Rekrutacja zdalna a ochrona danych osobowych kandydata – na co zwrócić uwagę?
Pandemia trwa już od niemal dwóch lat. W tym czasie zdążyła znacząco wpłynąć na sposób organizacji pracy – praca zdalna stała się codziennością. Z uwagi na to, że wiele firm całkowicie zrezygnowało z pracy w biurze czy też znacząco ograniczono spotkania twarzą w twarz, w sposób zdalny zaczęto prowadzić również na niespotykaną wcześniej skalę procesy rekrutacyjne. Do tego typu rekrutacji niejednokrotnie wprowadza się nowatorskie rozwiązania, pozwalające lepiej poznać kandydatów do pracy w sytuacji, gdy osobiste spotkanie się z nimi nie jest możliwe.
Takie zdalne spotkania łączą się z przetwarzaniem danych. Pracodawcy prowadzący rekrutację zdalnie nie mogą zapominać o zachowaniu wymogów związanych z ochroną danych osobowych kandydatów do pracy. Poniżej wskazujemy na wybrane kwestie, na które – naszym zdaniem – pracodawcy powinni zwracać szczególną uwagę.
Jakie dane osobowe kandydata do pracy może przetwarzać pracodawca?
Zgodnie z postanowieniami kodeksu pracy, pracodawca ma obowiązek zbierania następujących danych kandydata: imię i nazwisko, jego data urodzenia, dane kontaktowe, a także wykształcenie, kwalifikacje zawodowe oraz przebieg dotychczasowego zatrudnienia (z zastrzeżeniem, że trzy ostatnie kategorie danych osobowych pracodawca pozyskiwać może wyłącznie w sytuacji, gdy będzie to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku).
Powyższe mogłoby prowadzić do wniosku, że pracodawcy podczas procesów rekrutacyjnych mają prawo wyłącznie do przetwarzania wyżej wymienionych danych osobowych kandydatów do pracy. Tak w rzeczywistości nie jest. Zakres danych może być znacznie poszerzony. Istotne jest jednak, by pracodawcy przetwarzając dane osobowe kandydatów do pracy zawsze czynili to na właściwej podstawie prawnej oraz z uwzględnieniem zasad wynikających z RODO (jak np. zasada minimalizacji – zgodnie z którą pracodawcy powinni ograniczyć się wyłącznie do tych danych, które są niezbędne na cele rekrutacji). Oczywistym więc jest, że wskazany w kodeksie pracy katalog nie ma charakteru zamkniętego. Niemalże w każdej rekrutacji zbierane jest o wiele więcej danych – w zależności od tego jakie są to dane i czy są one niezbędne w danym procesie rekrutacyjnym podstawą może być np. zgoda kandydata lub prawnie uzasadniony interes potencjalnego pracodawcy.
Czy można weryfikować przeszłość kandydata na własną rękę?
Wobec braku możliwości osobistego spotkania się z kandydatem podczas zdalnego procesu rekrutacyjnego, wielu pracodawców decyduje się „poznać” kandydata lepiej na własną rękę. Podejmują się wówczas tzw. „background checku” (lub „background screeningu”), czyli procesu, który polega na samodzielnej weryfikacji życiorysu kandydata, poprzez np. próby odszukiwania profili kandydata w mediach społecznościowych, kontakt z jego byłymi pracodawcami, czy też kontakt z uczelniami (lub organizacjami), które wydały dokumenty przedstawione przez kandydata w toku rekrutacji celem potwierdzenia ich autentyczności.
Czy pracodawcy mają prawo do podejmowania takich działań? Zgodnie ze stanowiskiem wyrażanym przez Urząd Ochrony Danych Osobowych, działania takie są niedopuszczalne. W ocenie UODO, pracodawca przeprowadzając „background check” pozyskuje dane osobowe kandydata bez żadnej podstawy do ich przetwarzania.
W naszej ocenie stanowisko UODO jest zbyt rygorystyczne i nie przystaje do obecnych realiów rynku pracy. W naszej ocenie sprawdzenie informacji upublicznionych przez samego kandydata w portalach internetowych uznać należy za dozwolone (oczywiście jeżeli są to informacje adekwatne dla oceny kompetencji kandydata). Absolutnie niedopuszczalne jest natomiast sprawdzanie np. stanu rodzinnego czy innych osobistych informacji, które nie powinny być brane pod uwagę podejmując decyzję o zatrudnianiu. Podobnie potencjalny pracodawca nie może na własną rękę sprawdzać referencji czy potwierdzać fakt zatrudnienia u obecnego czy byłych pracodawców. Uważamy jednak, że w sytuacji, gdy pozyska on zgodę kandydata na – na przykład – kontakt z jego byłymi pracodawcami w celu weryfikacji wystawionych referencji – nic nie stoi na przeszkodzie, by podjął on takie czynności. Sam rekruter może w takiej sytuacji wyjść z inicjatywą czy kandydat wyraża zgodę na kontakt w celu potwierdzenia referencji.
Przedstaw nam się w filmie wideo!
Duża liczba firm, prowadząc procesy rekrutacyjne, dzieli je na kilka etapów. Pierwszy etap nie zawsze ogranicza się wyłącznie do przesłania przez kandydata CV. Pracodawcy coraz częściej decydują się na nowatorskie rozwiązania, zachęcając potencjalnych kandydatów nie tylko do przesłania CV, ale również przesłania krótkiego filmu wideo, w którym kandydat opowie o sobie (i jednocześnie będzie miał szansę wykazać się kreatywnością).
Czy pracodawca ma prawo do zbierania takich filmików – a co za tym idzie – przetwarzania danych osobowych kandydatów do pracy w zakresie szerszym niż wskazany w przepisach Kodeksu pracy (np. wizerunku)? W naszej ocenie takie działanie pracodawcy uznać należy za dozwolone, pod dwoma warunkami.
Po pierwsze, pracodawca musi zadbać, aby kandydat do pracy wraz z przesłaniem filmu wideo wyraził zgodę na przetwarzanie danych z nagrania. Wątpliwości budzi czy w takiej sytuacji możliwe jest przetwarzanie danych na podstawie prawnie uzasadnionego interesu pracodawcy. Przeciwnicy takiej możliwości wskazują, że np. wizerunek nie jest niezbędny do przeprowadzenia rekrutacji w związku z czym jedynie zgoda kandydata może być ważną podstawą. W naszej ocenie jednak w indywidualnych przypadkach takie nagranie może być niezbędne w celu przeprowadzenia skutecznej rekrutacji i wówczas możliwe jest skorzystanie z prawnie uzasadnionego interesu. Natomiast jeżeli kandydat nie wyrazi takiej zgody lub też takie nagranie nie jest niezbędne do przeprowadzenia rekrutacji lub interes kandydata będzie przeważał nad interesem pracodawcy to wówczas nie jest możliwe przetwarzanie danych uzyskanych w ten sposób.
W dalszej kolejności, pracodawca musi zadbać o odpowiedni okres przechowywania pozyskanych danych. Co do zasady nie powinien on przechowywać filmików przez okres dłuższy, niż jest to niezbędne do przeprowadzenia i zakończenia procesu rekrutacyjnego. Tym samym zasadne będzie usunięcie filmików, gdy proces rekrutacyjny dobiegnie końca. Przechowywanie ich przez dłuższy czas jest w naszej ocenie zasadne wtedy, gdy kandydat do pracy wyraził zgodę na wykorzystanie ich w kolejnych rekrutacjach. Również w naszej ocenie dopuszczalne jest dłuższe przechowywanie takich nagrań (podobnie jak innych danych zebranych w trakcie rekrutacji) jeżeli w ocenie pracodawcy mogłyby zostać podniesione przez niewybranego kandydata roszczenia w związku z dyskryminacją lub nierównym traktowaniem. Każdorazowo jednak musi podlegać to ocenie.
Rozwiąż krótki test!
Coraz częstszym pomysłem pracodawców na urozmaicenie procesu rekrutacyjnego oraz lepsze poznanie potencjalnych pracowników jest udostępnianie im platform, na których uzyskują oni dostęp do krótkich testów do rozwiązania. Testy te często stanowią jeden z etapów rekrutacji – na podstawie uzyskanych wyników dochodzi do dalszej selekcji. Czy działanie takie wiąże się z zagrożeniami na gruncie ochrony danych osobowych?
Odpowiedź na postawione wyżej pytanie zależy od rodzaju testu, który zostanie przedstawiony kandydatom do pracy. Zasadniczo, najczęściej spotkać można się z dwoma rodzajami testów: testami umiejętności i wiedzy oraz testami predyspozycji.
Testy umiejętności mają za zadanie sprawdzić wiedzę oraz umiejętności kandydata z danego obszaru. W naszej ocenie stosowanie tego rodzaju testów jest w pełni uzasadnione. Uważamy, że rozwiązywanie tego rodzaju testów przez kandydatów do pracy skutkuje niczym innym, jak pozyskiwaniem danych dot. ich kwalifikacji, do przetwarzania których pracodawca ma pełne prawo. W naszej ocenie nie ma zatem potrzeby pozyskiwać dodatkowej zgody kandydata do pracy na przetwarzanie danych osobowych w związku z wypełnianiem tego rodzaju testów.
Sytuacja komplikuje się w przypadku testów predyspozycji (zwanych również testami osobowościowymi lub psychologicznymi). Tego rodzaju testy bardzo często wykorzystywane są w rekrutacjach na stanowiska wymagające od kandydata wysokiego poziomu kompetencji miękkich (np. na stanowiska kierownicze) i mają za zadanie sprawdzać, czy cechy charakteru kandydata pozwolą mu skutecznie wykonywać pracę na oferowanym stanowisku. Wskazuje się, że podczas rozwiązywania tego rodzaju testów może dojść do przetwarzania przez pracodawcę szczególnych kategorii danych osobowych kandydatów do pracy (np. danych dot. zdrowia). Czy pozyskanie od kandydata do pracy zgody na przetwarzanie danych osobowych, które pracodawca pozyska od niego na skutek rozwiązania tego rodzaju testu jest wystarczające? Wszystko zależy od tego jakie dane zbierane są w trakcie takiego testu. Większość z nich nie ujawnia danych szczególnej kategorii (np. dotyczących zdrowia czy przekonań politycznych) w związku z czym zgoda będzie jak najbardziej ważną podstawą. Również w zależności od konkretnej sytuacji nawet bez zgody kandydata można wymagać wykonanie testu – wówczas podstawą będzie prawnie uzasadniony interes. Jeżeli jednak miałyby takie testy ujawniać dane szczególnej kategorii to co do zasady takie testy nie będą dozwolone – nawet na podstawie zgody, która w takiej sytuacji musiałaby być wyrażona z własnej inicjatywy kandydata.
Na co zwrócić uwagę?
Jak widać, rekrutacja zdalna wiąże się z przetwarzaniem wielu danych. Bezwzględnie należy zwrócić uwagę na:
- obowiązek przekazania prawidłowej klauzuli informacyjnej,
- ograniczenie dostępu do danych i ich prawidłowe zabezpieczenie,
- prawidłowe upoważnienie do przetwarzania danych przez rekruterów,
- ustalenie na które procesy i do których danych potrzebujemy zgodę na przetwarzanie, oraz
- ograniczenie zakresu danych i czasu ich przechowywania.
Powyższe działania stanowią podstawę od której należy zacząć procesy rekrutacyjne w kontekście przetwarzania. Natomiast raz ustalone praktyki oraz świadomość samych rekruterów w zakresie przetwarzania danych pozwolą na sprawne i bez narażania się na naruszenie przepisów o ochronie danych przeprowadzenie każdej zdalnej rekrutacji.
Autorzy tekstu:
Paweł Sych, radca prawny, partner w kancelarii PCS Paruch Chruściel Schiffter Stępień | Littler Global
Kinga Ciosk, kancelaria PCS Paruch Chruściel Schiffter Stępień | Littler Global
Więcej tekstów od Partnera znajdziesz: https://www.magazynrekruter.pl/czy-pracodawca-moze-przyznac-zaszczepionym-pracownikom-benefity/
Przeczytaj też:
Eksplozja cyberataków. Praca zdalna popularyzuje kwestię a bezpieczeństwo danych.