Autor: Monika Wieczorek
Oto nadeszła ewolucja w ochronie danych osobowych. Od dzisiaj, czyli od 25 maja 2018 r. na terenie całej UE zaczynają obowiązywać przepisy RODO. Działy personalne i agencje zatrudnienia muszą się więc zmierzyć ze zmianami w procesach przetwarzania danych osobowych. W tym artykule znajdziecie odpowiedź na najczęściej zadawane pytania dotyczące wymogów RODO w procesach rekrutacyjnych.
CZYM JEST RODO/GDPR?
Osławione RODO (ang. GDPR) to polski skrót stosowany wobec Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, czyli ogólnego rozporządzenia o ochronie danych. Rozporządzenie wprowadza obowiązek zapewnienia wyższego, niż do tej pory poziomu ochrony danych osobowych.
Dzisiaj zaczyna też obowiązywać nowa polska ustawa o ochronie danych osobowych, która w szczególności zawiera przepisy proceduralne. Niestety, nie znalazły się w niej zmiany dotyczące kodeksu pracy w zakresie rekrutacji, na które działy personalne i agencje rekrutacyjne tak czekają. Na nowe przepisy np. dotyczące zakresu danych zbieranych w procesach rekrutacji poczekamy jeszcze pewnie co najmniej kilka miesięcy.
Pojawią się też kodeksy postępowań dla poszczególnych branż lub procesów przetwarzania – koniecznie obserwuj zwłaszcza komunikaty publikowane na stronie Prezesa Urzędu Ochrony Danych Osobowych (dotychczasowego GIODO) w zakresie zatwierdzania kodeksów postępowań. Będzie można skorzystać z nich w zakresie wytycznych i dobrych praktyk np. w procesach HR.
To największa reforma ochrony danych od 21 lat. RODO jest neutralne technologicznie i dlatego nie znajdziesz w nim precyzyjnych przepisów na sukces w przetwarzaniu danych osobowych. Zawiera reguły ogólne, a nie instrukcje przetwarzania. To jednak nie wada. Taki charakter rozporządzenia pozwala na pewną elastyczność w doborze środków organizacyjnych i technicznych przy przetwarzaniu danych osobowych.
Pamiętaj przy tym, że RODO jest bezpośrednio stosowane i bezpośrednio skuteczne, a brak szczególnych przepisów krajowych nie zwalnia ze stosowania rozporządzenia.
JAKICH DANYCH MOŻNA ŻĄDAĆ W PROCESIE REKRUTACJI?
Aktualnie toczą się prace legislacyjne w celu zmiany m.in. kodeksu pracy, w tym przepisu znanego wszystkim specjalistom HR, czyli art. 22(1) k.p., który zawiera katalog danych, jakich można żądać od kandydata do pracy. Zanim to się stanie, nie sugeruj się przypadkowo usłyszanymi komentarzami – nadal obowiązuje nas obecne brzmienie, zgodnie z którym pracodawca ma prawo żądać w procesie rekrutacji danych osobowych obejmujących wyłącznie:
– imię (imiona) i nazwisko,
– imiona rodziców,
– datę urodzenia,
– miejsce zamieszkania (adres do korespondencji),
– wykształcenie,
– przebieg dotychczasowego zatrudnienia.
Żądanie podania innych danych należy ocenić jako naruszenie ochrony danych. Będzie tak np. w sytuacji zapytania kandydata o stan cywilny czy plany macierzyńskie. Takie dyskryminujące pytania nie tylko mogą spowodować poniesienie odpowiedzialności przez pracodawcę za naruszenie ochrony danych, ale także za naruszenie zasady równego traktowania.
Wokół RODO w zakresie rekrutacji powstaje wiele pytań praktycznych, np. czy będzie można przetwarzać numer telefonu i adres e-mail kandydata, czy tylko jedną z tych danych kontaktowych. RODO nie udziela nam odpowiedzi na to pytanie wprost, ale określa zasadę minimalizacji danych. Oznacza to, że każdorazowo należy zastanowić się, czy nie oczekujemy zbierania danych nadmiarowych. Na tym przykładzie można jednak pokusić się o stwierdzenie, że zarówno adres e-mail, jak i kontaktowy numer telefonu są danymi niezbędnymi do przetwarzania w procesie rekrutacji. Na gruncie RODO wydaje się, że taka możliwość istnieje. Propozycja ujawniona w procesie legislacyjnym, aby możliwe było przetwarzanie alternatywnie albo e-maila albo numeru telefonu nie znalazła się w ustawie o ochronie danych osobowych, która weszła dzisiaj w życie.
Mamy tu jednak do czynienia z pewną luką. Zapowiedziane zmiany kodeksu pracy – poza dotyczącymi monitoringu stosowanego przez pracodawcę, które wchodzą w życie dzisiaj – nie wiadomo, kiedy zaczną obowiązywać i w jakim kształcie. Do tego czasu stosujemy dotychczasowe przepisy i właśnie RODO – jako akt nadrzędny.
CO DALEJ Z KLAUZULAMI ZGÓD ZAMIESZCZONYMI W CV?
Dotychczasową praktyką było umieszczanie pod treścią CV i listów motywacyjnych klauzul zgód na przetwarzanie danych osobowych. RODO nie narzuca obowiązku umieszczania takiej klauzuli w dokumentach. Dla potwierdzenia, że kandydat wyraża zgodę na przetwarzanie danych wystarczające będzie, że przesyła lub składa CV aplikując na określone stanowisko. Będzie to uznane za „wyraźne działanie potwierdzające”, że zgoda została udzielona.
Brak klauzuli zgody (w treści CV lub w treści maila) na przetwarzanie może powodować jednak pewne niedogodności. Na gruncie RODO, jeżeli chcesz korzystać z przekazanych Ci danych w przyszłości w celu organizowania dalszych rekrutacji, musisz dysponować zgodą kandydata na przetwarzanie danych także w tym celu. Zgoda ta nie może być połączona konstrukcyjnie ze zgodą dotyczącą aktualnego procesu rekrutacji. Jeżeli rekrutujesz przy użyciu formularza online najlepszym rozwiązaniem jest umieszczenie w formularzu dwóch oddzielnych checkboxów – na zaznaczenie każdej zgody z osobna.
Jeżeli w trakcie przetwarzania danych kandydata okaże się, że chcesz wykorzystać je w innym celu, niż ten, o którym został pierwotnie poinformowany, będziesz musiał poinformować kandydata o zmianie i uzyskać od niego zgodę na przetwarzanie danych w tym nowym celu.
JAK DŁUGO MOŻNA PRZETWARZAĆ DANE KANDYDATA?
Wiele organizacji nie ustalało dotąd wewnętrznie, jak długo będą przetwarzać dane pozyskane dla celu rekrutacji. RODO nakłada tu obowiązek poinformowania kandydata o tym, jak długo jego dane będą przetwarzane lub przedstawienie sposobu określenia tego okresu. Można więc będzie wskazać, że zostaną wykorzystane do 3 następnych rekrutacji lub np. przez okres 2 lat od ich przekazania.
CZY JEŻELI KANDYDAT NIE ODPOWIE NAM NA WIADOMOŚĆ Z PROŚBĄ O POTWIERDZENIE ZGODY PRZED 25 MAJA, TO POWINNIŚMY USUNĄĆ GO Z BAZY?
Przede wszystkim należy rozstać się z mitem, że przed 25 maja 2018 r. istniał obowiązek odnawiania wyrażonych zgód na przetwarzanie danych osobowych. Takie działanie było uzasadnione jedynie wtedy, gdy zebrane dotąd zgody nie spełniały wymogów wynikających z RODO.
Przystępując do analizy procesów przetwarzania jedną z pierwszych czynności jest weryfikacja, czy zgody, jakimi dysponuje organizacja została udzielona przy zachowaniu wymogów wynikających z RODO, tj. czy była to zgoda dobrowolna, konkretna, świadoma i jednoznaczna. W zakresie procesu rekrutacji trzeba pamiętać jeszcze o jednym: czy kandydat, którego CV mamy w bazie wyraził nam zgodę na przyszłe rekrutacje. Jeżeli nie, wobec zakończenia procesu rekrutacji, w którym brał udział, powinniśmy usunąć jego dane osobowe. Można również poprosić kandydata o zgodę na przetwarzanie dla celów przyszłych rekrutacji, ale pamiętaj, że takie zapytanie nie powinno być wielokrotnie ponawiane. Konstruując treść informacji dla kandydata pamiętajmy też, że nie można zastrzec, że zgoda na dalsze rekrutacje jest wymagana.
CZY DOZWOLONE BĘDĄ TZW. ŚLEPE/UKRYTE REKRUTACJE?
Ten rodzaj rekrutacji jest powszechnie stosowany i polega na tym, że firma zleca agencji przeprowadzenie procesu rekrutacji bez ujawniania swojej nazwy. Już na gruncie poprzedniej ustawy o ochronie danych osobowych sądy często uznawały, że tego rodzaju proces jest niezgodny z przepisami.
RODO nakłada obowiązek poinformowania osoby, której dane przetwarzamy m.in. o tym kim jest administrator, w jakim celu i na jakiej podstawie przetwarza dane, czy jakie prawa przysługują osobie, której dane dotyczą. W rekrutacji ukrytej prowadzonej przez samego pracodawcę obowiązek ten z oczywistych względów nie mógłby być spełniony – pracodawca nie chce przecież ujawnić danych swojej organizacji. Takie działanie na gruncie RODO będzie więc nieprawidłowe.
Rozwiązaniem staje się zlecenie agencji rekrutacyjnej przeprowadzenie procesu rekrutacji w taki sposób, aby to agencja jako administrator ustaliła sposoby i cele przetwarzania danych, zebrała dane od kandydatów, dokonała ich selekcji, a następnie zebrała zgodę od kandydatów na przekazanie ich danych pracodawcy – już znanego z nazwy.
JAK PO 25 MAJA 2018 R. REKRUTOWAĆ PRZEZ PORTALE SPOŁECZNOŚCIOWE, NP. LINKEDIN?
RODO nie jest wrogiem rekrutacji i nie zabrania komunikacji. Prowadzenie czynności w ramach rekrutacji przy wykorzystaniu portali społecznościowych będzie nadal możliwe, ale przy odpowiedniej komunikacji. Rekruter powinien przy pierwszym kontakcie zapytać, czy może przedstawić ofertę pracy. Po uzyskaniu zgody oferta może być przedstawiona.
Podejmując się poszukiwania pracownika na portalu społecznościowym należy w pierwszej kolejności pamiętać, że nawet publicznie dostępny profil nie może służyć przetwarzaniu wszelkich zawartych w nim danych bez ograniczeń. Przede wszystkim takie przetwarzanie wymaga podstawy prawnej, tj. uzasadnionego interesu.
Wytyczne Grupy Roboczej Art. 29 choć nie są wiążące, to jednak stanowią zbiór cennych wskazówek w zakresie m.in. tego, na co rekruter powinien zwrócić uwagę. Jedną z nich jest zalecenie, aby przed przeglądaniem profilu kandydata zweryfikować, czy ma on charakter zawodowy, czy wyłącznie prywatny i podjąć czynności tylko wtedy, kiedy uzna, że ma do czynienia z informacjami o charakterze zawodowym.
CZY HR MOŻE PRZEKAZYWAĆ DANE KANDYDATA INNYM OSOBOM
W ORGANIZACJI?
Administratorem danych kandydata jest nie konkretny dział firmy, a cała organizacja. Oznacza to, że dopuszczalne jest przekazywanie danych osób biorących udział w rekrutacji przez dział HR np. menagerowi, który poszukuje pracownika do swojego działu.
Należy jednak pamiętać, że każdy pracownik, który bierze udział w procesie przetwarzania danych musi dysponować odpowiednim upoważnieniem. Ryzyko naruszenia ochrony danych wzrasta wraz z nadaniem upoważnień zbyt wielu pracownikom w zbyt szerokim zakresie. Pożądane jest więc ograniczanie liczby i zakresu upoważnień.
CZY PRZEKAZYWANIE CV DROGĄ E-MAILOWĄ BĘDZIE ZABRONIONE? CZY KONIECZNE BĘDZIE SZYFROWANIE DOKUMENTÓW?
Ponownie, RODO nie wskazuje jakie czynności musimy podjąć, aby zapewnić bezpieczeństwo przetwarzania danych. Wskazuje jednak na podstawowe sposoby zabezpieczeń jak pseudonimizacja i szyfrowanie, zapewnienie poufności, zdolność do szybkiego przywrócenia oraz regularne testowanie i mierzenie. Szyfrowanie dokumentów zawierających dane osobowe, także wewnątrz organizacji jest pożądanym sposobem zabezpieczenia i zarówno pracodawcy, jak i agencje pracy powinni o to zadbać.
Dokumenty zawierające dane osobowe powinny być odpowiednio zabezpieczone. Dotyczy to oczywiście również danych pozyskanych w procesie rekrutacji. Przechowywane w bezpiecznych miejscach, np. szafach zamykanych na klucz, z ograniczeniem fizycznego dostępu do nich przez osoby nieuprawnione, zabezpieczenie komputerów oprogramowaniem antywirusowym, dwukierunkowy firewall, kontrola urządzeń, ograniczenie nadawania upoważnień – to tylko niektóre z organizacyjnych i technicznych sposobów zabezpieczenia danych, pożądanych także w HR. Należy pamiętać też o bezpiecznym niszczeniu dokumentów oraz usunięciu danych ze wszystkich nośników, na których zostały zapisane.
KIEDY NALEŻY WYZNACZYĆ INSPEKTORA OCHRONY DANYCH?
Jeżeli w toku weryfikacji procesów przetwarzania danych organizacja ustali, że niezbędne i konieczne jest wyznaczenie Inspektora Ochrony Danych (IOD), wówczas taki obowiązek istnieje co do zasady od 25 maja 2018 r. Wyjątek stanowią sytuacje, kiedy organizacja na dzień 25 maja 2018 r. nie spełniała kryteriów do obowiązkowego wyznaczenia IOD – w takich przypadkach obowiązek powstanie z chwilą pojawienia się okoliczności wypełniających te kryteria.
Dla przedsiębiorców, w tym dla agencji rekrutacyjnych podstawowe znaczenie ma ustalenie, czy spełnione jest kryterium w postaci regularnego i systematycznego przetwarzania w ramach głównej działalności danych na dużą skalę.
Faktycznie określenie „dużej skali” sprawia trudności. Możemy posiłkować się wytycznymi Grupy Roboczej Art. 29, w których wskazano porównawczo, że za dużą skalę uważa się np. przetwarzanie danych pacjentów przez szpital, danych przez banki czy ubezpieczycieli, czy danych do celów reklamy behawioralnej przez wyszukiwarki.
Aby ocenić, czy niezbędne jest wyznaczenie IOD konieczne jest dokonanie analizy procesów przetwarzania, w szczególności czy przetwarzamy znaczną ilość danych w kontekście lokalnym lub globalnym.
Nie sposób wskazać konkretnych liczb, od których uzależnione jest uznanie, że mamy do czynienia z dużą skalą przetwarzania. Na etapie prac legislacyjnych nad RODO pojawił się pomysł, aby liczbą graniczną, od której zaczyna się duża skala przetwarzania było 5 000 rekordów rocznie. Ta propozycja nie została włączona do rozporządzenia, nie można więc traktować jej wiążąco. Może jednak działać na wyobraźnię i pozwolić oszacować, czy przetwarzamy dane na dużą skalę.
Niezależnie od tego, czy IOD musi być wyznaczony, czy nie – jest to pożądane działanie, a jego funkcję można powierzyć zarówno pracownikowi, jak i zewnętrznemu doradcy.