REKRUTACJA W IT A PRZETWARZANIE DANYCH OSOBOWYCH

Prowadzenie procesu rekrutacji zakłada samo w sobie przetwarzanie szeregu danych osobowych kandydatów – i to niezależnie od tego czy mówimy o rekrutacji kandydatów na pracowników, czy też współpracowników zatrudnionych w oparciu o umowę zlecenia, czy b2b. W niniejszym wpisie skoncentrujemy się na omówieniu najważniejszych kwestii, na które zwrócić należy uwagę w toku prowadzenia rekrutacji w branży IT, uwzględniając w szczególności przepisy ogólnego rozporządzenia o ochronie danych („GDPR”) oraz Kodeksu pracy („KP”).

Rekrutując specjalistę IT pamiętać należy w szczególności o następujących kwestiach związanych z przetwarzaniem danych osobowych kandydatów:

  • zatrudniając kandydata na pracownika związani jesteśmy przepisami zawartymi w art. 221 – 221b KP. Zasadniczo więc od kandydata na pracownika pobrać można jedynie dane osobowe wskazane w art. 221 §1 KP, chyba że konkretny przepis prawa uprawnia lub zobowiązuje nas do pobrania także innych danych (art. 221 §4 KP) albo kandydat wyrazi zgodę na przetwarzanie jego innych danych osobowych zgodnie z art. 221a oraz art. 221b KP. Pamiętać przy tym należy, że na podstawie zgody kandydata nie można przetwarzać danych dotyczących karalności (art. 221b §1 KP) a przetwarzanie danych osobowych szczególnych kategorii (np. dot. zdrowia kandydata) odbywać może się wyłącznie gdy ujawni on je ze swojej własnej inicjatywy – ujawnienia takich danych nie powinno się więc ani wymagać, ani nawet w żaden sposób sugerować ich podania – zgoda na przetwarzanie tych danych winna być wyraźna, a co za tym idzie udokumentowana w myśl zasady rozliczalności (art. 5 ust. 2 GDPR);

  • pomimo, że powyższe regulacje wiążą wprost jedynie przy rekrutacji kandydatów na pracowników, dobrą praktyką jest odpowiednie stosowanie ich również do innych rekrutacji. Skoro bowiem ustawodawca uznał w/w reguły jako właściwe do prowadzenia procesu rekrutacyjnego, tam gdzie jest to możliwe powinniśmy stosować zasadę minimalizacji przetwarzania danych osobowych (art. 5 ust. 1 lit. c GDPR) i nie wykraczać poza w/w reguły również w przypadku rekrutacji kandydatów na współpracowników (choćby samozatrudnionych). Szczególnie mocno do serca warto wziąć sobie w/w uwagę w przypadku danych osobowych szczególnych kategorii oraz danych dotyczących karalności (odpowiednio art. 9 i 10 GDPR);

  • zawsze pamiętać należy o zasadzie minimalizacji przetwarzania danych osobowych kandydatów (art. 5 ust. 1 lit. c GDPR). W szczególności pobierać powinniśmy jedynie te dane osobowe, które są niezbędne do realizacji procesu rekrutacyjnego, przetwarzać je jedynie w ściśle określonym i zakomunikowanym kandydatowi celu oraz jedynie tak długo jak jest to niezbędne dla realizacji określonego celu przetwarzania;

  • zawsze zobowiązani jesteśmy ustalić rolę, w jakiej występujemy przetwarzając dane osobowe kandydata. Zasadniczo przyjmiemy rolę albo administratora, albo podmiotu przetwarzającego (tzw. „procesora”). Najprościej rzecz ujmując administratorem jesteśmy jeśli dysponujemy własną podstawą przetwarzania danych osobowych kandydata w określonych przez nas konkretnie celach. Procesorem jesteśmy zaś gdy dane osobowe kandydata przetwarzamy w celach określonych przez inny podmiot – w oparciu o zawartą z nim umowę powierzenia przetwarzania danych;

  • jeśli dane osobowe kandydata przetwarzamy jako administrator, zrealizować musimy względem kandydata obowiązek informacyjny przewidziany art. 13 lub 14 GDPR – w tym poinformować go o podstawach prawnych w oparciu, o które przetwarzamy jego dane osobowe, celach przetwarzania jego danych i planowanym okresie przetwarzania jego danych;

  • jeśli dane osobowe kandydata przetwarzamy jako procesor, przed ich pozyskaniem zobowiązani jesteśmy zawrzeć umowę powierzenia przetwarzania danych osobowych z administratorem tych danych – będzie to bowiem jedyna podstawa legitymizująca przetwarzanie przez nas tych danych;

  • uważać należy przy doborze źródeł pozyskiwania informacji o kandydatach – w szczególności social media. W szczególności uważa się za dopuszczalne korzystanie z serwisów o profilu zawodowym – np. LinkedIn, zaś za niedozwolone korzystanie z serwisów o profilu prywatnym – w szczególności Facebook czy Instagram;

  • ostrożnie należy podchodzić do ustalania okresu retencji danych. Jeśli dane osobowe kandydata przetwarzamy wyłącznie na potrzeby konkretnej rekrutacji, powinniśmy usunąć je ze swoich zasobów niezwłocznie po zakończeniu procesu rekrutacji. Jeśli zaś pozyskaliśmy zgodę kandydata na przetwarzanie jego danych na potrzeby przyszłych rekrutacji i chcemy je przetwarzać również w tym celu – zgodę taką powinniśmy co jakiś czas odnawiać – rekomendujemy by robić to raz do roku. Niezależnie od pozyskanej zgody, dane kandydata zobowiązani jesteśmy usunąć jeśli utracą one dla nas znaczenie;

  • jeśli jesteśmy agencją rekrutacyjną, ostrożnie powinniśmy podchodzić do wymogów klientów (zwłaszcza tych zagranicznych) dotyczących zakresu danych osobowych kandydata jakie mamy pozyskać; w szczególności najczęściej zabronione albo mocno ograniczone będzie prowadzenie tzw. background screeningu kandydata – weryfikacji jego karalności, miejsca zamieszkania, wydzwanianie po byłych miejscach pracy czy uczelniach celem upewnienia się czy przekazał nam autentyczne dane dotyczące jego wykształcenia i doświadczenia zawodowego. Oczekiwania niektórych podmiotów w tym zakresie są co mocno zawyżone i niemożliwe do pogodzenia z zasadami przetwarzania danych osobowych w toku procesu rekrutacji, które obowiązują w Polsce;

  • co do zasady unikamy przetwarzania danych osobowych kandydatów przy użyciu dostawców usług zlokalizowanych poza Europejskim Obszarem Gospodarczym (EOG), czy też dostawców zlokalizowanych co prawda w EOG, ale nie gwarantujących braku transferu danych, których przetwarzanie im powierzyliśmy, poza EOG (np. gdy podmioty te korzystają z serwerów zlokalizowanych poza tym obszarem). W sytuacji wymagającej skorzystania z usług dostawcy spoza EOG rozważyć musimy skorzystanie ze standardowych klauzul umownych – a wiec specjalnego instrumentu legalizacji transferu danych poza EOG opracowanego przez Komisję Europejską.

Podsumowując, odpowiednie uregulowanie zasad przetwarzania danych osobowych w toku procesu rekrutacyjnego ma istotne znaczenie dla bezpieczeństwa prawnego podmiotu prowadzącego rekrutację. Do zadania tego podejść należy rzetelnie i z należytą uwagą – tak by nie narazić się na sankcje administracyjnoprawne ze strony Prezesa Urzędu Ochrony Danych Osobowych, czy sankcje cywilnoprawne wynikające z powództw wytoczonych przez kandydatów, którzy zakwestionowali sposób przetwarzania ich danych osobowych.

Wpisy powiązane:

Outsourcing usług IT

Outsourcing personelu IT

Ochrona informacji poufnych w IT

Managed service vs body leasing

Nearshoring vs offshoring w IT

Obsługa prawna w IT - podstawowe zadania

Test przedsiębiorcy w branży IT

Rekrutacja w IT - wynagrodzenie

Data publikacji: 07.10.2021.