Ochrona danych osobowych w miejscu pracy cz. 1

• Rafał Stępniewski
• /
• 8 października 2018

Urząd Ochrony Danych Osobowych wydał 4 października br. poradnik dotyczący rekomendacji w zakresie przetwarzania danych osobowych w miejscu pracy. To bardzo istotny obszar dla każdego przedsiębiorcy. Bez względu na to, w jaki sposób będzie poszukiwał kandydatów do pracy, proces ten zawsze będzie się wiązał z pozyskiwaniem przez niego danych osobowych.

 

Urząd Ochrony Danych Osobowych skupił się na trzech obszarach:

1. etap poszukiwania pracy
2. proces rekrutacyjny
3. okres zatrudnienia

Etap poszukiwania pracy

Urząd Ochrony Danych Osobowych podkreśla, że pracodawca powinien przetwarzać tylko takie dane, które są mu niezbędne ze względu na cel ich zbierania, jakim jest podjęcie przez niego decyzji o zatrudnieniu nowego pracownika. Tym samym pracodawca nie może żądać od kandydata danych nadmiarowych, które nie są niezbędne do przeprowadzenia rekrutacji. Urząd Ochrony Danych Osobowych wskazuje że dane nie mogą być zbierane na zapas.

Według rekomendacji Urzędu pracodawca w toku rekrutacji może oczekiwać od kandydata do pracy podania danych:

1. identyfikacyjnych (imię i nazwisko, imiona rodziców, datę urodzenia),
2. kontaktowych (adres zamieszkania) oraz
3. danych o wykształceniu, umiejętnościach, doświadczeniu zawodowym (ukończonych szkołach, studiach, przebytych kursach, szkoleniach, poprzednich pracodawcach, zajmowanych stanowiskach oraz obowiązkach zawodowych).

Jest to katalog danych, jakich pracodawca może żądać od kandydata do pracy, w celu podjęcia działań zmierzających do zawarcia z nim umowy.

Urząd Ochrony Danych Osobowych wypowiedział się na temat zbierania przez pracodawców informacji o karalności kandydata do pracy. Zaświadczenie o niekaralności jest dokumentem zawierającym dane o wyrokach skazujących, czynach zabronionych lub powiązanych środkach bezpieczeństwa zawartych w Krajowym Rejestrze Karnym, którego funkcjonowanie jest uregulowane ustawą z dnia 24 maja 2000 r., Krajowym Rejestrze Karnym. Zgodnie z art. 6 ust. 1 pkt 10 tejże ustawy prawo do uzyskania informacji o osobach, których dane osobowe zgromadzone zostały w rejestrze, przysługuje pracodawcom, w zakresie niezbędnym dla zatrudnienia pracownika, co do którego z ustawy wynika wymóg niekaralności, korzystania z pełni praw publicznych, a także ustalenia uprawnień do zajmowania określonego stanowiska, wykonywania określonego zawodu lub prowadzenia określonej działalności.

Oznacza to, że pracodawca nie może zbierać takich danych co do każdego pracownika, jedynie w stosunku do takich pracowników, gdzie wymóg wynika wprost z ustawy, np. nauczyciele, straż graniczna, detektywi.

Istnieją przypadki, w których przepisy szczególne regulujące wykonywanie niektórych zawodów wskazują na przesłankę nieposzlakowanej opinii. W tym zakresie Urząd Ochrony Danych Osobowych podkreśla, że pracodawca nie może żądać od kandydata do pracy zaświadczenia o niekaralności, tłumacząc również, że jest to termin nieostry i stanowi zwrot niedookreślony, odwołujący się do przesłanek uznaniowych o charakterze ocennym.

Obowiązki pracodawcy w procesie rekrutacyjnym

Każdy potencjalny pracodawca, który zbiera dane kandydatów do pracy jest zobowiązany poinformować te osoby o:

1. pełnej nazwie i adresie swojej siedziby,
2. danych kontaktowych inspektora ochrony danych (o ile go wyznaczył),
3. celu przetwarzania danych oraz podstawie prawnej przetwarzania,
4. znanych mu w chwili gromadzenia danych odbiorcach danych lub ich kategoriach,
5. zamiarze transgranicznego przetwarzania danych (o ile taki istnieje),
6. przysługujących jej prawach do żądania dostępu do danych, w tym otrzymania ich kopii, ich sprostowania, usunięcia lub ograniczenia ich przetwarzania,
7. prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (jeżeli dane są zbierane na podstawie zgody),
8. prawie wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych,
9. dobrowolności lub obowiązku podania danych i konsekwencjach ich nie podania.

Bardzo ważną kwestią jest moment przekazania powyższych informacji. Pracodawca powinien spełnić powyższy obowiązek informacyjny w momencie pozyskania danych osobowych. Może to zrobić, np. w treści ogłoszenia o pracę lub informacji zwrotnej bezpośrednio po otrzymaniu od kandydata aplikacji do pracy.

Urząd Ochrony Danych Osobowych podaje również przykład takiej klauzuli informacyjnej.

Administrator: Administratorem Państwa danych przetwarzanych w ramach procesu rekrutacji jest X, jako pracodawca.

Inspektor ochrony danych: Mogą się Państwo kontaktować z inspektorem ochrony danych pod adresem […].

Cel i podstawy przetwarzania: Państwa dane osobowe w zakresie wskazanym w przepisach prawa pracy będą przetwarzane w celu przeprowadzenia obecnego procesu rekrutacyjnego (art. 6 ust. 1 lit. b) RODO), natomiast inne dane, w tym dane do kontaktu na podstawie zgody (art. 6 ust 1 lit. a) RODO), która może zostać odwołana w każdym czasie.

X będzie przetwarzał Państwa dane osobowe, także w kolejnych naborach pracowników, jeżeli wyrażą Państwo na to zgodę (art. 6 ust. 1 lit. a) RODO), która może zostać odwołana w każdym czasie.

Jeżeli w dokumentach zawarte są dane, o których mowa w art. 9 ust 1 RODO, konieczna będzie Państwa zgoda na ich przetwarzanie (art. 9 ust 2 lit. a) RODO), która może zostać odwołana w każdym czasie.

Przepisy prawa pracy: art. 22 Kodeksu pracy oraz § 1 rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r., w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika.

Odbiorcy danych osobowych: Odbiorcą Państwa danych osobowych będzie: […].

Okres przechowywania danych: Państwa dane zgromadzone w obecnym procesie rekrutacyjnym będą przechowywane do zakończenia procesu rekrutacji. W przypadku wyrażonej przez Państwa zgody na wykorzystanie danych osobowych do celów przyszłych rekrutacji, Państwa dane będą wykorzystane przez 9 miesięcy.

Prawa osób których dane dotyczą:

Mają Państwo prawo do:

1. prawo dostępu do swoich danych oraz otrzymania ich kopii,
2. prawo do sprostowania (poprawiania) swoich danych osobowych,
3. prawo do ograniczenia przetwarzania danych osobowych,
4. prawo do usunięcia danych osobowych,
5. prawo do wniesienia skargi do Prezes Urzędu Ochrony Danych (na adres Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa).

Informacja o wymogu podania danych

Podanie przez Państwa danych osobowych w zakresie wynikającym z art. 22(1) Kodeksu pracy jest niezbędne, aby uczestniczyć w postępowaniu rekrutacyjnym. Podanie przez Państwa innych danych jest dobrowolne.

Urząd Ochrony Danych Osobowych porusza w rekomendacji również kwestię, czy pracodawca może przetwarzać dane zamieszczone przez kandydata w CV, które wykraczają poza to co przewidują przepisy prawa pracy.

Zdarza się bowiem, że osoby kandydujące do pracy w własnej inicjatywy przekazują inne dane niż wskazane w Kodeksie pracy. W takiej sytuacji Urząd wskazuje, że dane osobowe kandydata, o ile nie należą do szczególnej kategorii danych, są przetwarzane przez potencjalnego pracodawcę na podstawie zgody, która może polegać na oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą zaakceptowała proponowane przetwarzanie jej danych osobowych.

Jeśli natomiast kandydat do pracy w swoim CV zamieści dane wrażliwe, np. dotyczące stanu zdrowia i nie wyrazi odrębnej zgody na przetwarzanie tego rodzaju danych osobowych, a pracodawca nie legitymizuje się przepisami prawa, które zobowiązują go do ich przetwarzania, pracodawca powinien usunąć te dane ze swoich zasobów. Ewentualna zgoda powinna być wyrażona w formie odrębnego oświadczenia.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Prowadzenie rekrutacji on-line

Urząd Ochrony Danych Osobowych wypowiedział się również w zakresie prowadzenia rekrutacji on-line, jako obecnie jednym z najbardziej popularnych sposobów tworzenia baz danych. W takiej sytuacji pracodawca powinien wdrażać odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności tych osób związanych ze specyfiką cyberprzestrzeni. W zależności od tego czy zadaniem podmiotu zajmującego się publikacją ogłoszeń o pracę jest tylko i wyłącznie udostępnienie narzędzi do ich publikacji, czy również przetwarzanie danych kandydatów, pracodawca powinien rozważyć, czy zawrzeć w takim przypadku umowę powierzenia przetwarzania danych osobowych. Umowę powierzenia należy zawrzeć jeśli podmiot zajmujący się publikacją ogłoszeń o prace będzie przetwarzał dane kandydatów wyłączenie w imieniu i na rzecz pracodawcy.

Ślepe rekrutacje, ukryte rekrutacje – niezgodne z przepisami RODO

Urząd Ochrony Danych Osobowych uznał, że prowadzenie procesów rekrutacyjnych, w których pracodawca zleca firmie rekrutacyjnej przeprowadzenie postępowania rekrutacyjnego zastrzegając swoją anonimowość, nie można uznać za zgodne z przepisami o ochronie danych osobowych, ponieważ kandydat do pracy nie posiada wiedzy, jaki podmiot zbiera jego dane osobowe i wobec jakiego podmiotu może realizować swoje prawa. Urząd wskazuje również, że o prawidłowym wykonaniu obowiązku informacyjnego nie można mówić również w sytuacji, gdy klauzula informacyjna zostanie wysłana przez potencjalnego pracodawcę w odpowiedzi na otrzymaną aplikację, ponieważ obowiązek poinformowania m.in. o tożsamości pracodawcy powinien być realizowany przez niego na etapie zbierania danych osobowych, a nie na etapie ich utrwalania.

Rozwiązaniem umożliwiającym zachowanie anonimowości na wstępnym etapie rekrutacji mogą być natomiast Agencje zatrudnienia, których działalności uregulowana jest prawnie i które zobowiązane są do przetwarzania posiadanych danych osobowych zgodnie z przepisami o ochronie danych osobowych.

Proces rekrutacyjny

Urząd Ochrony Danych Osobowych odniósł się w swoich rekomendacjach do wielu problemów praktycznych z jakimi obecnie mierzy się z pewnością nie jeden pracodawca. Jakie dane mogą być gromadzone? Czy można skontaktować się z poprzednim pracodawcą? Jak długo można przetwarzać dane kandydatów do pracy? Czy można tworzyć tzw. „czarne listy” osób ubiegających się o zatrudnienie? Czy pracodawca może pozyskać dane kandydatów z portali społecznościowych? Powyższe sytuacje występuję niezmiernie często na rynku zatrudnienia, a rekomendacje Urzędu mogą być bardzo przydatne w tym zakresie.

Jakie dane pracodawca może gromadzić w trakcie rozmowy kwalifikacyjnej?

W ocenie Urzędu podczas rozmowy kwalifikacyjnej pracodawca może zadawać szereg szczegółowych pytań odnośnie informacji jakie kandydat zawarł w CV. Musi jednak pamiętać, że powinny się one odnosić wyłącznie do kwestii związanych ze stanowiskiem na które kandydat aplikuje. Należy unikać pytań które mogłyby naruszyć jego prawo do prywatności bądź dobra osobiste (np. dotyczące wyznania, orientacji seksualnej, przekonań politycznych, życia prywatnego, rodzicielstwa, czy planowanego potomstwa).

Czy można skontaktować się z poprzednim pracodawcą kandydata w celu uzyskania informacji?

Urząd Ochrony Danych Osobowych wskazuje, że niedopuszczalne jest pozyskiwanie przez potencjalnego pracodawcę informacji o kandydacie na pracownika od jego poprzedniego pracodawcy, jeśli nie posiada on zgody kandydata w tym zakresie. Należy pamiętać również, że złożenie przez kandydata do pracy tzw. referencji z poprzedniej pracy nie stanowi tym samym zgody na kontakt z poprzednim pracodawcą. Źródłem informacji podczas procesu rekrutacyjnego o przebiegu pracy zawodowej, powinien być sam kandydat.

Jak długo można przetwarzać dane kandydatów do pracy?

Okres przechowywania danych kandydata do pracy powinien być dostosowany do zasad przetwarzania danych i z góry określony przez administratora danych. Co do zasady, pracodawca powinien trwale usunąć dane osobowe kandydata (np. poprzez niszczenie) z którym nie zdecydował się zawrzeć umowy, niezwłocznie po zakończeniu procesu rekrutacyjnego, tj. podpisaniu umowy o prace z nowozatrudnionym pracownikiem, chyba że ziściły się inne przesłanki uprawniające administratora do ich przetwarzania, np. zgoda kandydata. Wydłużenie okresu przechowywania danych zawartych w aplikacji, powinno być zatem wyjątkiem od reguły niezwłocznego ich usuwania oraz powinno być szczególnie uzasadnione.

Czy można tworzyć tzw. „czarne listy” osób ubiegających się o zatrudnienie?

Urząd Ochrony Danych Osobowych wskazuje, iż niedopuszczalne jest tworzenie tzw. „czarnych list” osób ubiegających się o zatrudnienie. Ponadto, nie znajduje podstawy prawnej fakt wymieniania się między pracodawcami informacjami o kandydacie do pracy. Urząd podkreśla również, że tworzenie zbiorów danych o charakterze negatywnym może prowadzić do dyskryminacji i podejmowania niekorzystnych dla danej osoby decyzji w oparciu o często nierzetelne, bezpodstawnie pozyskane informacje.

Czy możliwość wystąpienia z roszczeniem z tytułu dyskryminacji uzasadnia dłuższe przechowywanie danych?

W przypadku roszczeń wynikających z dyskryminacji kandydata do pracy, to na kandydacie spoczywa obowiązek przedstawienia faktów, z których wynika domniemanie nierównego traktowania, a następnie na pracodawcę zostaje przerzucony ciężar udowodnienia, że nie traktował kandydata gorzej od innych, albo że traktując go odmiennie od innych, kierował się obiektywnymi i usprawiedliwionymi przyczynami. Pracodawca może np. wykazać przed sądem z jakiego powodu zatrudnił daną osobę na stanowisko, na które aplikował kandydat.

Należy pamiętać również o tym, że osobiste przekonanie kandydata do pracy o tym że jest dyskryminowany nie jest równoznaczne z uprawdopodobnieniem przez niego wystąpienia dyskryminacji.

W ocenie Urzędu może zatem dojść do sytuacji, w której kandydat zgodnie z jego CV legitymuje się dużym, doświadczeniem, w porównaniu do innych kandydatów ma wysokie kwalifikacje, jednak nie otrzymuje propozycji pracy, z uwagi na to że rozmowa nie poszła mu dobrze, np. był nieuprzejmy lub nie znał odpowiedzi na merytoryczne pytania, w efekcie czego pracodawca go nie zatrudnił. Kandydat natomiast uważał, że nie został zatrudniony z uwagi na dyskryminację ze względu na płeć. Istotą roszczenia z tytułu dyskryminacji ze względu na jakąś cechę lub przekonanie jest uprawdopodobnienie, że to właśnie z tej przyczyny kandydat został potraktowany w sposób gorszy niż reszta kandydatów, natomiast dopiero wtedy pracodawca musi wykazać że ta cecha nie miała wpływu na dokonanie przez niego oceny negatywnej.

Czy potencjalny pracodawca może pozyskać dane kandydata z portali społecznościowych?

Urząd Ochrony Danych Osobowych podtrzymuje, że co do zasady niedopuszczalne jest gromadzenie przez pracodawców i agencje rekrutacyjne informacji na swój temat zamieszczanych przez kandydatów do pracy w mediach społecznościowych. Prawdą jest że niektóre media społecznościowe są miejscem do budowania swojego wizerunku również w oczach potencjalnych przyszłych pracodawców jednak nie oznacza to, że informacje te mogą zostać wykorzystane w procesie rekrutacyjnym.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.