);

·         jeśli pracodawca powołuje się na prawnie uzasadniony interes (art. 6 ust. 1 RODO), to musi ten interes uzasadnić;

·         odbiorów danych osobowych – jakim podmiotom przekazywane są dane lub wymienić ich kategorie;

·         jeśli ma miejsce transfer międzynarodowy, należy to podać oraz na jakiej podstawie, informacje o zabezpieczeniach i informacje, gdzie je znaleźć;

·         okres retencji, czyli jak długu pracodawca będzie przetwarzał dane;

·         informacje o prawach, które przysługują kandydatowi w związku z przetwarzaniem jego danych osobowych, także możliwość zgłoszenia skargi do organu nadzorczego;

·         informacja o możliwości cofnięcia zgody;

·      informacja czy podanie danych jest wymogiem ustawowym czy umownym oraz jakie są konsekwencje niepodania danych;

·         wreszcie informacja o profilowaniu.

RODO w rekrutacji – jakie są prawa kandydata w procesie rekrutacyjnym?

Przepisy zawarte w RODO stanowią realne narzędzie dla kandydatów, by dowiedzieć się w jaki sposób są  przetwarzane ich dane osobowe, o czym musi również pamiętać potencjalny pracodawca. Wspomniany powyżej obowiązek informacyjny musi być przekazywany w zwięzłej, zrozumiałej, przejrzystej oraz łatwo dostępnej formie. Musi być napisany jasnym i prostym językiem.

Każdy kandydat ma prawo wiedzieć, kto zbiera jego dane osobowe, znać cel przetwarzania danych, przybliżony okres czasu przechowywania danych oraz jaka jest możliwość dostępu do udostępnionych danych. Ma on ponadto prawo do:

·         dostępu do danych i otrzymania kopii danych- co w przypadku rekrutacji może dotyczyć także wszelkich wewnętrznych notatek, wpisów, ocen, dotyczących kandydata;

·         sprostowania danych – osoba, której dane dotyczą, może żądać np. uzupełnienia niekompletnych danych;

·         ograniczenia przetwarzania danych – polega na tym, że administrator przez pewien czas ogranicza przetwarzanie danych tylko do ich przechowywania.

Możliwe jest to w przypadkach, gdy:

1) osoba, której dane dotyczą, kwestionuje prawidłowość danych – na okres potrzebny administratorowi na sprawdzenie zasadności tych informacji;

2)      przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystania;

3)      administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia albo obrony roszczeń;

4)      osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 RODO  wobec przetwarzania – na okres stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

·         usunięcia danych, czyli bycia zapomnianym – usunięcie rozumiane jako zniszczenie, bezpowrotne usunięcie danych, w tym fizyczne unicestwienie nośników danych.

Zgodnie z art. 17 RODO administrator danych osobowych ma obowiązek usunięcia danych, gdy zachodzi jedna z okoliczności:

1)      dane okażą się zbędne do celów, w jakich zostały zebrane;

2)   kandydat cofnął zgodę (art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a) i nie ma innej podstawy przetwarzania;

3)    osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 RODO  wobec przetwarzania i nie ma nadrzędnej prawnie uzasadnionej podstawy przetwarzania albo osoba ta wnosi sprzeciw na mocy art. 21 ust. 2 RODO (w zakresie marketingu bezpośredniego) wobec przetwarzania;

4)      okazuje się, że dane były przetwarzane niezgodnie z prawem;

5)  dane osobowe muszą być usunięte w celu zobowiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator.  

·         sprzeciwu – na mocy art. 21 ust. 1 RODO, gdy nie ma nadrzędnej prawnie uzasadnionej podstawy przetwarzania oraz na mocy art. 21 ust. 2 (absolutny zakaz w wypadku marketingu bezpośredniego);

·         niepodlegania decyzji opartej na wyłącznie zautomatyzowanym przetwarzaniu danych.

Jak długo można przechowywać dane osobowe kandydatów po zakończeniu rekrutacji?

W celu ustalenia okresu przetwarzania, pracodawca powinien zastanowić się, jak długo trwa u niego proces rekrutacji, z ilu etapów się składa itd. Należy pamiętać, że zgodnie z RODO przetwarzać można jedynie aktualne dane, dlatego zbyt długie ich przetwarzanie może doprowadzić do naruszenia tego przepisu.

                Generalnie można przyjąć, że istnieją następujące okresy retencji:

·         w zakresie bieżącej rekrutacji na dane stanowisko – zebrane dane będą usuwane nie później niż w ciągu miesiąca od momentu zakończenia rekrutacji;

·     w zakresie rekrutacji ciągłych (tj. na stanowiska, na które prowadzi się stałą rekrutację) – zebrane dane będą usuwane po ok. 3-12 miesięcy po ich zebraniu;

·         w zakresie przyszłych rekrutacji –  zebrane wiadomości będą usuwane od 6 do 24 miesięcy po ich zebraniu.

Zgodnie z wytycznymi PUODO, wydanymi w 2018 r. „Ochrona danych osobowych w miejscu pracy. Poradnik dla przedsiębiorców”, pracodawca powinien trwale usunąć dane osobowe uzyskane od kandydata, którego nie zatrudnił, niezwłocznie po zakończeniu ostatniego etapu rekrutacji. Inaczej jednak wskazano w Wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie w 2022 r. (sygn. akt II SA/Wa 542/22) – przechowywanie danych osobowych po zakończeniu rekrutacji ze względu na obawę o ewentualne roszczenia niedoszłych pracowników (np. o dyskryminację podczas rekrutacji) jest jak najbardziej zasadne. Przedawnienie takich roszczeń upływa po 3 latach (art. 291 K.p.) i taki okres przechowywania danych kandydatów ze względu stanowi usprawiedliwione zapewnienie sobie możliwości obrony przed oskarżeniami. W najbliższym czasie możemy się spodziewać nowej wersji ww. Poradnika dla pracodawców, który być może będzie zawierał zaktualizowane stanowisko PUODO w ww. zakresie.

Czy zgoda na przetwarzanie danych osobowych wystarczy – jak można zweryfikować dane osobowe kandydata?

Istnieje kilka możliwości zbadania prawdziwości danych przedstawionych przez kandydata. Pracodawca ma możliwość tzw. background checku, ale pod pewnymi warunkami:

·         kontakt z byłym pracodawcą kandydata jest możliwy, według UODO, tylko za wyraźną, dobrowolną zgodą – nie można w tym wypadku przyjmować domyślnej zgody, kiedy kandydat złożył referencje;

·   sprawdzenie prawdziwości uzyskanego dyplomu kandydata na jego uczelni jest według UODO niezgodne z prawem i nie jest możliwe nawet poprzez uzyskanie takiej zgody;

·   weryfikacja pracownika poprzez jego profile w serwisach społecznościowych jest możliwa za jego zgodą – umieszczenia ogólnie dostępnych informacji nie można traktować jako zgody na wykorzystanie ich w procesie rekrutacji. Taką podstawą do przetwarzania danych byłaby zgoda ze strony kandydata;

·   sprawdzenie zobowiązań finansowych kandydata ma zasadność i jest zgodne z przepisami w wypadku, kiedy w momencie rekrutacji kandydat prowadzi już działalność gospodarczą i ma zostać zatrudniony w ramach kontraktu B2B. Należy jednak pamiętać, że często kandydat na końcu rekrutacji ma możliwość wyboru pomiędzy umową o pracę oraz B2B, dlatego weryfikacja danych finansowych powinna być w takim przypadku podejmowana z dużą ostrożnością ze względu na zasadę minimalizacji danych i celowości RODO;

·    weryfikacja danych o karalności możliwa jest tylko i wyłącznie, gdy przewiduje to przepis prawa, pracodawca nawet za zgodą kandydata nie może przetwarzać takich danych. Polskie prawo umożliwia to w wypadku kategorii zawodów, między innymi: nauczycieli, policjantów, detektywów czy osób, które ubiegają się o pracę w sektorach finansowych. Ten ostatni przypadek obwarowany jest jeszcze dodatkowymi przepisami (art. 7 ustawy o zasadach pozyskiwania informacji o niekaralności osób ubiegających się o zatrudnienie i osób zatrudnionych w podmiotach sektora finansowego).

Ww. zalecenia PUODO, jak już było wyżej wspomniane, mogą ulec wkrótce zmianie, albowiem PUODO pracuje nad nową wersją Poradnika dla pracodawców. Być może nowe zalecenia PUODO rozwieją wątpliwości pracodawców odnośnie możliwych działań w zakresie weryfikacji pracowników.

 Bez RODO w procesie rekrutacji ani rusz

Prawidłowe i zgodne z prawem prowadzenie procesu rekrutacji wymaga szczegółowego przemyślenia i zaplanowania przez pracodawcę, w taki sposób, aby zapewnić kandydatom realizację ich praw, jednocześnie uwzględniając przy tym potrzeby pracodawcy. Wydaje się, że najważniejszą zasadą w tym zakresie jest transparentność procesu rekrutacji i odpowiednie informowanie kandydata na każdym jej etapie w taki sposób, aby zapewnić zgodność rekrutacji z RODO.