Jeśli pracodawca przebiera w kandydatach na pracowników, ale początkowo nie ujawnia przy tym swej tożsamości, to istnieje ryzyko naruszenia unijnych przepisów. Jak się przed tym ustrzec? Nie pozostaje nic innego, jak w odpowiednim momencie spełnić obowiązek informacyjny.
Rekrutacje ukryte, zwane również ślepymi, są dość powszechnie stosowane w praktyce. Zakładają one, że na wstępnym ich etapie tożsamość potencjalnego pracodawcy pozostaje ukryta. Z reguły ogłoszenie rekrutacyjne wskazuje wówczas w sposób generalny na branżę oraz siedzibę firmy. Głównymi przyczynami, dla których pracodawcom zależy na anonimowości na wstępnych etapach rekrutacji, są m.in. zamiar zastąpienia obecnych pracowników nowymi, czy też tworzenie nowego stanowiska bez ujawniania tego konkurencji.
Stare i nowe zapatrywania
Tego rodzaju rekrutacje budziły kontrowersje co do ich zgodności już z poprzednio obowiązującymi przepisami o ochronie danych osobowych. Uległy one dodatkowemu wzmocnieniu po maju 2018 r., od kiedy obowiązują przepisy ogólnego rozporządzenia o ochronie danych osobowych (RODO). Tym bardziej że w opublikowanym w październiku br. „Poradniku dla pracodawców” prezes Urzędu Ochrony Danych Osobowych (PUODO) zajął w tym zakresie dość restrykcyjne stanowisko. Zgodnie z nim legalność tego rodzaju rekrutacji zależy m.in. od przyjętego modelu, tzn. od tego, czy są one prowadzone przez wyspecjalizowane agencje pracy (agencje doradztwa personalnego, tzw. headhunterów), czy też za pośrednictwem internetowych serwisów pozwalających na publikowanie przez samych pracodawców ofert zatrudnienia. W ocenie PUODO ukryte rekrutacje są, pod pewnymi warunkami, dopuszczalne jedynie w tym pierwszym przypadku. Wynika to zasadniczo z tego, że kandydat do pracy nie posiada wiedzy, jaki podmiot gromadzi jego dane osobowe. Co więcej, zdaniem organu nie realizuje wymogów RODO przekazanie kandydatowi wymaganych informacji w wiadomości (w szczególności e-mailowej) wysyłanej przez potencjalnego pracodawcę w odpowiedzi na otrzymaną aplikację. Organ ds. ochrony danych wychodzi bowiem z założenia, że tylko uprzednie przedstawienie wymaganych informacji, w tym tożsamości pracodawcy (tj. w treści samego ogłoszenia o pracę), daje się pogodzić z wymogami rozporządzenia o ochronie danych osobowych.
Wierne wdrożenie rekomendacji PUODO, które nie mają co prawda mocy wiążącej, ale pokazują dość wyraźnie kierunek interpretacji przepisów RODO przez organ nadzorczy, może istotnie komplikować praktykę prowadzenia ukrytych rekrutacji – zwłaszcza w środowisku online. Możliwe wydaje się jednak przedstawienie rozwiązań, które pozwalają na pogodzenie wymogów wynikających z prawa o ochronie danych osobowych z praktyką rynkową.
Istotny jest model współpracy
Utrzymanie anonimowości przez potencjalnego pracodawcę – przynamniej na wczesnych etapach rekrutacji – jest możliwe w przypadku współpracy z agencją zatrudnienia. Wynika to z tego, że co do zasady agencja taka występuje w charakterze niezależnego od pracodawcy administratora danych. Tym samym to agencja realizuje wobec kandydatów – już od początku, na etapie preselekcji – swój własny obowiązek informacyjny, przekazując im wymagane przepisem art. 13 RODO informacje. Powinny one obejmować m.in. szczegóły dotyczące tożsamości agencji zatrudnienia oraz wskazywać na odbiorców danych, przy czym ta ostatnia informacja – zgodnie z przepisami – może odnosić się rodzajowo do określonej kategorii, ale bez konieczności wskazywania konkretnych odbiorców (tj. pracodawców). Dopiero na kolejnym etapie, przed przekazaniem pracodawcy danych pozwalających na identyfikację kandydata (kandydatów) do pracy, agencja powinna poinformować kandydatów o zamiarze przekazania ich danych konkretnemu pracodawcy, wskazując jego tożsamość, pozyskując dodatkowo zgodę na takie przekazanie danych.
W tym modelu obowiązek informacyjny potencjalnego pracodawcy, jako niezależnego administratora danych, aktualizuje się dopiero po przekazaniu mu przez agencję wyselekcjonowanej listy kandydatów, zawierającej dane pozwalające na ich identyfikację. Przy czym obowiązek ten nie musi uwzględniać pełnego zakresu informacji objętych przepisem art. 14 RODO. Wystarczające bowiem będzie podanie kandydatowi tych informacji, którymi nie dysponuje, wcześniej nie przekazanych mu przez agencję (m.in. dane kontaktowe potencjalnego pracodawcy lub okres, przez jaki pracodawca może przetwarzać dane kandydata do pracy). Przy czym brakujące informacje powinny zostać przekazane w ramach pierwszej komunikacji pracodawcy z kandydatem, np. podjętej w celu umówienia spotkania z przedstawicielami pracodawcy. W każdym jednakże przypadku powinno to nastąpić w ciągu miesiąca od pozyskania od agencji danych osobowych kandydata.
Anonimowe oferty pracy dostępne online
Zagadnienie ukrytych rekrutacji komplikuje się w przypadku zamieszczania anonimowych ofert pracy na dedykowanych temu serwisach internetowych. Wynika to zasadniczo z tego, że podmioty prowadzące tego rodzaju platformy inaczej niż agencje zatrudnienia działają na zlecenie pracodawców, a więc występują w charakterze podmiotów przetwarzających (procesorów danych), nie zaś niezależnych administratorów danych. Stąd też przesłanie zgłoszenia rekrutacyjnego, w tym CV, za pośrednictwem tego rodzaju serwisów online oznacza złożenie aplikacji potencjalnemu pracodawcy (jako administratorowi korzystającemu z usług operatora serwisu), nie zaś ewentualnemu pośrednikowi. Zatem to na pracodawcy spoczywa obowiązek informacyjny. Przy czym nie ma on charakteru wtórnego (do którego stosować należy art. 14 RODO), lecz pierwotny. Oznacza to, że regulowany jest on art. 13 RODO, który w odróżnieniu od art. 14 RODO zawiera o wiele węższy katalog odstępstw, tj. ograniczonych jedynie do sytuacji, gdy zainteresowana osoba dysponuje już wymaganymi informacjami.
Zdaniem PUODO pracodawca korzystający z tego rodzaju platform, który nie informuje kandydatów o swojej tożsamości, a jedynie wskazuje, że jest np. podmiotem z sektora bankowego lub renomowanym producentem oprogramowania, nie wypełnia zgodnie z wymogami RODO obowiązku informacyjnego. W takiej sytuacji kandydat bowiem nie wie, kto będzie przetwarzać jego dane osobowe w charakterze administratora danych, a tym samym – wobec kogo może realizować przysługujące mu zgodnie z RODO uprawnienia (np. prawo dostępu do danych). Zgodnie z poradnikiem organu ds. ochrony danych prowadzenie w ten sposób rekrutacji – jako niespełniające wymogów przejrzystości – może zostać zakwestionowane. Takie podejście stawia tym samym pod znakiem zapytania praktykę publikowania anonimowych ofert pracy, istotnie komplikując utrwaloną w tym zakresie praktykę.
Proponowana interpretacja
Pewną propozycją wyjścia z tego swoistego pata może być nieco inne odczytanie samego ogólnego rozporządzenia, które określa moment, w jakim pracodawca zamieszczający tego rodzaju (anonimową) ofertę powinien się ujawnić, realizując obowiązek informacyjny. Zgodnie bowiem z brzmieniem art. 13 ust. 1 RODO obowiązek ten należy spełnić „podczas pozyskiwania danych osobowych”. Tym samym nie powinno to wykluczać rozwiązania pozwalającego na przekazywanie wymaganych informacji w odpowiedzi na zgłoszenie kandydata, przekazywanej np. e-mailowo, bezpośrednio po otrzymaniu zgłoszenia. Zacytowany tu fragment daje takie możliwości. Odnosi się bowiem do określonego procesu (tj. pozyskiwania danych), który może być rozciągnięty w czasie („podczas”). Nie został on w przepisach RODO ograniczony wyłącznie do etapu poprzedzającego faktyczne pozyskanie danych. Wówczas przepis ten wskazywałby na to wyraźnie, analogicznie jak ma to miejsce np. w przepisach o ochronie praw konsumentów, które wymagają realizacji obowiązku informacyjnego „na początku rozmowy”, „najpóźniej w chwili” lub używając w tym celu innych, zbliżonych określeń.
Argument podnoszony przez organ na poparcie propozycji przedstawionej w poradniku, związany z przeciwdziałaniem wyłudzaniu danych osobowych przez nieuczciwe podmioty, nie wydaje się również do końca przekonujący. Zdeterminowani oszuści nie powinni bowiem mieć większych problemów z przekazaniem pełnej (aczkolwiek fałszywej) tożsamości, w tym nazwy (firmy) oraz danych kontaktowych. Kandydaci do pracy powinni być raczej stale uświadamiani o grożącym im w tym zakresie ryzyku, a także informowani (zwłaszcza w ramach kampanii informacyjnych prowadzonych przez organ), aby ograniczać zakres danych przekazywanych na wstępnych etapach rekrutacji.