Najczęstsze błędy RODO w procesie rekrutacji

13.11.19
clock 5 min.
Damian Dziuba
O jakie dane osobowe może prosić przyszły pracodawca? Jak uniknąć błędów w procesie rekrutacji pracowników i ich zatrudnieniu. Jakie są możliwe kary za brak poufności danych czy zbierania danych w szerszych zakresach? Co z zaświadczeniem o niekaralności?

Najpierw należy zdefiniować proces rekrutacji i, co ważne, jego zakończenie, czyli ten moment, gdy kandydat do pracy staje się pracownikiem. Ma to bardzo duże znaczenie w zakresie przetwarzania jego danych osobowych, ponieważ zmienia się status – z kandydata na pracownika. I tu może pojawić się szereg błędów. Przede wszystkim każdy pracodawca ma obowiązek przetwarzania danych osobowych zgodnie z obowiązującymi przepisami. Co to oznacza?

Zgodnie z nowelizacją Kodeksu pracy pracodawca może żądać od kandydata do pracy podania jego imienia (imion) i nazwiska, daty urodzenia oraz danych kontaktowych. Tyle.

Jak to tyle? To trochę za mało informacji, by podjąć decyzję, czy zatrudnić kogoś do pracy. Zgadza się. Należy w tym miejscu odnieść się do zapisów źródłowych, czyli Kodeksu pracy. Pracodawca może żądać od pracownika podania wykształcenia, przebiegu zatrudnienia. Zgodnie z obowiązującymi przepisami pracodawca może żądać podania tych danych na etapie rekrutacji, o ile istnieje podstawa do ich żądania ich od osoby ubiegającej się o zatrudnienie. W tym zakresie należy dokonać wartościowania stanowiska pracy, by uzasadnić, że zakres tych danych jest niezbędny do oceny kandydata na dane stanowisko.

O co zatem nie może prosić pracodawca?

Każda osoba rekrutowana powinna wiedzieć, że pracodawca nie ma prawa (o ile nie wskazują na to inne przepisy) żądać przedstawienia zaświadczenia o niekaralności lub przedłożenia takiej informacji w formie świadczenia. Takie postępowanie jest nielegalne. Standardowo nie należy zadawać pytań dotyczących ciąży, nałogów (pomimo że nałogi nie zostały ujęte w katalogu danych szczególnej kategorii, kiedyś określanymi danymi wrażliwymi). Inną kwestią jest zbieranie danych osobowych w kwestionariuszu osoby ubiegającej się o zatrudnienia – co do zasady to kwestionariusz kandydata do pracy a nie pracownika. Zastępuje on CV w aktach osobowych, które nie powinno się w nich znaleźć. Często w kwestionariuszu tym znajdują się pytania o dodatkowe dane, jak pozostawanie w rejestrze osób bezrobotnych (już od kilku lat pracodawca nie ma obowiązku wyrejestrowania pracownika z urzędu pracy, zaś zbieranie takich danych narusza zasady ich przetwarzania), numer i seria dowodu osobistego itp.

Dokument tożsamości a dane osobowe cudzoziemców?

Dane osobowe cudzoziemców również muszą być przetwarzane zgodnie z RODO. Istotną kwestią jest też przeprowadzenie testu określającego centrum życiowych interesów i w tym zakresie można wejść w przetwarzanie jeszcze szerszego zakresu danych osobowych. Test ten powinien zostać opisany na gruncie RODO z zachowaniem szczególnej staranności w obszarze prywatności pracownika i zasady rozliczalności.

Dane osobowe cudzoziemców również muszą być przetwarzane zgodnie z RODO.

Czy za błędy w trakcie rekrutacji pracodawca może ponieść konsekwencje?

Oczywiście, że tak. Musimy pamiętać o atrybucie poufności. Często zdarza się w rekrutacjach na stanowiska niższego szczebla prowadzenie zbiorowych rozmów o pracę. Innym przykładem będzie nagrywanie rozmów, w tym ich rejestrowanie lub przetwarzanie danych dotyczących stanu zdrowia bez uprzedniego zabezpieczenia tego procesu. Te błędy mogą okazać się bardzo kosztowne ze względu na prawa kandydatów do pracy na podstawie przepisów Kodeksu pracy jak i samego RODO, w szczególności w zakresie podstaw ich przetwarzania, adekwatności czy minimalizacji tych danych.

Najczęściej po przeprowadzonej rekrutacji otrzymane CV nie są usuwane, zaś CV osoby zatrudnionej wpięte do akt osobowych. W przypadku kontroli prowadzonej przez Prezesa Urzędu Ochrony Danych Osobowych błędy te mogą okazać się bardzo kosztowne. Zgodnie z art. 83 RODO prawodawca unijny wskazał 2 poziomy sankcji finansowych w zależności od rodzaju uchybienia. Pierwszy z nich to kara rzędu do 10 mln euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Drugi poziom to kara do 20 mln euro lub 4% całkowitego światowego obrotu. Nie możemy także pominąć sankcji karnych określonych w Ustawie o ochronie danych osobowych z dnia 10 maja 2018 r. Zgodnie z art. 107 ust. 1 kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Z kolei w ust. 2 powyższego artykułu opisano, że: „Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech”.

Jak powinien przygotować się pracodawca do procesu rekrutacji?

Należy zebrać wszelkie kwestionariusze oceny kandydata do pracy, którymi posługują się pracownicy działu rekrutacji, poddać badaniu zakres pozyskiwanych danych osobowych, odnosząc się do właściwych przepisów. Sprawdzić, czy realizowane są właściwe obowiązki informacyjne w dodawanych ogłoszeniach o pracę i obowiązki informacyjne w przypadku pozyskania kandydatów do pracy z innego źródła, np. przez tzw. polecenie.

Zgodnie z przepisami pracodawca, zatrudniając pracownika, ma konieczność rejestracji jego i czasami członków jego rodziny w ZUS-ie, odprowadzenia zaliczki na podatek dochodowy czy wypełnienia deklaracji PFRON. W tych wszystkich formularzach znajdują się dane, które pracodawca musi przetwarzać ze względu na ciążący na nim obowiązek (zgodnie z art. 6 ust. 1 lit. c RODO). Zatem takie zakresy danych są dopuszczalne, gdyż określone przepisem prawa.

Pozostałe dane osobowe powinny zostać poddane szerszej analizie z uwzględnieniem zasad, o których mowa w art. 5 RODO. W przypadku braku możliwości spełnienia zawartych w nim wszystkich przesłanek, dane te powinny zostać trwale usunięte. Pracodawcy powinni pamiętać, że świadomość osób fizycznych względem należnych im praw na gruncie RODO jest coraz większa i powinni przestrzegać obowiązujących regulacji prawnych.