RODO – przetwarzanie i ochrona danych osobowych osób rekrutowanych

RODO – przetwarzanie i ochrona danych osobowych osób rekrutowanych


23 stycznia 2019 roku Minister Cyfryzacji wydał objaśnienia prawne dla przedsiębiorców, dotyczące przetwarzania danych osobowych osób rekrutowanych, zawartych w CV czy listach motywacyjnych. Materiał ten jest istotną wskazówką dla działów kadrowych w procesach związanych z poszukiwaniem i zatrudnieniem kandydatów. Co ważniejsze, zastosowanie się do objaśnień daje przedsiębiorcy gwarancję uniknięcia kar związanych z nieprzestrzeganiem przepisów RODO.

Objaśnienia prawne zostały wydane przez Ministra Cyfryzacji na podstawie art. 33 ustawy z dnia 6 marca 2018 r. Prawo przedsiębiorców, na wniosek Rzecznika Małych i Średnich Przedsiębiorców. Dotyczą one sposobu gromadzenia danych osób, które ubiegały się o zatrudnienie u pracodawcy, dozwolonego okresu przechowywania tych danych oraz formy wyrażenia zgody na ich przetwarzanie.

Zgodnie z treścią objaśnień, dane zawarte w dokumentach rekrutacyjnych osób zatrudnionych mogą być przez pracodawcę przetwarzane przez okres konieczny dla wykonania zawieranej z pracownikiem umowy (na podstawie art. 6 ust. 1 lit. b RODO), a po jej rozwiązaniu w celu ochrony przed mogącymi się pojawić roszczeniami, w zakresie prawnie uzasadnionych interesów realizowanych przez pracodawcę (na podstawie art. 6 ust. 1 lit. f RODO). Objaśnienia dotyczą jednak także tego, przez jaki czas mogą być przechowywane dane kandydata, z którym umowa nie została zawarta. Po zakończeniu rekrutacji przetwarzanie takich danych nie jest już niezbędne do podjęcia czynności przygotowujących do podpisania umowy czy jej wykonania. Pracodawca wybrał bowiem na dane stanowisko innego kandydata.

W praktyce zdarza się, że pracodawca otrzymuje dokumenty od osób zainteresowanych nawiązaniem współpracy, mimo że nie prowadzi aktualnie rekrutacji. Dokumenty te zawierają dane osobowe kandydatów. O ile wyrażą oni pisemną zgodę na przetwarzanie danych osobowych, pracodawca jest w stanie wykazać podstawę prawną przetwarzania zawartych tam danych (art. 6 ust. 1 lit a RODO).

Może się jednak zdarzyć, że osoba zainteresowana zatrudnieniem nie złoży pisemnej zgody. W takim przypadku przedsiębiorca może usunąć taką dokumentację lub odesłać ją do osoby zainteresowanej. Jak wynika z treści objaśnień, może on jednak także zachować otrzymaną dokumentację. Fakt bowiem, że dana osoba przekazała dokumenty rekrutacyjne, jest równoznaczny z wyrażeniem przez nią zgody na wykorzystanie zawartych tam danych osobowych w procesach zmierzających do zatrudnienia. Zgodnie z art. 4 pkt 11 RODO zgoda osoby, której dane dotyczą oznacza bowiem dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. W takim przypadku dokumenty mogą być przechowywane przez pracodawcę do czasu odwołania zgody przez osobę, która je przesłała. Przedsiębiorca powinien także udokumentować okoliczności związane z wyrażoną (wyraźnie lub w sposób dorozumiany) zgodą. Dokumenty, które zostały przekazane przez kandydata, a co do których ma on pewność, że nie będą w zakresie przyszłych rekrutacji wykorzystane, powinny zostać usunięte.

Jeżeli przedsiębiorca otrzymuje dokumenty od kandydatów aplikujących w konkretnym procesie rekrutacyjnym, podstawą przetwarzania ich danych osobowych jest art. 6 ust. 1 lit. b RODO. Przetwarzanie tych danych jest więc niezbędne do podjęcia działań przed zawarciem umowy. W takim przypadku nie jest więc wymagana dodatkowa zgoda kandydata na przetwarzanie zawartych w CV czy liście motywacyjnym danych osobowych. Dane zgromadzone w ten sposób można przetwarzać do czasu zakończenia konkretnego procesu rekrutacyjnego. Jeżeli więc pracodawca będzie chciał zachować otrzymane dokumenty na potrzeby przyszłych procesów, zobowiązany jest do uzyskania zgody kandydata na takie działanie. Jeżeli takiej zgody nie uzyskał, może przechowywać te dokumenty wyłącznie w celach ochrony przed ewentualnymi roszczeniami mogącymi pojawić się w związku z prowadzoną uprzednio rekrutacją. W tym przypadku podstawą przetwarzania danych osobowych będzie art. 6 ust. 1 lit. f RODO tj. prawnie uzasadniony interes niedoszłego pracodawcy, czyli ochrona przed ewentualnymi przyszłymi roszczeniami osoby, która nie została zatrudniona.

Działanie takie dopuszczalne będzie jednak jedynie wówczas, gdy dana osoba uczestniczyła w konkretnym procesie rekrutacyjnym oraz mogła podejrzewać, że jej dane będą przetwarzane przez administratora. Wykazanie tych przesłanek w większości przypadków nie powinno być jednak nadmiernie utrudnione. Maksymalny czas przechowywania takich dokumentów rekrutacyjnych wynosi wówczas trzy lata. Okres ten może być jednak krótszy, o ile w praktyce działalności przedsiębiorcy nie zdarzyła się sytuacja, by ewentualne roszczenia z tytułu prowadzonej rekrutacji pojawiły się w okresie późniejszym niż kilka miesięcy po jej zakończeniu. Wówczas wewnętrzne procedury powinny przewidywać racjonalny, kilkumiesięczny okres retencji takich dokumentów. Obowiązkiem administratora danych będzie też dokonanie oceny ryzyka i ustalenie okresu przetwarzania danych, który odpowiada rzeczywistym zagrożeniom, uwzględniając doświadczenia z pojawiających się roszczeń. Dopuszczalne jest też poinformowanie kandydata, że niepodniesienie zarzutów dotyczących rekrutacji w określonym czasie po odmowie zatrudnienia zostanie uznane za domniemanie braku takowych, a dane osobowe zostaną usunięte. Z dokumentów rekrutacyjnych uzyskanych w ramach konkretnego procesu zatrudnienia skorzystać będzie można nie tylko w celu obrony przed roszczeniami kandydatów, wynikającymi przede wszystkim z zakazem dyskryminacji. Zgodnie z objaśnieniami Ministra Cyfryzacji, dopuszczalny jest także kontakt potencjalnego pracodawcy z pozostałymi kandydatami, gdy okaże się, że osoba zakwalifikowana jednak nie podjęła pracy. Podstawą w tym przypadku byłby nie tylko prawnie uzasadniony interes potencjalnego pracodawcy, ale również kandydatów.

W objaśnieniach wydanych przez Ministra Cyfryzacji zawarto trzy praktyczne przykłady, obrazujące powyższe zasady. Dla lepszego zrozumienia intencji i sensu objaśnień, przytaczam je w całości poniżej:

Sytuacja 1:

Na recepcję firmy zgłasza się osoba, która jest zainteresowana pracą, mimo że w chwili obecnej nie jest prowadzona rekrutacja na żadne stanowisko. Chce jednak zostawić swoje CV, na którym nie ma pisemnej informacji, że zgadza się na przetwarzanie danych osobowych we wszystkich rekrutacjach w tej firmie – informuje o tym tylko ustnie recepcjonistkę.

Rekomendowane działanie: Od takiej osoby należy odebrać w pisemnej formie utrwalonej dla celów dowodowych (np. odręczne oświadczenie na pozostawianych dokumentach) potwierdzenie zgody na przetwarzanie danych osobowych na potrzeby przyszłych rekrutacji organizowanych przez danego przedsiębiorcę  (odbierającego oświadczenie), oraz dopełnić obowiązku informacyjnego na podstawie art. 13 RODO. Może być on zrealizowany poprzez zamieszczenie stosownej informacji na ladzie recepcji, o ile precyzyjnie informuje o treściach przewidzianych w art. 13 RODO. W ramach tego obowiązku należy poinformować m.in. o podstawie prawnej przetwarzania danych, tj. że jest nią art. 6 ust. 1 lit. a RODO. Mając na względzie udział tej osoby w przyszłych rekrutacjach oraz fakt, że osoba ta może nie uzyskać pracy w wyniku rekrutacji warto już na tym etapie zagwarantować sobie prawo do przetwarzania danych dla celów ewentualnego dochodzenia roszczeń – jako podstawę dla tego celu wskazując przy tej okazji również art. 6 ust. 1 lit. f RODO (tj. prawnie uzasadniony interes administratora).

Sytuacja 2:

Do firmy drogą mailową przesłane zostaje CV wraz z informacją w treści maila, że osoba chciałaby być uwzględniania w ewentualnych przyszłych rekrutacjach.

Rekomendowane działanie: Wiadomość taka powinna zostać uznana za zgodę na przetwarzanie danych osobowych przez potencjalnego pracodawcę w celach związanych z organizacją naborów pracowników. Dodatkowo należy (podobnie jak we wcześniejszym przypadku) dopełnić obowiązku informacyjnego na podstawie art. 13 RODO. W ramach tego obowiązku należy poinformować m.in., o  podstawie prawnej przetwarzania danych, tj. iż jest nią wspomniany wcześniej art. 6 ust. 1 lit. a RODO. Podobnie jak w sytuacji opisanej powyżej, mając na względzie udział tej osoby w przyszłych rekrutacjach oraz fakt, że osoba ta może nie uzyskać pracy w wyniku udziału w naborach, warto już na tym etapie zagwarantować sobie prawo do przetwarzania danych dla celów ewentualnego dochodzenia roszczeń – jako podstawę dla tego celu wskazując przy tej okazji również art. 6 ust. 1 lit. f RODO (tj. prawnie uzasadniony interes administratora).

Sytuacja 3:

Do firmy zostaje przesłane CV w związku z jedną konkretną rekrutacją, bez informacji, że dana osoba chce brać udział w przyszłych procesach rekrutacji w danej firmie. Oferta pracy dotyczy kierowniczego stanowiska z wysokim wynagrodzeniem i istnieje ryzyko, że osoby, które nie zostaną wybrane będą domagały się wyjaśnień.

Rekomendowane działanie: Od takiej osoby nie ma potrzeby uzyskiwania zgody na przetwarzanie jej danych osobowych. Podstawą przetwarzania w tym przypadku jest art. 221 § 1 Kodeksu pracy, a w zakresie dodatkowych danych – przede wszystkim niezbędność podjęcia działań przed zawarciem umowy tj. art. 6 ust. 1 lit. b RODO. Jeśli kandydat nie zostanie zatrudniony, potencjalny pracodawca nadal ma prawo do przechowywania danych w celu ochrony przed ewentualnymi roszczeniami. Takie dalsze przechowywanie danych osobowych wynika z prawnie uzasadnionych interesów (tj. na podstawie i z uwzględnieniem treści art. 6 ust. 1 lit. f RODO). Wystarczy zatem dopełnienie wobec tej osoby obowiązku informacyjnego z art. 13 RODO. Każdy ze wskazanych celów przetwarzania w tym przypadku wynika z innej podstawy prawnej, o czym należy poinformować kandydata.


Artykuł pochodzi z : https://ksiegowosc.infor.pl/zus-kadry/zatrudnianie-i-zwalnianie/2879387,RODO-przetwarzanie-i-ochrona-danych-osobowych-osob-rekrutowanych.html