W kontekście nałożonej na H&M kary i jej nieuczciwych praktyk warto przypomnieć pracodawcom jakie dane osobowe pracowników i kandydatów do pracy wolno przetwarzać, aby nie naruszać prawa. Materiał zostanie podzielony na dwie części: w pierwszej części omówiony zostanie proces rekrutacji, w drugiej zatrudnienie.
RODO w rekrutacji
Rekrutacja (znana jako nabór w sektorze publicznym) to proces niezwykle skomplikowany, bo wybór dobrego pracownika może być dla rozwoju firmy kluczowy. Rekrutacja w każdej firmie, ba! na każde stanowisko w tej samej firmie może wyglądać inaczej, a przy tym należy trzymać się przepisów prawa i wewnętrznych procedur. Uprzedzam, że ten artykuł nie wyczerpuje tematu, a zwraca uwagę na najczęściej występujące wątpliwości pracodawców.
Dla chętnych zgłębienia tajników ochrony danych osobowych w rekrutacji odsyłam na stronę projektu kodeksu branżowego https://rodowrekrutacji.pl/ Ten materiał to świetna baza wiedzy dla rekruterów, działów kadr i HR, stworzony przez rekruterów właśnie we współpracy ze specjalistami z zakresu ochrony danych.
Przechodząc do „twardych danych”: dopuszczalny zakres gromadzenia danych osobowych kandydatów do pracy określa Kodeks Pracy w art. 221 § 1: pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:
imię (imiona) i nazwisko;
datę urodzenia;
dane kontaktowe wskazane przez taką osobę – może to być telefon, email lub adres do korespondencji; kandydat sam wskazuje preferowany rodzaj kontaktu;
wykształcenie;
kwalifikacje zawodowe;
przebieg dotychczasowego zatrudnienia.
Uwaga: Pracodawca żąda podania przez kandydata wykształcenia, kwalifikacji zawodowych i przebiegu zatrudnienia, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.
W praktyce oznacza to tyle, że pracodawca gromadzi takie dane o kandydacie, jakie są mu potrzebne do zatrudnienia na określonym stanowisku. Myślę, że oczywistym jest, że zatrudniając pracownika na stanowisko kierowcy, potencjalny pracodawca żąda przedstawienia uprawnień do prowadzenia pojazdu, ubiegając się o pracę w radiu konieczne może przedstawienie nagrania głosu, w branży modelingu czy fotografii wizytówką kandydata będzie jego portfolio.
Należy pamiętać, że to pracodawca w ofercie pracy określa jakie informacje o kandydacie i jakie kwalifikacje są niezbędne do podjęcia pracy na danym stanowisku. Najczęściej wynika to z opisu stanowiska lub równoważnego dokumentu, albo specyfiki danej branży.
CV, list motywacyjny, czy kwestionariusz osobowy?
Zapoznając się z sylwetką kandydata przed zaproszeniem go na rozmowę kwalifikacyjną sugeruję (z punktu widzenia przepisów o ochronie danych) zbierać JEDEN z następujących dokumentów: CV, kwestionariusz osobowy osoby ubiegającej się o zatrudnienie albo list motywacyjny. Dokumenty te mają ten sam cel, mianowicie przedstawić swoją kandydaturę i zachęcić potencjalnego pracodawcę do spotkania. Jeśli kandydat zostanie wybrany, dokumenty, które przedstawił w procesie rekrutacyjnym będą włączone do jego akt osobowych. W związku z tym będziemy mieć w aktach kilka dokumentów, które zawierają takie same dane, zgromadzone w tym samym celu, co może stanowić naruszenie zasady minimalizacji danych wyrażonej w art. 5 ust. 1 lit. c RODO. Ponadto pracodawca nie ma kontroli nad tym, co kandydat napisze o sobie (i swojej rodzinie) w liście motywacyjnym ani w CV (zdjęcie). Jeśli więc kandydat nie wyrazi zgody na przetwarzanie danych osobowych – w sposób prawidłowy, tzn. zgodny z RODO – pracodawca nie ma prawa przetwarzać danych, które wykraczają poza art. 22 Kodeksu pracy.
Dlatego też, jeśli specyfika branży, w której działa pracodawca jest uregulowana ściśle przepisami (administracja publiczna) i oferowane stanowisko nie wymaga specyficznych predyspozycji (stanowiska kierownicze, praca związana z upublicznianiem swojego wizerunku itp.), podstawowe informacje o kandydacie warto zgromadzić za pomocą kwestionariusza, a następnie zweryfikować podane dane podczas rozmowy kwalifikacyjnej.
Zgoda na przetwarzanie danych osobowych w procesie rekrutacji
Podstawową przesłanką, która pozwala pracodawcy przetwarzać dane osobowe w procesie rekrutacji jest art. 6 ust. 1 lit. c RODO w związku z art. 221 Kodeksu Pracy. Dane osobowe, które nie mieszczą się w katalogu art. 221 KP, mogą być przetwarzane tylko za zgodą kandydata. Zgoda ta musi być świadoma (wyrażanie jej musi być poprzedzone zapoznaniem się z informacją o przetwarzaniu danych) i dobrowolna, a pracodawca musi wykazać, że właśnie taką zgodę ma.
W tej sytuacji pracodawca musi spełnić obowiązek informacyjny z art. 13 RODO (np. poprzez umieszczenie klauzuli informacyjnej na stronie internetowej lub bezpośrednio w ofercie pracy), a w dokumentach rekrutacyjnych zaleca się zobowiązać kandydata do umieszczenia następującego zapisu:
„Wyrażam zgodę na przetwarzanie przez NAZWA PRACODAWCY danych osobowych niewymaganych przepisami prawa a podanych przeze mnie dodatkowo i dobrowolnie (takich jak, wizerunek na zdjęciu umieszczonym w CV, informacji o stanie zdrowia, o sytuacji rodzinnej, ekonomicznej, społecznej lub zainteresowań, itp.)”
WAŻNE: brak zgody nie może być przyczyną niezatrudnienia takiego kandydata. W sytuacji braku możliwości uzyskania zgody od kandydata, anonimizujemy nadmiarowe dane.
IOD w rekrutacji
W myśl greckiej sentencji (mam nadzieję, że wybaczą mi Państwo ten żart) „ten, kto zna się na wszystkim, w rezultacie nie jest specjalistą w żadnej dziedzinie” , trzeba pamiętać, że człowiek od HR nie musi być specjalistą w ochronie danych osobowych, a IOD nie musi znać kodeksu pracy na pamięć. Każdy z nich ma inne cele, ale razem mogą wypracować idealny i szyty na miarę swojej organizacji system ochrony danych osobowych podczas rekrutacji. Efekt – przestrzegamy przepisów i mamy idealnego pracownika, czego wszystkim pracodawcom życzę.
W kontekście nałożonej na H&M kary i jej nieuczciwych praktyk warto przypomnieć pracodawcom jakie dane osobowe pracowników i kandydatów do pracy wolno przetwarzać, aby nie naruszać prawa. Materiał zostanie podzielony na dwie części: w pierwszej części omówiony zostanie proces rekrutacji, w drugiej zatrudnienie.
RODO w rekrutacji
Rekrutacja (znana jako nabór w sektorze publicznym) to proces niezwykle skomplikowany, bo wybór dobrego pracownika może być dla rozwoju firmy kluczowy. Rekrutacja w każdej firmie, ba! na każde stanowisko w tej samej firmie może wyglądać inaczej, a przy tym należy trzymać się przepisów prawa i wewnętrznych procedur. Uprzedzam, że ten artykuł nie wyczerpuje tematu, a zwraca uwagę na najczęściej występujące wątpliwości pracodawców.
Dla chętnych zgłębienia tajników ochrony danych osobowych w rekrutacji odsyłam na stronę projektu kodeksu branżowego https://rodowrekrutacji.pl/ Ten materiał to świetna baza wiedzy dla rekruterów, działów kadr i HR, stworzony przez rekruterów właśnie we współpracy ze specjalistami z zakresu ochrony danych.
Przechodząc do „twardych danych”: dopuszczalny zakres gromadzenia danych osobowych kandydatów do pracy określa Kodeks Pracy w art. 221 § 1: pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:
W praktyce oznacza to tyle, że pracodawca gromadzi takie dane o kandydacie, jakie są mu potrzebne do zatrudnienia na określonym stanowisku. Myślę, że oczywistym jest, że zatrudniając pracownika na stanowisko kierowcy, potencjalny pracodawca żąda przedstawienia uprawnień do prowadzenia pojazdu, ubiegając się o pracę w radiu konieczne może przedstawienie nagrania głosu, w branży modelingu czy fotografii wizytówką kandydata będzie jego portfolio.
Należy pamiętać, że to pracodawca w ofercie pracy określa jakie informacje o kandydacie i jakie kwalifikacje są niezbędne do podjęcia pracy na danym stanowisku. Najczęściej wynika to z opisu stanowiska lub równoważnego dokumentu, albo specyfiki danej branży.
CV, list motywacyjny, czy kwestionariusz osobowy?
Zapoznając się z sylwetką kandydata przed zaproszeniem go na rozmowę kwalifikacyjną sugeruję (z punktu widzenia przepisów o ochronie danych) zbierać JEDEN z następujących dokumentów: CV, kwestionariusz osobowy osoby ubiegającej się o zatrudnienie albo list motywacyjny. Dokumenty te mają ten sam cel, mianowicie przedstawić swoją kandydaturę i zachęcić potencjalnego pracodawcę do spotkania. Jeśli kandydat zostanie wybrany, dokumenty, które przedstawił w procesie rekrutacyjnym będą włączone do jego akt osobowych. W związku z tym będziemy mieć w aktach kilka dokumentów, które zawierają takie same dane, zgromadzone w tym samym celu, co może stanowić naruszenie zasady minimalizacji danych wyrażonej w art. 5 ust. 1 lit. c RODO. Ponadto pracodawca nie ma kontroli nad tym, co kandydat napisze o sobie (i swojej rodzinie) w liście motywacyjnym ani w CV (zdjęcie). Jeśli więc kandydat nie wyrazi zgody na przetwarzanie danych osobowych – w sposób prawidłowy, tzn. zgodny z RODO – pracodawca nie ma prawa przetwarzać danych, które wykraczają poza art. 22 Kodeksu pracy.
Dlatego też, jeśli specyfika branży, w której działa pracodawca jest uregulowana ściśle przepisami (administracja publiczna) i oferowane stanowisko nie wymaga specyficznych predyspozycji (stanowiska kierownicze, praca związana z upublicznianiem swojego wizerunku itp.), podstawowe informacje o kandydacie warto zgromadzić za pomocą kwestionariusza, a następnie zweryfikować podane dane podczas rozmowy kwalifikacyjnej.
Zgoda na przetwarzanie danych osobowych w procesie rekrutacji
Podstawową przesłanką, która pozwala pracodawcy przetwarzać dane osobowe w procesie rekrutacji jest art. 6 ust. 1 lit. c RODO w związku z art. 221 Kodeksu Pracy. Dane osobowe, które nie mieszczą się w katalogu art. 221 KP, mogą być przetwarzane tylko za zgodą kandydata. Zgoda ta musi być świadoma (wyrażanie jej musi być poprzedzone zapoznaniem się z informacją o przetwarzaniu danych) i dobrowolna, a pracodawca musi wykazać, że właśnie taką zgodę ma.
W tej sytuacji pracodawca musi spełnić obowiązek informacyjny z art. 13 RODO (np. poprzez umieszczenie klauzuli informacyjnej na stronie internetowej lub bezpośrednio w ofercie pracy), a w dokumentach rekrutacyjnych zaleca się zobowiązać kandydata do umieszczenia następującego zapisu:
„Wyrażam zgodę na przetwarzanie przez NAZWA PRACODAWCY danych osobowych niewymaganych przepisami prawa a podanych przeze mnie dodatkowo i dobrowolnie (takich jak, wizerunek na zdjęciu umieszczonym w CV, informacji o stanie zdrowia, o sytuacji rodzinnej, ekonomicznej, społecznej lub zainteresowań, itp.)”
IOD w rekrutacji
W myśl greckiej sentencji (mam nadzieję, że wybaczą mi Państwo ten żart) „ten, kto zna się na wszystkim, w rezultacie nie jest specjalistą w żadnej dziedzinie” , trzeba pamiętać, że człowiek od HR nie musi być specjalistą w ochronie danych osobowych, a IOD nie musi znać kodeksu pracy na pamięć. Każdy z nich ma inne cele, ale razem mogą wypracować idealny i szyty na miarę swojej organizacji system ochrony danych osobowych podczas rekrutacji. Efekt – przestrzegamy przepisów i mamy idealnego pracownika, czego wszystkim pracodawcom życzę.
Ostatnie wpisy
O mnie
Magdalena Gujska
Kategorie