W trakcie poszukiwania pracowników, wykonujemy wiele czynności, które wymagają uzyskania szczegółowych informacji na temat kandydatów. Zbieramy aplikacje poprzez ogłoszenia na portalach pracy, szukamy pracowników bezpośrednio czy poprzez rekomendacje. Wiele z pozyskanych danych, to dane osobowe w rozumieniu nie tylko ustawy o ochronie danych osobowych, ale również RODO, które już niedługo wymusi pewne zmiany w procesie rekrutacji.
O co możemy i nie możemy pytać kandydatów?
Informacje, które możemy pozyskiwać od kandydatów zgodnie z polskim Kodeksem Pracy, to dane osobowe, jak imiona i nazwiska, data urodzenia, adres zamieszkania lub korespondencyjny, imiona rodziców oraz informacje potwierdzające kwalifikacje do wykonywania danej pracy. Będą to świadectwa potwierdzające ukończenie kursów lub szkół, jeśli pozyskane w ich trakcie umiejętności dotyczą danej oferty pracy.
Od kandydata możemy zebrać również informacje o przebiegu dotychczasowego zatrudnienia, w postaci świadectw pracy, ale tylko z roku kalendarzowego, w którym kandydat podejmie pracę u nowego pracodawcy.
Potencjalny pracodawca nie będzie mógł natomiast prosić kandydata do pracy o informacje dotyczące numeru PESEL czy zaświadczenia o niekaralności, chyba że reguluje to odrębny przepis. Warto podkreślić, że nie możemy pytać również o poglądy polityczne czy religijne, orientację seksualną i stan zdrowia.
Przesłanie zdjęcia lub zawarcie go w treści CV lub listu motywacyjnego jest kwestią dobrowolną. Jeśli kandydat go nie zamieści, to nie możemy o nie prosić. Jak widać – zakres danych, których możemy się domagać od kandydata jest niewielki. Na pozostałe dane osobowe musimy mieć odpowiednie zgody oraz wykazać celowość ich pozyskania.
Ochrona danych osobowych przed RODO
Ochronę danych osobowych reguluje Ustawa o ochronie danych osobowych z 1997 roku. W myśl jej treści, aby rozważyć czyjąś kandydaturę na stanowisko pracy, przesłane dokumenty muszą zawierać zgodę na wykorzystanie danej aplikacji w procesie rekrutacji i przetwarzanie jej zgodnie z wymienioną ustawą. Nie jest ona wymagana tylko wtedy, gdy pracodawca wykorzystuje wyłącznie te dane, które pokrywają się z Kodeksem Pracy.
W praktyce jednak kandydaci podają dużo więcej informacji, chcąc jak najlepiej zaprezentować się w procesie rekrutacji swojemu potencjalnemu pracodawcy, a zgodę zawierają w treści swoich dokumentów. Te zwykle trafiają do wszystkich osób, które w firmie związane są z procesem, a często są nim jedynie zainteresowane. Zgodnie z prawem powinny one posiadać stosowne upoważnienia od pracodawcy. Doświadczenie pokazuje, że mało kto jest jednak tego świadomy, stąd tak często podkreśla się, że wszystkie osoby, które mają do czynienia z rekrutacją, danymi osobowymi i innymi danymi wrażliwymi powinni przejść szkolenie z bezpieczeństwa informacji.
Po wejściu unijnych przepisów, RODO w rekrutacji odbije się przede wszystkim na sposobie dystrybucji aplikacji i zarządzaniu nimi, ich ocenie przez różnych pracowników w firmie, gdyż RODO wymaga spełnienia obowiązku informacyjnego w zakresie tego, kto zbiera i przetwarza dane osobowe. W praktyce oznacza to, że cykl życia aplikacji w firmie będzie szczegółowo monitorowany i zabezpieczony procedurami.
Co należy zrobić, żeby RODO w rekrutacji było przestrzegane?
Twoja pierwsza styczność z danymi osobowymi kandydata ma miejsce w momencie otrzymania CV i listu motywacyjnego oraz zdjęcia, czyli danej biometrycznej, często załączonego jako osobny plik. Aby móc te dokumenty przeglądać, przetwarzać i wykorzystać w procesie rekrutacji, musimy od kandydata uzyskać na to zgodę. Wyrażana jest w formie pisemnej, jej treść zazwyczaj definiuje pracodawca, załączając w treści publikowanej oferty pracy prośbę o dołączenie zgody do dokumentów. Według RODO musimy na tym etapie dodatkowo poinformować kandydata, kim jesteśmy, kto jest odbiorcą danych osobowych i jak długo zamierzamy przechowywać informacje. A więc podajemy w klauzuli informacyjnej, kto jest administratorem danych, z pełną nazwą firmy i jej adresem, w jakim celu zbierane są dane, czyli do procesu rekrutacji i jakie są prawa kandydata w kwestii ich przetwarzania.
Przechowywanie aplikacji kandydatów, którzy nie zostali zatrudnieni w danym procesie, w celu wykorzystania ich do kolejnych procesów rekrutacyjnych jest normą w zasadzie w każdej firmie. Po wdrożeniu RODO taka praktyka w rekrutacji nie będzie już standardem. Jeśli kandydat nie wskaże wyraźnie, że możemy jego dane wykorzystywać w innych procesach rekrutacyjnych, ich przechowywanie staje się bezcelowe, a więc niezgodne z RODO. Chcąc więc zachować dokumenty kandydata lub wykorzystać je w innym procesie rekrutacyjnym, musimy go o tym poinformować, a on musi wyrazić na to kolejną zgodę, a jeśli jej nie uzyskamy, to jesteśmy zobowiązani zniszczyć i/lub skasować dokumenty po zakończonym procesie rekrutacji.
Zgody nie mogą być domniemane lub obowiązkowe – jeśli kandydat wypełnia formularz w systemie rekrutacyjnym, który zawiera na końcu klauzule, nie mogą być one automatycznie zaznaczone na tak. Zgoda musi być dobrowolna, jednoznaczna, konkretna i świadoma, najlepiej w formie oświadczenia, jednak to po stronie administratora danych będzie leżało wykazanie, że taka zgoda została wyrażona, więc jej forma powinna być zgodna z oczekiwaniami inspektora w razie kontroli. Może ona zostać w każdej chwili wycofana. Kandydat, niezależnie od złożonych zgód, będzie miał prawo między innymi do sprostowania lub usunięcia danych, ograniczenia ich przetwarzania czy uzyskania kopii danych. To wymaga stworzenia odpowiednich procedur, w których właściciel danych osobowych dowie się, jak to zrobić (poprzez wysłanie pisma, e-maila, sms-a lub telefonicznie).
Często proces rekrutacji, oprócz wysłania dokumentów, wymaga wypełnienia formularzy w systemach rekrutacyjnych. Do potencjalnego pracodawcy należy upewnienie się, że system rekrutacyjny, z którego korzysta lub inne rozwiązanie techniczne, są zgodne z wymogami unijnego rozporządzenia, czyli między innymi dobrze zabezpieczone.
Kolejną ważną czynnością, o która należy zadbać, żeby RODO w rekrutacji było odpowiednio przestrzegane, jest określenie kto i w jakim zakresie ma dostęp i uprawnienia do przetwarzania danych zawartych w aplikacjach i upewnienie się, że są to niezbędne osoby do przeprowadzenia procesu rekrutacji.
RODO wymaga również odpowiedniego zabezpieczenia danych osobowych oraz dokumentacji przetwarzania danych osobowych w swojej firmie. Jeśli w procesie rekrutacji korzystamy z pomocy zewnętrznych firm rekrutacyjnych, dodatkowo najpewniej będziemy musieli podpisać umowę powierzenia danych. Warto również stworzyć rejestr podmiotów, którym powierzane są dane osobowe.
Czego nie będzie można robić w procesie rekrutacji?
Jednym ze sposobów pozyskiwania aplikacji są polecenia wewnętrzne lub polecenia innych kandydatów i pracowników. Po wdrożeniu RODO te praktyki nie będą mogły być stosowane tak, jak dotychczas. Będziemy musieli spełnić obowiązek informacyjny wobec kandydata, co oznacza kolejną wewnętrzną procedurę oraz uzyskać zgodę dla danego procesu rekrutacji lub terminowego wykorzystania danych osobowych do wielu procesów. Po zakończeniu rekrutacji nie będzie też można przechowywać CV w folderach na komputerach i jako wydrukowanych dokumentów, ponieważ dane muszą być odpowiednio zabezpieczone. Nie będzie też można bez wiedzy i zgody właściciela danych osobowych, przekazywać tych danych innym firmom lub rekruterom, nawet, jeśli w naszej opinii jest to w interesie danej osoby.