Projekt ustawy o ochronie danych osobowych rzuca nowe światło na procesy rekrutacyjne w firmach

rekrutacja pracownik

Projekt przedstawiony 13 września 2017 roku został przygotowany w związku z koniecznością dostosowania prawa krajowego do unijnego rozporządzenia 2016/679 o ochronie danych osobowych („RODO”). – W kwietniu 2016 roku Parlament Europejski przyjął rozporządzenie, które wprowadza największą w historii reformę prawa ochrony danych osobowych. Rozporządzenie będzie obowiązywać we wszystkich krajach Unii Europejskiej od 25 maja 2018 roku. Do tego czasu pracodawcy muszą dostosować swoją strukturę organizacyjną i procedury do nowych wymogów. Opublikowany przez Ministerstwo Cyfryzacji projekt rozstrzyga istotne wątpliwości, w szczególności w zakresie możliwości pozyskiwania zgód pracowników i kandydatów do pracy – mówi Agnieszka Witaszek, ekspert ds. ochrony danych osobowych w eRecruiter.

Pracodawca może poprosić o e-mail lub numer telefonu kandydata

Projekt, podobnie jak obecnie obowiązujące przepisy kodeksu pracy, definiuje zakres danych osobowych, które mogą być pozyskiwane od kandydata na etapie rekrutacji (art. 221 § 1 kodeksu). Są to imię (imiona) i nazwisko, data urodzenia, adres do korespondencji, adres poczty elektronicznej albo numer telefonu, wykształcenie, przebieg dotychczasowego zatrudnienia. Dodatkowo, w nowym projekcie przewidziano możliwość pozyskiwania adresu poczty elektronicznej albo numeru telefonu. Choć trudno wyobrazić sobie przeprowadzenie procesu rekrutacji bez tych informacji, obecne przepisy kodeksu pracy nie wymieniają ich w swej treści. – W odniesieniu do tych dwóch nowych kategorii danych osobowych projekt posługuje się spójnikiem „albo”, czyli pracodawca nie może żądać od kandydata do pracy jednoczesnego podania numeru telefonu oraz adresu e-mail. Do nawiązania kontaktu z kandydatem do pracy wystarczy bowiem tylko jedna z dwóch wskazanych informacji, np. adres e-mail. Tak jest co do zasady, gdyż dodatkowo, za zgodą kandydata, pracodawca będzie mógł pozyskać numer telefonu potencjalnego pracownika – zwraca uwagę ekspert ds. ochrony danych osobowych w eRecruiter.

Kiedy zgoda kandydata niepotrzebna …

W zakresie danych osobowych, o których była mowa w art. 22(1) kodeksu pracy, zbieranie przez pracodawców od osób ubiegających się o zatrudnienie zgody na przetwarzanie tych danych będzie błędną praktyką. Zgodnie z art. 22(1) § 1 kodeksu pracy podstawą przetwarzania wymienionych danych osobowych będzie przepis prawa. Jednak na etapie zatrudnienia, zgodnie z treścią projektowanego art. 22(1) § 4 kodeksu pracy, dalsze przetwarzanie uzyskanego na etapie rekrutacji  adresu do korespondencji oraz adresu e-mail albo numeru telefonu kandydata, możliwe będzie wyłącznie po uzyskaniu jego zgody. Stąd pracodawca podczas procesu rekrutacyjnego powinien w pierwszej kolejności zbadać, czy dane, które chce pozyskiwać, wymienione w przepisach kodeksu pracy. Jeżeli nie to, czy obowiązek ich podania wynika z przepisów szczególnych lub czy jest to niezbędne do wypełnienia obowiązku przez pracodawcę.

…a kiedy jest konieczna?

Bez określonej podstawy prawnej, projekt dopuszcza możliwość pozyskiwania dodatkowych danych osobowych kandydata do pracy w oparciu o jego zgodę. Jest to bardzo istotna zmiana w stosunku do obecnie obowiązujących regulacji prawnych. Zgodnie z projektowanym art. 22(2) § 1 kodeksu pracy, przetwarzanie przez pracodawcę innych danych osobowych niż wymienionych powyżej jest dopuszczalne tylko wtedy, gdy dotyczą one stosunku pracy, a kandydat wyrazi na to zgodę w oświadczeniu (na papierze lub w e-mailu). – Może na przykład chodzić o wizerunek kandydata. Ponadto, choć projekt nie odnosi się wprost do przetwarzania danych kandydata na potrzeby przyszłych rekrutacji, to słusznym podejściem będzie przetwarzanie tych danych w oparciu o odrębną zgodę kandydata tak jak to miało miejsce dotychczas. A dzięki specjalnym aplikacjom takim jak eRecruiter pracodawcy mogą na bieżąco monitorować, jakie zgody zaakceptował kandydat. W przypadku kontroli łatwo i szybko mogą odtworzyć dokładne treści klauzul i udowodnić, czy kandydat wyraził zgodę na przykład na udział w przyszłych procesach rekrutacyjnych – podkreśla Agnieszka Witaszek z eRecruiter.

Czasami zgoda jest bezzasadna

Nie wszystkie dane osobowe będzie można pozyskiwać w oparciu o zgodę kandydata. Dotyczyć ma to m.in. biometrycznych danych osobowych, informacji o stanie zdrowia, nałogach, życiu seksualnym czy orientacji seksualnej. Nie oznacza to jednak, że przetwarzanie innych danych osobowych wrażliwych oraz danych o karalności możliwe będzie na etapie rekrutacji za zgodą kandydata. Takie wnioskowanie byłoby sprzeczne z wyrażoną w RODO zasadą minimalizacji danych. Dlatego, co do zasady, należy całkowicie wykluczyć możliwość przetwarzania danych osobowych wrażliwych w oparciu o zgodę kandydata.

Co z danymi biometrycznymi kandydata?

Biometryczne dane osobowe dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby. Może to być m.in. wizerunek twarzy czy odcisk palca. I o ile przepis szczególny nie będzie dawał takiej podstawy, to przetwarzanie wizerunku kandydata dopuszczalne będzie w oparciu o jego zgodę tylko wtedy, gdy wizerunek ten nie zostanie zakwalifikowany jako dana biometryczna (nie będzie przetwarzany szczególną techniką).. Przykład? Przetwarzanie wizerunku utrwalonego w postaci zdjęcia nadrukowanego w CV kandydata nie będzie przetwarzaniem danych osobowych biometrycznych. Będzie nim natomiast  zastosowanie rozwiązań pozwalających na rozpoznawanie twarzy w urządzeniach mobilnych.

– Nowe regulacje, zarówno te znajdujące się w RODO, jak i w naszej krajowej ustawie, mają być gwarancją dla obywateli, w tym kandydatów do pracy, że ich dane będą bezpieczne. By tak się stało również pracodawcy, w tym w szczególności przedstawiciele działów HR, IT i prawnych, muszą w ciągu najbliższych kilku miesięcy, odpowiednio przygotować kadry, infrastrukturę oraz politykę firmową do nowej rzeczywistości w zakresie ochrony danych osobowych. Nasza aplikacja eRecruiter, która między innymi służy do przetwarzania danych kandydatów do pracy, już od dłuższego czasu przechodzi istotne zmiany i jest dostosowywana do nowych wymogów. W efekcie, w wielu obszarach już odpowiada na wymogi określone w Rozporządzeniu o Ochronie Danych Osobowych i z pewnością będzie stanowić istotne wsparcie dla zespołów rekrutacyjnych w dostosowaniu się do nowych regulacji – podkreśla Agnieszka Witaszek, ekspert ds. ochrony danych osobowych w eRecruiter.