iSecure logo
Blog

Rekrutacje zdalne a „kontrowersyjne” dane kandydatów – wizerunki i dane kontaktowe

Katarzyna Ułasiuk
Kategorie

Wideorozmowy z kandydatami do pracy

 Wielu pracodawców, najczęściej dostosowując warunki pracy do sytuacji pandemicznej, zdecydowało się na wprowadzenie zdalnych spotkań w postaci rozmów wideo. Pierwsze skojarzenie wiąże się oczywiście z wizerunkiem kandydata zapraszanego na taką rozmowę, ale sam wizerunek może nie być jedyną daną osobową przetwarzaną w narzędziu do prowadzenia wideorozmów. Pamiętajmy bowiem, że najczęściej, aby dołączyć do takiego spotkania, potrzebny jest adres e-mail lub numer telefonu, a także często imię i nazwisko, jakie podaje się podczas logowania do spotkania on-line. Kandydaci do pracy nie mają jeszcze danych służbowych, a więc na pewno w grę wchodzi prywatny adres e-mail i prywatny numer telefonu takiego kandydata.

I tu pojawia się pytanie – czy wolno przetwarzać takie dane, a jeżeli tak, to czego należy przestrzegać, żeby pozostać w zgodzie z RODO?

Zanim przejdziemy do szczegółowych wytycznych, zwróćmy uwagę na dwie kluczowe rzeczy:

  1. Zakres danych osobowych, jakich przyszły pracodawca (a w jego imieniu – rekruter) może żądać od kandydata do pracy (w oparciu o umowę o pracę)
  2. Fakt, że wideorozmowa jest narzędziem, a nie odrębnym celem przetwarzania danych. Innymi słowy – realizujemy dokładnie ten sam proces rekrutacji, który przeprowadzaliśmy w biurze, tyle że teraz – zdalnie. Przetwarzanie danych w celu przeprowadzenia wideokonferencji nie jest więc celem samym w sobie, tylko środkiem do realizacji właściwego celu – przeprowadzenia procesu rekrutacji.

Zakres danych, jakich można wymagać od kandydata jest podany wyraźnie, jako wyliczenie w kodeksie pracy. Skoro tak jest to znaczy, że jest to naszym punktem wyjścia do zbadania, co z tym wizerunkiem i danymi kontaktowymi.

Kodeks pracy mówi o tym, że pracodawca żąda od kandydata podania następujących danych osobowych:

  1. imię (imiona) i nazwisko,
  2. data urodzenia,
  3. dane kontaktowe wskazane przez taką osobę,
  4. wykształcenie,
  5. kwalifikacje zawodowe,
  6. przebieg dotychczasowego zatrudnienia (przy czym tych trzech ostatnich można żądać tylko wtedy, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku).

 

Dane kontaktowe

Najciekawsze dla nas w kontekście omawianego problemu i powyższego zakresu są oczywiście: imię, nazwisko oraz dane kontaktowe. To, że te informacje znalazły się w kodeksie pracy oznacza w praktyce, że pracodawca nie potrzebuje zgody na ich przetwarzanie. Dlaczego? Bo korzysta z innej podstawy, którą daje RODO – wg UODO[1] są to dane, których pracodawca może żądać od kandydata do pracy, w celu podjęcia działań zmierzających do zawarcia z nim umowy (nawet jeżeli ostatecznie nie dojdzie do jej zawarcia)[2]. Dodatkowo podstawą prawną przetwarzania danych w zakresie podanym w kodeksie pracy, w tym imienia, nazwiska oraz danych kontaktowych wskazanych przez taką osobę jest również sam przepis prawa (kodeksu pracy).[3]

Tak więc, jeżeli chodzi o dane kontaktowe podawane w celu umówienia wideokonferencji oraz zaproszenia na nią kandydata potwierdzam, że nie ma obowiązku pozyskiwania zgody na przetwarzanie tych danych od kandydata, któremu oferujemy umowę o pracę (i tym samym stosujemy kodeks pracy). Pamiętajmy, że w przypadku wideokonferencji nie mówimy o odrębnym celu przetwarzania danych, ale o dodatkowym narzędziu (np. zamiast rozmowy osobistej, czy telefonicznej umawiamy zdalne połączenie on-line). Dlatego nie ma potrzeby zbierania odrębnej zgody na przeprowadzenie wideokonferencji, bo jest ona elementem rekrutacji. A na przetwarzanie danych kontaktowych w celu przeprowadzenia rekrutacji, jak napisałam powyżej, nie jest wymagana zgoda. Ale uwaga – mały szczegół. Możemy przetwarzać w takiej sytuacji „dane kontaktowe wskazane przez taką osobę”. Ta druga część jest niezmiernie ważna. Wynika z niej, że pracodawca nie może wymagać od kandydata: e-maila, numeru telefonu komórkowego, numeru telefonu stacjonarnego, adresu korespondencyjnego, itp. Może wymagać podania danych kontaktowych, ale to kandydat decyduje, jakie dane poda. Jeżeli kandydat nie poda adresu e-mail, a chcemy się z nim spotkać on-line, to musimy mu umożliwić połączenie do wideokonferencji z wykorzystaniem innych danych kontaktowych, które podał, np. po numerze telefonu.

W przypadku kandydatów, gdzie kodeks pracy nie ma zastosowania (np. umowy zlecenia, o dzieło), sprawa wygląda nieco inaczej. Tutaj pracodawca nie ma żadnych podstaw do żądania podania danych. Wszystkie dane, w tym kontaktowe, kandydat może podać, ale dobrowolnie. Jednocześnie nie istnieje przepis prawa, który byłby podstawą do przetwarzania danych takich osób przez przyszłego pracodawcę. Czy w takim razie konieczna jest zgoda? Odpowiedź brzmi: nie, ponieważ dane, takie jak imię, nazwisko, data urodzenia, dane kontaktowe, wykształcenie, kwalifikacje zawodowe, przebieg dotychczasowego zatrudnienia uznaje się za niezbędne do oceny kompetencji i kwalifikacji kandydata, a w związku z tym możemy zastosować podstawę alternatywną do zgody – przetwarzanie tych danych jest niezbędne do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy[4]. Nic nie stoi jednak na przeszkodzie, aby zebrać w takim przypadku zgodę, więc jeżeli pracodawcy działają w oparciu o model przetwarzania danych za zgodą – nie jest to nieprawidłowe (zgoda jest alternatywą podstawą przetwarzania, która też może mieć zastosowanie).

 

Wizerunki

Drugi aspekt to wizerunek. Trzymajmy się tej samej logiki, co w przypadku danych kontaktowych – rozmowa on-line nie jest niezależnym celem przetwarzania danych. Wizerunek przetwarzamy w celu przeprowadzenia procesu rekrutacji, który jest realizowany z wykorzystaniem narzędzia do wideokonferencji (jako jedna z form przetwarzania danych w procesie rekrutacji, w dodatku do lub w zastępstwie do rozmowy telefonicznej, przeglądania CV w systemie elektronicznym czy w formie wydrukowanej).

Więc jak to jest z tym wizerunkiem w rekrutacji? Wiemy, że kandydaci go podają w CV. Wiemy, że mogą również uruchomić kamerę podczas wideorozmowy, a nie ma go w zakresie danych, których pracodawca może żądać od pracowników w oparciu o kodeks pracy. Czy przetwarzanie wizerunku, w tym w postaci połączeń wideo, jest zakazane?

Nie, o ile:

  1. swój wizerunek kandydat poda dobrowolnie oraz
  2. wyrazi zgodę na przetwarzanie tego wizerunku w celu realizacji procesu rekrutacji

Dotyczy to zarówno kandydatów ubiegających się o stanowisko, kiedy oferujemy im umowę o pracę, jak też zlecenia czy o dzieło. Tak więc po spełnieniu tych dwóch warunków łącznie pracodawcy (a w ich imieniu – rekruterzy) mogą przetwarzać wizerunki podawane do rekrutacji przez kandydatów.

 

Pozostałe wybrane aspekty zgodności z RODO

Pamiętajmy jednak o minimalizacji danych i domyślnej ochronie prywatności. Tak samo, jak tradycyjne spotkania rekrutacyjne nie są nagrywane i przeprowadzane są w czasie rzeczywistym, tak i spotkanie on-line nie powinno być utrwalane i przechowywane na serwerze aplikacji/systemu służącego do przeprowadzenia spotkań on-line.

Przy tej okazji warto zwrócić uwagę na to, czy narzędzie do wideorozmów, z którego korzystamy, posiada opcję czatu, a jeżeli tak, to czy historia czatu jest zapisywana (i gdzie), bądź czy posiada opcję wysyłania plików. Najbezpieczniej jest od razu zastrzec, żeby na czacie nie podawać żadnych danych osobowych (typu oczekiwane wynagrodzenie, adres, PESEL), ani nie przysyłać plików z danymi osobowymi.

Poza tym należy spełnić wobec kandydatów obowiązek informacyjny, czyli przekazać im wyraźnie, zrozumiałym językiem, informacje m.in. o: potencjalnym pracodawcy (nazwa, adres siedziby, kontakt), kontakcie do inspektora ochrony danych, jeżeli został powołany, celach i podstawach przetwarzania danych, okresie archiwizacji, odbiorcach, którym dane będą ujawnione.

Skoro mowa o odbiorcach – do takich należą podmioty utrzymujące oprogramowanie (na serwerach własnych lub pracodawcy), jeżeli mają wgląd do danych, tworzą kopie zapasowe, archiwizują dane (np. historię spotkań do miesiąca wstecz, zaplanowane spotkania lub wysłane zaproszenia).  W takim przypadku konieczne będzie podpisanie umowy powierzenia przetwarzania danych, która określi m.in. zakres czynności na danych, do wykonania których dostawca będzie uprawniony, czas przetwarzania danych, prawo do kontroli dostawcy przez pracodawcę, obowiązek zabezpieczenia danych przez pracodawcę, czy wymóg podania przez dostawcę informacji o jakichkolwiek podmiotach podwykonawczych, które mogą mieć docelowo dostęp do tych samych lub części danych, które są powierzane pierwotnie dostawcy.

Bądźmy też czujni, jeżeli chodzi o podstawowe środki zabezpieczenia narzędzia, z którego korzystamy do wideorozmowy:

  1. zapewnijmy poufność danych wyświetlanych na monitorze (ustawmy ekran tak, aby osoby postronne nie miały do niego wglądu, przyłóżmy do monitora filtr prywatyzujący, uniemożliwiający wgląd do danych pod pewnym kątem)
  2. wylogujmy się z aplikacji/systemu po skończonej pracy
  3. zastosujmy PIN/kod dostępu do pokoju wirtualnego, w którym ma być prowadzona wideorozmowa
  4. korzystajmy tylko ze służbowego sprzętu, firmowych systemów i służbowych danych osobowych do umówienia i przeprowadzenia wideorozmów
  5. umożliwiajmy dostęp do tak przeprowadzonej rekrutacji tylko osobom, które muszą wziąć w niej udział (np. rekruter i przełożony albo tylko rekruter)
  6. zweryfikujmy, jakie zabezpieczenia techniczne systemu gwarantowane są przez dostawcę narzędzia, zwłaszcza jeżeli chodzi o popularne komercyjne programy do spotkań on-line, np. czy połączenie jest szyfrowane.

 

[1] Urząd Ochrony Danych Osobowych: „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców”, Październik 2018

[2] Art. 6 ust. 1 lit. b RODO

[3] Art. 6 ust. 1 lit. c RODO w zw. z art. 22(1) § 1 pkt. 1 – 3 Kodeksu pracy

[4] Art. 6 ust. 1 lit. b RODO

Pobierz wpis w wersji pdf

Podobne wpisy:

Dokładnie przeczytaj regulamin. Nie akceptuj, jeśli nie rozumiesz
Katarzyna Ułasiuk

Zmiana celu przetwarzania danych osobowych na gruncie RODO

Autor tekstu: Aleksandra Eluszkiewicz Przetwarzanie danych osobowych na gruncie RODO rządzi się swoimi prawami i powinno odbywać się w oparciu o zasady w nim określone. Jedną z naczelnych zasad jest zasada ograniczenia celu, według której dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi […]

Agnieszka Rapcewicz

Kilka słów o współadministrowaniu danymi osobowymi

Pojęcie współadministrowania danymi osobowymi nie występowało w polskiej ustawie o ochronie danych osobowych z 1997 r., mimo że dyrektywa 95/46/WE definiowała administratora danych podobnie jak aktualnie RODO. Chodziło więc o podmiot, który samodzielnie lub wspólnie z innymi podmiotamiokreśla cele i sposoby przetwarzania danych osobowych. Dopiero RODO wprowadziło wyraźną regulację dotyczącą współadministrowania i określiło, jakie obowiązki […]

RODO krok po kroku – część 2: obowiązek prowadzenia rejestru przetwarzania
Olga Skotnicka

RODO krok po kroku – część 2: obowiązek prowadzenia rejestru przetwarzania

W drugiej części cyklu o najważniejszych zmianach, jakie wprowadza Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO/GDPR) wyjaśniamy na czym polega obowiązek prowadzenia rejestru przetwarzania. W przepisach unijnego Rozporządzenia (RODO) zrezygnowano z często uciążliwego dla administratorów obowiązku rejestracji zbiorów danych osobowych w GIODO.

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki