RODO, czyli inaczej Ogólne Rozporządzenie o Ochronie Danych Osobowych, to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Rozporządzenie obowiązuje w porządkach prawnych państw członkowski Unii Europejskiej od 25 maja 2018 r.
Obowiązki w zakresie ochrony danych osobowych wynikające z rozporządzenia dotyczą wszystkich podmiotów, które przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą. W przypadku naruszenia obowiązków wynikających z RODO, podmiot naruszający może zostać ukarany sumą choćby 20 000 000 euro lub 4% jego całkowitego rocznego światowego obrotu.
Ochrona danych osobowych w procesie rekrutacji pracownika
Niezależnie w jaki sposób pracodawca poszukuje kandydatów do pracy, procedura rekrutacyjna zawsze wiąże się z pozyskiwaniem i przetwarzaniem danych osobowych zawartych w dokumentach rekrutacyjnych, między innymi w CV, w listach motywacyjnych, czy w referencjach. Pracodawca, który prowadzi proces rekrutacyjny i zbiera dane osobowe od kandydatów, ma obowiązek poinformować ich o przetwarzaniu ich danych osobowych w sposób jasny i czytelny, a także łatwo dostępny dla kandydata. Może to zrobić na przykład w treści oferty o pracę. Pracodawca powinien poinformować danego kandydata o:
- pełnej nazwie i adresie swojej siedziby,
- danych kontaktowych inspektora ochrony danych (jeśli został wyznaczony),
- odbiorcach danych
- zamiarze transgranicznego przetwarzania danych
- okresie, przez który dane będą przetwarzane bądź kryteriach ustalania tego okresu,
- przysługujących prawach: do żądania dostępu do danych, w tym otrzymania ich kopii, ich sprostowania, usunięcia lub ograniczenia ich przetwarzania,
- prawie wniesienia skargi do Prezesa UODO,
- dobrowolności lub obowiązku podania danych i konsekwencjach ich nie podania.
- Pracodawca może zbierać jedynie przewidziane prawem dane osobowe, ponadto nie może gromadzić ich „na zapas”, na poczet przyszłych rekrutacji, o ile kandydat nie wyrazi na to wyraźnej zgody.
Zgoda na przetwarzanie danych osobowych
Zgoda jest jedną z podstaw prawnych uprawniających do przetwarzania danych. Jednak należy wskazać, iż nie tylko klauzula RODO zamieszczona w dokumentach aplikacyjnych jest wyrazem zgody na przetwarzanie danych przez pracodawcę. Zgoda kandydata, którego dane mają być przetwarzane oznacza bowiem dobrowolne, konkretne, świadome i jednoznaczne okazanie pozwolenia na przetwarzanie danych osobowych przez osobę, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego.
Zatem sama czynność wysłania CV do pracodawcy, stanowiąca odpowiedź na ogłoszenie o pracę, wskazuje, iż kandydat rozumie do jakiego podmiotu składa aplikację oraz w jakim celu jego dane będą przetwarzane. Ponadto aplikujący zna zakres danych, które przesyła rekrutującemu. Zatem działanie aplikującego wskazuje, iż wyraźnie zgodził się, by jego dane były przetwarzane przez pracodawcę. Tym samym wraz z wejściem w życie RODO zmienił się dotychczasowy obowiązek zamieszczania w CV klauzuli. Dziś gdy jej nie ma – nie stanowi to problemu.
Dane inne niż wymagane przez prawo pracy a zgoda w CV
Często kandydaci z własnej inicjatywy przekazują w CV więcej danych, niż wymaga tego prawo pracy. W związku z tym, iż aplikacja kandydata stanowi świadomą odpowiedź na ogłoszenie o pracę – kandydat wie, komu i w jakim celu przekazuje dane – pracodawca może je przetwarzać, choćby jeżeli kandydat w dokumencie nie umieścił klauzuli. o ile jednak dane zamieszczone przez aplikującego należą do kategorii danych wrażliwych (np. informacja o stanie zdrowia), a kandydat nie zawarł oddzielnej wyraźnej zgody na ich przetwarzanie – pracodawca nie może przetwarzać tych danych. Dodatkowo na pracodawcy ciąży obowiązek ich niezwłocznego usunięcia.
RODO a zgoda na przyszłe rekrutacje
Inaczej kształtuje się sytuacja w przypadku wykorzystania danych kandydata na cele przyszłych rekrutacji. o ile aplikujący nie wyraził wyraźnej zgody, pracodawca nie może przetwarzać jego danych i powinien je usunąć po zamknięciu rekrutacji.
Przykłady klauzuli RODO do CV – klauzula danych osobowych do CV
Wyrażam zgodę na przetwarzanie moich danych osobowych w celu przeprowadzenia rekrutacji na aplikowane przeze mnie stanowisko. Jednocześnie wyrażam zgodę na przetwarzanie moich danych osobowych na cele przyszłych procesów rekrutacyjnych.
Wycofanie zgody na przetwarzanie danych osobowych
Co istotne, kandydat musi być poinformowany o możliwości i sposobie wycofania zgody na przetwarzanie jego danych osobowych przez pracodawcę w momencie pozyskania jego danych. Wycofanie zgody powinno być łatwe i możliwe w dowolnym momencie. W przypadku, gdy aplikujący zwróci się do pracodawcy z żądaniem usunięcia danych, pracodawca traci uprawnienie do dalszego przetwarzania jego danych i jest zobowiązany do ich natychmiastowego usunięcia.
Piotr Kłodziński
Radca Prawny Warszawa
wraz z Zespołem Kancelarii