Wyzwania dla rekrutacji w 2018

W dobie Internetu zmieniły się metody poszukiwania pracy i rekrutacji pracowników. Kandydaci wypełniają formularze i dobrowolnie ujawniają swoje dane osobowe albo docierają do nich na podstawie informacji, które zamieszczają w sieci. W niektórych sytuacjach dane kandydatów w procesie rekrutacyjnym są nieprawidłowo przetwarzane i przechowywane. Dnia 25 maja 2018 roku wchodzi w życie nowe rozporządzenie, które odnosi się do tej kwestii. Mowa o Ogólnym Rozporządzeniu o Ochronie Danych Osobowych (RODO).

Chociaż maj 2018 roku może wydawać się odległy, jest jeszcze sporo do zrobienia, dlatego należy zacząć od razu. Czas ucieka, a firmy nie są nawet w najmniejszym stopniu przygotowane. Według przeprowadzonego w 2017 roku przez TrustArc badania „Privacy and the EU GDPR“, 61% respondentów nie rozpoczęło jeszcze procesu wdrażania RODO.

Jako Devskiller, współpracujemy z firmami na całym świecie. Wspierając rekruterów w weryfikacji programistów, widzimy jak problematyczne dla nich jest nowe rozporządzenie. Poprosiliśmy Krzysztofa Dziobę z Ernst & Young Law Tałasiewicz, Zakrzewska i Wspólnicy sp.k. o przybliżenie samego rozporządzenia oraz jego wpływu na proces rekrutacji.

Zobacz również:

Czym jest Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO) i kogo dotyczy?

Po czterech latach trudnych negocjacji, 4 maja 2016 roku w Dzienniku Urzędowym opublikowano Ogólne Rozporządzenie o Ochronie Danych Osobowych. Rozporządzenie pociąga za sobą zmiany dla wszystkich typów organizacji. W ostatecznym kształcie rozporządzenie wiążę się z wieloma bardziej restrykcyjnymi wymogami w zakresie ochrony danych, za nieprzestrzeganie których grożą kary do 4% całkowitego rocznego światowego obrotu przedsiębiorcy z roku obrotowego poprzedzającego naruszenie. Rozporządzenie zastąpi dyrektywę 95/46/WE, która stanowiła podstawę ochrony danych w UE od jej wprowadzenia w roku 1995. Rozporządzenie będzie stosowane automatycznie w całej UE z dniem 25 maja 2018 roku bez konieczności implementacji w państwach członkowskich.

Rozporządzenie będzie miało ogromny wpływ na przedsiębiorstwa we wszystkich sektorach gospodarki i pociągnie za sobą zarówno pozytywne, jak i negatywne skutki dla biznesu pod względem kosztów i nakładów pracy. Organizacje o profilu międzynarodowym prawdopodobnie ucieszą się z ujednolicenia przepisów prawa we wszystkich państwach członkowskich, dzięki czemu łatwiej będzie im się poruszać w obrębie ram legislacyjnych w zakresie ochrony danych. Wprowadzenie nowych praw dla osób fizycznych takich jak prawo do bycia zapomnianym i prawo do przenoszenia danych a także obowiązku zawiadamiania o naruszeniach prawdopodobnie zwiększą obciążenia regulacyjne po stronie organizacji.

Wszystkie spółki i niektóre instytucje publiczne przetwarzające dane osobowe (swoich klientów, pracowników lub zleceniobiorców) są zobowiązane wdrożyć RODO.

Najistotniejsze jest to, że RODO nie wymaga stosowania konkretnych rozwiązań technologicznych w zakresie ochrony danych. Według rozporządzenia takie rozwiązania powinny zostać dostosowane do konkretnych danych oraz ryzyk związanych z nieprzestrzeganiem zasad ochrony danych osobowych. Podmioty przetwarzające dane będą musiały udowodnić, że przeprowadziły ocenę ryzyka i podjęły stosowne kroki.

Ochrona danych jest coraz bardziej skomplikowana, to ciągły proces, który musi być nieustannie monitorowany i rozwijany.

Jak RODO wpływa na proces rekrutacji i pracę rekruterów w porównaniu z poprzednimi regulacjami odnośnie do ochrony danych osobowych?

W większości przypadków dane osobowe kandydatów i pracowników są chronione na podstawie odrębnych przepisów obowiązujących w państwach członkowskich.

Zgodnie z artykułem 88 RODO ta sama zasada będzie obowiązywać od maja 2018 roku. Państwom członkowskim przysługuje prawo do określenia bardziej szczegółowych zasad odnośnie ochrony praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem. Dlatego poszczególne kraje dopiero określą zasady w tym zakresie. Oczekuje się, że różnice mogą być znaczne, np. w kontekście danych biometrycznych lub poszczególnych kategorii danych osobowych. W Polsce obecnie wciąż trwają konsultacje społeczne dotyczące tych zmian. W tej chwili jest wątpliwie, czy uda się je zakończyć do maja 2018 r.

Niezależnie od tego już samo RODO przyzna pracownikom i kandydatom kilka nowych przywilejów, które mogą zostać dostosowane przez przepisy krajowe.

Jest też kilka nowych zasad dotyczących wyrażania zgody na przetwarzanie danych osobowych, o których mowa poniżej.

Jak RODO wpływa na pierwszy kontakt z kandydatem? Jakie zgody są prawnie wymagane?

Zgodnie z motywem 32 RODO, zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża dobrowolne, świadome i jednoznaczne przyzwolenie osoby, której dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Milczenie, domyślnie zaznaczone pola lub brak działania nie są równoznaczne z wyrażeniem zgody.

Zatem w procesie rekrutacyjnym pracodawca powinien poinformować kandydata między innymi o:

  • celu, w jakim przetwarzane są dane osobowe,
  • okresie, w jakim będą przechowywane,
  • odbiorcach danych,
  • prawie do złożenia skargi do organu nadzorczego.

Z formalnego punktu widzenia wszyscy kandydaci powinni zostać poinformowani przez pracodawcę o zasadach dotyczących przetwarzania danych osobowych w formie dokumentu (dołączonego do oferty pracy lub w niej wzmiankowanego) lub poprzez określenie wymaganych informacji przy pierwszym kontakcie.

Czy są jakiekolwiek różnice między przetwarzaniem danych osobowych kandydata aktywnego (który wysłał swoje CV) i pasywnego (którego dane znaleziono na platformach takich jak LinkedIn, GitHub, Twitter lub Facebook)?

Pracodawca powinien przetwarzać dane osobowe potencjalnych pracowników zgodnie z zasadami rzetelności, celowości, adekwatności i tymczasowości.

Pracodawca powinien wziąć pod uwagę potrzebę realizacji obowiązku informowania aktywnych kandydatów. Zakres informacji może różnić się w zależności od tego, czy pracodawca uzyska CV od strony trzeciej, czy bezpośrednio od kandydata.

Przetwarzanie danych kandydatów pasywnych wymaga podstawy prawnej takiej jak prawnie uzasadniony interes. Gromadzenie informacji z mediów społecznościowych w ostatniej publikacji GIODO uznaje się za nieprawidłowe. Pracodawcy mają prawo do gromadzenia i przetwarzania danych osobowych kandydatów, jedynie jeśli są one potrzebne do realizacji pracy i z nią związane. Nie wykluczy to jednak analizy tych danych przez potencjalnego pracodawcę. Samo przechowywanie linku do profilu na portalu zawodowym w mojej ocenie nie powinno być uznawane za niedopuszczalne. W razie wątpliwości, warto sięgnąć do praktyki organów nadzorczych danego kraju członkowskiego.

Co do zasady różnica w podejściu do danych osobowych kandydatów wynika z podstaw prawnych ich przetwarzania a obowiązek informowania ciążący na pracodawcy powinien zostać zrealizowany przy pierwszym kontakcie z takim kandydatem.

Co według RODO zaliczamy do danych osobowych?

Na gruncie RODO dane osobowe to wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Możliwa do zidentyfikowania osoba fizyczna to taka, która może zostać zidentyfikowana, bezpośrednio lub pośrednio, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Co do zasady dane osobowe to wszelkie informacje, które pozwalają na zidentyfikowanie konkretnej osoby.

Jedna informacja może stanowić dane osobowe dla jednej osoby, a dla innej – nie. Informacja nie zostanie uznana za dane osobowe jeśli zidentyfikowanie osoby na jej podstawie będzie wymagać poniesienia nadmiernych kosztów lub nakładów czasowych.

Czy kandydaci uzyskują jakieś prawa do ochrony danych zgromadzonych w procesie rekrutacji? Jakie przysługują im prawa?

Zgodnie z postanowieniami RODO kandydatom będzie przysługiwać więcej praw w obszarze przetwarzania ich danych na etapie rekrutacji, a na pracodawcy będzie ciążyć obowiązek ich realizacji. Na przykład dane kandydata mogą być przetwarzane na podstawie dobrowolnego i świadomego wyrażenia przez niego woli. Wyrażenie zgody nie może być dorozumiane i użytkownikom będzie przysługiwać prawo do wycofania zgody, przy czym musi być to równie łatwe jak wyrażenie zgody na przetwarzanie.

Jak już wspomniałem, RODO wprowadza prawa, które obowiązują także w procesie rekrutacji, na przykład:

  • prawo do bycia informowanym o sposobie wykorzystania danych osobowych,
  • prawo do dostępu,
  • prawo do poprawiania nieprawidłowych lub niekompletnych danych,
  • prawo do bycia zapomnianym w określonych okolicznościach,
  • prawo do uniemożliwienia lub ograniczenia przetwarzania danych osobowych,
  • nowe prawo do przenoszenia danych.

Państwa członkowskie mogą doprecyzować, w jaki sposób te prawa mogą być egzekwowane przez pracowników podczas procesu rekrutacji.

Jaki jest wpływ RODO na kandydatów, którzy uczestniczą w rekrutacji, ale nie zostają wybrani? Czy ich dane mogą być legalnie przechowywane, a jeśli tak to w jakim zakresie?

Pracodawcy nie powinni przechowywać danych kandydatów (w tym CV) przez okres dłuższy niż czas trwania danego procesu rekrutacyjnego.

Grupa Robocza Art. 29, europejski organ doradczy ds. ochrony danych osobowych, w Opinii nr 2/2017 na temat przetwarzania danych osobowych w pracy wskazuje, że „dane zebrane w procesie rekrutacji co do zasady powinny być usunięte niezwłocznie po podjęciu decyzji, że kandydatowi nie zostanie złożona oferta pracy lub po odrzuceniu oferty przez kandydata. Kandydat musi być prawidłowo poinformowany o przetwarzaniu przed przystąpieniem do procesu rekrutacji.“

Należy pamiętać, że dane osobowe nie odnoszą się wyłącznie do CV. Należy również usunąć informacje o kandydacie uzyskane podczas rozmowy kwalifikacyjnej.

Jeśli pracodawca chce przetwarzać te dane przez dłuższy okres, np. w celu dalszej rekrutacji, wówczas musi mieć stosowną podstawę prawną, na przykład zgodę kandydata.

Aczkolwiek przetwarzanie danych zebranych w procesie rekrutacji może trwać dłużej w przypadku prawnie uzasadnionego interesu (na przykład w celu odparcia zarzutów o dyskryminację). To czy dane nie są wykorzystywane w innym celu, na przykład na potrzeby innego procesu rekrutacyjnego lub w innych celach, powinno być ściśle monitorowane.

Czy zgodnie z prawem kandydaci mogą zażądać, aby ich dane uzyskane w toku rekrutacji zostały skasowane? Czy mają prawo do odzyskania swoich danych osobowych?

Zgodnie z prawem do bycia zapomnianym w określonych okolicznościach, na przykład jeśli wycofano zgodę na przetwarzanie danych osobowych, kandydatom będzie przysługiwać prawo do żądania, aby pracodawca wykasował ich dane osobowe.

RODO nie wyklucza prawa do odzyskania danych osobowych z procesu rekrutacji.

Dodatkowe zasady lub wymagania w tym zakresie mogą wynikać z aktów prawnych poszczególnych państw członkowskich.

Jak RODO odnosi się do stosowania zewnętrznych narzędzi (takich jak ATS) w procesie rekrutacji? Która strona jest traktowana jako administrator danych osobowych, a która jako podmiot przetwarzający dane?

W zależności od typu świadczonych usług wymiana danych pomiędzy pracodawcą a podmiotem świadczącym usługi rekrutacyjne może przybrać formę relacji między dwoma administratorami lub między administratorem a podmiotem przetwarzającym dane osobowe na zlecenie.

Odpowiedź na pytanie, który model ma zastosowanie w danym przypadku, wymaga analizy umów zawartych pomiędzy stronami. Na przykład agencja rekrutacyjna może przekazywać pracodawcy tylko podstawowe informacje na temat kandydata (np. doświadczenie i wykształcenie bez danych identyfikacyjnych – tzw. blind) i w związku z tym nie przekazuje danych osobowych. Uważam, że wówczas pracodawca nie będzie uważany ani za administratora danych, ani za podmiot przetwarzający dane.

Czy po zatrudnieniu kandydat musi udzielić innych prawnie wymaganych zgód? Czy nowo zatrudnione osoby wymagają szkolenia w zakresie systemów wykorzystywanych w organizacji i ochrony danych w tych systemach?

W większości przypadków szczegółowy katalog danych osobowych wymaganych do zawarcia umowy o pracę jest określany w aktach prawnych poszczególnych państw członkowskich. Nie jest wymagana żadna zgoda jeśli prawo pracy, prawo podatkowe lub inne powszechnie obowiązujące przepisy prawa wymagają przetwarzania określonych danych osobowych.

Zaleca się, aby pracodawcy przetwarzali tylko te dane osobowe, które nie wymagają udzielenia zgody przez pracowników. Dlaczego?

Po pierwsze dlatego, że zgodnie z RODO wszystkie zgody powinny być udzielane dobrowolnie i bez przymusu. W każdej relacji pracodawca zwraca się do pracownika z pozycji siły. W związku z tym o wiele trudniej jest udowodnić, że pracownik mógł po prostu odmówić udzielenia zgody lub wycofać zgodę na przetwarzanie danych osobowych, np. wizerunku, na potrzeby marketingu lub integracji.

Oczywiście niektóre świadczenia pracownicze (np. samochód służbowy, opieka zdrowotna) mogą wiązać się z koniecznością przetwarzania danych. Aczkolwiek zgoda może być odwołana w dowolnym momencie, a dane powinny być przetwarzane wyłącznie przez okres, który jest w tym celu wymagany.

Jak RODO odnosi się do zwolnienia pracowników? Czy na pracodawcy ciążą jakieś obowiązki?

Po pierwsze, o czym była już mowa, jeśli zgoda pracownika jest jedyną podstawą prawną przetwarzania danych osobowych, pracownik może wycofać zgodę w momencie zwolnienia z pracy. W związku z tym wszelkie dane osobowe takiego pracownika powinny zostać usunięte z systemów pracodawcy.

Jeśli podstawa przetwarzania danych jest określona w konkretnej ustawie (w zakresie prawa pracy, ubezpieczenia społecznego, podatków), pracodawca jest nadal zobowiązany przechowywać dane po rozwiązaniu umowy o pracę.

Akty prawne poszczególnych państw członkowskich mogą nakładać na pracodawców inne wymagania.

W przypadku przesyłania danych poza UE kto jest zgodnie z prawem zobowiązany chronić dane i zagwarantować, że wszystkie procedury są zgodne z RODO?

Pracodawca określa cele i sposoby przetwarzania danych osobowych pracowników. W związku z tym zgodnie z art. 4 ust. 7 RODO pracodawca powinien być uznawany za administratora danych osobowych. Administrator danych ponosi odpowiedzialność w wypadku jakiegokolwiek naruszenia bezpieczeństwa danych.

Zgodnie z zasadą rozliczalności odpowiedzialność za niedochowanie należytej staranności podmiotu z państwa trzeciego będzie ciążyć na pracodawcy. Co za tym idzie, pracodawca musi zagwarantować, że podmiot z państwa trzeciego zastosował odpowiednie zabezpieczenia i że osobom, których dotyczą dane, przysługują wykonalne prawa i skuteczne środki ochrony prawnej zgodnie z art. 46 ust. 1 RODO.

Oczywiście jeśli pracodawca poniesie konsekwencje finansowe w związku z naruszeniem umowy przez podmiot z państwa trzeciego, może dochodzić swoich praw w sądzie i domagać się odszkodowania (tzw. regres).

Jakie są konsekwencje nieprzestrzegania RODO?

Po pierwsze najbardziej oczywistą konsekwencją są kary finansowe (do 20.000.000 euro lub 4% globalnego rocznego obrotu w poprzedzającym roku finansowym, w zależności od tego, która kwota jest wyższa). Po drugie grożą pozwy cywilne osób, których dotyczą dane. Wreszcie – znaczne straty wizerunkowe.

Autorzy:

Krzysztof Dzioba - Radca Prawny w Ernst & Young Law Tałasiewicz, Zakrzewska i Wspólnicy spółka komandytowa. Specjalizuje się w zakresie prawa administracyjnego, ochrony danych osobowych i własności intelektualnej.

Tomasz Winter - jeden z założycieli Devskiller.com, narzędzia online do weryfikacji umiejętności programistów, dynamicznie rozwijającego się na globalnych rynkach i współpracującego z firmami takimi jak Accenture, PwC czy Lufthansa Systems.