W dniu 25 maja 2018 roku zacznie obowiązywać unijne rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Z tym dniem RODO zastąpi dotychczasową regulację dotyczącą ochrony danych osobowych, w tym danych osobowych pracowników i kandydatów do pracy, przetwarzanych przez pracodawców czy firmy rekrutacyjne.
Nowe przepisy wprowadzą wiele zmian w obszarze ochrony danych osobowych, które będą miały m.in. istotny wpływ na pracę działów HR, szczególnie w zakresie pozyskiwania, wykorzystywania i ochrony danych osobowych kandydatów.
Działy HR będą musiały się dokładnie przyjrzeć swoim metodom pracy podczas prowadzonych procesów rekrutacji nowych pracowników.
Dane osobowe a Kodeks Pracy
Zgodnie z obecnie obowiązującym art. 221 § 1 Kodeksu Pracy pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: imię (imiona) i nazwisko imiona rodziców, datę urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie oraz przebieg dotychczasowego zatrudnienia. Wskazany katalog jest katalogiem zamkniętym, co oznacza, że co do zasady pracodawca nie ma prawa żądać innych informacji.
Do dnia 25 maja 2018 r. każde z państw członkowskich zobowiązane jest do zapewnienia skutecznego stosowania RODO w swoim porządku prawnym, poprzez przyjęcie właściwych przepisów wewnętrznych. Z tego względu Ministerstwo Cyfryzacji opracowało projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (RODO), wprowadzającą m.in. zmianę Kodeksu Pracy. Projektowana ustawa nie została jeszcze uchwalona.
Proponowana zmiana dotychczasowej treści art. 22 1 § Kodeksu Pracy nakłada na pracodawcę obowiązek żądania od osoby ubiegającej się o zatrudnienie podania następujących danych:
- imię (imiona) i nazwisko;
- datę urodzenia;
- dane kontaktowe wskazane przez taką osobę;
- wykształcenie;
- przebieg dotychczasowego zatrudnienia.
Proponowana wyżej wymienionym projektem ustawy nowelizacja Kodeksu Pracy wskazuje zatem m.in., że to kandydat decydował będzie o danych kontaktowych, jakie przekaże pracodawcy w procesie rekrutacji, np. adres poczty elektronicznej, czy numer telefonu.
W przypadku zaś danych osobowych w postaci adresu zamieszkania, numeru PESEL (względnie dokumentu potwierdzającego tożsamość) oraz innych danych osobowych pracownika, a także danych osobowych dzieci pracownika i innych członków jego najbliższej rodziny, pracodawca będzie uprawnionych do ich żądania od kandydata jedynie w przypadku, gdy ich podanie jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.
Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w proponowanej treści art. 221 §1 i 2 będzie dopuszczalne za zgodą osoby ubiegającej się o zatrudnienie lub pracownika i tylko wtedy, gdy jest to dla nich korzystne. Co istotne, brak zgody, o której mowa powyżej lub jej wycofanie przez kandydata, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia.
RODO - obowiązek informacyjny
RODO w porównaniu z obecnie obowiązująca ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.2016.922) rozszerza zakres informacji jakich udzielić musi pracodawca kandydatowi do pracy i to już podczas pozyskiwania od niego danych osobowych. RODO nakłada obowiązek przekazania potencjalnemu kandydatowi informacji o:
- nazwie administratora i jego danych kontaktowych,
- danych kontaktowych Inspektora Ochrony Danych (jeśli został powołany),
- celu przetwarzania danych osobowych oraz podstawę prawną przetwarzania,
- informacji o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
- gdy ma to zastosowanie – informacji o zamiarze przekazania danych osobowych do państwa trzeciego,
- okresie, przez który dane osobowe będą przechowywane,
- informacji o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
- informacji o prawie do cofnięcia zgody w dowolnym momencie (w przypadku przetwarzania danych na podstawie zgody),
- informacji o prawie wniesienia skargi do organu nadzorczego,
- informacji, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.
Konieczne jest zatem zweryfikowanie przez działy HR czy kandydatom przekazywane są wszystkie informacje wymagane przez RODO i w razie konieczności dostosowanie ich do nowych przepisów. Obowiązek informacyjny pracodawca może wypełnić np. poprzez umieszczenie stosownej klauzuli w treści ogłoszenia lub w formularzu rekrutacyjnym.
Czas przetwarzania danych osobowych
Zgodnie z przepisami RODO dane osobowe powinny być przetwarzane przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Oznacza to, że co do zasady CV przesłane przez kandydata na daną rekrutację powinno być przetwarzane tylko i wyłącznie na użytek związany z daną rekrutacją, a po jej zakończeniu dane osobowe powinny zostać usunięte. Za niezgodną z przepisami należy uznać często stosowaną praktykę, polegająca na pozostawieniu danych osobowych kandydata na potrzeby innych, późniejszych rekrutacji. Pracodawca chcąc zachować CV osoby do celów późniejszych rekrutacji, powinien zadbać aby w treści zgody na przetwarzanie danych osobowych znalazła się stosowna klauzula uprawniająca go do wykorzystania danych na potrzeby „przyszłych rekrutacji”.
Polecenie kandydata
Często spotykaną praktyką, zarówno w dużych korporacjach, jak i mniejszych przedsiębiorstwach, jest system polecania kandydatów do pracy przez pracowników takiej firmy bądź osoby z zewnątrz. Pracodawca, który w ten sposób pozyskuje dane osobowe potencjalnych kandydatów będzie zobowiązany do wykonania obowiązku informacyjnego, a zakres tego obowiązku będzie uzależniony od tego czy pracodawca pozyskał CV bezpośrednio od kandydata (wówczas pracodawca wypełnia obowiązek informacyjny określony w art. 13 RODO) czy od osoby trzeciej (wówczas pracodawca wypełnia obowiązek informacyjny określony w art. 14 RODO).
Rekrutacje ukryte
Przeglądając oferty o pracę często możemy spotkać się z ogłoszeniami, w których pracodawcy nie podają swoich danych, „utajniając” w ten sposób swoją tożsamość. Najczęściej mamy z takim zjawiskiem do czynienia, gdy pracodawca poszukuje nowego pracownika na stanowisko obecnie zatrudnionego. Takie rekrutacje ukryte powinny zniknąć jako niezgodne z przepisami RODO, bowiem pracodawca prowadząc taką rekrutację nie wykonuje podstawowego obowiązku wynikającego z przepisów RODO, jakim jest obowiązek informacyjny określony w art. 13 oraz 14 rozporządzenia. Osoba zgłaszająca swoją kandydaturę do procesu rekrutacji ma prawo wiedzieć m.in, kto będzie administratorem jej danych osobowych, w jakim celu będą przetwarzane dane i jak długo. Gwarancję realizacji uprawnień przysługujących osobie, której dane będą przetwarzane, dawać będą nowe przepisy RODO.
Zabezpieczenie danych
W CV czy liście motywacyjnym kandydata, znajduje się wiele informacji stanowiących dane osobowe, w związku z powyższym muszą być one odpowiednio zabezpieczone. Pracodawca jest zobowiązany do zachowania organizacyjnych, technicznych oraz fizycznych środków ochrony danych osobowych zawartych w takich dokumentach, aby zapewnić bezpieczny obieg dokumentów, tak aby trafiły one tylko do osób do tego upoważnionych, które prowadzą proces rekrutacji. W dobie informatyzacji dokumenty aplikacyjne najczęściej wysyłane są drogą elektroniczną, dlatego po zakończonym procesie rekrutacji pracodawcy powinni zadbać, aby dokumenty zostały usunięte ze skrzynek pocztowych (jeśli przez kandydata nie została wyrażona zgoda na przetwarzanie jego danych na potrzeby przyszłych rekrutacji prowadzonych przez pracodawcę), a te które zostały wydrukowane w wersji papierowej i znajdują się na biurkach w działach HR zostały trwale zniszczone np. przy użyciu niszczarki.
Kary
Wprowadzenie przepisów RODO wiąże się niewątpliwie z koniecznością przeszkolenia kadry, a co więcej - często wprowadzenia nowych środków technicznych i organizacyjnych, które mogą wiązać się dla firm z wysokimi kosztami. Jednakże wysokość grożących sankcji za niewywiązanie się z powyższych obowiązków jest nieporównywalnie większa aniżeli koszt dostosowania się do nowych wymogów. Ewentualne stwierdzone braki oraz nieprawidłowości w zakresie przetwarzania danych osobowych mogą skutkować począwszy od administracyjnych kar pieniężnych w wysokości nawet do 20 milionów euro, poprzez odpowiedzialność cywilną, a skończywszy nawet na odpowiedzialności karnej.
Klaudia Milczarek, radca prawny w Obligo & Krauss Kancelaria Prawna Sp.k.