iSecure logo
  • pl
  • en
    • Blog

    Rekrutacja a RODO – praktyczny przewodnik dla HR

    Nina Zacharska
    Kategorie

    RODO towarzyszy działom HR już od ponad 7 lat, ale wciąż budzi wiele pytań. Czy musimy mieć zgodę kandydata na przetwarzanie jego danych? Jak długo wolno przechowywać CV? Co zrobić, gdy ktoś zażąda ich usunięcia?

    W tym artykule znajdziesz praktyczne odpowiedzi i wskazówki, jak prowadzić rekrutacje zgodnie z przepisami, ale też zdrowym rozsądkiem – tak, by chronić dane, wypełniać obowiązki nałożone przez RODO i nie komplikując niepotrzebnie procesów.

    Trzy filary przetwarzania danych w rekrutacji

    Skuteczna i zgodna z prawem rekrutacja powinna opierać się na trzech zasadach określonych w RODO (art. 5):

    1. Legalność i przejrzystość – dane kandydatów należy przetwarzać na zgodnej z prawem podstawie (np. przepisy Kodeksu pracy, zgoda, prawnie uzasadniony interes) i w sposób zrozumiały dla kandydata.
    2. Ograniczenie czasowe – dane można przetwarzać wyłącznie przez okres niezbędny do realizacji celu rekrutacyjnego; po tym czasie powinny zostać usunięte lub zanonimizowane.
    3. Minimalizacja danych – pracodawca powinien gromadzić tylko te dane, które są rzeczywiście potrzebne do oceny kwalifikacji kandydata.

    Podstawa prawna przetwarzania danych kandydatów – według UODO

    Zgodnie z interpretacją Urzędu Ochrony Danych Osobowych (UODO), różne rodzaje danych kandydatów mogą być przetwarzane na odmiennych podstawach prawnych.
    W praktyce stosuje się trzy główne przesłanki:

    6 ust. 1 lit. b RODO – niezbędność do podjęcia działań przed zawarciem umowy

    Ta podstawa ma zastosowanie do danych, które kandydat przekazuje, aby umożliwić podjęcie decyzji o ewentualnym zatrudnieniu (np. dane kontaktowe, wykształcenie, doświadczenie zawodowe).
    UODO uznaje, że rekrutacja jest etapem poprzedzającym zawarcie umowy o pracę, więc przetwarzanie takich danych jest niezbędne do działań przedumownych.

    6 ust. 1 lit. c RODO – obowiązek prawny administratora

    W odniesieniu do danych, których podanie wynika bezpośrednio z Kodeksu pracy (np. imię, nazwisko, adres do korespondencji, wykształcenie, przebieg dotychczasowego zatrudnienia), podstawą przetwarzania jest obowiązek prawny ciążący na pracodawcy.
    UODO wyraźnie podkreśla, że w takim zakresie zgoda kandydata nie jest wymagana, ponieważ dane te są niezbędne do spełnienia obowiązku prawnego wynikającego z przepisów o zatrudnieniu.

     6 ust. 1 lit. a RODO – zgoda kandydata

    Zgoda jest konieczna w przypadku danych wykraczających poza katalog określony w prawie pracy, a także w sytuacji, gdy kandydat chce, by jego dane były przetwarzane na potrzeby przyszłych rekrutacji. Zgoda musi być dobrowolna, konkretna i świadoma, a jej brak nie może wpływać na udział w bieżącym procesie rekrutacyjnym.

    UODO w swoich klauzulach informacyjnych, wyraźnie rozdziela te podstawy prawne, wskazując, które dane są przetwarzane na podstawie przepisów prawa, a które – za zgodą kandydata[1].

    Klauzula informacyjna – niezbędny element ogłoszenia

    Każde ogłoszenie o pracę lub formularz aplikacyjny powinien zawierać klauzulę informacyjną, zgodną z art. 13 RODO.

    Powinna ona obejmować:

    • dane administratora i inspektora ochrony danych,
    • cele i podstawy prawne przetwarzania,
    • informacje o odbiorcach danych (np. dostawcach systemów ATS),
    • okres przechowywania danych,
    • prawa kandydata (dostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw),
    • informację o przekazywaniu danych poza EOG (jeśli dotyczy),
    • informację o profilowaniu (jeśli występuje).

    Zaleca się, by klauzula była napisana prostym językiem, ale zachowywała precyzję terminologiczną.

    Czas przechowywania danych kandydatów

    Zgodnie z zasadą ograniczenia przechowywania wynikającą z art. 5 ust. 1 lit. e RODO, dane osobowe powinny być przechowywane nie dłużej niż jest to niezbędne do celów, w których zostały zgromadzone. Oznacza to, że po zakończeniu procesu rekrutacyjnego generalnie dane kandydatów niezatrudnionych należy usunąć lub zanonimizować, gdyż cel rekrutacji wygasł.

    Jednak praktyka prawna i orzecznictwo w Polsce dopuszczają wyjątek — o ile występuje uzasadniony interes administratora umożliwiający dalsze przetwarzanie danych przez ograniczony czas. W orzeczeniu Naczelnego Sądu Administracyjnego (sygn. III OSK 2700/22) NSA uznał, że pracodawca może przetwarzać dane kandydatów, którzy nie zostali zatrudnieni, po zakończeniu rekrutacji — do terminu przedawnienia roszczeń, czyli przez maksymalnie 3 lata od zakończenia rekrutacji (odniesienie do przedawnienia roszczeń z Kodeksu pracy)[2].

    W uzasadnieniu NSA wskazał, że ta praktyka mieści się w dopuszczalnej podstawie prawnej — uzasadnionym interesie administratora (art. 6 ust. 1 lit. f RODO) — jeśli spełnione są trzy warunki:

    1. Administrator musi wykazać, że dalsze przechowywanie danych jest niezbędne do celu (np. obrona przed roszczeniami).
    2. Cel ten musi być prawnie uzasadniony, a interes administratora musi przeważać nad prawami i wolnościami osoby, której dane dotyczą.
    3. Okres przechowywania nie może być dłuższy niż konieczny.

    NSA podkreślił, że po upływie tego — 3-letniego — terminu dane przestają być uzasadnione, a administrator jest zobligowany do ich trwałego usunięcia, ponieważ dalsze przechowywanie stanowiłoby naruszenie zasady minimalizacji i ograniczenia przechowywania danych.

    Orzeczenie NSA w tej sprawie stoi w opozycji do stanowisk bardziej rygorystycznych przyjmowanych przez UODO, w których postulowano usunięcie danych “niezwłocznie po zakończeniu rekrutacji” (chyba że istniała zgoda na dalsze przetwarzanie).

    Na gruncie tej zmienionej perspektywy rekomendacje HR-owe powinny wyglądać następująco:

    • W polityce retencji danych należy określić, że dane kandydatów niezatrudnionych będą usuwane lub anonimizowane, chyba że spełniona zostanie przesłanka uzasadnionego interesu, który upoważnia do ich dalszego przechowywania do okresu trzech lat.
    • W klauzuli informacyjnej wskazać maksymalny możliwy okres przechowywania (np. „do 3 lat od zakończenia rekrutacji, o ile nie zaistnieje potrzeba przechowywania dla celów dowodowych”).
    • Dla każdego przypadku dłuższego przechowywania przeprowadzić test równowagi (balans między interesem administratora a prawami kandydata) oraz odpowiednią dokumentację, by móc wykazać, że decyzja była uzasadniona.
    • Po upływie trzech lat (lub wcześniejszym, jeśli interes prawny przestaje istnieć) dokonać trwałego usunięcia danych.

    Zgoda na przyszłe rekrutacje

    Jak długo można przechowywać dane kandydata, który zgodził się na udział w przyszłych rekrutacjach?

    RODO nie określa dokładnych terminów przechowywania takich danych. Wskazuje natomiast na dwie ważne zasady: minimalizacji danych (zbieramy i przechowujemy tylko te informacje, które są niezbędne, np. do prowadzenia rekrutacji) oraz czasowego ograniczenia przetwarzania danych (gdy dane przestają być potrzebne, należy je usunąć lub zanonimizować).

    To pracodawca samodzielnie ustala okres przechowywania danych, biorąc pod uwagę m.in.:

    • swoje potrzeby – np. charakter prowadzonych rekrutacji i to, jak długo informacje o kandydacie pozostają aktualne i użyteczne dla przyszłych procesów rekrutacyjnych,
    • życzenie kandydata dotyczące czasu przechowywania jego danych (kandydat samodzielnie może wskazać okres – np. 6 miesięcy, 1 rok).

    RODO a współpraca z agencjami rekrutacyjnymi

    Zlecasz agencji rekrutacyjnej prowadzenie procesu rekrutacji? Współpracując z ekspertem, przekazujesz mu część działań związanych z poszukiwaniem kandydatów. Pamiętaj jednak, że Twoja firma, jako potencjalny pracodawca, ma określone obowiązki wobec danych swoich kandydatów. Najpierw warto ustalić, jaką rolę pełnisz w tym procesie – czy i kiedy jesteś administratorem danych, aby zdobyć tę wiedzę przeczytaj nasz artykuł – 3 przypadki wymiany danych z agencją rekrutacyjną – iSecure.

     Podsumowanie

    RODO nie ma być przeszkodą w efektywnej rekrutacji, ale ramą, która gwarantuje przejrzystość i bezpieczeństwo danych kandydatów. Świadome zarządzanie informacjami osobowymi to dziś znak dojrzałego działu HR i element profesjonalnego wizerunku pracodawcy.

    [1] https://uodo.gov.pl/pl/101/1777.

    [2] https://interpretacje-orzeczenia.pl/przetwarzanie-danych-osobowych-po-zakonczeniu-rekrutacji-wyrok-nsa-z-20-2-2024-r-iii-osk-2700-22/.

     

    Już 18 listopada br. planujemy zorganizować bezpłatny webinar pt. „Czy HR potrzebuje IOD-a bardziej niż myśli? Praktyczne przykłady wsparcia”. Jeśli chcesz zagwarantować sobie udział w tym wydarzeniu, zarejestruj się już dzisiaj: https://www.isecure.pl/webinar/czy-hr-potrzebuje-iod-a-bardziej-niz-mysli-praktyczne-przyklady-wsparcia/

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Maciej Łukaszewicz

    Rekrutacja pod nadzorem algorytmów AI: obowiązki i ryzyka dla działów HR

    Wstęp Wyobraź sobie scenariusz: wysyłasz CV do wymarzonej firmy. Po kilku minutach chatbot zaprasza Cię na wideorozmowę kwalifikacyjną. Przez 20 minut odpowiadasz na pytania automatu, który analizuje nie tylko Twoje odpowiedzi, ale także ton głosu i mimikę twarzy. Kilka dni później otrzymujesz automatyczną wiadomość z podziękowaniem za udział. Co jeśli powiem Ci, że o Twoim […]

    Czytaj więcej
    Urszula Koc

    Zbyt wiele zgód w procesie rekrutacji – case study

    W trakcie realizacji opisanego poniżej case study spotkałam się z sytuacją, w której klient stosował nadmiar zgód w formularzu rekrutacyjnym, wierząc, że zapewnia to większe bezpieczeństwo w kontekście RODO. W praktyce jednak takie podejście prowadziło do niepotrzebnej komplikacji procesu, obniżało jego przejrzystość i komfort dla kandydatów, a także generowało dodatkowe ryzyka prawne i organizacyjne. Stan […]

    Czytaj więcej
    Olga Skotnicka

    Nieudokumentowane pozyskiwanie zgody na przetwarzanie wizerunku pracownika — dlaczego to ryzyko i jak to robić poprawnie?

    Wizerunek pracowników to jeden z najdelikatniejszych obszarów ochrony danych osobowych w każdej organizacji. Choć intuicyjnie można myśleć: „zgoda została wyrażona ustnie przy podpisaniu umowy” lub „to tylko event firmowy i wewnętrzny intranet firmy”, albo „pracownik nie jest roszczeniowy, nie będzie problemu’’, rzeczywistość jest znacznie bardziej złożona. Brak formalnego, udokumentowanego procesu pozyskiwania zgody na przetwarzanie wizerunku […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki
    UWAGA!
    Informujemy, że w ostatnim czasie pojawiły się przypadki podszywania się pod naszą firmę. Oszuści wykorzystują naszą nazwę, adres, NIP oraz logo, wysyłając fałszywe faktury z nieprawidłowym numerem rachunku bankowego.
    ⚠️ Prosimy o zachowanie szczególnej ostrożności i dokładne weryfikowanie danych nadawcy oraz numeru konta przed dokonaniem płatności.
    Prawdziwe faktury wystawiane przez iSecure zawsze zawierają numer konta: PL62 1140 2004 0000 3202 7863 9118 (dla płatności w PLN) bądź PL17 1140 2004 0000 3612 0768 4683 (dla płatności w EUR).
    W razie wątpliwości prosimy o kontakt pod adresem: kontakt@isecure.pl
    Dziękujemy za czujność i współpracę.