Zlecasz agencji rekrutacyjnej przeprowadzenie rekrutacji? Korzystasz z pomocy profesjonalisty, żeby powierzyć im część działań związanych z wyszukaniem kandydatów? Pamiętaj, że Twoja firma, jako potencjalny pracodawca, ma pewne obowiązki do wykonania względem danych swoich kandydatów, ale najpierw musi potwierdzić, jaką rolę w tym procesie pełni (czy i kiedy jest administratorem danych?). W tym wpisie chcę Ci pomóc to ustalić.
Najczęściej w naturze spotykamy trzy przypadki i spróbuj dopasować swoją sytuację do któregoś z nich:
PRZYPADEK 1 – agencja i pracodawca są odrębnymi administratorami
Pracodawca określił agencji swoje wymagania co do profilu kandydata, natomiast umowa z agencją przewiduje, że agencja będzie korzystać z własnych baz. Baza kandydatów w agencji składa się z danych osób, które wyraziły zgodę na przetwarzanie danych przez agencję w celach prowadzenia procesów rekrutacyjnych odpowiadających kompetencjom kandydata. Agencja we własnym imieniu włączyła kandydatów do swoich zbiorów danych i jest administratorem danych takich osób. Poza zebraniem zgody na przetwarzanie danych przez siebie, spełniła obowiązek informacyjny wskazując kategorie odbiorców – potencjalnych pracodawców (czyli np. Twoją firmę).
Agencja następnie od kandydatów odpowiadających wskazanym kryteriom pozyskuje zgodę na udostępnienie ich danych konkretnemu pracodawcy (w tym przypadku – Twojej firmie), a następnie udostępnia pracodawcy takie dane osobowe, wraz z potwierdzeniem wyrażenia zgody.
W momencie otrzymania dokumentów aplikacyjnych (w tym danych kandydata + zgody na udostępnienie) staje się administratorem danych osobowych. W takim przypadku pracodawca musi spełnić tzw. wtórny obowiązek informacyjny, czyli poinformować kandydata o tym, jak będzie przetwarzał jego dane osobowe (np. skąd je pozyskał, jak długo będzie je przetwarzał, na jakiej podstawie, komu je ujawni, itp.).
W tym scenariuszu mamy dwóch administratorów danych: agencję rekrutacyjną i pracodawcę.
Jeżeli zgoda na udostępnienie danych, którą zebrała agencja, będzie spełniać wymagania RODO (będzie konkretna, zrozumiała, świadomie wyrażona, itp.) – Twoja firma, jako przyszły pracodawca, może bazować na tej zgodzie i nie musi zbierać drugiej, własnej. Powinniście mieć jednak od agencji potwierdzenie (dowód) wyrażenia takiej zgody (treść, datę, kto wyrażał, źródło).
PRZYPADEK 2 – agencja jest wyłącznie podmiotem przetwarzającym działającym na rzecz pracodawcy-administratora
Agencja nie wyszukuje kandydatów z własnych zasobów, ale w sposób aktywny poszukuje ich w imieniu pracodawcy. Agencja (również w imieniu pracodawcy) zbiera zgody pracodawcy (na obecny lub przyszłe procesy rekrutacyjne – w zależności od wytycznych pracodawcy). Działając na podstawie instrukcji pracodawcy, agencja jest podmiotem przetwarzającym dane na rzecz pracodawcy, a pracodawca w tym modelu występuje jako administrator danych kandydatów od samego początku procesu rekrutacyjnego. Agencja w imieniu pracodawcy spełnia zatem także obowiązek informacyjny.
W związku z tym, że Twoja firma, jako pracodawca, odpowiada za przetwarzanie danych jako ich administrator od samego początku (a więc już w momencie zbierania danych przez agencję), w umowie o współpracy trzeba zastrzec, że agencja w Waszym imieniu dopełni obowiązku informacyjnego (przekaże kandydatom w momencie zbierania danych informacje o tym, jak pracodawca będzie je przetwarzał). Najlepiej też od razu w umowie podać treść klauzuli informacyjnej, którą agencja w Waszym imieniu, jako pracodawcy, będzie przekazywała kandydatom. W umowie o współpracy powinniście także wymagać, że agencja zbierze odpowiednie zgody dotyczące przetwarzania danych przez pracodawcę (i podać treść wymaganych przez Was klauzul zgód). Agencja powinna przekazywać pracodawcy dane wraz ze zgodami (na potwierdzenie ich wyrażenia – treść, datę, kto wyrażał, źródło).
PRZYPADEK 3 – model mieszany (kiedy agencja działa zarówno jako odrębny administrator, jak i podmiot przetwarzający)
Rekrutacja odbywa się dwutorowo: agencja w imieniu pracodawcy wyszukuje kandydatów poprzez ogłoszenia o pracę. Jednocześnie działa również tak, jak w przypadku nr 1, czyli czerpie aplikacje ze swoich własnych zbiorów danych, ale i przy okazji zamieszczenia ogłoszeń o pracę wyszukuje nowych kandydatów do swojej bazy (zamieszcza ogłoszenia o pracę, nawiązuje kontakty poprzez dedykowane portale). W tym przypadku mamy do czynienia z połączeniem modeli opisanych wcześniej – wobec części danych pracodawca będzie administratorem, a agencja – podmiotem przetwarzającym, a wobec innych – to agencja będzie „pierwotnym” administratorem, a pracodawca będzie drugim administratorem
Samodzielne sprawdzenie – który to model współpracy?
Nawiązujesz akurat współpracę z agencją rekrutacyjną? Odpowiedz na te trzy zasadnicze pytania:
- Czy dane osobowe kandydatów do pracy będą pochodziły z zasobów agencji rekrutacyjnej?
- Czy ogłoszenia o pracę będą zamieszczane wyłącznie w imieniu Pracodawcy?
- Czy agencja będzie jednocześnie zbierała dane w imieniu pracodawcy i włączała dane kandydatów do swoich zbiorów danych lub wyszukiwała kandydatury ze swojej bazy?
Może i to dopiero początek góry lodowej, ale to już dobra podstawa do tego, aby dalej:
- prawidłowo ocenić umowę z agencją, w tym: zawrzeć umowę powierzenia danych albo uzgodnić warunki udostępnienia danych, potwierdzić treść stosowanych klauzul,
- dopiąć ustalenia na poziomie procesu a zwłaszcza, w jaki sposób w praktyce przekazywać dane i zgody pomiędzy agencją i pracodawcą (np. Załączenie CV bezpośrednio do ATS, mailowo?)
Jeśli współpracujesz z agencją rekrutacyjną i chcesz mieć pewność, że dane kandydatów są przetwarzane zgodnie z RODO – możemy to ułatwić. Ocenimy dla Ciebie model współpracy i sprawdzimy, jaką rolę pełnią strony (administrator czy procesor), przygotujemy lub zweryfikujemy umowę z agencją, opracujemy odpowiednie klauzule informacyjne i wzory zgód. Pomożemy Ci także ułożyć proces przekazywania danych w praktyce – tak, aby był zgodny z prawem i nie budził wątpliwości podczas kontroli.
