Co musisz wiedzieć podczas przetwarzania danych osobowych kandydatów do pracy?
GDPR - General Data Protection Regulation, polskie RODO - Rozporządzenie o Ochronie Danych Osobowych (przyp. red.)
Pracodawca decydujący się na rozpoczęcie rekrutacji pracowników decyduje o celach i metodach przetwarzania danych osobowych. Każdy pracodawca jest odpowiedzialny za dane osobowe zarówno kandydatów do pracy jak i pracowników, dlatego musi sprostać obowiązkom zapisanym w rozporządzeniu (UE) 2016/679 Parlamentu Europejskiego i Rady Europy z dnia 27 kwietnia 2016 r. w sprawie ochrony danych osobowych osób fizycznych i swobodnego przepływu tych danych według dyrektywy 95/46 / EC - GDPR.
- Pracodawca musi poinformować kandydatów o celu przetwarzania danych
GDPR nakłada obowiązek informacyjny o podmiocie gromadzącym dane osobowe. Podczas procesu rekrutacji dane osobowe umieszczone w CV są udostępniane potencjalnym pracodawcom jako np. odpowiedź na ofertę pracy lub jako część procesu rekrutacyjnego. Ta ostatnia sytuacja jest dość częsta w branży transportowej, gdzie pracownicy zatrudniani są na podstawie rekomendacji, lub gdy osoby zainteresowane pracą dostarczają swoje aplikacje bezpośrednio do centrali firm lub wysyłają dane o ich doświadczeniu i preferowanej pozycji pocztą elektroniczną.
Z perspektywy GDPR sposób, w jaki potencjalny pracodawca otrzymuje dane osobowe nie zwalnia go z obowiązku ochrony tych informacji. Jednak źródło zebranych danych osobowych wpływa na treść informacji, które powinny być udostępniane kandydatom do pracy i kiedy powinni oni wypełnić ten obowiązek. Jednak to pracodawca musi określić wszystkie metody gromadzenia danych osobowych i wykazać, że obowiązki informacyjne zostały właściwie wypełnione.
- Pracodawca sygnalizuje moment trwałego usunięcia danych
Określenie czasu przechowywania danych osobowych jest jednym z najtrudniejszych zadań dla kontrolerów administracji danych osobowych. Okres przechowywania danych kandydata do pracy powinien być dostosowany do zasad przetwarzania danych i wcześniej ustalony przez administratora.
Z reguły pracodawca powinien trwale usunąć dane osobowe kandydata (np. poprzez zniszczenie), z którym nie zdecydował się zawierać umowy o pracę. Powinno się to więc odbyć bezpośrednio po procesie rekrutacji, tj. po podpisaniu umowy o pracę z nowo zatrudnionym pracownikiem, chyba że kandydat zgodził się uczestniczyć w rekrutacjach, które będą organizowane w przyszłości.
Takie stanowisko może budzić wątpliwości wśród przedsiębiorców, ponieważ jeśli pracodawca będzie zobowiązany do trwałego usunięcia danych kandydatów po zakończeniu procesu rekrutacji, to w jaki sposób będzie on mógł bronić się przed zarzutem dyskryminacji? Ten problem prawny został szczegółowo opisany w wyjaśnieniach prawnych z 23 stycznia 2019 r. wydanych przez Ministra Cyfryzacji. Okres, w którym pracodawca ma prawo przechowywać dane kandydatów do pracy jest wskazany w dokumencie.
Obowiązek usuwania danych dotyczy informacji otrzymanych przez pracodawcę zarówno w formie papierowej, jak i elektronicznej. Podlega to również kontroli nad źródłami pozyskiwania danych.
- Pracodawca ma obowiązek sprawdzić, czy potrzebuje wszystkich danych
Zakres danych, które pracodawca może zażądać od osoby ubiegającej się o zatrudnienie jest uwzględniony w krajowym kodeksie pracy danego kraju. Często zdarza się, że kandydat do pracy z własnej inicjatywy umieszcza więcej danych niż wskazano w kodeksie pracy. W takiej sytuacji, o ile dane te nie należą do określonej kategorii (tzw. dane szczególne: pochodzenie rasowe, opinie polityczne, dane dotyczące zdrowia lub przekonań religijnych), dane takie są przetwarzane przez potencjalnego pracodawcę na podstawie zgody. Zgoda może polegać na oświadczeniu lub zachowaniu, które wyraźnie wskazuje w kontekście, że osoba, której dane dotyczą, zaakceptowała przetwarzanie swoich danych osobowych w tym zakresie.
W trakcie procesu rekrutacji może się jednak zdarzyć, że kandydat z własnej inicjatywy poinformuje potencjalnego pracodawcę o swoim stanie zdrowia. Jeśli kandydat do pracy nie wyraża zgody na przetwarzanie takich danych osobowych, pracodawca nie ma przepisu prawa, który pociąga za sobą obowiązek gromadzenia takich danych, powinien więc je usunąć ze swoich zasobów.
Ankieta
W wielu przypadkach w firmach transportowych akta kierowcy nadal zawierają zaświadczenia o niekaralności. Zaświadczenie o braku wyroku skazującego jest dokumentem zawierającym dane o wyrokach, czynach zabronionych lub powiązanych środkach bezpieczeństwa zawartych w krajowym rejestrze karnym kraju, którego funkcjonowanie jest regulowane przez każdy kraj w różny sposób.
Na przykład w Polsce reguluje go art. 6 ust.1 pkt 10 ustawy KRK, który stanowi, że pracodawcy mają prawo do informacji o osobach, których dane osobowe zostały zgromadzone w rejestrze w zakresie niezbędnym do zatrudnienia pracownika, który zgodnie z ustawą nie jest skazany za jakiekolwiek przestępstwo, ma pełne prawa publiczne, a także ma prawo do zajmowania określonego stanowiska, wykonywania określonego zawodu lub prowadzenia określonej działalności gospodarczej.
Każdy przewoźnik, który zbiera zaświadczenia bez zgody kierowców, w przypadku kontroli powinien zatem wskazać podstawę prawną, która go do tego uprawnia.
Potrzebne są prawdziwe zmiany
Prawidłowe wdrożenie wymogów GDPR i zbudowanie systemu ochrony danych osobowych wymaga, aby przedsiębiorcy wprowadzali rzeczywiste zmiany w swoich firmach. Jednak prace nad ochroną danych osobowych powinny mieć na celu nie tylko uniknięcie kar finansowych za naruszenia. Z drugiej strony wiadomo, że mają bardzo motywujący efekt. Wiemy z doświadczenia, że wprowadzenie przepisów w celu umożliwienia prawidłowego wypełnienia zobowiązań prawnych wymaga czasu, co potwierdza, że jeśli ma być dobre i tanie, nie będzie szybkie.
