RODO w rekrutacji - sourcing, direct search, ogłoszenia, weryfikacja kandydatów. Poradnik
Rodo w rekrutacji - o poradniku
Niniejszy poradnik o przetwarzaniu danych osobowych kandydatów w toku procesów rekrutacyjny stanowi zbiór odpowiedzi na najczęściej spotykane wśród rekruterów pytania o kwestie RODO w rekrutacji.
Poradnik Rodo w rekrutacji powstał na podstawie doświadczenia praktyków z obszaru rekrutacji i prawników wyspecjalizowanych w obszarze ochrony danych osobowych. Kwestie omawiane w poradniku Rodo w rekrutacji omawiane były m.in. podczas webinarów prowadzonych wspólnie z prawnikami i ekspertami z obszaru RODO i rekrutacji z kancelarii Creativa.Legal. W poradniku dostępne są link do nagrań webinarów.
Table of Contents
Rodo w rekrutacji - podstawowe pojęcia
Przetwarzanie danych osobowych – Przetwarzanie danych osobowych to w praktyce każde działania na tych danych, takie jak zapisywanie, kopiowanie, edycja czy wysyłane tych danych, niezależnie od tego gdzie te dane się znajdują (np. w notatniku, excelu, systemie rekrutacyjnym, na platformie Linkedin albo w telefonie komórkowym).
Podstawa prawna przetwarzania danych osobowych
- interes prawny
- zgoda
- obowiązek prawny
Dane osobowe mogą być przetwarzane pod warunkiem wystąpienia jednej z trzech podstaw:
Zgoda osoby, której dane są przetwarzane. To najprostsza sytuacja, w której kandydat wyraził swoją zgodę w sposób bezpośredni lub domniemany zgodę na przetwarzanie jego danych.
Interes prawny – sytuacja, w której z uwagi na uzasadniony prawnie interes podmiot może przetwarzać dane osobowe nawet bez zgody. Przykład: rekruter posiada interes prawny w przetwarzania danych osobowych kandydata, ponieważ jego praca polega na rekrutacji pracowników.
Obowiązek prawny – sytuacja, w której prawo, np. kodeks pracy, uprawnia podmiot do przetwarzania danych osobowych.
Dla rozwiania wszelkich wątpliwości – wystarczy wystąpienie jednej z powyższych podstaw, aby przetwarzać dane osobowe zgodnie z prawem. W szczególności nie potrzeba zgody kandydata (lub innej osoby w innych rodzajach działalności) jeśli istnieje interes prawny.
Pytania i odpowiedzi
Czy bez zgody kandydata można przetwarzać jego dane osobowe?
Tak, można przetwarzać dane osobowe kandydata bez jego zgody, o ile posiadamy jedną z dwóch pozostałych podstaw prawny, czyli interes prawny albo obowiązek prawny.
Warto również pamiętać, że zgoda kandydata może być wyrażona również w sposób domniemany, tzn. poprzez jego zachowanie, które potwierdza zainteresowanie wzięciem udziału w procesie rekrutacyjnym. Tu mamy przede wszystkim na myśli przesłanie CV, umówienie się na rozmowę rekrutacyjną, czy też prowadzenie rozmowy rekrutacyjnej w wiadomościach na portalu Linkedin. Takie zachowanie można traktować jako zgoda na udział w procesie rekrutacyjnym i uprawnia do przetwarzania danych osobowych kandydata, czyli np. dodanie kandydata do systemu rekrutacyjnego czy notatnika.
Czy oprócz jednej z trzech podstaw prawnych istnieją jeszcze inne obowiązki, które pracodawca musi spełnić aby przetwarzać dane osobowe kandydatów?
Tak. Oprócz istnienia podstawy prawnej przetwarzania danych osobowych przepis nakładają obowiązek poinformowania kandydata o fakcie przetwarzania jego danych. Jest to tak zwany obowiązek informacyjny.
Obowiązek informacyjny to konieczność przekazania kandydatowi szeregu informacji wskazanych w art. 13 i 14 przepisów RODO. Chodzi tu przede wszystkim o dane podmiotu, który przetwarza dane osobowe i zasady przetwarzania tych danych.
Najlepszą praktyką jest przygotowanie dokumentu “Obowiązek informacyjny”, który zawiera wszystkie elementy wskazane w art. 13 i 14 RODO i następnie przekazywanie tego dokumentu kandydatom w celu realizacji obowiązku informacyjnego.
W jakim terminie należy zrealizować obowiązek informacyjny?
Obowiązek informacyjny należy zrealizować niezwłocznie po rozpoczęciu przetwarzania danych osobowych kandydata. Co to oznacza w praktyce? Oto kilka przykładów:
- Kandydat, z którym rozmawiamy na portalu Linkedin, ale jeszcze nie zapisujemy jego danych poza portalem, nie podlega obowiązkowi informacyjnemu, ponieważ jego dane są przetwarzane tylko na tym portalu, zatem pracodawca nie posiada jego danych. W tym przypadku stosowany jest wyłącznie regulamin portalu Linkedin, który reguluje kto (portal Linkedin) i na jakich zasadach (wskazanych w regulaminie) przetwarza dane.
- Kandydat, z którym rozmawiamy na portalu Linkedin i zapisujemy jego dane poza portalem (np. w systemie ATS, który pozwala zarządzać sourcingiem/direct searchem jak system Element). W tym przypadku istnieje wymóg spełnienia obowiązku informacyjnego, czyli przekazania mu informacji wskazanych w art. 13 i 14 RODO. Ponadto oczywiście musi istnieć podstawa przetwarzania danych osobowych (np. zgoda kandydata czy interes prawny).
- Kandydat przesłał swoje CV aplikując na ogłoszenie rekrutacyjne. W tym przypadku najlepiej dodać do formularza aplikacyjnego oświadczenie kandydata, że zapoznał się z obowiązkiem informacyjnym i ten obowiązek w formularzu umieścić lub podlinkować.
Czy obowiązek informacyjny może być schowany za linkiem internetowym, czy też kandydat musi otrzymać od razu całą treść obowiązku?
Tak, nie ma potrzeby umieszczania całej treści obowiązku informacyjnego na formularzu aplikacyjnym lub w wiadomości do kandydata. Wystarczy przedstawić kandydatowi link do dokumentu, np. do strony internetowej, która zawiera wszystkie wymagane ustawą informacje, lub też link do dokumentu (np. pdf), który można wyświetlić lub pobrać i przeczytać.
Czy w wiadomości na Linkedin mogę przesłać link do obowiązku informacyjnego?
Tak, jak najbardziej. W odpowiedzi na kolejne pytanie odpowiemy jak taka wiadomość może wyglądać.
Jak najprościej spełnić obowiązek informacyjny w codziennej komunikacji z kandydatem? Jak nie przestraszyć kandydata prawniczymi zawiłościami?
Z jednej strony prawo wymaga, aby obowiązek informacyjny spełnić niezwłocznie po rozpoczęciu przetwarzania danych osobowych kandydata, z drugiej strony jest to bardzo niepraktyczne zadanie z punktu widzenia rekrutera, który dopiero nawiązuje relację z kandydatem i każda wiadomość, żeby nie powiedzieć każde słowo, wysłane do kandydata, powinno tego kandydata zachęcić do tej relacji. Poruszanie prawnych kwestii w pierwszych wiadomościach przesyłanych do kandydatów z pewnością może utrudnić budowanie zaufania. Jak zatem poradzić sobie z tym problemem?
Cóż, z przykrością musimy przyznać, że w tym aspekcie prawo nie jest dopasowane do potrzeb rekrutera i nie mamy dla Państwa cudownego rozwiązania. Wszystkie rozwiązania, zgodne z prawem rozwiązania, wydają się kiepskie, a z tych kiepskich moim zdaniem najlepsze jest następujące:
- Nawiązujemy kontakt z kandydatem na Linkedin i prowadzimy z nim rozmowę na tym portalu.
- Dodajemy kandydata do swojej listy kandydatów w systemie rekrutacyjnym, w excelu lub w innym miejscu, które wykorzystujemy do zarządzania działaniami typu sourcing / direct search (rozpoczynamy przetwarzanie danych osobowych poza Linkedin i powstaje obowiązek informacyjny)
- W odpowiedzi na jedną z wiadomości kandydata przesyłamy mu na przykład taką wiadomość: “Chcę pozostać z Tobą w kontakcie i w tym celu zapisuję Twoje dane kontaktowe. Rodo wymaga, abym przekazał Ci informacje kto i na jakich zasadach Twoje dane przechowuje, więc przesyłam link do naszych zasad przetwarzania danych osobowych: link 🙂 Pozdrawiam i pozostajemy w kontakcie :)”
To przykład pokazujący jeden ze sposobów wplecenia w konwersację z kandydatem obowiązku informacyjnego. Takie lub inne, podobne sformułowanie warto mieć w notatniku do wykorzystania za pomocą ctrl+c ctrl+v. Oczywiście linkiem jest adres pliku lub strony internetowej z treścią obowiązku informacyjnego.
Jest jeszcze alternatywny scenariusz, który warto stosować gdy kandydat zgodził się już wysłać swoje CV. W takim przypadku najlepszą opcją jest poproszenie kandydata, aby nie wysyłał swojego CV przez wiadomość na Linkedin lub przez e-mail, lecz by przesłał swoje CV za pomocą formularza aplikacyjnego (np. formularz wygenerowany przez system ATS Element), na którym od razu zaznaczy swoje zgody rodo i tam też będzie mógł zapoznać się z informacją w ramach obowiązku informacyjnego.
Więcej o tym, jak przygotować zgody na formularzu aplikacyjnym, będzie w dalszej części poradnika. Tu natomiast przykład wiadomości do kandydata w omawianym scenariuszu:
”Jeśli możesz, to prześlij proszę swoje CV za pomocą linku aplikacyjnego: link. Tym sposobem od razu pojawisz się w moim systemie rekrutacyjnym i jednocześnie będziemy mieć Twoje zgody rodo, a Ty nie będziesz musiał tych zgód nigdzie dodawać czy ręcznie wysyłać 🙂”
Czy to ma znaczenie, skąd pozyskuje dane kandydata? (Linkedin vs Facebook i inne portale)
Zasady przetwarzania danych osobowych kandydatów poza tymi portalami (czyli gdy zapisujemy te dane w swoich zasobach, takich jak system rekrutacyjny, czy notatnik) są dokładnie takie same niezależnie od tego, czy dane te pozyskujemy z Linkedin czy też z Facebook lub dowolnego innego źródła. Zawsze musimy:
- Mieć podstawę prawną przetwarzania (jedna z trzech: zgoda, interes, obowiązek)
- Zrealizować obowiązek informacyjny.
Jest jednak jedna istotna różnica pomiędzy portalem LinkedIn a pozostałymi sieciami społecznościowymi, takimi jak Facebook czy Github. Różnica polega na tym, że użytkownicy portalu LinkedIn tworząc na tym portalu swoje konta akceptują regulamin LinkedIn, w którym wyraźnie wskazuje się, że portal ten służy do nawiązywania relacji biznesowych i poszukiwaniu pracy:
Nasze usługi pozwalają użytkownikowi odkrywać możliwości kariery, oceniać okazje związane z edukacją, zostać znalezionym luz znaleźć nowe możliwości zawodowe. Profil użytkownika może zostać znaleziony przez osoby, które chcą go zatrudnić (do pracy lub określonego zadania) lub chcą zostać przez niego zatrudnione. Wykorzystujemy dane użytkownika, aby rekomendować oferty pracy lub osoby szukające mentora, pokazywać użytkownikowi i innym osobom istotne kontakty biznesowe (np. kto pracuje w danej firmie, branży, na określonym stanowisku lub w konkretnej lokalizacji, lub posiada istotne umiejętności i kontakty).
Akceptacja regulaminu LinkedIn oznacza, że z punktu widzenia prawa nie ma konieczności pytania użytkownika portalu LinkedIn o zgodę na przesłanie propozycji biznesowej lub oferty pracy. Generalnie taka zgoda jest wymagana zgodnie z art. 172 prawa telekomunikacyjnego. Jednakże, skoro użytkownik zaakceptował regulamin portalu, który służy do otrzymywania takich ofert, to taka zgoda została już automatycznie wyrażona. To jednak nie oznacza, że z punktu widzenia skuteczności komunikacji i dobrych manier, nie warto dodatkowo uzyskać takiej zgody – jak najbardziej warto.
Jak długo można przetwarzać dane osobowe kandydata?
Na to pytanie nie ma niestety jednoznacznej odpowiedzi ponieważ RODO nie stwierdza konkretnego terminu. Prawo mówi o tym, że można przetwarzać dane osobowe na czas nie dłuższy, niż jest to niezbędne dla celów, dla których dane są przetwarzane.
Co to znaczy czas niezbędny dla celów przetwarzania danych? Każdy przypadek warto rozpatrywać indywidualnie. Istnieje pewna praktyka, które stwierdza, że termin 14 dni po zakończeniu procesu rekrutacyjnego (dla celów administracyjnych), nie przekracza tej granicy.
Aktualizacja z 10.09.2022 – pojawiło się rozstrzygnięcie sądowe, które uchyliło decyzję Prezesa UODO i które sugeruje, że CV kandydata pracodawca może przechowywać 3 lata po zakończeniu procesu rekrutacyjnego. Więcej w moim artykule, który opisuje powyższe rozstrzygnięcie.
W mojej osobistej ocenie, którą należy brać jednak tylko i wyłącznie jako moją opinię a nie poradę prawną, czas niezbędny trwa tak długo, jak długo istnieje rzeczywista szansa, że kandydat zostanie zatrudniony.
W przypadku sporu sądowego musimy wykazać, że rzeczywiście wszyscy kandydaci, których dane przetwarzamy, są realnie brani pod uwagę jako kandydaci do zatrudnienia na stanowisku, na które aplikowali.
Trzeba jednak rozdzielić zgodę kandydata na udział w konkretnym procesie rekrutacyjnym od zgody na przyszłe procesy.
W przypadku zgody na konkretny proces rekrutacyjny, dane osobowe kandydata możemy przetwarzać na pewno do zakończenia tego procesu i przez krótki (np. wspomniane wyżej 14 dni) czas po zakończeniu tego procesu. Co jednak w przypadku, gdy ten proces rekrutacji nie kończy się w ogóle ponieważ stale poszukujemy kandydatów na określone stanowisko pracy? Co w sytuacji, gdy kandydat aplikujący na takie stanowisko nie jest kandydatem pierwszego wyboru i trzymany jest w tym procesie na wypadek, gdyby nie udało się znaleźć kandydata bardziej odpowiedniego? Proces nie został zamknięty, cały czas trwa, jednocześnie nie podejmujemy ostatecznej decyzji co do kandydata w tym procesie i przetwarzamy dane tego kandydata np. przez 12 miesięcy od momentu, kiedy ten kandydata zaaplikował, a po drodze zatrudniliśmy już 10 innych kandydatów. Jak takie działanie zostałoby zinterpretowane przez sąd? Trudno niestety powiedzieć i musimy czekać na konkretne rozstrzygnięcia, które wyznaczą kierunek interpretacji przepisów.
Komentarz Macieja Michalewskiego: W przypadku zgody na przyszłe procesy rekrutacyjne również nie ma konkretnych wytycznych w RODO. W każdym miesiącu wdrażam system rekrutacyjny Element w kolejnych firmach i widzę, że w większości przypadków firmy te stosuję 12 i 24 miesięczny termin obowiązywania zgody na przyszłe procesy rekrutacyjne. Spotkałem jednakże i takie firmy, które zgodę na przyszłe procesy rekrutacyjne traktują jako zgodę bezterminową, do odwołania przez kandydata. Ponownie nie ma tu jednego, jasnego i bezspornego rozstrzygnięcia.
Komentarz Arkadiusza Szczudło: dane w ramach przyszłych rekrutacji powinny być przetwarzane tak długo, jak CV jest wartościowe dla pracodawcy – będzie to najczęściej jednak 6-12 miesięcy. Dane w CV potrafią się szybko dezaktualizować.
Czy w formularzu aplikacyjnym na konkretne stanowisko pracy można zawrzeć tylko jedną, ogólną zgodę na wszystkie procesy rekrutacyjne wraz z obowiązkiem informacyjnym?
Nie można z uwagi na fakt, że zgoda na przyszłe procesy rekrutacyjne nie może być wymagana, jeśli kandydata aplikuje na konkretne stanowisko pracy w ramach konkretnego ogłoszenia rekrutacyjnego. Najlepiej zatem umożliwić kandydatowi zaznaczenie dwóch zgód:
- Zgoda wymagana. Na konkretny proces rekrutacyjny wraz z linkiem do obowiązku informacyjnego.
- Zgoda niewymagana. Na przyszłe procesy rekrutacyjne. Tu już nie powtarzamy informacji “klikniętej” obowiązkowo w pierwszej zgodzie, w szczególności nie musimy ponownie umieszczać linku do obowiązku informacyjnego.
Przykładowy formularz aplikacyjny systemu rekrutacyjnego Element:
Czy zgoda na przyszłe procesy rekrutacyjne może być wymagana?
Nie może, chyba, że mamy do czynienia z tak zwaną aplikacją spontaniczną, czyli przypadkiem, gdy kandydat nie aplikuje na konkretne stanowisko lecz wysyła CV właśnie do wykorzystania w przyszłych rekrutacjach. Taką zgodę można wykorzystać m.in. w przypadku formularza aplikacyjnego, który podpinamy pod przycisk “Zostaw CV”. Taki przycisk możemy umieścić np. na zakładce kariera. Każdy kandydat może wówczas przesłać swoje CV, nawet gdy nie prowadzimy żadnej rekrutacji.
W przypadku działań na Linkedin możemy rozmawiać z potencjalnym kandydatem, którego chcemy mieć w swojej bazie kandydatów na wypadek przyszłych procesów rekrutacyjnych. W takim przypadku albo przekazujemy specjalny formularz aplikacyjny, gdzie jest tylko zgoda na przyszłe procesy rekrutacyjne, albo też prosimy o przesłanie CV w innej formie (e-mailem, poprzez wiadomość na Linkedin) i jeśli kandydata poinformowaliśmy, że zachowamy jego CV do wykorzystania w przyszłych rekrutacjach, to fakt przesłania nam CV traktujemy jako domniemaną zgodę na udział w przyszłych procesach. W takim wypadku nie musimy już odbierać formalnej zgody, ale musimy zrealizować obowiązek informacyjny. Jak to robić omówiliśmy już wcześniej (link do odpowiedniego akapitu).
Czy sam fakt przesłania CV, można uznać za wyrażenie zgody na przetwarzanie danych osobowych?
Tak. Każde zachowanie kandydata, które można interpretować jako chęć udziału w procesie rekrutacyjnym, jest jednocześnie wyrażeniem zgody przez kandydata na przetwarzanie jego danych osobowych w ramach tego procesu rekrutacyjnego. Nie trzeba w takim wypadku uzyskiwać formalnej zgody, czyli oświadczenia kandydata przekazywanego nam w formie klauzuli dodanej do CV, przesłanej w wiadomości czy zaznaczonej na formularzu aplikacyjnym.
Czy taka domniemana zgoda rozciąga się na przyszłe procesy rekrutacyjne?
To zależy.
Jeśli kandydat przesyła CV ponieważ rozmawiamy z kandydatem o konkretnym procesie rekrutacyjnym, wówczas odpowiedź brzmi nie. W tym przypadku domniemywać można wyłącznie zgodę na konkretny proces rekrutacyjny.
Podobnie jeśli kandydat wysyła CV przez formularz aplikacyjny na konkretne stanowisko i formularz ten nie ma żadnych klauzul do zaznaczenia przez kandydata, wówczas domniemamy wyłącznie zgodę na udział w procesie rekrutacyjnym na konkretne stanowisko w ramach konkretnego ogłoszenia.
Jeśli jednak rozmawiamy z kandydatem o tym, że chętnie widzielibyśmy jego CV w naszej bazie kandydatów, ponieważ mamy różne projekty obecnie lub w przyszłości i kandydata przesyła CV, bądź też jeśli kandydat przesyła CV za pomocą ogólnego formularza aplikacyjnego, który nie dotyczy żadnego konkretnego procesu rekrutacyjnego, wówczas takie zachowanie kandydata traktujemy jako zgodę na udział w przyszłych procesach rekrutacyjnych. Zawsze warto przygotować wzorcową wiadomość zwrotną z obowiązkiem informacyjnym i zapytaniem o zgodę na przyszłe rekrutacje.
Czy można przetwarzać dane osobowe kandydata, który wyraźnie oświadczył zgodę, ale nie otrzymał informacji w ramach obowiązku informacyjnego?
Zgodnie z prawem nie można uchylić się od obowiązku informacyjnego, zatem odpowiedź brzmi nie.
Czym różni się sytuacja pracodawcy, w której zrealizowany został obowiązek informacyjny, ale nie mamy zgody kandydata na przetwarzanie danych osobowych, od sytuacji, w której takie wyraźne oświadczenie mamy?
To zależy, czy posiadamy podstawę prawną do przetwarzania danych osobowych kandydata.
Przypominamy, że zgoda jest jedną z trzech podstaw do przetwarzania danych kandydata (link do omówienia podstaw). Brak zgody nie wyklucza tego, że mamy interes prawny lub obowiązek przetwarzania danych. Jeśli zatem posiadamy np. interes prawny, wówczas sytuacja tych dwóch pracodawców jest dokładnie taka sama – obaj pracodawcy spełnili obowiązek informacyjny i posiadają podstawę prawną do przetwarzania danych osobowych. Jeśli jednak pracodawca nie posiada podstawy prawnej, to musi ją uzyskać, np. poprzez uzyskanie zgody kandydata.
Chcemy przedłużyć termin obowiązywania zgody kandydata na przetwarzanie jego danych osobowych. Czy wystarczy, że zrealizujemy ponownie obowiązek informacyjny, czy też musimy raz jeszcze uzyskać wyraźną zgodę na przyszłe rekrutacje?
Powinniśmy raz jeszcze uzyskać zgodę kandydata. Realizacja obowiązku informacyjnego nie wpływa na przedłużenie przyjętego przez pracodawcę terminu przetwarzania danych osobowych. Wydaje się jednak, że można wysłać na przykład taką wiadomość do kandydata:
Dzień dobry, z uwagi na przedłużający się proces rekrutacyjny, oraz pojawiające się nowe projekty, chcielibyśmy przedłużyć termin przechowywania Twojego CV w naszej bazie kandydatów o kolejne 12 miesięcy. Jeśli wyrażasz na to zgodę to kliknij w link, dzięki któremu nasz system automatycznie przedłuży ten termin.
Z góry dziękujemy!
Wspomniany wyżej link byłby na przykład linkiem do formularza aplikacyjnego, na którym kandydat widzi ponownie treść zgód i link do obowiązku informacyjnego.
Czy można przyjąć zasadę, że zawsze musimy spełnić obowiązek informacyjny, jeśli zapisujemy gdziekolwiek poza Linkedin dane kandydata ale nie musimy uzyskiwać zgody kandydata, jeśli z zachowania kandydata wynika zainteresowanie procesem rekrutacyjnym?
Tak. Zawsze musimy spełnić obowiązek informacyjny natomiast nie zawsze musimy uzyskiwać wyraźną zgodę ponieważ zgoda może być domniemana, a ponadto zgody w ogóle nie musi być jeśli posiadamy interes lub obowiązek prawny.
Z kim mogę dzielić się danymi osobowymi kandydata?
W ramach tego samego pracodawcy ze wszystkimi pracownikami, którzy posiadają upoważnienie do przetwarzania danych osobowych kandydatów i w ramach umów powierzenia.
W przypadku chęci przekazania danych osobowych innym osobom, w szczególności osobom spoza organizacji pracodawcy, koniecznym jest poinformowanie kandydata w obowiązku informacyjnym o tym kto jeszcze i na jakich zasadach będzie przetwarzał jego dane osobowe oraz uzyskanie zgody kandydata na przekazanie tych danych innym podmiotom (udostępnienie, chyba, że mówimy o powierzeniu przetwarzania).
Przykładowo ukryta rekrutacja: Podczas rozmowy z kandydatem informujemy go, że jesteśmy rekruterem pracującym dla różnych klientów i chcemy żeby wziął udział w rekrutacji. Nie wskazujemy jeszcze jakiego pracodawcy dotyczy rekrutacja. Samodzielnie robimy selekcję lub wysyłamy zanonimizowane dane do pracodawcy. Jeżeli będziemy chcieli przekazać kompletne CV z danymi osobowymi, musimy uzyskać zgodę na udostępnienie danych pracodawcy X, a ten pracodawca powinien spełnić obowiązek informacyjny z art. 14 RODO.
Patrz więcej: https://blog.creativa.legal/czy-ukryta-rekrutacja-jest-legalna/
Czy znane są już jakieś rozstrzygnięcia sądowe spraw związanych z przetwarzaniem danych osobowych kandydatów do pracy?
Jak dotąd nie pojawiło się żadne szerzej znane orzeczenie sądu dotyczące przetwarzania danych osobowych kandydatów do pracy, natomiast co najmniej jednym przypadkiem zajął się Prezes Urzędu Ochrony Danych Osobowych (PUODO). Dotyczył on rekrutacji prowadzonej przez jeden z polskich urzędów celno-skarbowych, który opublikował na swojej stronie internetowej dane biorących w niej udział kandydatów.
Sprawa była o tyle ciekawa, że sama publikacja była zgodna z przepisami prawa, które jednak nie określały, jak długo dane mają pozostawać na stronie internetowej. Zajmujący się sprawą PUODO (do którego trafiła skarga jednego z kandydatów) stwierdził, że dane były upubliczniane przez zbyt długi czas (nieuzasadniony z punktu widzenia celów przetwarzania) i nakazał ich usunięcie. To pokazuje, jak ważne jest pilnowanie okresu przetwarzania danych, który nie może wykraczać poza cel i podstawę ich przetwarzania.
Pytania czytelników i uczestników webinarów
Co w sytuacji gdy kandydat przesyła CV mailem lub mms’em, ale nie wskazuje na jakie stanowisko aplikuje i CV nie zawiera zgody?
Najlepiej zapytać kandydata na jakie stanowisko i do jakiego pracodawcy kandyduje. W razie problemów z uzyskaniem odpowiedzi kandydata można taką zgodę uznać za domniemaną zgodę na przyszłe procesy rekrutacyjne.
Czy firma może wykorzystać dane osobowe pracowników handlując ich danymi osobowymi?
Sprzedaż danych osobowych jest możliwa tylko i wyłącznie za wyraźną zgodą na takie działanie osoby, której dane osobowe dotyczą. W przypadku procesów rekrutacyjnych takich zgód zazwyczaj pracodawcy nie stosują i wówczas pracodawca nie może przekazywać wprowadzać danych osobowych kandydatów do obrotu handlowego.
Czy można dodać do ATS CV osoby, która zaaplikowała na portalu z ogłoszeniami i tam zostawiła swoje CV?
Jeśli aplikacja była na stanowisko u pracodawcy, który wykorzystuje ten system ATS i mamy odpowiednie podstawy prawne, to jak najbardziej można takie CV dodać do systemu rekrutacyjnego.
Czy mogę dodawać do systemu ATS Element profile LinkedIn osób, które sourcuję, jako kandydata bez zgody? (np. nie mam jeszcze formalnej zgody osób, które sourcuję na LinkedIn - na razie je zaczepiłem i rozmawiamy, ale chcę mieć je zinwentaryzowane w ATS abym się nie pogubiły).
W takim wypadku na pewno należy przekazać kandydatowi informację o zasadach przetwarzania jego danych osobowych. Najlepiej zrobić to w sposób “miękki”, czyli w odpowiednio przygotowanej wiadomości, w której będzie link do obowiązku informacyjnego. Przykład takiej wiadomości podaliśmy wyżej(link)
Co z kandydatami, którzy nie wyrazili zgody na udział w późniejszych procesach rekrutacyjnych. Kandydat jest w bazie i chcielibyśmy zaangażować go w nowy projekt. Czy i w jaki sposób możemy skontaktować się z Kandydatem?
Jeżeli kandydat wyraził zgodę na przetwarzanie w ramach aktualnego procesu, nie możemy kontaktować się z nim na tej podstawie prawnej. Pewnym możliwym wyjątkiem mógłby być interes prawny administratora, ale należy każdorazowo ustalić, czy jest możliwość skorzystania z tego wyjątku.
Czy jak teraz mam ponad 500 kandydatów, których zaciągnąłem dane bez ich zgody, to teraz muszę poinformować o tym? Czy mnie i mojej firmie grozi coś ze strony prawnej np. pozew ze strony?
Zgodnie z literą prawa wobec tych wszystkich kandydatów powinien zostać zrealizowany obowiązek informacyjny. Brak realizacji tego obowiązku mógłby zostać wychwycony przez kontrolę i rodzi to ryzyko poniesienia konsekwencji określonych w RODO. Jak duże ryzyko jest pojawienia się kontroli? Trudno to określić, wydaje się, że takie ryzyko jest realne głównie w sytuacji złożenia skargi przez jakiegoś niezadowolonego kandydata.
Należy również zbadać bazę danych i okoliczności w jakich zostały te dane pozyskane, możliwe, że będzie wymagana odrębna zgoda na to.
Jak poruszać się po grupach związanych z pracą na FB? Co w sytuacji gdy nie ma konkretnych wytycznych w regulaminie Facebooka?
Zasada postępowania będzie dokładnie taka sama jak na Linkedin – jeśli chcemy dane zapisać gdziekolwiek we własnych zasobach (notatnik, excel, system rekrutacyjny Element), wówczas jesteśmy zobowiązani do posiadania podstawy do przetwarzania danych konkretnej osoby (np. uzyskanie jej wyraźnej lub domniemanej zgody) oraz do zrealizowania obowiązku informacyjnego wobec tej osoby.
A co z np meetUp, Github?
Dokładnie tak samo jak w przypadku Linkedin i Facebook.
Czy można wykorzystywać adres e-mail znaleziony na Github do kontaktu z kandydatem w celu rekrutacji?
Jeśli jest to adres znaleziony na profilu kandydata, należy uznać, że jest to e-mail przewidziany do kontaktu. W takim przypadku można kontaktować się z kandydatem za pomocą tego adresu. Nie można jednakże w pierwszej wiadomości do kandydata oferować usług lub produktów (zakazuje tego art. 172 prawa telekomunikacyjnego).
W pierwszej wiadomości należy zatem uzyskać zgodę na przekazanie oferty w kolejnych wiadomościach. Wysłanie wiadomości do kandydata w celu uzyskania zgody jest realizowane na podstawie interesu własnego administratora (art. 6 ust. 1. lit f RODO).
Zawsze, jeśli widzę potencjał w kandydacie na przyszłe rekrutacje, proszę po zakończeniu procesu rekrutacyjnego, aby zaznaczył zgody na przyszłość. Nie zdarzyło mi się, aby ktoś powiedział, że nie chce 😉
To nie pytanie, ale cenny komentarz, który postanowiliśmy opublikować 🙂
Czy dane kandydata należy usuwać jeśli proces rekrutacyjny jest ongoing? czyli zawsze otwarty?
Zakładam, że chodzi o sytuację, gdy kandydat udzielił zgody wyłącznie na konkretny proces. W mojej ocenie możemy przetwarzać dane tego kandydata tak długo, jak długo przed ewentualną kontrolą będziemy mogli wykazać, że rzeczywiście braliśmy pod uwagę tego kandydata na to konkretne stanowisko i CV ma dalej wartość dla pracodawcy (brak dezaktualizacji).
Czy mogę prosić o podsumowanie jeśli zapisuje tylko dane: imię, nazwisko + link do profilu w arkuszach excel - czy przy kontakcie z kandydatem powinnam wysłać informację o przetwarzaniu danych?
Samo imię i nazwisko nie stanowi danych osobowych ponieważ nie pozwala na zidentyfikowanie konkretnej osoby. Wyjątkiem jest sytuacja, gdy imię i nazwisko jest tak niepowtarzalne, że taka bezsporna identyfikacja jest rzeczywiście możliwa. Gdybyśmy zatem zapisywali w excelu samo imię i nazwisko, to można przyjąć, że nie dochodzi do przetwarzania danych osobowych i nie pojawi się obowiązek informacyjny.
Jeśli jednak zapisujemy również link do profilu Linkedin, to te dane i link pozwalają na bezsporne zidentyfikowanie konkretnej osoby, a zatem wespół z imieniem i nazwiskiem stanowi przetwarzanie danych osobowych. Podobnie zapisanie imienia i nazwiska razem z numerem PESEL lub adresem zamieszkania również stanowi przetwarzanie danych osobowych. W tej sytuacji należy spełnić obowiązek informacyjny – abstrahując oczywiście od tego, że musimy mieć podstawę prawną przetwarzania.
Co z przetwarzaniem danych przez podmioty powiązane z prowadzącym rekrutacja, czy należy wskazać tych administratorów? Czy wystarczy sformułowanie “i podmioty powiązane”?
Na początek należy wskazać, że administratorem danych osobowych zbieranych podczas rekrutacji jest podmiot, który chce zatrudnić u siebie danego kandydata, czyli pracodawca. Jeżeli pracodawca zdecyduje się powierzyć prowadzenie rekrutacji wyspecjalizowanej agencji, nadal będzie występował w roli administratora, natomiast agencja – w roli podmiotu przetwarzającego (procesora). W takim przypadku, obowiązek informacyjny powinien zawierać dane pracodawcy (jako administratora) oraz informację, że odbiorcą danych kandydatów będzie agencja rekrutacyjna (jako podmiot przetwarzający), bez podawania nazwy i innych danych tej agencji (wystarczy zatem wskazanie rodzaju podmiotu przetwarzającego).
Powyższe nie odnosi się do umowy na obsługę HR kandydata, czy ukrytej rekrutacji, gdzie to agencja będzie administratorem.
Jeżeli natomiast pracodawca chciałby udostępnić dane osobowe kandydata pomiotom, które nie będą ich przetwarzały w celach określonych przez pracodawcę, lecz w celach określonych samodzielnie (np. partnerom bizesowym), owe podmioty będą odrębnymi administratorami. Ponadto, możliwe jest przetwarzanie danych przez współpracujących ze sobą administratorów (zachodzi wtedy współadministrowanie danymi osobowymi).
Niezależenie od tego, czy mamy do czynienia z kilkoma działającymi niezależnie administratorami czy współpracującymi ze sobą współadministratorami, obowiązek informacyjny musi zawierać dane identyfikacyjne wszystkich tych administratorów/współadministratorów (ograniczenie się do sformułowania „podmioty powiązane” jest zatem niedopuszczalne). Nie bez powodu telekomy i duże organizacje wskazują spółki partnerskie.
Czy jeśli jesteśmy podmiotem przetwarzającym (procesorem) to możemy dla administratora (firmy zlecającej rekrutacje) zbierać zgodę na udział w rekrutacji, przyszłe procesy itp. (zgody, które z zasady powinien zbierać administrator)?
Tak, agencja może zbierać na rzecz administratora zgody dotyczące zarówno aktualnych, jak i przyszłych rekrutacji. Należy jedynie wyraźnie wskazać (np. w obowiązku informacyjnym/checkboxie), że adresatem udzielanej zgody jest administrator, a nie agencja.
To ja bym prosiła o przykład zgody, jeśli jako freelancer rekrutujesz kandydata dla jednej konkretnej firmy (osoba prywatna na umowie zlecenia), kto powinien być wskazany w tej zgodzie?
Jak wskazano w jednym z poprzednich pytań, adresatem zgody kandydata powinien być zawsze pracodawca (nawet, jeżeli zleca prowadzenie rekrutacji freelancerowi/agencji).
Czy klient otrzymujący kandydatów od agencji powinien mieć od kandydata własną zgodę i powinien zrealizować własny obowiązek informacyjny?
Zgodnie z przepisami RODO, podmiotem odpowiedzialnym za wykonanie obowiązku informacyjnego i uzyskanie zgody kandydata (jeżeli jej uzyskanie jest w danym przypadku konieczne) jest administrator = pracodawca. Jeżeli zatem zdecyduje się on powierzyć prowadzenie rekrutacji agencji, może zlecić jej także przekazywanie informacji i odbieranie zgód od kandydatów (w tym celu może przekazać jej np. własne wzory obowiązków informacyjnych i zgód).
Alterantywnie, po przekazaniu przez agencję danych kontaktowych kandydata, pracodawca może sam wysłać mu obowiązek informacyjny i zwrócić się z prośbą o wyrażenie zgody (co jednak nie jest zbyt wygodne). Przede wszystkim należy pamiętać, że odpowiedzialność za ewentualne uchybienia w realizacji tych obowiązków będzie podnosił pracodawca, a nie agencja – w pierwszej kolejności.
Software house- zatrudnia kandydata, który podpisuje umowę z software housem, ale dane kandydata Software House przekazuje swojemu klientowi (z którym software house ma umowę), ponieważ finalnie kandydat będzie wykonywał prace dla tego klienta. Kto tu jest kim? Kto administratorem? Kto procesorem? Na kim spoczywają jakie obowiązki?
Pytanie nie dotyczy rekrutacji. W opisanym przypadku, zarówno Software House, jak i klient będą odrębnymi administratorami danych osobowych, bowiem każdy z nich będzie samodzielnie określał cele i sposoby ich przetwarzania. Z uwagi na fakt, że nie mamy tu do czynienia z przetwarzaniem danych osobowych w imieniu drugiej strony, nie zachodzi stosunek powierzenia przetwarzania danych osobowych.
Aby Software House mógł udostępnić dane osobowe pracownika swojemu klientowi, potrzebuje do tego odpowiedniej podstawy. Najczęściej przyjmuje się, że taką podstawą jest prawnie uzasadniony interes administratora, który stanowi podstawę przetwarzania także przez klienta (należy zatem odpowiednio opisać to w obowiązku informacyjnym dla pracownika).
Z uwagi na fakt, że obie strony współpracy (Software House i klient) będą nawzajem udostępniały sobie dane kontaktowe pracowników, każda z nich powinna wykonać obowiązek informacyjny wobec pracowników drugiej strony. W tym celu, na początku współpracy strony mogą wymienić się swoimi klauzulami RODO i zobowiązać się do ich przekazywania własnym pracownikom oddelegowanym do wykonywania zadań na rzecz drugiej strony.
Czy przetwarzanie danych kandydatów w systemie ATS jest profilowaniem?
Spotkałem się z pytaniem o to, jest profilowaniem gromadzenie danych w systemie rekrutacyjnym pracodawcy.
Nie mam wątpliwości, że w takich systemach ATS jak Element, nie ma mowy o profilowaniu kwalifikowanym (które wymaga osobnej zgody kandydata). Czy nie dochodzi jednak do profilowania zwykłego?
W mojej ocenie wszystko zależy od interpretacji słowa “analiza”, które znajduje się w definicji profilowania wskazanej powyżej. Jeśli przyjmiemy, że analiza to także zapisywanie i wyświetlanie informacji, to jak najbardziej dochodzi do profilowania zwykłego. Jeśli jednak analiza to wyciąganie jakichkolwiek wniosków z zapisanych danych, to w mojej ocenie nie dochodzi nawet do profilowania zwykłego.
Nagranie webinaru "Rodo w rekrutacji - Sourcing / Direct Search / Ogłoszenia"
Kancelaria Creativa Legal: https://creativa.legal
Email: a.szczudlo@creativa.legal
Weryfikacja kandydatów w rekrutacji a RODO – poradnik dla działów HR
RODO utrudnia weryfikację kandydatów
Wejście w życie przepisów RODO zmieniło rzeczywistość prawną w wielu obszarach rekrutacji, m.in. w zakresie możliwości weryfikacji historii zawodowych kandydata, jego referencji oraz testowania przydatności kandydata do stanowiska pracy.
Przed dniem 25 maja 2018 r. (dzień wejścia w życie przepisów RODO) w zasadzie nie było dyskusji o tym, czy można weryfikować historię zatrudnienia, czy można dzwonić do poprzednich miejsc pracy kandydata, czy też wreszcie o co można pytać kandydata w ramach testów. Kto chciał to weryfikował i testował, a kar się nie obawiał.
Od wejścia w życie przepisów RODO sytuacja zmieniła się diametralnie, głównie z powodu wysokich kar przewidzianych przez nowe i jednocześnie nieprecyzyjne przepisy oraz braku konkretnych rozstrzygnięć sądowych, które wskazywałby jak te niejasne przepisy interpretować.
Czy zatem można legalnie weryfikować historię zatrudnienia kandydatów i pozyskiwać ich referencje z poprzednich miejsc pracy? Czy można zgodnie z prawem testować kandydatów i na podstawie wyników testów podejmować decyzje rekrutacyjne?
By odpowiedzieć na te pytania zorganizowaliśmy webinar, w którym na moje i gości pytania odpowiadała ekspertka, Inspektor Ochrony Danych Osobowych Anna Żmijewska.
Niniejszy artykuł stanowi zapis tego webinaru wraz z uzupełnieniem, w którym znajdą Państwo odpowiedzi na powyższe pytania.
Trzy narzędzia weryfikacji kandydatów
Do weryfikacji przydatności kandydata do pracy można wykorzystać wiele różnych narzędzi. Podczas webinaru skupiliśmy się na trzech narzędziach, które w mojej obecnie są bardzo wartościowe, a jednocześnie z których korzystanie stało się w jakimś stopniu wątpliwe po wejściu w życie przepisów RODO. Mam na myśli:
- weryfikowanie historii zatrudnienia kandydata;
- pozyskiwanie referencji kandydata z poprzednich miejsc pracy;
- testy rekrutacyjne.
Weryfikowanie historii zatrudnienia kandydata to działania zmierzające do ustalenia, czy historia zatrudnienia przedstawiona przez kandydata, najczęściej w jego CV, jest prawdziwa i nie zawiera luk.
Pozyskiwanie referencji kandydata z poprzednich miejsc pracy to działania zmierzające do tego, aby kandydat przekazał dane kontaktowe do osób z poprzednich miejsc jego pracy, które mogą podzielić się opinią o tym, w jaki sposób kandydat wykonywał swoją pracę. Alternatywnie, kandydat może również przekazać już udokumentowaną (np. w formie papierowej lub na profilu Linkedin) opinię poprzedniego pracodawcy. Tu warto jednak zwrócić uwagę, że z góry przygotowane referencje mogą jednak okazać się niewystarczające z punktu widzenia osoby, która prowadzi proces rekrutacyjny. Takie referencje nie muszą bowiem zawierać odpowiedzi na pytania, które rekruter chciałby zadać poprzedniemu pracodawcy kandydata.
Testowanie kandydatów to działania zmierzające do weryfikacji przydatności kandydata do stanowiska pracy poprzez sprawdzenie jego wiedzy lub cech osobowości za pomocą testów wiedzy, lub testów psychometrycznych.
Weryfikacja historii zatrudnienia kandydatów
Czy pracodawca może badać historię zatrudnienia kandydatów?
Pracodawca może żądać informacji o przebiegu dotychczasowego zatrudnienia kandydata jeśli jest to niezbędne do oceny przydatności kandydata do stanowiska pracy. Mówi o tym artykuł 22′ Kodeksu pracy.
Jednocześnie par. 5 tego artykułu stwierdza, że pracodawca może żądać udokumentowania tej historii w celu jej potwierdzenia. Kodeks pracy nie stwierdza jakie dokumenty mają potwierdzać historię kandydata, a zatem należy uznać, że mogą być to dowolne dokumenty, które są wystarczające do realizacji tego celu, a jednocześnie informacje zawarte w tych dokumentach nie wykraczają poza ten cel. Świadectwo pracy lub innego rodzaju pisemne potwierdzenie zatrudnienia kandydata w poprzednim miejscu pracy, wydają się odpowiednią metodą udokumentowania historii zatrudnienia.
Powyższy artykuł nie daje jednak odpowiedzi na pytanie o to, czy pracodawca może weryfikować historię zatrudnienia kandydata w inny sposób, niż żądając odpowiednich dokumentów od kandydata. W szczególności kodeks pracy nie stwierdza, czy pracodawca może np. samodzielnie skontaktować się z poprzednim pracodawcą, albo też zlecić weryfikację historii zatrudnienia specjalizującej się w tym firmie.
W ocenie naszego eksperta, Anny Żmijewskiej, samodzielna weryfikacja historii zatrudnienia kandydata (lub realizowana za pomocą innego podmiotu) może być wykonana wyłącznie za zgodą kandydata i dla celów dowodowych zgoda ta powinna być wyrażona w formie udokumentowanej, np. potwierdzenie e-mailowe lub zapisana w systemie rekrutacyjnym informacja o tym, że kandydat kliknął odpowiednia zgodę na formularzu aplikacyjnym. W przypadku zlecenia weryfikacji historii zatrudnienia innej firmie, zgodę kandydata może uzyskać również ta firma.
Zwracamy również uwagę na fakt, że poradnik UODO mówi o tym, że pracodawca może skorzystać z informacji dostępnych na portalu Linkedin w celu potwierdzenia historii zatrudnienia kandydata. Jest to jednak wyjątek wynikający z faktu, że celem portalu Linkedin jest dzielenie się informacjami o historii zatrudnienia i doświadczeniu zawodowym. Pozyskiwanie danych osobowych o kandydacie do pracy z innych portali, takich jak np. Facebook, nie jest już dopuszczalne.
Dodatkowo UODO stwierdza, że decyzja rekrutacyjna wciąż musi być podjęta na podstawie oświadczeń kandydata, a nie na podstawie tego, co znajduje się na portalu Linkedin.
Dane szczególnie wrażliwe kandydat może wysyłać z tylko i wyłącznie z własnej woli. Dane szczególnie wrażliwe to m.in. dane o pochodzeniu etnicznym, poglądy światopoglądowe, dane o stanie zdrowia, wierze itp. Dodatkowo do przetwarzania tych danych przez pracodawcę warto mieć udokumentowaną wyraźną zgodę kandydata.
Na marginesie warto wskazać, że w opinii naszej ekspertki Anny Żmijewskiej, która posiada doświadczenie w obsłudze międzynarodowych podmiotów, w innych krajach Europy znacznie mniej restrykcyjnie niż w Polsce podchodzi się do przepisów RODO.
Podsumowując:
- Pracodawca może żądać od kandydata dokumentów potwierdzających historię zatrudnienia (np. świadectwo pracy).
- Pracodawca może weryfikować historię zatrudnienia na Linkedin, ale nie na Facebook.
- Pracodawca może za zgodą kandydata zlecić weryfikację historii zatrudnienia innej firmie.
Referencje z poprzednich miejsc pracy kandydata
Czy można kontaktować się z poprzednim pracodawcą kandydata w celu uzyskania opinii o jego pracy?
Zgodnie z obowiązującymi przepisami i ich powszechną wykładnią, kontakt z poprzednim pracodawcą kandydata może nastąpić wyłącznie za zgodą kandydata.
Zgoda kandydata może być udzielona w sposób dowolny, niemniej jednak zalecamy, aby została udokumentowana dla celów dowodowych, np. w formie wiadomości e-mail kandydata lub w formie zapisanego formularza aplikacyjnego, w którym kandydat taką zgodę zaznaczył. Może się zdarzyć, że w przypadku negatywnej decyzji rekrutacyjnej, kandydat zmieni zdanie i stwierdzi, że nie wyrażał zgody na kontakt ze swoim poprzednim pracodawcą. W takim wypadku dowód takiej zgody będzie bardzo przydatny.
Jeśli korzystasz z formularzy aplikacyjnych ze zgodami RODO, to upewnij się, że zgody udzielone przez kandydatów za pomocą formularzy są zapisywane i przechowywane w taki sposób, aby w przypadku kontroli łatwo wykazać, że kandydat udzielił wymaganej zgody. W tym celu nowoczesne systemy ATS automatycznie prowadzą rejestr zgód RODO każdego aplikującego kandydata.
Czy opinia poprzedniego pracodawcy kandydata może być podstawą odrzucenia kandydata w procesie rekrutacyjnym?
Zdaniem Anny Żmijewskiej, naszej ekspertki, UODO może zakwestionować podejmowanie decyzji rekrutacyjnej (np. odrzucenie kandydata) na podstawie negatywnej opinii uzyskanej od poprzedniego pracodawcy.
Przyznaję, że rzeczywiście trudno stwierdzić, jak UODO oceniłoby taką sytuację. Gdyby jednak okazało się, że swojej decyzji nie można oprzeć o opinię uzyskaną od poprzedniego pracodawcy kandydata, to oznaczałoby, że pozyskiwanie tych opinii nie miałoby większego sensu.
Oczywiście należy brać pod uwagę, że opinie pozyskiwane z poprzednich miejsc pracy mogą być niesprawiedliwe dla kandydata. Rolą rekrutera jest jednak przeprowadzenie z poprzednim pracodawcą jak najrzetelniejszego wywiadu i ocena, w jakim stopniu uzyskana ocena jest obiektywna i przydatna.
Czy potrzebuję zgodę na przetwarzanie danych osoby reprezentującej poprzedniego pracodawcę kandydata?
Jeśli kandydat przekazał nam dane osoby reprezentującej poprzedniego pracodawcę, to prawdopodobnie przekazał nam jego dane osobowe (imię, nazwisko, telefon lub email). Jak prawo spogląda na przetwarzanie tych danych?
W opisanym powyżej przypadku nie musimy mieć zgody na przetwarzanie danych osobowych otrzymanych od kandydata. Wynika to z faktu posiadania interesu prawnego do takiego przetwarzania. Interes prawny jest samoistną i wystarczającą podstawą przetwarzania danych osobowych. Więcej o tym, czym jest interes prawny w kontekście przetwarzania danych osobowych, dowiesz się z podsumowania naszego poprzedniego webinaru, który dotyczył właśnie przetwarzania danych osobowych w procesach rekrutacyjnych. Zachęcamy do zapoznania się z podsumowaniem tekstowym lub z nagraniem webinaru.
Pomimo posiadania interesu prawnego wciąż należy jednak spełnić obowiązek informacyjny wobec tej osoby, co w mojej ocenie jest bardzo niepraktyczną zasadą (mam nadzieję, że albo ustawodawca zmodyfikuje odpowiednio przepisy, albo też sądy utrwalą przyjazne codziennej pracy orzecznictwo w tym zakresie).
Najprostszym sposobem na wykonanie obowiązku informacyjnego wobec osoby, której dane osobowe przekazał nam kandydat, jest przesłanie wiadomości email, w której stopce będzie link do dokumentu zawierającego informacje objęte obowiązkiem informacyjnym.
Podsumowując:
- Zgodnie z przepisami referencje z poprzednich miejsc pracy możemy pozyskiwać wyłącznie za zgodą kandydata.
- Kandydat może dostarczyć dane kontaktowe do osoby reprezentującej swojego obecnego lub poprzedniego pracodawcę, bądź też referencje już przygotowane, np. w formie pisemnej.
- Dla celów ewentualnej kontroli warto mieć udokumentowaną zgodę kandydata na uzyskanie referencji. Taka zgoda może być automatycznie zbierana i przechowywana np. przez system ATS.
- Zdaniem naszej ekspertki opinia z poprzedniego miejsca pracy kandydata nie może być podstawą do podjęcia decyzji rekrutacyjnej względem tego kandydata.
- Uzyskując od kandydata dane kontaktowe do osoby reprezentującej poprzedniego pracodawcę nie musimy mieć zgody tej osoby, ale musimy wobec tej osoby spełnić obowiązek informacyjny.
Referencje kandydatów a RODO - wynik ankiety na portalu Linkedin
Miesiąc temu opublikowałem na Linkedin ankietę, która dotyczyła sposobu postępowania w przypadku pozyskania opinii o kandydacie do pracy w sposób niezgodny z przepisami RODO. Ankietę przygotowałem w ramach zbierania materiałów do artykułu na temat stosowania narzędzi weryfikujących kandydatów po wejściu w życie przepisów RODO.
Poniżej pytanie przedstawione w ankiecie, wyniki, a na końcu mój komentarz.
Referencje kandydatów a przepisy RODO - ankieta
Wyobraź sobie, że jesteś w następującej sytuacji 
Prowadzisz proces rekrutacyjny na stanowisko menedżerskie. Zatrudniona osoba będzie zarządzała grupą kilkudziesięciu pracowników. Obiecujący kandydat przeszedł ostatni etap, ale nie zna jeszcze Twojej decyzji co do ewentualnego przedstawienia oferty.
Wczoraj spotkałeś przyjaciela, który pracuje w innej firmie. Jest to osoba, na której zdaniu możesz polegać i często konsultujesz z nią trudne decyzje zawodowe i prywatne. Zupełnie przypadkiem okazało się, że Twój kandydat pracował w firmie Twojego przyjaciela. Przyjaciel poinformował Cię o bardzo niepokojących zachowaniach kandydata, które demotywowały pracowników i rozbijały zespół. Wśród tych zachowań było nieuprzejme zwracanie się do członków zespołu, szydzenie z błędów innych osób, zwracanie jednych członków zespołu przeciwko innym. Twój przyjaciel stanowczo odradził Ci zatrudnianie tej osoby.
W trakcie procesu rekrutacyjnego kandydat nie sprawiał wrażenia osoby, która mogłaby przejawiać takie zachowania. Podczas rozmów mówił o znakomitych umiejętnościach zarządzania zespołem i świetnych wynikach. Wydawał się wiarygodny.
Przepisy prawa mówią o tym, że proces rekrutacyjny musi być oparty o informacje przekazane przez kandydata. Jeśli kandydat nie wyraził zgody na kontakt z poprzednim miejscem pracy, to pracodawca nie ma prawa tego robić i nie może w procesie rekrutacyjnym wykorzystywać informacji pozyskanych w ten sposób. Co robisz? Odpowiedz, wybierając jedną z trzech opcji w poniższej ankiecie.
Co robisz?
Zatrudniasz kandydata i świadomie narażasz firmę i zespół na szkodliwe zachowanie menedżera? Odrzucasz kandydata?
A. Odrzucam
B. Zatrudniam
C. Nie wiem, muszę to przemyśleć.
Ps. Powyższy przypadek pojawił się podczas webinaru, który prowadziłem w 23 czerwca na temat prawnych aspektów weryfikacji historii zatrudnienia kandydatów. Inspektor ochrony danych osobowych, który uczestniczył w webinarze w roli eksperta, potwierdził, że nie można podejmować decyzji rekrutacyjnych na podstawie informacji pozyskanych z poprzednich miejsc pracy bez zgody kandydata.
Według raportu Linkedin ankieta dotarła przede wszystkim do (stanowisko i liczba osób):
- Human Resources Business Partner 186
- Human Resources Manager 163
- Chief Executive Officer 148
- Recruiter 136
- Human Resources Specialist 129
- Owner 113
- Talent Acquisition Specialist 90
Odpowiedź udzieliło 199 osób
Wynik ankiety:
Odrzucam: 45%
Zatrudniam: 17%
Nie wiem, muszę to przemyśleć: 38%
Pod ankietą pojawiła się dyskusja na kilkadziesiąt komentarzy. W dyskusji wchodziliśmy w szczegóły różnych sytuacji. Wyjaśniałem również wątpliwości kilku komentujących. Wszystkich zainteresowanych zachęcam do lektury. Link do postu na Linkedin z ankietą:
Referencje kandydatów a przepisy RODO - komentarz do wyników ankiety
Jak widać, większość osób udzieliła odpowiedzi, która pozostaje w sprzeczności z powszechną interpretacją przepisów RODO. Przepisy stanowią bowiem, że pozyskanie opinii o kandydacie z jego poprzedniego miejsca pracy, może nastąpić wyłącznie za jego zgodą.
Dodatkowo eksperci twierdzą, że opinia poprzedniego pracodawcy, nawet jeśli pozyskana jest za zgodą kandydata, nie powinna stanowić podstawy do podejmowania decyzji rekrutacyjnej (więcej o tym w kolejnym artykule, który jest obecnie w przygotowaniu).
Dlaczego większość osób postąpiłaby wbrew przepisom RODO? W mojej ocenie odpowiedź jest prosta – przepisy nie spełniają wymagań procesów rekrutacyjnych.
Wkrótce po opublikowaniu ankiety zatelefonował do mnie właściciel jednej z firm rekrutacyjnych i przytoczył przykład z życia wzięty, który przedstawiam poniżej.
Kadra menadżerska i zarządzająca firm działających w tej samej branży pozostaje nierzadko ze sobą w kontakcie. Firmy te wiedzą, czy kandydat przechodzący z jednej firmy do drugiej, jest kandydatem atrakcyjnym. Informacje o kandydatach wędrują z firmy do firmy. Poza tym bywa też tak, że menadżer pracujący dziś w firmie X, wcześniej pracował z kandydatem w firmie Y i ma już o tym kandydacie wyrobione zdanie.
Zgodnie z przepisami RODO nie można pozyskiwać opinii o kandydatach od innych pracodawców bez zgody kandydata. Powyższe przypadki łamią tę regułę. Większość osób – co potwierdza wynik ankiety – nie zignoruje jednak negatywnych opinii o kandydacie, nawet jeśli pozyskane są bez zgody kandydata. Mój rozmówca wskazał, że w takich przypadkach kandydatowi podaje się jakiś inny, fikcyjny powodów odrzucenia, np. “nie pasuje Pan do kultury organizacyjnej naszej firmy”.
Taki fikcyjny feedback rekrutacyjny jest oczywiście niepożądany, zarówno dla kandydata, jak i pracodawcy oraz prowadzi do patologicznej sytuacji, w której kandydaci są okłamywani i nie otrzymują wartościowej dla ich rozwoju informacji.
W mojej ocenie to nie jest wina pracodawców, lecz nieprzystosowanych do rzeczywistości przepisów prawnych.
TESTY
Jakie są rodzaje testów stosowanych w procesach rekrutacyjnych?
W procesach rekrutacyjnych stosujemy zasadniczo dwa rodzaje testów:
- testy psychometryczne
- test pozostałe
Test psychometryczny to, zgodnie z definicją dostępną w Wikipedii, “wystandaryzowany i zobiektywizowany pomiar próbki zachowania. Pozwala na podstawie zachowania się osoby badanej w sytuacji testowej wnioskować o jej zachowaniu w sytuacjach pozatestowych, życiowych”.
Testy psychometryczne powinny być przygotowane i oceniane przez wykfalifikowane w tym zakresie osoby.
Wśród pozostałych testów występują przede wszystkim:
- testy kompetencyjne, które mogą badać np. wiedzę kandydata na temat zagadnień związanych ze stanowiskiem pracy;
- testy analityczne, które badają umiejętność kandydata do przeprowadzania określonych zadań analitycznych, np. kalkulacji, analizy tekstu, logicznego myślenia;
- testy językowe, które badają umiejętność posługiwania się językami obcymi.
Jakim testom można poddawać kandydatów w toku procesu rekrutacyjnego?
W toku procesu rekrutacyjnego można stosować testy, które badają zdolność kandydata do wykonywania określonej pracy. A contrario, nie powinniśmy w ramach testów badać tych obszarów, które nie wpływają na wykonywanie pracy na stanowisku, którego dotyczy proces rekrutacyjny.
Bardzo ważną zasadą jest też to, że w ramach testów psychometrycznych nie wolno badać zdrowia psychicznego kandydata. Z tego względu zaleca się, aby testy psychometryczne przygotowane zostały przez profesjonalistów, którzy zadbają o to, by nie badać tego, co nie jest niezbędne w toku rekrutacji.
Czy istnieją jakiekolwiek wymogi co do tego, kto powinien przeprowadzić test rekrutacyjny lub ocenić wynik takiego testu?
W przypadku testów psychometrycznych, przygotowanie i ocena wyników testu powinny być przeprowadzone przez osoby posiadające odpowiednie do tego kompetencje. Nie jest jednak tak, że każdy test psychometryczny może wykonywać wyłącznie dyplomowany psycholog. W regulaminie Pracowni Testów Psychologicznych Polskiego Towarzystwa Psychologicznego czytamy:
“Niektóre towary dostępne w Księgarni mogą być sprzedawane jedynie dyplomowanym psychologom. Ograniczenia takie wynikają z Ustawy z dnia 8 czerwca 2001 r. o zawodzie psychologa i samorządzie zawodowym psychologów (Dz. U. Nr 73, poz. 763 z późn. zm.).
Produkty dostępne tylko dla psychologów opatrzone są opisem ‘Tylko psycholog’, i Kupujący, który nie posiada zweryfikowanego statusu psychologa, nie może ich zakupić (dodać do koszyka)”.
W związku z powyższym należy każdorazowo ustalić, czy konkretny test może być wykonywany przez osobę nieposiadającą stosownego wykształcenia.
Podobnie pracownia testów Perso.in wskazuje:
“To nieprawda, że jedynie dyplom ukończenia studiów magisterskich na kierunku psychologii upoważnia nas do korzystania z dostępnych na rynku testów. Jest wiele takich narzędzi, które go nie wymagają i sprzedawane są one również przez Pracownię Testów Psychologicznych Polskiego Towarzystwa Psychologicznego. Od czego to głównie zależy?
Od rekomendacji autora(ów) czy dany test dostępny jest jedynie psychologom.
Od konsekwencji, jakie wiążą się z posługiwaniem danym testem dla osoby badanej. Im one większe, czyli wpływające na zmianę życia (np. orzecznictwo, opinie, które mają konsekwencje prawne), tym większe kwalifikacje są niezbędne.
Kolejna sprawa to wiedza o diagnozowanym obszarze oraz znajomość psychometrii (dziedziny psychologii, który zajmuje się teorią i praktyką stosowania testów psychologicznych), jakiej wymaga sprawne i właściwe posługiwanie się danym testem.
Trzeba też zaznaczyć, że różne są poziomy trudności w stosowaniu narzędzi (czasami wystarcza przeczytanie instrukcji, innym razem potrzebne są umiejętności nabywane w trakcie szkoleń).”
W przypadku pozostałych testów – brak jest wskazań co do tego, kto może przygotować testy rekrutacyjne i oceniać ich wyniki. Oczywistym jest jednak, że powinna być to osoba biegła w ramach obszaru, który jest badany przez test.
Czy do przeprowadzenia testów rekrutacyjnych potrzebna jest zgoda kandydata?
Do przeprowadzenia testów psychometrycznych rekomendujemy uzyskanie wyraźnej zgody kandydata, która będzie udokumentowana w formie elektronicznej (np. e-mail) lub pisemnej.
Nasza ekspertka Anna Żmijewska radzi, aby w tym przypadku zgoda kandydata nie była odbierana w formie odznaczenia zgody na formularzu aplikacyjnym kandydata.
Jeśli chodzi o moje osobiste zdanie, to uznałbym zgodę na formularzu aplikacyjnym za dopuszczalną, o ile stanowi zgodę osobną, niepołączoną z innymi zgodami.
W przypadku pozostałych testów rekrutacyjnych jesteśmy zgodni co do tego, że nie ma potrzeby uzyskiwania wyraźnej zgody. Sam fakt przystąpienia kandydata do testu będzie traktowany jako dorozumiana zgoda kandydata i taka zgoda jest w przypadku takich testów wystarczająca.
Czy wynik testu może rozstrzygać o dalszym losie kandydata w procesie rekrutacyjnym?
Zdaniem Anny Żmijewskiej negatywne wyniki testów niepsychometrycznych mogą stanowić samoistną podstawę odrzucenia kandydata.
W przypadku testów psychometrycznych nasza ekspertka twierdzi, że nie powinniśmy odrzucać kandydata tylko i wyłącznie na podstawie wyników takich testów.
W tym przypadku ponownie mam wrażenie, że przepisy prawne lub ich prawdopodobna interpretacja przez UODO, nie odpowiada potrzebom procesów rekrutacyjnych. Nie po to przecież pracodawca poświęca zasoby na przeprowadzanie testów psychometrycznych, żeby później ich wynik nie mógł być podstawą podejmowania decyzji rekrutacyjnych. Tu warto przypomnieć raz jeszcze, że Anna Żmijewska zwróciła podczas webinaru uwagę, iż w innych krajach europejskich reguły w tym zakresie nie są tak rygorystyczne, jak w Polsce.
Czy testowanie kandydatów to profilowanie?
Zacznijmy od definicji prawnej profilowania.
Art. 4 pkt 4) RODO mówi:
„Profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.”
Kluczowym fragmentem jest “zautomatyzowane przetwarzanie danych osobowych“, które niestety nie jest zdefiniowane przez przepisy, ale jasno wskazuje, że chodzi o działania automatyczne, czyli w praktyce wykorzystujące algorytmy komputerowe.
Kolejną ważną kwestią jest podział profilowania na zwykłe i kwalifikowane. Jest to podział istotny z punktu widzenia procesów rekrutacyjnych, albowiem tylko profilowanie kwalifikowane wymaga uzyskania osobnej zgody od kandydata.
Profilowanie kwalifikowane to profilowanie, w którym:
- Opieramy się wyłącznie na zautomatyzowanym podejmowaniu decyzji, a więc bez udziału czynnika ludzkiego.
- Proces wywołuje skutki prawne względem profilowanej osoby lub w inny istotny sposób wpływa na profilowaną osobę.
Czy w świetle powyższych definicji nie można uznać, że przeprowadzenie testu jest zautomatyzowanym podejmowaniem decyzji względem kandydata? Nie, ponieważ kandydat samodzielnie odpowiada na testowe pytania, człowiek (a nie algorytm) ocenia wynik tego testu i na jego podstawie (ewentualnie na podstawie również innych czynników) podejmuje decyzję względem kandydata.
Czy wynik testu kandydat może udostępnić innemu pracodawcy?
W naszej ocenie kandydat nie może udostępniać wyników testów innym pracodawcom bez zgody pracodawcy, który test przeprowadzał.
Wynika to m.in. z faktu, iż sam test może stanowić własność intelektualną pracodawcy, która jest objęta ochroną prawną. Należy pamiętać, że test został prawdopodobnie zakupiony lub stworzony przez pracodawcę. Z tego tytułu pracodawca posiada określone prawa wobec tego testu (własność, licencja, prawa autorskie), które chronią pracodawcę.
Podsumowując kwestę testów w kontekście przepisów RODO:
- Testy powinny badać wyłącznie to, co jest niezbędne do wykonywania pracy na stanowisku objętym procesem rekrutacyjnym.
- Do wykonania testów zwykłych nie ma potrzeby uzyskania wyraźnej zgody. Przystąpienie kandydata do testu jest jego zgodą dorozumianą.
- Do wykonania testów psychometrycznych rekomendujemy uzyskanie wyraźnej zgody kandydata.
- Wyniki testów psychometrycznych nie powinny być jedynym czynnikiem branym pod uwagę podejmując decyzje rekrutacyjną względem kandydata.
- W przypadku testów psychometrycznych należy zwrócić szczególną uwagę, by nie badać stanu zdrowia kandydata, o ile nie jest to wprost wymagane przepisami prawa.
- Wyniki innych testów (niepsychometrycznych) mogą stanowić samoistną przesłankę do podjęcia decyzji rekrutacyjnej względem kandydata.
- Przeprowadzanie testów, których wyniki ocenia człowiek i na podstawie tych wyników człowiek podejmuje decyzje względem kandydata, nie jest profilowaniem.
- Kandydat nie ma prawa udostępniać wyników testów lub treści testu innym osobom, o ile nie uzyskał na to wyraźnej zgody pracodawcy, który test przeprowadzał.
Czy omawiane powyżej zasady RODO obowiązują również w przypadku kandydatów "zatrudnianych" na B2B?
W przypadku kandydatów, z którymi planowane jest podjęcie współpracy na zasadach działalności gospodarczej, przepisy kodeksu pracy nie obowiązują. Działa wciąż jednak zasada minimalizacji danych, którą narzucają przepisy RODO.
W związku z powyższym rekomendujemy, aby także w przypadku kandydatów zatrudnianych na zasadach B2B, zbierać tylko takie dane, jakie są niezbędne do celów rekrutacyjnych i aby pozyskiwać od kandydatów zgody na przetwarzanie tych danych.
Zwracamy uwagę, że wciąż brakuje orzeczeń sądowych rozstrzygających wiele wątpliwych kwestii związanych z obowiązywaniem przepisów RODO. Istnieje zatem niepewność prawna, wobec której zalecamy ostrożne postępowanie. Takim ostrożnym postępowaniem jest stosowanie podobnych reguł bez względu na to, jaką formę prawną zastosujemy do podjęcia współpracy z kandydatem.
Nagranie webinaru "Weryfikacja kandydata w procesie rekrutacyjnym a RODO"
Polecam:
- Zapisz się do naszego newslettera i otrzymuj unikalne dane i ciekawostki z rynku pracy i rekrutacji.
- Poznaj ATS Element i sprawdź czy to najlepszy system rekrutacyjny dla Twojej firmy.
- Zobacz najczęściej czytane posty na naszym blogu:
Maciej Michalewski
CEO @ Element. Recruitment Automation Software
Ostatnie wpisy:
Newsletter HR & Tech – 24.04.2024 – wiadomości ze świata HR i Technologii
Newsletter: AI w Rekrutacji – decyzje człowieka vs AI ▪️ HR’owe Śniadanie Just Join IT ▪️ AI podnosi skuteczność wiadomości ▪️ IT Market Snapshot Q1 2024 ▪️ Rekrutacja nie zawsze potrzebuje ATS
AI w rekrutacji – czy sztuczna inteligencja powinna rekrutować zamiast ludzi?
Czy sztuczna inteligencja
powinna decydować
zamiast ludzi?
Zobacz szokujące wyniki
badań decyzji sądowych.
Newsletter: Spadki na rynku pracy ▪️ Mapa zwolnień grupowych ▪️ Nieprawdopodobne Udio ▪️ AI ratuje życie
Newsletter HR & Tech: Spadki na rynku pracy ▪️ Mapa zwolnień grupowych ▪️ Nieprawdopodobne Udio ▪️ AI ratuje życie.
Marzec 2024 na rynku pracy — dalsze spadki. Raport ofert pracy w Polsce.
Prezentujemy najnowszy raport “Oferty pracy w Polsce”. Dane wciąż nie nastrajają optymizmem, ale po szczegóły zapraszamy do bezpłatnego raportu.
Newsletter: AI i Dezinformacja 2.0 ▪️ 20% zniżki RekruMasters ▪️ Cięcie kosztów z ATS ▪️ Szczera rozmowa ze mną ▪️ PeopleGPT
Newsletter: AI i Dezinformacja 2.0 ▪️ 20% zniżki RekruMasters ▪️ Cięcie kosztów z ATS ▪️ Szczera rozmowa ze mną ▪️ PeopleGPT
Koszt rekrutacji – kompendium wiedzy o kosztach procesów rekrutacyjnych
Procesy rekrutacyjne generują koszty, zwłaszcza gdy zakończą się niepowodzeniem. W tym kompendium znajdziesz kompleksowe informacje na temat kosztów związanych z rekrutacją.
