RODO | Prawo pracy | Rekrutacja
Rekrutacja jest jednym z tych procesów, w których granice przetwarzania danych osobowych wyznaczają równocześnie Kodeks pracy i RODO. Nie chodzi wyłącznie o przyjęcie CV ani o zamieszczenie klauzuli informacyjnej w ogłoszeniu. Kluczowe jest przede wszystkim to, jakie dane pracodawca może pozyskać, na jakiej podstawie może je wykorzystać, czy może sięgać po informacje z innych źródeł oraz jak długo może przechowywać dokumentację po zakończeniu naboru.
Oś oceny prawnej tworzy relacja między art. 22¹–22¹b k.p. a zasadami RODO, w szczególności zasadą minimalizacji danych, ograniczenia celu, ograniczenia przechowywania i rozliczalności. W praktyce oznacza to konieczność rozróżnienia danych, których pracodawca może żądać od kandydata, danych przekazanych z inicjatywy kandydata, danych wymagających szczególnej podstawy prawnej oraz danych przechowywanych po zakończeniu procesu rekrutacyjnego.
Zakres danych z art. 22¹ k.p.
Art. 22¹ k.p. określa katalog danych, których pracodawca może żądać od osoby ubiegającej się o zatrudnienie. Obejmuje on imię i nazwisko, datę urodzenia, dane kontaktowe wskazane przez kandydata, a także informacje o wykształceniu, kwalifikacjach zawodowych i przebiegu dotychczasowego zatrudnienia. Te ostatnie kategorie nie mają jednak charakteru automatycznego. Mogą być wymagane wtedy, gdy są niezbędne do wykonywania pracy określonego rodzaju albo pracy na określonym stanowisku.
Przepis art. 22¹ k.p. nie powinien być traktowany jako blankietowa podstawa do zbierania pełnego zestawu danych w każdej rekrutacji. Punkt ciężkości przesuwa się na ocenę konkretnego stanowiska. Inny zakres danych może być uzasadniony przy stanowisku wymagającym określonych uprawnień zawodowych, doświadczenia wynikającego z przepisów sektorowych albo szczególnej odpowiedzialności, a inny przy stanowisku, dla którego takie kryteria nie mają znaczenia.
W tym kontekście formularz rekrutacyjny staje się jednym z najważniejszych punktów kontroli zgodności. Jeżeli ten sam formularz stosowany jest do różnych naborów, niezależnie od stanowiska i rodzaju pracy, pojawia się ryzyko systemowego pozyskiwania danych nadmiarowych. Zasada minimalizacji z art. 5 ust. 1 lit. c RODO wymaga, aby dane były adekwatne, stosowne i ograniczone do tego, co niezbędne dla danego celu. W trakcie procesu rekrutacji pytanie nie brzmi, czy informacja może być organizacyjnie użyteczna, lecz czy jest potrzebna do oceny kandydata na dane stanowisko.
Szczególne znaczenie ma informacja o wynagrodzeniu. Katalog danych kandydata nie obejmuje informacji o wynagrodzeniu w obecnym ani poprzednich stosunkach pracy. Należy jednak odróżnić pytanie o dotychczasowe zarobki od rozmowy o oczekiwaniach finansowych kandydata albo od obowiązków informacyjnych pracodawcy dotyczących warunków oferowanego stanowiska. Pierwsze dotyczy danych o wcześniejszych relacjach zatrudnienia, drugie — warunków przyszłej współpracy.
Dane przekazywane z inicjatywy kandydata
Osobnej oceny wymagają dane, których pracodawca nie żąda, ale które kandydat sam zamieszcza w dokumentach aplikacyjnych. Może to dotyczyć zdjęcia, portfolio, linku do profilu zawodowego, opisu projektów, informacji o zainteresowaniach albo innych danych niewymienionych w art. 22¹ k.p.
Sam fakt przekazania takich informacji przez kandydata nie oznacza, że pracodawca może wykorzystywać je w dowolnym zakresie. Art. 22¹a k.p. dopuszcza przetwarzanie innych danych osobowych niż wskazane w art. 22¹ k.p. na podstawie zgody osoby ubiegającej się o zatrudnienie. Jednocześnie brak zgody albo jej cofnięcie nie może prowadzić do niekorzystnego traktowania kandydata ani powodować wobec niego negatywnych konsekwencji.
Zgoda w procesie rekrutacji nie jest więc instrumentem dowolnego rozszerzania zakresu danych. Jeżeli kandydat przekazuje informacje dodatkowe, administrator nadal powinien przypisać je do określonego celu, podstawy prawnej i zakresu wykorzystania. W przeciwnym razie dane przekazane „dobrowolnie” mogą stać się danymi przetwarzanymi nadmiarowo, zwłaszcza gdy nie mają realnego związku z wymaganiami stanowiska.
Dane szczególne, karalność i wymogi sektorowe
Dane szczególnych kategorii, o których mowa w art. 9 RODO, wymagają odrębnej oceny. Chodzi m.in. o dane dotyczące zdrowia, niepełnosprawności, poglądów politycznych, przekonań religijnych, przynależności związkowej, danych biometrycznych lub pochodzenia rasowego albo etnicznego. W rekrutacji przetwarzanie takich danych powinno mieć charakter wyjątkowy.
Art. 22¹b k.p. przewiduje, że zgoda może stanowić podstawę przetwarzania danych szczególnych kategorii tylko wtedy, gdy ich przekazanie następuje z inicjatywy osoby ubiegającej się o zatrudnienie. Oznacza to istotne ograniczenie po stronie pracodawcy. Proces rekrutacyjny nie powinien być projektowany w sposób prowadzący do żądania takich danych, chyba że szczególny przepis prawa przewiduje odmienną podstawę.
Odrębny reżim dotyczy danych o wyrokach skazujących i naruszeniach prawa, o których mowa w art. 10 RODO. Przetwarzanie takich danych wymaga podstawy w prawie Unii albo prawie krajowym. W praktyce znaczenie mogą mieć tu przepisy sektorowe, zwłaszcza w obszarach regulowanych, w których wymogi niekaralności, rękojmi należytego wykonywania obowiązków albo reputacji są powiązane z konkretną funkcją. Tego rodzaju weryfikacja nie powinna być jednak traktowana jako standardowy element każdej rekrutacji.
Referencje, media społecznościowe i dane z innych źródeł
Rekrutacja nie zawsze opiera się wyłącznie na informacjach przekazanych bezpośrednio przez kandydata. W praktyce pojawiają się referencje, rekomendacje, informacje przekazane przez agencję rekrutacyjną albo dane dostępne w internecie. Ten obszar wymaga szczególnej ostrożności, ponieważ zmienia źródło danych i może aktualizować po stronie administratora obowiązek informacyjny wynikający z art. 14 RODO.
Pozyskiwanie referencji należy oceniać przez pryzmat celu, adekwatności i przejrzystości procesu. Inaczej wygląda sytuacja, gdy kandydat sam wskazuje osobę mogącą udzielić referencji, a inaczej gdy pracodawca zbiera opinie bez jego wiedzy. W drugim przypadku problem dotyczy nie tylko podstawy przetwarzania danych, lecz także rzetelności naboru i potencjalnej ingerencji w dobra osobiste.
Podobne rozróżnienie dotyczy mediów społecznościowych. Publiczny profil zawodowy może pozostawać w związku z oceną doświadczenia lub portfolio. Prywatny profil społecznościowy co do zasady nie powinien być traktowany jako standardowe źródło informacji rekrutacyjnych. Publiczna dostępność danych nie przesądza jeszcze o legalności ich wykorzystania w procesie naboru.
Obowiązek informacyjny i przejrzystość modelu rekrutacji
Art. 13 RODO wymaga przekazania kandydatowi informacji o administratorze, celach i podstawach przetwarzania, odbiorcach danych, okresie przechowywania, przysługujących prawach oraz ewentualnym zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu. Obowiązek informacyjny nie ma jednak wyłącznie znaczenia formalnego. Jest sprawdzianem tego, czy pracodawca potrafi opisać rzeczywisty model przetwarzania danych w rekrutacji.
Problem pojawia się zwłaszcza wtedy, gdy w naborze uczestniczy kilka podmiotów: pracodawca, agencja rekrutacyjna, operator platformy, spółka z grupy kapitałowej albo dostawca systemu rekrutacyjnego. Kandydat powinien móc ustalić, kto jest administratorem jego danych, komu dane są ujawniane, kto działa jako podmiot przetwarzający oraz jak długo dane będą przechowywane. Nieadekwatna klauzula informacyjna często ujawnia głębszy problem — brak spójnego określenia ról, celów i podstaw przetwarzania.
Retencja po zakończeniu naboru
Zakończenie rekrutacji powinno prowadzić do odrębnej oceny dalszego przechowywania danych. Zasada ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO) wymaga, aby dane były przechowywane nie dłużej, niż jest to niezbędne dla celów, w których są przetwarzane.
W podstawowym modelu dane kandydata, który nie został zatrudniony, powinny zostać usunięte po zakończeniu naboru, chyba że istnieje odrębna podstawa dalszego przetwarzania. Taką podstawą może być zgoda na udział w przyszłych rekrutacjach. Powinna być ona jednak odrębna od aktualnego naboru i odnosić się do jasno określonego celu oraz okresu przechowywania danych.
Dalsze przechowywanie części danych może być również analizowane w kontekście dochodzenia lub obrony przed roszczeniami. Nie powinno to jednak prowadzić do automatycznego przechowywania pełnej dokumentacji wszystkich kandydatów przez maksymalny możliwy okres. Inaczej należy oceniać przechowywanie pełnego CV, inaczej informacji o udziale w rekrutacji, a jeszcze inaczej korespondencji dotyczącej przebiegu naboru.
Bezpieczeństwo i rozliczalność
Dane kandydatów obejmują często szczegółowe informacje o przebiegu kariery, kwalifikacjach, historii zatrudnienia, danych kontaktowych i oczekiwaniach wobec przyszłej pracy. Ich ochrona wymaga odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 RODO.
Bezpieczeństwo rekrutacji obejmuje nie tylko zabezpieczenie systemu informatycznego. Dotyczy również kontroli dostępu do aplikacji, zasad przekazywania CV między działami, ograniczenia uprawnień osób uczestniczących w naborze, ochrony korespondencji oraz procedur usuwania danych po zakończeniu rekrutacji.
Zasada rozliczalności oznacza, że administrator powinien być w stanie wykazać, dlaczego określone dane były zbierane, na jakiej podstawie były przetwarzane, komu zostały ujawnione, jak długo były przechowywane i kiedy zostały usunięte. W tym sensie prawidłowo zaprojektowana rekrutacja wymaga nie tylko legalnej podstawy pozyskania danych, lecz także spójnego zarządzania całym cyklem ich przetwarzania.
Wnioski
RODO w rekrutacji nie sprowadza się wyłącznie do klauzuli informacyjnej ani zgody dołączonej do CV. O zgodności procesu decyduje to, czy pracodawca potrafi przypisać każdą kategorię danych do właściwego celu, podstawy prawnej i okresu przechowywania.
Najważniejsze znaczenie ma rozróżnienie danych, których można żądać na podstawie art. 22¹ k.p., danych przekazywanych z inicjatywy kandydata, danych wymagających szczególnej podstawy oraz danych przechowywanych po zakończeniu naboru. Każda z tych kategorii podlega innej ocenie prawnej.
Dla działów HR, prawnych i compliance istotny jest cały model rekrutacji: formularz aplikacyjny, pytania do kandydata, źródła pozyskiwania informacji, retencja danych, rola agencji HR, automatyzacja selekcji i bezpieczeństwo dostępu do aplikacji. To w tych elementach najczęściej ujawnia się różnica między formalną a rzeczywistą zgodnością procesu z RODO.
Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej.