RODO w rekrutacji - sourcing, direct search, ogłoszenia. Wszystko co musisz wiedzieć.

8 czerwca 2022

Wstęp

Niniejsze kompendium wiedzy o przetwarzaniu danych osobowych kandydatów w toku procesów rekrutacyjny stanowi zbiór odpowiedzi na najczęściej spotykane wśród rekruterów pytania o kwestie RODO w rekrutacji.

Kompendium powstało na podstawie webinaru przeprowadzonego w dniu 26.05.2022 r. Webinar został przeprowadzony z udziałem eksperta z obszaru RODO i rekrutacji – mec. Arkadiusza Szczudło z kancelarii Creativa.Legal. Nagranie webinaru dostępne jest na końcu tego artykułu.

W trakcie webinaru pojawiały się pytania, na których część nie udało nam się odpowiedzieć w trakcie webinaru. Te brakujące odpowiedzi publikujemy w niniejszym kompendium.

Podstawowe pojęcia

Przetwarzanie danych osobowych – Przetwarzanie danych osobowych to w praktyce każde działania na tych danych, takie jak zapisywanie, kopiowanie, edycja czy wysyłane tych danych, niezależnie od tego gdzie te dane się znajdują (np. w notatniku, excelu, systemie rekrutacyjnym, na platformie Linkedin albo w telefonie komórkowym).

Podstawa prawna przetwarzania danych osobowych

  • interes prawny
  • zgoda
  • obowiązek prawny

Dane osobowe mogą być przetwarzane pod warunkiem wystąpienia jednej z trzech podstaw:

Zgoda osoby, której dane są przetwarzane. To najprostsza sytuacja, w której kandydat wyraził swoją zgodę w sposób bezpośredni lub domniemany zgodę na przetwarzanie jego danych.

Interes prawny – sytuacja, w której z uwagi na uzasadniony prawnie interes podmiot może przetwarzać dane osobowe nawet bez zgody. Przykład: rekruter posiada interes prawny w przetwarzania danych osobowych kandydata, ponieważ jego praca polega na rekrutacji pracowników.

Obowiązek prawny – sytuacja, w której prawo, np. kodeks pracy, uprawnia podmiot do przetwarzania danych osobowych.

Dla rozwiania wszelkich wątpliwości – wystarczy wystąpienie jednej z powyższych podstaw, aby przetwarzać dane osobowe zgodnie z prawem. W szczególności nie potrzeba zgody kandydata (lub innej osoby w innych rodzajach działalności) jeśli istnieje interes prawny.

Czy bez zgody kandydata można przetwarzać jego dane osobowe?

Tak, można przetwarzać dane osobowe kandydata bez jego zgody, o ile posiadamy jedną z dwóch pozostałych podstaw prawny, czyli interes prawny albo obowiązek prawny.

Warto również pamiętać, że zgoda kandydata może być wyrażona również w sposób domniemany, tzn. poprzez jego zachowanie, które potwierdza zainteresowanie wzięciem udziału w procesie rekrutacyjnym. Tu mamy przede wszystkim na myśli przesłanie CV, umówienie się na rozmowę rekrutacyjną, czy też prowadzenie rozmowy rekrutacyjnej w wiadomościach na portalu Linkedin. Takie zachowanie można traktować jako zgoda na udział w procesie rekrutacyjnym i uprawnia do przetwarzania danych osobowych kandydata, czyli np. dodanie kandydata do systemu rekrutacyjnego czy notatnika.

Czy oprócz jednej z trzech podstaw prawnych istnieją jeszcze inne obowiązki, które pracodawca musi spełnić aby przetwarzać dane osobowe kandydatów?

Tak. Oprócz istnienia podstawy prawnej przetwarzania danych osobowych przepis nakładają obowiązek poinformowania kandydata o fakcie przetwarzania jego danych. Jest to tak zwany obowiązek informacyjny.

Obowiązek informacyjny to konieczność przekazania kandydatowi szeregu informacji wskazanych w art. 13 i 14 przepisów RODO. Chodzi tu przede wszystkim o dane podmiotu, który przetwarza dane osobowe i zasady przetwarzania tych danych.

Najlepszą praktyką jest przygotowanie dokumentu “Obowiązek informacyjny”, który zawiera wszystkie elementy wskazane w art. 13 i 14 RODO i następnie przekazywanie tego dokumentu kandydatom w celu realizacji obowiązku informacyjnego.

W jakim terminie należy zrealizować obowiązek informacyjny?

Obowiązek informacyjny należy zrealizować niezwłocznie po rozpoczęciu przetwarzania danych osobowych kandydata. Co to oznacza w praktyce? Oto kilka przykładów:

  1. Kandydat, z którym rozmawiamy na portalu Linkedin, ale jeszcze nie zapisujemy jego danych poza portalem, nie podlega obowiązkowi informacyjnemu, ponieważ jego dane są przetwarzane tylko na tym portalu, zatem pracodawca nie posiada jego danych. W tym przypadku stosowany jest wyłącznie regulamin portalu Linkedin, który reguluje kto (portal Linkedin) i na jakich zasadach (wskazanych w regulaminie) przetwarza dane.
  2. Kandydat, z którym rozmawiamy na portalu Linkedin i zapisujemy jego dane poza portalem (np. w systemie ATS, który pozwala zarządzać sourcingiem/direct searchem jak system Element). W tym przypadku istnieje wymóg spełnienia obowiązku informacyjnego, czyli przekazania mu informacji wskazanych w art. 13 i 14 RODO. Ponadto oczywiście musi istnieć podstawa przetwarzania danych osobowych (np. zgoda kandydata czy interes prawny).
  3. Kandydat przesłał swoje CV aplikując na ogłoszenie rekrutacyjne. W tym przypadku najlepiej dodać do formularza aplikacyjnego oświadczenie kandydata, że zapoznał się z obowiązkiem informacyjnym i ten obowiązek w formularzu umieścić lub podlinkować.

Czy obowiązek informacyjny może być schowany za linkiem internetowym, czy też kandydat musi otrzymać od razu całą treść obowiązku?

Tak, nie ma potrzeby umieszczania całej treści obowiązku informacyjnego na formularzu aplikacyjnym lub w wiadomości do kandydata. Wystarczy przedstawić kandydatowi link do dokumentu, np. do strony internetowej, która zawiera wszystkie wymagane ustawą informacje, lub też link do dokumentu (np. pdf), który można wyświetlić lub pobrać i przeczytać.

Czy w wiadomości na Linkedin mogę przesłać link do obowiązku informacyjnego?

Tak, jak najbardziej. W odpowiedzi na kolejne pytanie odpowiemy jak taka wiadomość może wyglądać.

Jak najprościej spełnić obowiązek informacyjny w codziennej komunikacji z kandydatem? Jak nie przestraszyć kandydata prawniczymi zawiłościami?

Z jednej strony prawo wymaga, aby obowiązek informacyjny spełnić niezwłocznie po rozpoczęciu przetwarzania danych osobowych kandydata, z drugiej strony jest to bardzo niepraktyczne zadanie z punktu widzenia rekrutera, który dopiero nawiązuje relację z kandydatem i każda wiadomość, żeby nie powiedzieć każde słowo, wysłane do kandydata, powinno tego kandydata zachęcić do tej relacji. Poruszanie prawnych kwestii w pierwszych wiadomościach przesyłanych do kandydatów z pewnością może utrudnić budowanie zaufania. Jak zatem poradzić sobie z tym problemem?

Cóż, z przykrością musimy przyznać, że w tym aspekcie prawo nie jest dopasowane do potrzeb rekrutera i nie mamy dla Państwa cudownego rozwiązania. Wszystkie rozwiązania, zgodne z prawem rozwiązania, wydają się kiepskie, a z tych kiepskich moim zdaniem najlepsze jest następujące:

  1. Nawiązujemy kontakt z kandydatem na Linkedin i prowadzimy z nim rozmowę na tym portalu.
  2. Dodajemy kandydata do swojej listy kandydatów w systemie rekrutacyjnym, w excelu lub w innym miejscu, które wykorzystujemy do zarządzania działaniami typu sourcing / direct search (rozpoczynamy przetwarzanie danych osobowych poza Linkedin i powstaje obowiązek informacyjny)
  3. W odpowiedzi na jedną z wiadomości kandydata przesyłamy mu na przykład taką wiadomość: “Chcę pozostać z Tobą w kontakcie i w tym celu zapisuję Twoje dane kontaktowe. Rodo wymaga, abym przekazał Ci informacje kto i na jakich zasadach Twoje dane przechowuje, więc przesyłam link do naszych zasad przetwarzania danych osobowych: link 🙂 Pozdrawiam i pozostajemy w kontakcie :)”

To przykład pokazujący jeden ze sposobów wplecenia w konwersację z kandydatem obowiązku informacyjnego. Takie lub inne, podobne sformułowanie warto mieć w notatniku do wykorzystania za pomocą ctrl+c ctrl+v. Oczywiście linkiem jest adres pliku lub strony internetowej z treścią obowiązku informacyjnego.

Jest jeszcze alternatywny scenariusz, który warto stosować gdy kandydat zgodził się już wysłać swoje CV. W takim przypadku najlepszą opcją jest poproszenie kandydata, aby nie wysyłał swojego CV przez wiadomość na Linkedin lub przez e-mail, lecz by przesłał swoje CV za pomocą formularza aplikacyjnego (np. formularz wygenerowany przez system ATS Element), na którym od razu zaznaczy swoje zgody rodo i tam też będzie mógł zapoznać się z informacją w ramach obowiązku informacyjnego.

Więcej o tym, jak przygotować zgody na formularzu aplikacyjnym, będzie w dalszej części poradnika. Tu natomiast przykład wiadomości do kandydata w omawianym scenariuszu:

Jeśli możesz, to prześlij proszę swoje CV za pomocą linku aplikacyjnego: link. Tym sposobem od razu pojawisz się w moim systemie rekrutacyjnym i jednocześnie będziemy mieć Twoje zgody rodo, a Ty nie będziesz musiał tych zgód nigdzie dodawać czy ręcznie wysyłać 🙂

Czy to ma znaczenie, skąd pozyskuje dane kandydata? (Linkedin vs Facebook i inne portale)

Na pierwszy rzut oka mogłoby się wydawać, że to ma znaczenie. W praktyce okazuje się, że zasady przetwarzania danych osobowych kandydatów poza tymi portalami (czyli gdy zapisujemy te dane w swoich zasobach, takich jak system rekrutacyjny, czy notatnik) są dokładnie takie same niezależnie od tego, czy dane te pozyskujemy z Linkedin czy też z Facebook lub dowolnego innego źródła. Zawsze musimy:

  1. Mieć podstawę prawną przetwarzania (jedna z trzech: zgoda, interes, obowiązek)
  2. Zrealizować obowiązek informacyjny.

Nie ma tu żadnego znaczenia, że Linkedin to portal dedykowany procesom rekrutacyjnym. Zasada jest dokładnie taka sama dla Linkedin i dla Facebooka, Tiktoka czy Tindera. Prawo nie przewiduje pod tym kątem jakichkolwiek rozróżnień i odmiennych zasad postępowania.

Jak długo można przetwarzać dane osobowe kandydata?

Na to pytanie nie ma niestety jednoznacznej odpowiedzi ponieważ RODO nie stwierdza konkretnego terminu. Prawo mówi o tym, że można przetwarzać dane osobowe na czas nie dłuższy, niż jest to niezbędne dla celów, dla których dane są przetwarzane.

Co to znaczy czas niezbędny dla celów przetwarzania danych? Każdy przypadek warto rozpatrywać indywidualnie. Istnieje pewna praktyka, które stwierdza, że termin 14 dni po zakończeniu procesu rekrutacyjnego (dla celów administracyjnych), nie przekracza tej granicy. Nie ma natomiast żadnego rozstrzygnięcia, które stwierdza, jaki jest maksymalny termin.

W mojej osobistej ocenie, którą należy brać jednak tylko i wyłącznie jako moją opinię a nie poradę prawną, czas niezbędny trwa tak długo, jak długo istnieje rzeczywista szansa, że kandydat zostanie zatrudniony.

W przypadku sporu sądowego musimy wykazać, że rzeczywiście wszyscy kandydaci, których dane przetwarzamy, są realnie brani pod uwagę jako kandydaci do zatrudnienia na stanowisku, na które aplikowali.

Trzeba jednak rozdzielić zgodę kandydata na udział w konkretnym procesie rekrutacyjnym od zgody na przyszłe procesy.

W przypadku zgody na konkretny proces rekrutacyjny, dane osobowe kandydata możemy przetwarzać na pewno do zakończenia tego procesu i przez krótki (np. wspomniane wyżej 14 dni) czas po zakończeniu tego procesu. Co jednak w przypadku, gdy ten proces rekrutacji nie kończy się w ogóle ponieważ stale poszukujemy kandydatów na określone stanowisko pracy? Co w sytuacji, gdy kandydat aplikujący na takie stanowisko nie jest kandydatem pierwszego wyboru i trzymany jest w tym procesie na wypadek, gdyby nie udało się znaleźć kandydata bardziej odpowiedniego? Proces nie został zamknięty, cały czas trwa, jednocześnie nie podejmujemy ostatecznej decyzji co do kandydata w tym procesie i przetwarzamy dane tego kandydata np. przez 12 miesięcy od momentu, kiedy ten kandydata zaaplikował, a po drodze zatrudniliśmy już 10 innych kandydatów. Jak takie działanie zostałoby zinterpretowane przez sąd? Trudno niestety powiedzieć i musimy czekać na konkretne rozstrzygnięcia, które wyznaczą kierunek interpretacji przepisów.

Komentarz Macieja Michalewskiego: W przypadku zgody na przyszłe procesy rekrutacyjne również nie ma konkretnych wytycznych w RODO. W każdym miesiącu wdrażam system rekrutacyjny Element w kolejnych firmach i widzę, że w większości przypadków firmy te stosuję 12 i 24 miesięczny termin obowiązywania zgody na przyszłe procesy rekrutacyjne. Spotkałem jednakże i takie firmy, które zgodę na przyszłe procesy rekrutacyjne traktują jako zgodę bezterminową, do odwołania przez kandydata. Ponownie nie ma tu jednego, jasnego i bezspornego rozstrzygnięcia.

Komentarz Arkadiusza Szczudło: dane w ramach przyszłych rekrutacji powinny być przetwarzane tak długo, jak CV jest wartościowe dla pracodawcy – będzie to najczęściej jednak 6-12 miesięcy. Dane w CV potrafią się szybko dezaktualizować. 

Czy w formularzu aplikacyjnym na konkretne stanowisko pracy można zawrzeć tylko jedną, ogólną zgodę na wszystkie procesy rekrutacyjne wraz z obowiązkiem informacyjnym?

Nie można z uwagi na fakt, że zgoda na przyszłe procesy rekrutacyjne nie może być wymagana, jeśli kandydata aplikuje na konkretne stanowisko pracy w ramach konkretnego ogłoszenia rekrutacyjnego. Najlepiej zatem umożliwić kandydatowi zaznaczenie dwóch zgód:

  1. Zgoda wymagana. Na konkretny proces rekrutacyjny wraz z linkiem do obowiązku informacyjnego.
  2. Zgoda niewymagana. Na przyszłe procesy rekrutacyjne. Tu już nie powtarzamy informacji “klikniętej” obowiązkowo w pierwszej zgodzie, w szczególności nie musimy ponownie umieszczać linku do obowiązku informacyjnego.

Przykładowy formularz aplikacyjny systemu rekrutacyjnego Element:

Zgody RODO na formularzu aplikacyjnym - przykład ATS Element
kliknij by powiększyć

Czy zgoda na przyszłe procesy rekrutacyjne może być wymagana?

Nie może, chyba, że mamy do czynienia z tak zwaną aplikacją spontaniczną, czyli przypadkiem, gdy kandydat nie aplikuje na konkretne stanowisko lecz wysyła CV właśnie do wykorzystania w przyszłych rekrutacjach. Taką zgodę można wykorzystać m.in. w przypadku formularza aplikacyjnego, który podpinamy pod przycisk “Zostaw CV”. Taki przycisk możemy umieścić np. na zakładce kariera. Każdy kandydat może wówczas przesłać swoje CV, nawet gdy nie prowadzimy żadnej rekrutacji.

W przypadku działań na Linkedin możemy rozmawiać z potencjalnym kandydatem, którego chcemy mieć w swojej bazie kandydatów na wypadek przyszłych procesów rekrutacyjnych. W takim przypadku albo przekazujemy specjalny formularz aplikacyjny, gdzie jest tylko zgoda na przyszłe procesy rekrutacyjne, albo też prosimy o przesłanie CV w innej formie (e-mailem, poprzez wiadomość na Linkedin) i jeśli kandydata poinformowaliśmy, że zachowamy jego CV do wykorzystania w przyszłych rekrutacjach, to fakt przesłania nam CV traktujemy jako domniemaną zgodę na udział w przyszłych procesach. W takim wypadku nie musimy już odbierać formalnej zgody, ale musimy zrealizować obowiązek informacyjny. Jak to robić omówiliśmy już wcześniej (link do odpowiedniego akapitu).

Czy sam fakt przesłania CV, można uznać za wyrażenie zgody na przetwarzanie danych osobowych?

Tak. Każde zachowanie kandydata, które można interpretować jako chęć udziału w procesie rekrutacyjnym, jest jednocześnie wyrażeniem zgody przez kandydata na przetwarzanie jego danych osobowych w ramach tego procesu rekrutacyjnego. Nie trzeba w takim wypadku uzyskiwać formalnej zgody, czyli oświadczenia kandydata przekazywanego nam w formie klauzuli dodanej do CV, przesłanej w wiadomości czy zaznaczonej na formularzu aplikacyjnym.

Czy taka domniemana zgoda rozciąga się na przyszłe procesy rekrutacyjne?

To zależy.

Jeśli kandydat przesyła CV ponieważ rozmawiamy z kandydatem o konkretnym procesie rekrutacyjnym, wówczas odpowiedź brzmi nie. W tym przypadku domniemywać można wyłącznie zgodę na konkretny proces rekrutacyjny.

Podobnie jeśli kandydat wysyła CV przez formularz aplikacyjny na konkretne stanowisko i formularz ten nie ma żadnych klauzul do zaznaczenia przez kandydata, wówczas domniemamy wyłącznie zgodę na udział w procesie rekrutacyjnym na konkretne stanowisko w ramach konkretnego ogłoszenia.

Jeśli jednak rozmawiamy z kandydatem o tym, że chętnie widzielibyśmy jego CV w naszej bazie kandydatów, ponieważ mamy różne projekty obecnie lub w przyszłości i kandydata przesyła CV, bądź też jeśli kandydat przesyła CV za pomocą ogólnego formularza aplikacyjnego, który nie dotyczy żadnego konkretnego procesu rekrutacyjnego, wówczas takie zachowanie kandydata traktujemy jako zgodę na udział w przyszłych procesach rekrutacyjnych. Zawsze warto przygotować wzorcową wiadomość zwrotną z obowiązkiem informacyjnym i zapytaniem o zgodę na przyszłe rekrutacje. 

Czy można przetwarzać dane osobowe kandydata, który wyraźnie oświadczył zgodę, ale nie otrzymał informacji w ramach obowiązku informacyjnego?

Zgodnie z prawem nie można uchylić się od obowiązku informacyjnego, zatem odpowiedź brzmi nie.

Czym w praktyce różni się sytuacja pracodawcy, w której zrealizowany został obowiązek informacyjny, ale nie mamy zgody kandydata na przetwarzanie jego danych osobowych, od sytuacji, w której takie wyraźne oświadczenie mamy? Obowiązek informacyjny VS Obowiązek informacyjny + Zgoda

To zależy, czy posiadamy podstawę prawną do przetwarzania danych osobowych kandydata.

Przypominamy, że zgoda jest jedną z trzech podstaw do przetwarzania danych kandydata (link do omówienia podstaw). Brak zgody nie wyklucza tego, że mamy interes prawny lub obowiązek przetwarzania danych. Jeśli zatem posiadamy np. interes prawny, wówczas sytuacja tych dwóch pracodawców jest dokładnie taka sama – obaj pracodawcy spełnili obowiązek informacyjny i posiadają podstawę prawną do przetwarzania danych osobowych. Jeśli jednak pracodawca nie posiada podstawy prawnej, to musi ją uzyskać, np. poprzez uzyskanie zgody kandydata.

Chcemy przedłużyć termin obowiązywania zgody kandydata na przetwarzanie jego danych osobowych. Czy wystarczy, że zrealizujemy ponownie obowiązek informacyjny, czy też musimy raz jeszcze uzyskać wyraźną zgodę na przyszłe rekrutacje?

Powinniśmy raz jeszcze uzyskać zgodę kandydata. Realizacja obowiązku informacyjnego nie wpływa na przedłużenie przyjętego przez pracodawcę terminu przetwarzania danych osobowych. Wydaje się jednak, że można wysłać na przykład taką wiadomość do kandydata:

Dzień dobry, z uwagi na przedłużający się proces rekrutacyjny, oraz pojawiające się nowe projekty, chcielibyśmy przedłużyć termin przechowywania Twojego CV w naszej bazie kandydatów o kolejne 12 miesięcy. Jeśli wyrażasz na to zgodę to kliknij w link, dzięki któremu nasz system automatycznie przedłuży ten termin.

Z góry dziękujemy!

Wspomniany wyżej link byłby na przykład linkiem do formularza aplikacyjnego, na którym kandydat widzi ponownie treść zgód i link do obowiązku informacyjnego.

Czy można przyjąć ogólną zasadę, że zawsze musimy spełnić obowiązek informacyjny, jeśli zapisujemy gdziekolwiek poza Linkedin dane kandydata. Nie musimy uzyskiwać zgody kandydata, jeśli z zachowania kandydata wynika zainteresowanie procesem rekrutacyjnym.

Tak. Zawsze musimy spełnić obowiązek informacyjny natomiast nie zawsze musimy uzyskiwać wyraźną zgodę ponieważ zgoda może być domniemana, a ponadto zgody w ogóle nie musi być jeśli posiadamy interes lub obowiązek prawny (link do podstaw prawnych).

Z kim mogę dzielić się danymi osobowymi kandydata?

W ramach tego samego pracodawcy ze wszystkimi pracownikami, którzy posiadają upoważnienie do przetwarzania danych osobowych kandydatów i w ramach umów powierzenia.

W przypadku chęci przekazania danych osobowych innym osobom, w szczególności osobom spoza organizacji pracodawcy, koniecznym jest poinformowanie kandydata w obowiązku informacyjnym o tym kto jeszcze i na jakich zasadach będzie przetwarzał jego dane osobowe oraz uzyskanie zgody kandydata na przekazanie tych danych innym podmiotom (udostępnienie, chyba, że mówimy o powierzeniu przetwarzania).

Przykładowo ukryta rekrutacja: Podczas rozmowy z kandydatem informujemy go, że jesteśmy rekruterem pracującym dla różnych klientów i chcemy żeby wziął udział w rekrutacji. Nie wskazujemy jeszcze jakiego pracodawcy dotyczy rekrutacja. Samodzielnie robimy selekcję lub wysyłamy zanonimizowane dane do pracodawcy. Jeżeli będziemy chcieli przekazać kompletne CV z danymi osobowymi, musimy uzyskać zgodę na udostępnienie danych pracodawcy X, a ten pracodawca powinien spełnić obowiązek informacyjny z art. 14 RODO.

Patrz więcej: https://blog.creativa.legal/czy-ukryta-rekrutacja-jest-legalna/ 

Czy znane są już jakieś rozstrzygnięcia sądowe spraw związanych z przetwarzaniem danych osobowych kandydatów do pracy?

Jak dotąd nie pojawiło się żadne szerzej znane orzeczenie sądu dotyczące przetwarzania danych osobowych kandydatów do pracy, natomiast co najmniej jednym przypadkiem zajął się Prezes Urzędu Ochrony Danych Osobowych (PUODO). Dotyczył on rekrutacji prowadzonej przez jeden z polskich urzędów celno-skarbowych, który opublikował na swojej stronie internetowej dane biorących w niej udział kandydatów.

Sprawa była o tyle ciekawa, że sama publikacja była zgodna z przepisami prawa, które jednak nie określały, jak długo dane mają pozostawać na stronie internetowej. Zajmujący się sprawą PUODO (do którego trafiła skarga jednego z kandydatów) stwierdził, że dane były upubliczniane przez zbyt długi czas (nieuzasadniony z punktu widzenia celów przetwarzania) i nakazał ich usunięcie. To pokazuje, jak ważne jest pilnowanie okresu przetwarzania danych, który nie może wykraczać poza cel i podstawę ich przetwarzania.

Pytania gości

Co w sytuacji gdy kandydat przesyła CV mailem lub mms’em, ale nie wskazuje na jakie stanowisko aplikuje i CV nie zawiera zgody?

Najlepiej zapytać kandydata na jakie stanowisko i do jakiego pracodawcy kandyduje. W razie problemów z uzyskaniem odpowiedzi kandydata można taką zgodę uznać za domniemaną zgodę na przyszłe procesy rekrutacyjne.

Czy firma może wykorzystać dane osobowe pracowników handlując ich danymi osobowymi?

Sprzedaż danych osobowych jest możliwa tylko i wyłącznie za wyraźną zgodą na takie działanie osoby, której dane osobowe dotyczą. W przypadku procesów rekrutacyjnych takich zgód zazwyczaj pracodawcy nie stosują i wówczas pracodawca nie może przekazywać wprowadzać danych osobowych kandydatów do obrotu handlowego.

Czy można dodać do ATS CV osoby, która zaaplikowała na portalu z ogłoszeniami i tam zostawiła swoje CV?

Jeśli aplikacja była na stanowisko u pracodawcy, który wykorzystuje ten system ATS i mamy odpowiednie podstawy prawne, to jak najbardziej można takie CV dodać do systemu rekrutacyjnego.

Czy mogę dodawać do Elementu profile LinkedIn osób, które sourcuję, jako kandydata bez zgody? (np. nie mam jeszcze formalnej zgody osób, które sourcuję na LinkedIn - na razie je zaczepiłem i rozmawiamy, ale chcę mieć je zinwentaryzowane w ATS abym się nie pogubiły).

W takim wypadku na pewno należy przekazać kandydatowi informację o zasadach przetwarzania jego danych osobowych. Najlepiej zrobić to w sposób “miękki”, czyli w odpowiednio przygotowanej wiadomości, w której będzie link do obowiązku informacyjnego. Przykład takiej wiadomości podaliśmy wyżej(link)

Co z kandydatami, którzy nie wyrazili zgody na udział w późniejszych procesach rekrutacyjnych. Kandydat jest w bazie i chcielibyśmy zaangażować go w nowy projekt. Czy i w jaki sposób możemy skontaktować się z Kandydatem?

Jeżeli kandydat wyraził zgodę na przetwarzanie w ramach aktualnego procesu, nie możemy kontaktować się z nim na tej podstawie prawnej. Pewnym możliwym wyjątkiem mógłby być interes prawny administratora, ale należy każdorazowo ustalić, czy jest możliwość skorzystania z tego wyjątku.

Czy jak teraz mam ponad 500 kandydatów, których zaciągnąłem dane bez ich zgody, to teraz muszę poinformować o tym? Czy mnie i mojej firmie grozi coś ze strony prawnej np. pozew ze strony?

Zgodnie z literą prawa wobec tych wszystkich kandydatów powinien zostać zrealizowany obowiązek informacyjny. Brak realizacji tego obowiązku mógłby zostać wychwycony przez kontrolę i rodzi to ryzyko poniesienia konsekwencji określonych w RODO. Jak duże ryzyko jest pojawienia się kontroli? Trudno to określić, wydaje się, że takie ryzyko jest realne głównie w sytuacji złożenia skargi przez jakiegoś niezadowolonego kandydata.

Należy również zbadać bazę danych i okoliczności w jakich zostały te dane pozyskane, możliwe, że będzie wymagana odrębna zgoda na to. 

Jak poruszać się po grupach związanych z pracą na FB? Co w sytuacji gdy nie ma konkretnych wytycznych w regulaminie Facebooka?

Jak wskazaliśmy w jednej z poprzedni odpowiedzi (link) zasada postępowania będzie dokładnie taka sama jak na Linkedin – jeśli chcemy dane zapisać gdziekolwiek we własnych zasobach (notatnik, excel, system rekrutacyjny Element), wówczas jesteśmy zobowiązani do posiadania podstawy do przetwarzania danych konkretnej osoby (np. uzyskanie jej wyraźnej lub domniemanej zgody) oraz do zrealizowania obowiązku informacyjnego wobec tej osoby.

A co z np meetUp, Github?

Dokładnie tak samo jak w przypadku Linkedin i Facebook.

Zawsze, jeśli widzę potencjał w kandydacie na przyszłe rekrutacje, proszę po zakończeniu procesu rekrutacyjnego, aby zaznaczył zgody na przyszłość. Nie zdarzyło mi się, aby ktoś powiedział, że nie chce 😉

To nie pytanie, ale cenny komentarz, który postanowiliśmy opublikować 🙂

Czy dane kandydata należy usuwać jeśli proces rekrutacyjny jest ongoing? czyli zawsze otwarty?

Zakładam, że chodzi o sytuację, gdy kandydat udzielił zgody wyłącznie na konkretny proces. W mojej ocenie możemy przetwarzać dane tego kandydata tak długo, jak długo przed ewentualną kontrolą będziemy mogli wykazać, że rzeczywiście braliśmy pod uwagę tego kandydata na to konkretne stanowisko i CV ma dalej wartość dla pracodawcy (brak dezaktualizacji). 

Czy mogę prosić o podsumowanie jeśli zapisuje tylko dane: imię, nazwisko + link do profilu w arkuszach excel - czy przy kontakcie z kandydatem powinnam wysłać informację o przetwarzaniu danych?

Samo imię i nazwisko nie stanowi danych osobowych ponieważ nie pozwala na zidentyfikowanie konkretnej osoby. Wyjątkiem jest sytuacja, gdy imię i nazwisko jest tak niepowtarzalne, że taka bezsporna identyfikacja jest rzeczywiście możliwa. Gdybyśmy zatem zapisywali w excelu samo imię i nazwisko, to można przyjąć, że nie dochodzi do przetwarzania danych osobowych i nie pojawi się obowiązek informacyjny.

Jeśli jednak zapisujemy również link do profilu Linkedin, to te dane i link pozwalają na bezsporne zidentyfikowanie konkretnej osoby, a zatem wespół z imieniem i nazwiskiem stanowi przetwarzanie danych osobowych. Podobnie zapisanie imienia i nazwiska razem z numerem PESEL lub adresem zamieszkania również stanowi przetwarzanie danych osobowych. W tej sytuacji należy spełnić obowiązek informacyjny – abstrahując oczywiście od tego, że musimy mieć podstawę prawną przetwarzania.

Co z przetwarzaniem danych przez podmioty powiązane z prowadzącym rekrutacja, czy należy wskazać tych administratorów? Czy wystarczy sformułowanie “i podmioty powiązane”?

Na początek należy wskazać, że administratorem danych osobowych zbieranych podczas rekrutacji jest podmiot, który chce zatrudnić u siebie danego kandydata, czyli pracodawca. Jeżeli pracodawca zdecyduje się powierzyć prowadzenie rekrutacji wyspecjalizowanej agencji, nadal będzie występował w roli administratora, natomiast agencja – w roli podmiotu przetwarzającego (procesora). W takim przypadku, obowiązek informacyjny powinien zawierać dane pracodawcy (jako administratora) oraz informację, że odbiorcą danych kandydatów będzie agencja rekrutacyjna (jako podmiot przetwarzający), bez podawania nazwy i innych danych tej agencji (wystarczy zatem wskazanie rodzaju podmiotu przetwarzającego).​

Powyższe nie odnosi się do umowy na obsługę HR kandydata, czy ukrytej rekrutacji, gdzie to agencja będzie administratorem.

Jeżeli natomiast pracodawca chciałby udostępnić dane osobowe kandydata pomiotom, które nie będą ich przetwarzały w celach określonych przez pracodawcę, lecz w celach określonych samodzielnie (np. partnerom bizesowym), owe podmioty będą odrębnymi administratorami. Ponadto, możliwe jest przetwarzanie danych przez współpracujących ze sobą administratorów (zachodzi wtedy współadministrowanie danymi osobowymi).

Niezależenie od tego, czy mamy do czynienia z kilkoma działającymi niezależnie administratorami czy współpracującymi ze sobą współadministratorami, obowiązek informacyjny musi zawierać dane identyfikacyjne wszystkich tych administratorów/współadministratorów (ograniczenie się do sformułowania „podmioty powiązane” jest zatem niedopuszczalne). Nie bez powodu telekomy i duże organizacje wskazują spółki partnerskie.

Czy jeśli jesteśmy podmiotem przetwarzającym (procesorem) to możemy dla administratora (firmy zlecającej rekrutacje) zbierać zgodę na udział w rekrutacji, przyszłe procesy itp. (zgody, które z zasady powinien zbierać administrator)?

Tak, agencja może zbierać na rzecz administratora zgody dotyczące zarówno aktualnych, jak i przyszłych rekrutacji. Należy jedynie wyraźnie wskazać (np. w obowiązku informacyjnym/checkboxie), że adresatem udzielanej zgody jest administrator, a nie agencja.

To ja bym prosiła o przykład zgody, jeśli jako freelancer rekrutujesz kandydata dla jednej konkretnej firmy (osoba prywatna na umowie zlecenia), kto powinien być wskazany w tej zgodzie?

Jak wskazano w jednym z poprzednich pytań, adresatem zgody kandydata powinien być zawsze pracodawca (nawet, jeżeli zleca prowadzenie rekrutacji freelancerowi/agencji).

Czy klient otrzymujący kandydatów od agencji powinien mieć od kandydata własną zgodę i powinien zrealizować własny obowiązek informacyjny?

Zgodnie z przepisami RODO, podmiotem odpowiedzialnym za wykonanie obowiązku informacyjnego i uzyskanie zgody kandydata (jeżeli jej uzyskanie jest w danym przypadku konieczne) jest administrator = pracodawca. Jeżeli zatem zdecyduje się on powierzyć prowadzenie rekrutacji agencji, może zlecić jej także przekazywanie informacji i odbieranie zgód od kandydatów (w tym celu może przekazać jej np. własne wzory obowiązków informacyjnych i zgód).

Alterantywnie, po przekazaniu przez agencję danych kontaktowych kandydata, pracodawca może sam wysłać mu obowiązek informacyjny i zwrócić się z prośbą o wyrażenie zgody (co jednak nie jest zbyt wygodne). Przede wszystkim należy pamiętać, że odpowiedzialność za ewentualne uchybienia w realizacji tych obowiązków będzie podnosił pracodawca, a nie agencja – w pierwszej kolejności. 

Software house- zatrudnia kandydata, który podpisuje umowę z software housem, ale dane kandydata Software House przekazuje swojemu klientowi (z którym software house ma umowę), ponieważ finalnie kandydat będzie wykonywał prace dla tego klienta. Kto tu jest kim? Kto administratorem? Kto procesorem? Na kim spoczywają jakie obowiązki?

Pytanie nie dotyczy rekrutacji. W opisanym przypadku, zarówno Software House, jak i klient będą odrębnymi administratorami danych osobowych, bowiem każdy z nich będzie samodzielnie określał cele i sposoby ich przetwarzania. Z uwagi na fakt, że nie mamy tu do czynienia z przetwarzaniem danych osobowych w imieniu drugiej strony, nie zachodzi stosunek powierzenia przetwarzania danych osobowych.

Aby Software House mógł udostępnić dane osobowe pracownika swojemu klientowi, potrzebuje do tego odpowiedniej podstawy. Najczęściej przyjmuje się, że taką podstawą jest prawnie uzasadniony interes administratora, który stanowi podstawę przetwarzania także przez klienta (należy zatem odpowiednio opisać to w obowiązku informacyjnym dla pracownika).

Z uwagi na fakt, że obie strony współpracy (Software House i klient) będą nawzajem udostępniały sobie dane kontaktowe pracowników, każda z nich powinna wykonać obowiązek informacyjny wobec pracowników drugiej strony. W tym celu, na początku współpracy strony mogą wymienić się swoimi klauzulami RODO i zobowiązać się do ich przekazywania własnym pracownikom oddelegowanym do wykonywania zadań na rzecz drugiej strony. 

Nagranie webinaru

Dane kontaktowe do Arkadiusza Szczudło

Kompendium dodane do Akademii Rekrutacji

Kompendium dodaliśmy do Akademii Rekrutacji, w którym gromadzimy wiedzę, narzędzia i raporty z rynku HR.

Polecam:

Maciej Michalewski

Maciej Michalewski

CEO @ Element. Recruitment Automation Software

Ostatnie wpisy: