RODO w rekrutacji pracowników bez wymaganych dokumentów - ryzyka

Proces rekrutacyjny to jeden z najbardziej kluczowych, a zarazem najbardziej wrażliwych momentów w działalności każdego przedsiębiorstwa pod kątem ochrony danych osobowych. Każdego dnia działy kadr i płac oraz managerowie podejmujący decyzje o zatrudnieniu stykają się z dziesiątkami aplikacji zawierających szczegółowe informacje o kandydatach. Choć celem rekrutacji jest wyłonienie najlepszego kandydata, to realizacja tego zadania nie może odbywać się kosztem naruszenia przepisów Ogólnego Rozporządzenia o Ochronie Danych (RODO) oraz polskich przepisów prawa pracy. Szczególne wyzwanie stanowią sytuacje, w których proces ten jest prowadzony w sposób nieformalny, chaotyczny lub bez zgromadzenia wymaganych dokumentów i oświadczeń prawnych. Prowadzenie rekrutacji bez odpowiedniego zabezpieczenia dokumentacyjnego niesie za sobą szereg poważnych ryzyk prawnych, finansowych oraz wizerunkowych.

Zasada minimalizacji danych a praktyka rekrutacyjna

Jedną z fundamentalnych zasad RODO jest zasada minimalizacji danych, wyrażona w art. 5 ust. 1 lit. c rozporządzenia. Zgodnie z nią, dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. W kontekście rekrutacji pracowników oznacza to, że pracodawca może żądać od kandydata wyłącznie takich informacji, które są niezbędne do oceny jego przydatności na danym stanowisku pracy i które mają oparcie w przepisach prawa. Polski Kodeks pracy w art. 22(1) precyzyjnie określa katalog danych, których pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie. Należą do nich: imię, nazwisko, data urodzenia, dane kontaktowe, a także wykształcenie i przebieg dotychczasowego zatrudnienia, jeśli jest to niezbędne. Żądanie jakichkolwiek innych danych bez wyraźnej i dobrowolnej zgody kandydata stanowi bezpośrednie naruszenie przepisów o ochronie danych osobowych.

Przetwarzanie danych bez wymaganych zgód i klauzul

Prowadzenie rekrutacji bez odpowiednich dokumentów najczęściej wiąże się z brakiem formalnej zgody kandydata na przetwarzanie jego danych osobowych w celach rekrutacyjnych lub brakiem przedstawienia mu klauzuli informacyjnej. Warto pamiętać, że samo przesłanie przez kandydata dokumentów aplikacyjnych w odpowiedzi na ogłoszenie o pracę jest uznawane za dorozumianą zgodę na przetwarzanie danych w ramach tej konkretnej rekrutacji. Problem pojawia się jednak wtedy, gdy pracodawca chce zachować te dokumenty na potrzeby przyszłych procesów rekrutacyjnych. Aby móc legalnie przetwarzać dane kandydata po zakończeniu bieżącego naboru, pracodawca musi dysponować jego wyraźną, dobrowolną i jednoznaczną zgodą na przyszłe rekrutacje. Brak takiego dokumentu oznacza, że dalsze przechowywanie CV jest bezprawne.

Obowiązek informacyjny – kluczowy element bezpiecznej rekrutacji

Kolejnym krytycznym obszarem jest realizacja obowiązku informacyjnego wynikającego z art. 13 RODO. Pracodawca ma obowiązek przekazać kandydatowi szereg informacji już w momencie zbierania jego danych. Informacje te powinny obejmować tożsamość administratora, cele i podstawę prawną przetwarzania, okres przechowywania danych, a także prawa przysługujące kandydatowi. W rekrutacjach prowadzonych bez wymaganych dokumentów, np. poprzez bezpośredni kontakt telefoniczny czy polecenia pracownicze, obowiązek informacyjny jest niezwykle często pomijany. Pracodawcy błędnie zakładają, że skoro kandydat sam wyraził chęć udziału w rozmowie, to formalności można odłożyć na później. Brak przedstawienia klauzuli informacyjnej w odpowiednim terminie stanowi samodzielne naruszenie przepisów RODO.

Ryzyka związane z brakiem procedur retencji danych

Termin przechowywania danych osobowych kandydatów to kolejny punkt zapalny. RODO wymaga, aby dane były przechowywane nie dłużej, niż jest to niezbędne do celów, w których są przetwarzane. Po zakończeniu procesu rekrutacyjnego i podpisaniu umowy z wybranym kandydatem, dane pozostałych osób powinny zostać niezwłocznie i trwale usunięte, chyba że wyrazili oni zgodę na udział w przyszłych rekrutacjach. Jeśli pracodawca nie posiada wdrożonych procedur retencji danych i nie dokumentuje faktu usunięcia aplikacji odrzuconych kandydatów, naraża się na zarzut bezprawnego przetwarzania danych po ustaniu celu przetwarzania.

Pozyskiwanie referencji a RODO

Częstą praktyką wśród pracodawców jest kontaktowanie się z poprzednimi miejscami pracy kandydata w celu zweryfikowania informacji zawartych w CV lub uzyskania opinii o pracowniku. Z punktu widzenia RODO, takie działanie bez wyraźnej zgody kandydata jest niedopuszczalne. Pracodawca nie może samodzielnie, bez wiedzy i upoważnienia ze strony osoby ubiegającej się o zatrudnienie, prowadzić wywiadu środowiskowego. Pozyskanie referencji wymaga posiadania udokumentowanej zgody kandydata. Brak takiego dokumentu stanowi rażące naruszenie prywatności i może stać się podstawą do wniesienia skargi do UODO.

Wizerunek kandydata (zdjęcie w CV)

Kolejnym powszechnym zjawiskiem jest zamieszczanie przez kandydatów zdjęć w dokumentach aplikacyjnych. Wizerunek jest daną osobową, a jego przetwarzanie wymaga odpowiedniej podstawy prawnej. Kodeks pracy nie wymienia wizerunku jako danej, której pracodawca może żądać na etapie rekrutacji. Oznacza to, że przetwarzanie zdjęcia kandydata może odbywać się wyłącznie na podstawie jego dobrowolnej zgody. Jeśli jednak pracodawca w ogłoszeniu o pracę wprost wymaga przesłania CV ze zdjęciem, a stanowisko tego nie uzasadnia, naraża się na zarzut wymuszania zgody, co jest niezgodne z art. 7 RODO.

Korzystanie z zewnętrznych systemów rekrutacyjnych (ATS)

Współczesne rekrutacje rzadko odbywają się wyłącznie za pomocą tradycyjnej poczty elektronicznej. Większość firm korzysta z wyspecjalizowanych systemów wspierających rekrutację (ATS). Korzystanie z takich narzędzi wiąże się z powierzeniem przetwarzania danych osobowych dostawcy oprogramowania. Pracodawca, jako administrator, ma obowiązek zawrzeć z dostawcą ATS umowę powierzenia przetwarzania danych osobowych (DPA). Brak takiej umowy to ogromne ryzyko wycieku danych kandydatów, za które pełną odpowiedzialność ponosi pracodawca.

Konsekwencje braku wymaganych dokumentów i procedur

Ignorowanie wymogów RODO w procesie rekrutacji niesie za sobą realne i dotkliwe konsekwencje dla przedsiębiorstwa. Można je podzielić na trzy główne kategorie: sankcje administracyjne nakładane przez Prezesa UODO, roszczenia cywilnoprawne kandydatów o odszkodowanie oraz straty wizerunkowe (Employer Branding), które mogą zniechęcić przyszłych specjalistów do aplikowania do danej firmy.

Praktyczny przykład naruszenia zasad RODO w rekrutacji

Aby lepiej zobrazować opisywane ryzyka, warto przeanalizować następujący scenariusz praktyczny. Spółka z branży handlowej opublikowała ogłoszenie o pracę na stanowisko przedstawiciela handlowego. W ogłoszeniu nie zamieszczono klauzuli informacyjnej RODO ani prośby o zawarcie zgody na przetwarzanie danych. Kandydat przesłał swoje CV, w którym oprócz standardowych informacji zawarł również szczegółowe dane dotyczące swojego stanu zdrowia oraz zdjęcie. Po zakończeniu rekrutacji spółka zatrudniła inną osobę, natomiast CV kandydata zostało zapisane w folderze na wspólnym dysku sieciowym, do którego dostęp mieli wszyscy pracownicy firmy. Po sześciu miesiącach kandydat skontaktował się z firmą z pytaniem, czy jego dane są nadal przetwarzane, i złożył wniosek o ich usunięcie. Pracownik działu kadr zignorował tę wiadomość. Kandydat skierował skargę do Prezesa UODO. W toku postępowania organ nadzorczy ustalił szereg uchybień i nałożył na spółkę dotkliwą karę finansową.

Jak zminimalizować ryzyko? Rekomendacje dla pracodawców

Aby proces rekrutacji był w pełni zgodny z RODO, pracodawcy powinni wdrożyć i bezwzględnie stosować następujące zasady:

  1. Opracowanie i wdrożenie procedury rekrutacyjnej określającej zasady obiegu dokumentów.
  2. Stosowanie klauzul informacyjnych w każdym ogłoszeniu o pracę.
  3. Uzyskiwanie wyraźnych zgód na przyszłe rekrutacje oraz na przetwarzanie danych szczególnej kategorii.
  4. Szkolenie personelu biorącego udział w procesach naboru.
  5. Regularny audyt baz danych i terminowe usuwanie dokumentów aplikacyjnych.

Podsumowanie

Prowadzenie rekrutacji bez wymaganych dokumentów, zgód i procedur to prosta droga do poważnych kłopotów prawnych i finansowych. W dobie rosnącej świadomości prawnej kandydatów oraz rygorystycznego podejścia organów nadzorczych, ochrona danych osobowych w procesach HR musi stać się priorytetem dla każdego pracodawcy. Wdrożenie odpowiednich standardów dokumentacyjnych nie tylko chroni firmę przed karami, ale również buduje jej profesjonalny wizerunek na rynku pracy.