iSecure logo
  • pl
  • en
    • Blog

    Obowiązek informacyjny w rekrutacji

    Michał Sztąberek
    Kategorie

    Czym jest obowiązek informacyjny?

    Uważni Czytelnicy bloga iSecure zdają sobie doskonale sprawę, że nie można (co do zasady) zbierać danych osobowych bez dopełnienia obowiązku informacyjnego. Ale zapewne znajdą się i tacy dla których ten wpis będzie ich pierwszym kontaktem z naszym blogiem. Dlatego na wstępie króciutko wyjaśnię czym jest cały ten „obowiązek informacyjny”. Generalna idea jest taka, by istniał mechanizm, który ma służyć zapewnieniu osobom, których dane dotyczą, świadomości przetwarzania ich danych. Dzięki temu zainteresowany może dokonać oceny celu, zakresu i niezbędności przetwarzania jego danych osobowych i na tej podstawie podjąć decyzję czy chce, by dane były przetwarzane. Innym aspektem stojącym za ideą obowiązku informacyjnego jest możliwość sprawowania faktycznej kontroli nad tym, kto, kiedy, w jaki sposób i w jakim celu pozyskuje informacje na temat zainteresowanego, tym samym zmniejszając ryzyko nadużyć ze strony administratorów.

    Uff, skoro mamy już to wyjaśnione, możemy przejść do meritum, a mianowicie klauzuli informacyjnej, która powinna być stosowana przy okazji prowadzenia rekrutacji. Chciałbym jednak od razu zastrzec jedną rzecz – w niniejszym wpisie skupię się na sytuacji, w której rekrutacja prowadzona jest bezpośrednio przez pracodawcę szukającego nowego pracownika. Nie będę natomiast analizował przypadku, w którym w grę wchodzi agencja pośrednicząca typu direct search, itp.

     

    Jakie informacje muszą znaleźć się w klauzuli?

    Zasady konstruowania obowiązku informacyjnego są uniwersalne bez względu na cel. Krótko mówiąc nasza klauzula musi spełniać wymogi wskazane w art. 13 ust. 1 i 2 RODO, a zatem musi zawierać:

    1. informacje rejestrowe (pełna nazwa organizacji, adres siedziby) oraz dane kontaktowe administratora danych (wskazanie w jaki sposób można się z nim skontaktować),
    2. jeśli w organizacji powołany został inspektor ochrony danych (IOD) – jego dane kontaktowe,
    3. cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania,
    4. jeżeli przetwarzanie odbywa się na podstawie tzw. prawnie uzasadnionego interesu administratora danych (art. 6 ust. 1 lit. f RODO) – wskazanie tego interesu,
    5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją (czyli wskazanie komu udostępniamy dane osobowe),
    6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony lub wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia,
    7. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
    8. informacje o przysługujących uprawnieniach np. usunięcia danych, wycofania zgody, możliwości wniesienia skargi do UODO,
    9. wskazanie czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
    10. jeśli ma zastosowanie – informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

    Nie da się ukryć, że powyższa lista jest dość imponująca, a sam obowiązek informacyjny ma duże szanse stać się dłuższy od samego ogłoszenia o pracę, które opublikuje pracodawca poszukujący kandydatów do pracy… Chciałoby się powiedzieć – takie są koszty transparentności w zakresie ochrony danych osobowych 😉

     

    Omówienie wybranych elementów obowiązku informacyjnego

    Cele i podstawy przetwarzania

    Dobrze, omówmy sobie zatem te bardziej skomplikowane fragmenty klauzuli informacyjnej.  Przeskoczmy zatem od razu do pkt. 3, czyli celów przetwarzania i ich podstaw prawnych. Na pewno w naszym obowiązku informacyjnym pojawi się następujący: ocena kwalifikacji kandydata i umiejętności potrzebnych do pracy na stanowisku, na które kandydat aplikuje oraz wybrania odpowiedniego kandydata do pracy w ramach bieżącego procesu rekrutacji. W końcu to nasz podstawowy i najważniejszy zarazem cel zebrania CV. Wielu pracodawców lubi – przy okazji bieżącej rekrutacji – gromadzić dane również na wypadek przyszłych procesów rekrutacyjnych. W takim razie dodajmy od razu kolejny cel, a mianowicie wybranie odpowiedniego kandydata do pracy w ramach przyszłych procesów rekrutacyjnych (uwaga – na ten cel wymagana jest zgoda na przetwarzanie danych). Spójrzmy teraz na podstawy prawne przetwarzania (a także na potencjalny zakres danych). Jest to o tyle skomplikowane, że będą się one nieco różnić w zależności od tego, czy zatrudnienie potencjalnego kandydata nastąpi na podstawie umowy o pracę czy umowy cywilnoprawnej.

    W przypadku, gdy preferowaną formą zatrudnienia jest umowa o pracę, dane osobowe kandydatów są przetwarzane na podstawie:

    • art. 6 ust. 1 lit. c) RODO – w zakresie danych osobowych wskazanych w art. 22(1) § 1 kodeksu pracy (imię lub imiona, nazwisko, data urodzenia, dane kontaktowe, wykształcenie, kwalifikacje zawodowe, przebieg dotychczasowego zatrudnienia) – przetwarzanie danych osobowych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na pracodawcy, 
    • art. 9 ust. 2 lit. b) RODO w związku z przepisami ustawy o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych – w zakresie danych o niepełnosprawności (w przypadku, gdy kandydat poda takie dane w dokumentach aplikacyjnych z własnej inicjatywy) – przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez pracodawcę lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, 
    • art. 6 ust. 1 lit. f) RODO – w zakresie danych osobowych zebranych podczas rozmowy rekrutacyjnej oraz wyników ewentualnych testów kwalifikacyjnych – przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez pracodawcę, polegających na weryfikacji kwalifikacji i umiejętności kandydatów do pracy w celu wybrania odpowiedniej osoby na stanowisko, na które jest prowadzona rekrutacja, 
    • art. 6 ust. 1 lit. a) RODO, tj. na podstawie dobrowolnej zgody kandydata – w zakresie danych podanych przez kandydata w dokumentach aplikacyjnych, innych niż dane wskazane w art. 22(1) § 1 kodeksu pracy oraz dane o niepełnosprawności,
    • art. 6 ust. 1 lit a) RODO i art. 9 ust. 2 lit. a) RODO, tj. na podstawie dobrowolnej zgody kandydata na przetwarzanie danych osobowych na potrzeby przyszłych procesów rekrutacyjnych – w odniesieniu do wszystkich danych osobowych zawartych w dokumentach aplikacyjnych przesłanych przez kandydata.

     

    W przypadku, gdy preferowaną formą zatrudnienia jest umowa cywilnoprawna, dane osobowe kandydatów są przetwarzane w powyższych celach na podstawie: 

    • art. 6 ust. 1 lit. b) RODO – w zakresie danych niezbędnych do oceny kompetencji i kwalifikacji kandydata (imię, nazwisko, data urodzenia, dane kontaktowe, wykształcenie, kwalifikacje zawodowe, przebieg dotychczasowego zatrudnienia), gdyż przetwarzanie tych danych jest niezbędne do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; 
    • jeśli kandydat zamieści w dokumentach aplikacyjnych z własnej inicjatywy dane dotyczące zdrowia lub inne dane szczególnych kategorii – na podstawie art. 9 ust. 2 lit. a) RODO, tj. na podstawie zgody kandydata; 
    • w zakresie innych danych osobowych niż wskazane powyżej, a zamieszczonych w dokumentach aplikacyjnych – na podstawie art. 6 ust. 1 lit. a) RODO tj. na podstawie udzielonej przez kandydata zgody;
    • art. 6 ust. 1 lit. f) RODO – w zakresie danych osobowych zebranych podczas rozmowy rekrutacyjnej oraz wyników ewentualnych testów kwalifikacyjnych – przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez zleceniodawcę, polegających na weryfikacji kwalifikacji i umiejętności kandydatów do współpracy w celu wybrania odpowiedniej osoby na stanowisko, na które jest prowadzona rekrutacja; 
    • art. 6 ust. 1 lit a) RODO oraz ewentualnie art. 9 ust. 2 lit. a) RODO, tj. na podstawie dobrowolnej zgody kandydata na przetwarzanie danych osobowych na potrzeby przyszłych procesów rekrutacyjnych – w odniesieniu do wszystkich danych osobowych zawartych w dokumentach aplikacyjnych przesłanych przez kandydata. 

    Jak widać, warto od razu zadecydować, czy nasz kandydat zostanie zatrudniony na etat, czy w oparciu o umowę cywilnoprawną. Wówczas klauzula niemal z automatu robi się nieco krótsza 😉

     

    Retencja danych

    W tej części klauzuli musimy wskazać czas przetwarzania danych, ew. kryteria ustalenia tego czasu np. do zakończenia procesu rekrutacyjnego. Wskazujemy zatem jak długo będą przechowywane dane zgromadzone na potrzeby rekrutacji, a jeśli zbieramy je również na potrzeby przyszłych procesów – określamy od razu jak długo będą przechowywane dla realizacji tego celu.

     

    Odbiorcy danych

    Ta część klauzuli zarezerwowana jest dla informacji o tym, komu dane kandydatów do pracy są udostępniane. Najczęściej wskażemy tu tych dostawców usług dla pracodawcy, którzy są w stosunku do niego procesorami (podmiotami przetwarzającymi) np. podmioty świadczące usługi IT.

     

    Transfer danych poza EOG

    Jeśli pracodawca poszukujący pracownika np. korzysta z usług podmiotu, który ma siedzibę poza Europejskim Obszarem Gospodarczym, to dochodzi wówczas do transferu danych do tzw. państw trzecich. W tej sytuacji musimy podać garść szczegółów na temat tego na jakiej podstawie prawnej ten transfer się odbywa. Obecnie (po wyroku w sprawie tzw. Schrems II) będzie to możliwe w oparciu o poniżej określone zasady:

    • w stosunku do państwa docelowego została wydana stosowna decyzja Komisji Europejskiej lub,
    • stosowane są standardowe klauzule umowne wydane przez Komisję Europejską lub,
    • stosowane są wiążące reguły korporacyjne, zatwierdzone przez właściwy organ nadzorczy np. UODO.

     

    Uprawnienia kandydatów do pracy

    W tej części musimy wskazać jakie uprawnienia przysługują kandydatowi do pracy w kontekście tego, że udostępnia swoje dane potencjalnemu pracodawcy. Wpisujemy zatem następujące uprawnienia:

    • prawo dostępu do danych osobowych (art. 15 RODO), w tym uzyskania kopii danych (art. 15 ust. 3 RODO),
    • prawo sprostowania (poprawienia) lub uzupełnienia niekompletnych danych osobowych (art. 16 RODO), 
    • prawo żądania usunięcia danych osobowych w przypadkach przewidzianych prawem (art. 17 RODO),
    • prawo wniesienia żądania ograniczenia przetwarzania danych osobowych (art. 18 RODO),
    • prawo do otrzymania swoich danych w ustrukturyzowanym powszechnie używanym formacie oraz ich przenoszenia, gdy przetwarzanie odbywa się na podstawie zgody lub zawartej umowy, a także gdy przetwarzanie jest wykonywane w sposób zautomatyzowany (art. 20 RODO),
    • prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych w przypadku, gdy przetwarzanie jest niezbędne dla wypełnienia celów wynikających z prawnie uzasadnionych interesów pracodawcy (art. 21 RODO),
    • w przypadkach, w których przetwarzanie danych odbywa się na podstawie udzielonej zgody, przysługuje prawo do cofnięcia udzielonych zgód w każdym momencie, lecz bez wpływu na zgodność z prawem przetwarzania przed ich cofnięciem,
    • prawo do wniesienia skargi do organu nadzorczego, tj. do Prezesa Urzędu Ochrony Danych Osobowych 

     

    Obowiązek lub dobrowolność podania danych

    Nie da się ukryć, że bez podania danych nie będzie możliwe przeprowadzenie rekrutacji. Ciężko jednak tu mówić o obowiązku ich podania, ponieważ nie wymusza tego żaden przepis prawa. Ich podanie będzie zatem dobrowolne, ale niezbędne do tego, by kandydat do pracy był w ogóle brany pod uwagę przy rekrutacji. Podanie danych w aplikacji o pracę w zakresie: imię, nazwisko, data urodzenia, dane kontaktowe, wykształcenie, kwalifikacje zawodowe, przebieg dotychczasowego zatrudnienia, będzie niezbędne w celu uczestnictwa w bieżącym procesie rekrutacyjnym i ew. przyszłych rekrutacjach. Ich niepodanie będzie skutkowało brakiem możliwości rozpatrzenia danej kandydatury w procesie rekrutacyjnym. Podanie danych osobowych innych niż te, o których mowa powyżej, będzie dobrowolne i nie będzie mieć negatywnego wpływu na rozpatrzenie danej kandydatury w procesie rekrutacyjnym.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych
    Maria Lothamer

    Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych

    Wśród specjalistów, którzy pracują na styku prawa i nowych technologii trwa dyskusja czy przepisy Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) stoją w sprzeczności z fundamentami działania technologii rejestrów rozproszonych, jak Bitcoin, Ethereum czy Ripple. Jeśli jednak przyjrzeć się fundamentom działania rejestrów rozproszonych, to okaże się, że obawy dotyczące RODO nie mają podstaw. Mało tego, przepisy RODO w wielu wypadkach w ogóle mogą nie mieć zastosowania w odniesieniu do rejestrów rozproszonych.

    Czytaj więcej
    Katarzyna Ułasiuk-Delamare

    Pułapki i błędy w zbieraniu zgody

    Jeżeli ktoś słyszał o ochronie danych osobowych, to na pewno słyszał o zgodzie na ich przetwarzanie. Co gorsza, im więcej mówi się o przestrzeganiu RODO, tym częściej słyszymy to i ówdzie: „nie wyrażałem zgody na ich przetwarzanie, proszę o usunięcie”, czy „jakim prawem przetwarzacie dane, nie udzielałem na to zgody”. Chociaż temat zbierania zgód na […]

    Czytaj więcej
    Adres IP daną osobową
    Damian Bielecki

    CZYM JEST MALWARE?

    Każdy z nas słyszał o zagrożeniach związanych z wykorzystywaniem sprzętów elektronicznych, a w szczególności o zagrożeniach wynikających z korzystania z Internetu i pobierania niebezpiecznych plików pochodzących z nieznanych źródeł. Powszechnie stosowanym określeniem na niebezpieczne aplikacje stosowane w urządzeniach teleinformatycznych jest “malware”. Dlaczego malware jest tak niebezpieczny? Czy zagrożony jest każdy komputer? Czy malware i wirus […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki