Rekrutacja a prawo do prywatności
O czym musimy pamiętać w zakresie ochrony danych osobowych, gdy szukamy nowego pracownika i co z danymi tych których nie wybraliśmy? Czy zawsze dbamy by prawo do prywatności kandydatów do pracy było zachowane? Czy gromadzimy dane osobowe, których zgodnie z prawem nie możemy gromadzić? Na te pytania musimy sobie odpowiedzieć zanim... zapuka do Nas Państwowa Inspekcja Pracy (PIP) lub Generalny Inspektor Ochrony Danych Osobowych (GIODO).
Większość pracodawców poszukujących pracownika wie, już o minimalnych wymaganiach ochrony danych osobowych w zakresie rekrutacji, jak choćby konieczność zamieszczania informacji o wyrażeniu zgody na przetwarzanie danych osobowych przez rekrutów. Jednak niewielu wie, co to oznacza i jakie mamy obowiązki z tym związane. Jak powinna wyglądać rekrutacyjna klauzula zgody tak, byśmy mogli zachować CV na później, na potrzeby przyszłych rekrutacji? Co oznacza sama klauzula?
– W zależności od zakresu jej treści może oznaczać zgodę na jedną konkretną rekrutację lub na wszelkie rekrutacje. Innymi słowy jeżeli nasz rekrut określi, iż zgoda obejmuje jedynie tą rekrutację to nie mamy podstawy do przetwarzania jego danych po jej zakończeniu – wyjaśnia Konrad Gałaj Emiliańczyk, ekspert ochrony danych osobowych z ODO 24 Sp. z o.o. – Natomiast jeżeli nie określi, o którą rekrutację mu chodzi to takie oświadczenie jest ważne przez wszystkie rekrutacje prowadzone przez Pracodawcę. Teoretycznie oświadczenie powinno jednoznacznie określać, iż rekrutowi chodzi o „wszelkie” rekrutacje, natomiast w tym przypadku skala jednoznaczności jest wystarczająca – dadaje Gałaj-Emiliańczyk.
Dane kandydata
Czy to oznacza, że jak mamy już dane rekruta to możemy robić z nimi co chcemy? Niestety nie, rekrutacja jako proces naboru pracowników jest dość ograniczona w zakresie działania przyszłego Pracodawcy i nie możemy tych danych, ani sprzedać, ani wykorzystać w jakimkolwiek innym celu np. marketingowym. Rekrutacja jest tu rozumiana jako nabór pracowników, ewentualnie współpracowników (zleceniobiorców). Oznacza to również, że po zakończonej rekrutacji na dane stanowisko możemy dane rekrutów dalej przetwarzać jedynie w celu kolejnej rekrutacji. Jeżeli niektórzy rekruci złożyli oświadczenie tylko co do tej jednej rekrutacji to w związku z tym, iż nie mamy dalej celu przetwarzania musimy ich dane usunąć (zniszczyć/anonimizować). Niechlubną praktyką jest, szczególnie u mikro Pracodawców, utylizowanie dokumentów aplikacyjnych w zwykłych śmietnikach. Z punktu widzenia ochrony danych osobowych jest to niedopuszczalne, gdyż dokument typu CV czy list motywacyjny zawiera bardzo dużo danych osobowych, w tym i tzw. „dane wrażliwe” takie jak informacja o stanie zdrowia (np. grupa inwalidzka), nałogach (np. palący/niepalący), nieraz przynależności związkowej lub partyjnej. Tak naprawdę rekruci mogą umieścić w swoich dokumentach aplikacyjnych wszystko, wiec należy objąć te dokumenty szczególną ochroną, co najmniej taką, jaką zabezpieczamy akta osobowe naszych pracowników.
Usuwanie / anonimizowanie
W zakresie niszczenia dokumentów aplikacyjnych w wersji elektronicznej sprawa jest dość prosta. Po prostu usuwamy dokumenty z załączników pocztowych i sprawa jest zakończona. Problem może się pojawić, gdy dane od kandydatów do pracy były zbierane za pośrednictwem formularza na stronie WWW, wtedy usunięcie wszelkich danych może być problematyczne. Dane osobowe w wersji papierowej, czyli nie tylko same CV czy listy motywacyjne, a również notatki ze spotkań kwalifikacyjnych zawierające dane osobowe powinny być usuwane z wykorzystaniem niszczarek mechanicznych.
– Oczywiście zbioru danych osobowych z rekrutacji podobnie jak zbioru danych osobowych naszych pracowników nie rejestrujemy w GIODO, gdyż nie podlegają one rejestracji na mocy ustawy – podkreśla Konrad Gałaj-Emiliańczyk z ODO 24 Sp. z o.o. – Z jednym wyjątkiem, jeżeli prowadzimy np. biuro pośrednictwa pracy lub firma „headhunterska”, wtedy zgodnie z wytycznymi GIODO zbiór taki podlega rejestracji, gdyż pracownicy nie są rekrutowani na potrzeby własne, a na potrzeby innych podmiotów – dodaje Gałaj-Emiliańczyk.
Rozmowy kwalifikacyjne
W procesie rekrutacji należy również zwrócić szczególną uwagę by w trakcie rozmów kwalifikacyjnych nie udostępnić nawet przypadkiem danych osobowych jednych rekrutów, drugim. Często zdarza się, że w trakcie prowadzenia rozmów kwalifikacyjnych rekrut siada naprzeciwko przyszłego pracodawcy i widzi leżące na stole wydrukowane CV kogoś innego przez cały czas rozmowy. Co więcej zdarza się, że rekrut zostanie sam na sam, czyli bez nadzoru osoby upoważnionej z danymi osobowymi pozostałych rekrutów. Należy również zwrócić uwagę by umawiając czy też zapraszając rekrutów na rozmowy kwalifikacyjne nie przesłać im przypadkiem adresów mailowych wszystkich pozostałych osób zaproszonych, gdyż adres mailowy może również stanowić daną osobową. Powyższe przestrogi mogą wydawać się banalne, jednak liczba incydentów/wycieków danych osobowych w trakcie rekrutacji jest jedną z najwyższych.
Lepiej zapobiegać, niż…
Jak ustrzec się przed naruszeniem prawa do prywatności kandydata do pracy? Najprostszą metoda jest ustalenie jasnej i jednoznacznej procedury rekrutacji, która będzie również uwzględniała, nie tylko etapy rekrutacji, czy wymogi kwalifikacyjne, a również zasady zachowania poufności procesu rekrutacji. Dodatkowo warto zawrzeć w procedurze informacje o tym, jakich danych można żądać od kandydata do pracy.
– W praktyce są to tylko te dane, które wynikają wprost z Ustawy (Kodeks Pracy), np. nie można żądać wyciągu z KRK lub oświadczenia o karalności. Jeżeli informacje otrzymamy od kandydata dobrowolnie np. będą zawarte w CV to będzie to legalne natomiast, jeżeli o nie poprosimy to będzie to już naruszenia prawa do prywatności – mówi Konrad Gałaj-Emiliańczyk, ekspert z ODO 24 Sp. z o.o.
Podsumowując rekrutacja poza znaczeniem w zakresie naboru nowego pracownika posiada również zagrożenia związane z ochroną danych osobowych, osób, które odpowiedzą na nasze ogłoszenie. Kwestie te mogą zostać przesunięte na inny podmiot, jeżeli skorzystamy z biura pośrednictwa pracy lub innego podmiotu, który trudni się doborem pracowników. W takim przypadku jako Pracodawca nie bierzemy udziału w faktycznej rekrutacji tylko otrzymujemy jej efekt, czyli gotowego do zatrudnienia pracownika, którego dane z natury rzeczy chronimy jak dane każdego innego pracownika. Rekrutacja jest dość niebezpiecznym tematem z punktu widzenia przyszłego Pracodawcy. Skarga do GIODO jest uprawnieniem coraz powszechniej stosowanym wśród obywateli. Ryzyko, że to właśnie na Nas ktoś doniesie jest coraz większe.