TOP 10 czyli jak prowadzić postępowania rekrutacyjne w sposób zgodny z zasadami ochrony danych osobowych?

• 05.10.2021

• Autor: Katarzyna Chylińska

• obowiązki administratora danych

Sukces firmy tworzą ludzie. Motywacyjny slogan wygłaszany przez kadrę zarządzającą w prawie każdej organizacji. Nasi klienci, a w szczególności menedżerowie działów prowadzący postępowania rekrutacyjne często zadają nam pytania w jaki sposób prowadzić postępowania rekrutacyjne w sposób zgodny z RODO. W związku z licznymi pytaniami oraz mitami w tym obszarze postanowiliśmy przygotować naszą listę TOP 10 pytań, które dotyczyć mogą każdego spotkania rekrutacyjnego.

1. Jakich informacji mogę żądać od kandydata do pracy?

Zgodnie z przepisami Kodeksu pracy od każdego kandydata do pracy można żądać podania informacji w zakresie: imienia (imion) i nazwiska, daty urodzenia oraz danych kontaktowych wskazanych przez taką osobę. Dodatkowo od kandydata do pracy (ale już nie każdego) można żądać informacji w zakresie wykształcenia, kwalifikacji zawodowych oraz przebiegu dotychczasowego zatrudnienia – z zastrzeżeniem, jeśli jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. Od razu padają pytania, co oznacza to w praktyce? Czy ustawodawca jasno określił na jakich stanowiskach można żądać podania ww. informacji? Odpowiedź brzmi niestety nie…. Podnosi się, że do wykonywania prostych prac fizycznych nie ma potrzeby pozyskiwania informacji o wykształceniu, ale już od kandydata do pracy aplikującego na stanowisko samodzielnej księgowej wydaje się, że pozyskanie informacji o wykształceniu, kwalifikacjach zawodowych oraz przebiegu dotychczasowego zatrudnienia wydaje się w pełni uzasadnione.

Dobrym rozwiązaniem jest to by na etapie planowania procesu rekrutacyjnego pracodawcy dokonali wnikliwej oceny przeglądu instrukcji stanowiskowej oraz przeprowadzili analizę jakie dane są niezbędne do wykonywania czynności służbowych. Niewątpliwie dobrym rozwiązaniem jest określanie precyzyjnie zakresu pożądanych informacji w ramach ogłoszenia o pracę. Jeśli klienci wykorzystują formularz aplikacyjny na stronie internetowej warto sprecyzować odgórnie zakres żądanych danych.

2. Czy można weryfikować kandydata do pracy na portalach społecznościowych typu Facebook, Instagram?

Nie można weryfikować kandydata do pracy ww. portalach społecznościowych. Konta te nie są dedykowane sferze zawodowej. Należy zauważyć, że w ramach kont pojawiają się często zdjęcia (w tym członków rodziny) oraz informacje, które mogą zostać zakwalifikowane jako szczególnie chronione zgodnie z art. 9 ust. 1 RODO (np. poglądy polityczne, przekonanie światopoglądowe). W przypadku kandydatów do pracy można  korzystać z portali biznesowych np. LinkedIn.

3. Czy mogę żądać podania od kandydata do pracy zaświadczenia o niekaralności?

Zasadą jest to, że jeśli potencjalny pracodawca nie posiada podstawy prawnej uprawniającej do żądania ww. informacji – odpowiedź na pytanie brzmi nie. Często klienci zadają nam pytanie, czy mogą zebrać zgodę kandydata do pracy jako podstawę prawną legalizująca przetwarzanie informacji o niekaralności? Należy zwrócić uwagę, że w tym przypadku zgoda osoby, której dane dotyczą może zostać zakwalifikowana przez organ nadzorczy jako nieważna.

4. Jakich informacji nie mogę żądać od kandydata do pracy?

Nie można żądać od kandydata danych wykraczających poza zakres, który został wskazany w przepisach prawa.  Mówimy o danych nadmiarowych, w szczególności takich, które nie mają związku z celem, jakim jest zatrudnienie pracownika (np. danych o stanie cywilnym, wyznaniu, poglądach religijnych czy orientacji seksualnej[1]).

5. Czy można kontaktować się z byłym pracodawcą w celu uzyskania referencji?

Tak, potencjalny pracodawca może kontaktować się z byłym pracodawcą w celu uzyskania referencji o ile posiada zgodę kandydata na prowadzenie takich działań. Pamiętać należy przy tym, że zgoda musi spełniać wszystkie wymogi zgodnie z art. 7 RODO.

Jednocześnie należy wskazać, że pozyskanie zgody kandydata do pracy może przysporzyć wiele problemów. Tym samym rozwiązaniem obarczonym mniejszym ryzykiem prawnym jest opieranie się wyłącznie na referencjach przekazanych przez samego kandydata do pracy.

6. Czy mogę zadać pytania o oczekiwania finansowe?

Pytanie kiler każdego szkolenia z zakresu ochrony danych osobowych. Czy informacja o tym, ile zarabiam jest informacją szczególnie chronioną? Większość odpowiedzi uczestników szkolenia oczywiście jest twierdząca. Obalając mit – informacja o wysokości wynagrodzenia jest informacją z kategorii danych zwykłych. Pamiętajmy, że katalog danych szczególnych kategorii (tzw. sensytywnych) jest zamknięty, enumeratywnie wskazany w art. 9 ust 1 RODO.

Odpowiadając zatem na pytanie – tak, można pytać kandydata do pracy jakie są jego oczekiwania finansowe. Podstawą prawną przetwarzania danych w tym zakresie jest prawnie uzasadniony interes potencjalnego pracodawcy zgodnie z art. 6 ust 1 lit f) RODO.

7. Czy mogę tworzyć tzw. „czarne listy kandydatów do pracy”?

Nie. Za niedopuszczalne należy uznać tworzenie tzw. „czarnych list” osób ubiegających się o zatrudnienie. Należy pamiętać, że tworzenie jakichkolwiek list mających charakter negatywny może prowadzić do dyskryminacji i podejmowania niekorzystnych dla danej osoby decyzji w oparciu o często nierzetelne, bezpodstawnie pozyskane informacje[2]. Notatki o kandydacie muszą zawierać wyłącznie informacje merytoryczne bez subiektywnych odczuć na temat kandydata do pracy.

8. Czy mogę przesyłać CV kandydata do pracy do innego menedżera w celu potwierdzenia wyboru?

Często słyszymy to pytanie. Odpowiedź brzmi tak, ale po zweryfikowaniu czy też zapewnieniu, że będzie to zgodne z szeroko rozumianą zasadą bezpieczeństwa. Jak mantrę powtarzamy by zapewnić bezpieczeństwo przetwarzanych danych osobowych przesyłanych za pośrednictwem poczty elektronicznej. RODO nie wskazuje konkretnie jakie środki techniczne zastosować. Wynika to z ogólnej zasady risk based approach, a mianowicie podejściu opartym na zasadzie ryzyka. Rozwiązań w celu zapewnienia bezpieczeństwa jest wiele. W szczególności można nałożyć hasło na dokumenty aplikacyjne bądź utworzyć dedykowany folder na dysku, gdzie dostęp będą miały wyłącznie osoby do tego upoważnione.

9. Czy kandydat do pracy ma możliwość żądania kopii danych osobowych pozyskanych w ramach postępowania rekrutacyjnego? W jaki sposób zapewnić realizację tego prawa?

Odpowiedź na pytanie jest twierdząca. Zgodnie z decyzją PUODO o sygn. ZSZZS.440.660.2018 z dnia 22 marca 2019 r. (co prawda odnoszącej  się do statusu pracownika) administrator nie ma obowiązku udostępniania osobie, której dane dotyczą nośnika, na którym przetwarzane są dane osobowe oraz danych, które nie są kwalifikowane jako dane osobowe w rozumieniu art. 4 pkt 1 RODO. Realizując obowiązek wynikający z art. 15 ust. 3 RODO, Administrator może poprzestać na wskazaniu treści danych dotyczących osoby, z wyłączeniem pozostałych informacji zawartych na nośniku[3].

10. Czy można pytać o dostępność tzn. od kiedy kandydat może pojawić się w pracy?

Tak, można swobodnie pytać o takie informacje.

Zwracamy uwagę, że lista pytań nie jest wyczerpująca. Postęp technologiczny w tym wykorzystywanie nowych narzędzi rekrutacyjnych na pewno będą przysparzać wiele wątpliwości pod kątem ich zgodności nie tylko z RODO. W tym zakresie zawsze  niezbędna jest i będzie konsultacja z osobą odpowiedzialną za ochronę danych w organizacji.

[1] Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców, Urząd Ochrony Danych Osobowych, październik 2018 r.

[2] Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców, Urząd Ochrony Danych Osobowych, październik 2018 r.

[3] Decyzją PUODO o sygn. ZSZZS.440.660.2018 z dnia 22 marca 2019 r.