Czujność powinny wzbudzać np. takie sytuacje, w których prowadząca rekrutację firma prosi nas o podanie danych w zakresie wykraczającym poza przepisy kodeksu pracy - mówi w wywiadzie dla DGP Agnieszka Świątek-Druś, rzecznik UODO.
Wielu pracodawców zamieszcza ogłoszenia o pracę, choć wcale nie prowadzi rekrutacji. Dane kandydatów zbierają „na wszelki wypadek”. Czy taka praktyka jest zgodna z prawem czy to już wyłudzanie danych?
Mówiąc o wyłudzaniu danych, zazwyczaj mamy na myśli ich zdobywanie przy zastosowaniu podstępu, oszustwa, kłamstwa, by wykorzystać je w zupełnie innym niż podawany celu, często nawet przestępczym. Znane nam są przypadki prowadzenia fikcyjnej rekrutacji w celu zdobycia czyichś danych i ich późniejszego wykorzystania np. do kradzieży tożsamości i związanego z tym wyłudzenia pożyczek bądź skorzystania w czyimś imieniu z płatnych usług. Jeśli jednak zamieszczanie ogłoszeń o rekrutacji służy pozyskaniu danych osobowych osób szukających pracy lub będących specjalistami w określonej dziedzinie, w celu ich ewentualnego przyszłego zatrudnienia, to możemy raczej mówić o zbieraniu danych osobowych na zapas. O ile taki cel może być uzasadniony, to trzeba go realizować z uwzględnieniem podstawowych zasad ochrony danych osobowych.
Czyli?
Czyli zgodnie z art. 5 RODO – ogólnego rozporządzenia o ochronie danych – administrator powinien przetwarzać dane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której one dotyczą. Powinien też zbierać je w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie wykorzystywać ich w sposób z nimi niezgodny. Jednocześnie RODO zobowiązuje go, by pozyskując dane osobowe, w sposób jasny, przejrzysty i zrozumiały informował m.in. o celu i podstawie prawnej ich przetwarzania, a także o okresie, przez który zebrane dane będą przechowywane. Zatem jeśli pracodawca chciałby budować bazę osób zainteresowanych podjęciem u niego zatrudnienia w przyszłości, powinien to jasno określić w ogłoszeniu rekrutacyjnym, wskazać, jak długo będzie przechowywał dane kandydatów, i na takie działanie pozyskać ich zgodę.
Spełnienie tych warunków wydaje się mało prawdopodobne. Co zatem grozi pracodawcy, który ich nie dopełni?
Wówczas organ nadzorczy mógłby skorzystać ze swoich uprawnień naprawczych, określonych w art. 58 RODO. Może to być m.in. wydanie ostrzeżenia, udzielenie upomnienia czy wydanie nakazu dostosowania określonych działań do obowiązujących przepisów, np. usunięcia bezprawnie przechowywanych danych. Jeśli uznałby to za stosowne, mógłby też nałożyć administracyjną karę finansową.
Warto też wskazać, że również osoba, od której dane pod pozorem prowadzenia rekrutacji zebrano na potrzeby budowy bazy danych na przyszłość, ma prawo – jeśli nie chce w takiej bazie figurować – zwrócić się z żądaniem usunięcia danych do firmy, która je pozyskała. Uprawnienie to przysługuje na podstawie art. 17 RODO m.in. wówczas, gdy dane osobowe są przetwarzane niezgodnie z prawem albo są już zbędne do celów, w których zostały zebrane. Jeśli administrator, czyli w tym przypadku pracodawca, nie spełni ww. żądania, można wnieść skargę do prezesa Urzędu Ochrony Danych Osobowych, który zbada wszystkie okoliczności sprawy i w zależności od ich oceny podejmie odpowiednie działania.
Administrator musi też liczyć się z tym, że obecnie każdy, kto uważa, że jego dane osobowe są przetwarzane niezgodnie z prawem, może – na mocy art. 79 RODO – dochodzić swoich praw przed sądem. Ponadto każda osoba, która dojdzie do wniosku, że w wyniku naruszenia przepisów RODO poniosła szkodę majątkową lub niemajątkową, ma też prawo żądać od administratora odszkodowania, do czego uprawnia ją art. 82 RODO.
A gdyby pracodawca rzeczywiście prowadził rekrutację, ale nie wyłonił nikogo w jej wyniku... Teoretycznie każdy niezadowolony kandydat może się poskarżyć UODO. Jak pracodawca ma się bronić?
Jeżeli pracodawca nie wyłonił nikogo w prowadzonej rekrutacji, to po jej zakończeniu powinien niezwłocznie usunąć dane kandydatów zebrane na jej potrzeby. Ustał bowiem cel, dla którego te dane były zbierane, i nie ma podstawy do ich dalszego przetwarzania. Wyjątkiem jest pozyskanie zgody na wykorzystywanie danych do kolejnych naborów, o czym już była mowa. Każda osoba, która ma wątpliwość, czy po zakończeniu rekrutacji usunięto jej dane osobowe, ma prawo zgodnie z art. 15 RODO zwrócić się do administratora z pytaniem, czy i jakie dotyczące jej dane przetwarza oraz w jakim celu to robi i na jakiej podstawie. Jeśli okaże się, że mimo zakończonej rekrutacji jej dane nadal są przetwarzane, może zażądać od administratora ich usunięcia.
Gdyby do prezesa UODO wpłynęła skarga na pracodawcę, to musiałby on wykazać przed organem nadzorczym, że nie przetwarza określonych danych. Zastosowanie ma tu bowiem wynikająca z RODO zasada rozliczalności, zgodnie z którą każdy administrator musi być w stanie wykazać przestrzeganie przepisów rozporządzenia. Pomocny w tym mógłby być np. protokół ze zniszczenia. Co ważne, należałoby w nim wskazać, że zniszczono np. 15 aplikacji, które wpłynęły w danym okresie. W protokole takim nie należy podawać danych osób, których aplikacje zniszczyliśmy, gdyż w ten sposób dalej te dane byśmy przetwarzali.
W okresie letnim, gdy popularna staje się praca wakacyjna i sezonowa, pojawia się wiele fikcyjnych ogłoszeń, często z ofertą wysokiego wynagrodzenia, których celem jest jedynie wyłudzenie danych osobowych. Jak należy postępować, aby ustrzec się przed związanym z tym niebezpieczeństwem?
Zamieszczanie takich fikcyjnych ogłoszeń rekrutacyjnych jedynie w celu zdobycia danych osobowych osób ubiegających się o pracę, a nie ich zatrudnienia, to wyjątkowo perfidny sposób wyłudzania danych. Osoby zainteresowane znalezieniem pracy są bowiem w stanie udostępnić bardzo wiele informacji o sobie, nie zawsze biorąc pod uwagę związane z tym zagrożenia, chociażby takie jak kradzież tożsamości. Dlatego przy udostępnianiu danych należy być ostrożnym i zwracać uwagę m.in. na to, jak prowadzący rekrutację potencjalny pracodawca spełnia obowiązek informacyjny, tj. czy podaje swoją nazwę i adres, tak by można było sprawdzić jego wiarygodność. Warto też przeanalizować, czy nie żąda udostępnienia zbyt wielu danych, pamiętając, że ich zakres dokładnie określa art. 221 kodeksu pracy i że żadnych dodatkowych informacji spoza tego katalogu nie musimy mu udostępniać.
Naszą czujność powinny wzbudzać np. takie sytuacje, w których prowadząca rekrutację firma prosi nas o podanie danych w zakresie wykraczającym poza przepisy kodeksu pracy, a niekiedy – informując o zakwalifikowaniu do kolejnego etapu naboru – buduje w nas przeświadczenie, że nasze szanse na zatrudnienie są większe niż innych kandydatów. Podejrzenia powinny budzić także np. takie sytuacje, gdy pracodawca w niejasny sposób opisuje rodzaj swojej działalności lub oferuje natychmiastowe zatrudnienie, nawet bez telefonicznej rozmowy kwalifikacyjnej. Niebezpieczne może być również dokonywanie przelewu weryfikacyjnego, może on bowiem posłużyć do zaciągnięcia w naszym imieniu zobowiązań finansowych. Warto też stosować zasadę nieumieszczania w przesyłanych na potrzeby rekrutacji dokumentach numerów kart kredytowych, kont bankowych czy numerów dokumentów tożsamości. Podania takich danych, jak numer PESEL czy numer konta bankowego, pracodawca może bowiem żądać dopiero od osoby zatrudnionej, a nie kandydata do pracy.