Usługi rekrutacyjne a RODO - kto jest administratorem danych osobowych rekrutowanego personelu?

Pracodawca, który jest zainteresowany pozyskaniem nowego pracownika niejednokrotnie podejmuje decyzję o współpracy z agencją zatrudnienia. Decydując się na taki rodzaj współpracy należy już na wstępie uregulować kwestie przetwarzania danych osobowych kandydatów do pracy. W obrębie outsourcingu usług rekrutacyjnych wyróżniamy dwa możliwe modele współpracy pomiędzy dostawcą a odbiorcą tych usług, a wybór danego modelu będzie rzutował na określenie ról stron umowy w procesie przetwarzania danych osobowych.

Agencja zatrudnienia administratorem

W pierwszym wariancie agencja otrzymuje od klienta zlecenie rekrutacyjne i opiera poszukiwanie kandydatów na podstawie danych, które znajdują się w jej bazach, ewentualnie wyszukuje kandydatów m.in. umieszczając ogłoszenia o pracę we własnym imieniu (tzw. rekrutacja ukryta), włącza tak pozyskane dane do swoich zbiorów, a następnie dokonuje selekcji kandydatów z określonej grupy według wytycznych otrzymanych od klienta. W praktyce dane osób zainteresowanych poszukiwaniem pracy agencja będzie wówczas przetwarzała nie tylko w celu tej jednej konkretnej rekrutacji, ale także na potrzeby innych postępowań rekrutacyjnych (na podstawie zgody lub umowy z osobą, która poszukuje pracy). Współdziałając z klientem agencja wybiera dla niego odpowiednich kandydatów do pracy, czyli takich, którzy spełniają wymagania wskazane w umowie o współpracę, następnie przekazuje ich profile potencjalnemu pracodawcy. W tym procesie agencja zatrudnienia decyduje o celach i sposobach przetwarzania danych osobowych, bowiem decyduje jak będzie przebiegała rekrutacja, dlatego jest ona administratorem danych osobowych kandydatów do pracy. Jednocześnie, w związku z udostępnieniem w/w danych kandydata (i z tą właśnie chwilą) zainteresowany jego zatrudnieniem pracodawca stanie się niezależnym od agencji administratorem jego danych osobowych. Na tym etapie pracodawca powinien więc spełnić obowiązek informacyjny, o którym mowa w art. 14 RODO. To rozwiązanie nie wymaga zawarcia umowy powierzenia przetwarzania danych osobowych, ponieważ agencja i jej klient pozostają niezależnymi administratorami danych osobowych.

Agencja zatrudnienia procesorem

Drugi model współpracy pomiędzy agencją a jej klientem zakłada, że agencja wyszukuje kandydatów w imieniu potencjalnego pracodawcy, nie pozyskuje ich z własnych zasobów, lecz na polecenie klienta aktywnie ich poszukuje (np. umieszcza ogłoszenia o pracę, w których wskazane zostaną dane jej klienta). Ów potencjalny pracodawca od początku decyduje o prowadzonym procesie rekrutacji, a agencja pełni niejako rolę służebną będąc związana poleceniami swego klienta i nie może umieszczać danych kandydatów we własnych bazach (do własnych celów, przyszłych rekrutacji itp.). Przy takim rozwiązaniu tenże klient jest administratorem danych osobowych kandydatów, ponieważ to on decyduje o celach i sposobach przetwarzania danych osobowych. W tym przypadku konieczne jest podpisanie pomiędzy dostawcą usługi rekrutacyjnej a jej odbiorcą umowy powierzenia przetwarzania danych osobowych, na mocy której odbiorca (klient) powierzy dostawcy (agencja) przetwarzanie danych osobowych osób ubiegających się o zatrudnienie (dane rekrutacyjne). Wobec tego to na potencjalnym pracodawcy będzie spoczywać względem osób uczestniczących w rekrutacji obowiązek informacyjny z art. 13 RODO. Konstruując umowę o współpracę można więc rozważyć zastrzeżenie, by to agencja w imieniu pracodawcy zobowiązała się do zrealizowania takiego obowiązku względem kandydatów (np. jako załącznik do umowy można zamieścić wzór klauzuli informacyjnej). Jak wskazano wyżej, agencja zatrudnienia jako podmiot przetwarzający działający w imieniu i na rzecz potencjalnego pracodawcy nie wykorzystuje zebranych danych osobowych rekrutów w swoich własnych celach i nie włącza ich do swoich zbiorów, a zatem po zakończeniu współpracy z klientem zgodnie z dyspozycją umowy powierzenia przetwarzania danych osobowych (art. 28 RODO), powinna usunąć dane osobowe kandydatów. Podobnie sytuacja mieć się będzie miała w razie gdy zainteresowany zatrudnieniem konkretnej osoby klient zleci agencji rekrutację takiej konkretnej osoby.

Podsumowując, należy zauważyć, iż nim potencjalny pracodawca nawiąże współpracę z określoną agencją zatrudnienia winien najpierw przeanalizować w jaki sposób ma być prowadzona rekrutacja. Od tego bowiem będzie zależało określenie roli stron umowy w procesie przetwarzania danych osobowych osób rekrutowanych, a co za tym idzie określenie praw i obowiązków stron w tym procesie. Pamiętać również należy, że w praktyce możliwe są modele mieszane, gdzie agencja co do zasady jest niezależnym administratorem danych kandydata, jednak klient, dla którego dany kandydat jest rekrutowany powierzy agencji przetwarzanie pewnych danych osobowych tego kandydata (np. w zakresie w jakim chce skorzystać z obowiązków gwarancyjnych i udokumentować swe uprawnienie do skorzystania z gwarancji). Możliwy jest również scenariusz odwrotny, w którym agencja jest co do zasady procesorem, pewne dane kandydata przetwarzać będzie jednak w swoich własnych celach - jako niezależny administrator. Dotyczyć może to np. sytuacji, w której agencja, która zrekrutowała danego kandydata wskazanego przez swego klienta, przetwarza następnie dane dot. wynagrodzenia uzyskiwanego przez zrekrutowanego kandydata w celu naliczenia wynagrodzenia przysługującego agencji od klienta za jego rekrutację. Pamiętać należy, że w tej drugiej sytuacji agencja musi również zrealizować ciążący na niej względem kandydata obowiązek informacyjny. Uczyni to na podstawie art. 13 RODO (jeśli dane pozyskuje bezpośrednio od kandydata) albo art. 14 RODO (gdy dane pozyskuje od swego klienta, który danego kandydata zatrudnił).

Wpisy powiązane:

Naruszenie ochrony danych osobowych.

Obowiązek informacyjny RODO.

Kary pieniężne wynikające z RODO.

Zasady RODO.

Zasada rozliczalności.

Zasada minimalizacji danych.

Wdrożenie RODO.

RODO - podstawowe informacje.

Upoważnienie dla najmowanego personelu.

Body leasing a RODO.

Bezpieczeństwo przetwarzania danych.

Powierzenie przetwarzania danych osobowych.

Dane osobowe pracownika.

Data publikacji: 24.08.2018.

radca prawny Paweł Borek | radca prawny Krzysztof Doliński

Audyt i wdrożenie RODO | Poznań, Warszawa, Bydgoszcz