RODO wymusiło daleko idące zmiany w polskiej Ustawie o ochronie danych osobowych, które w szczególny sposób wpłynęły na branżę rekrutacyjną. Każdy kandydat musi wyrazić zgodę na przetwarzanie swoich danych osobowych, a to dopiero część wymagań stawianych przed agencjami rekrutacyjnymi. Jaka jest rola RODO w rekrutacji? Jak zadbać o bezpieczeństwo danych osobowych w procesie rekrutacyjnym?
Czym jest RODO i ADO?
RODO to rozporządzenie o ochronie danych osobowych wydane przez Unię Europejską, zawierające wytyczne oraz obowiązki związane z przetwarzaniem i wykorzystywaniem danych osobowych osób fizycznych. Każda firma oraz organizacja działająca na terenie UE musi się do nich stosować. W Polsce kwestię danych osobowych reguluje Ustawa o ochronie danych osobowych, która jest zgodna z treścią RODO.
Zgodnie z ustawą dane osobowe to wszystkie informacje, dzięki którym można zidentyfikować konkretną osobę. Przetwarza je tzw. ASO. Za tym skrótem kryje się administrator danych osobowych, czyli każda firma oraz organizacja, która gromadzi i przetwarza dane klientów. RODO nakłada na ADO specjalne obowiązki, a za złamanie prawa lub niedopatrzenie grożą bardzo wysokie kary.
Jakie obowiązki nakłada RODO na agencje rekrutacyjne?
RODO w szczególny sposób dotyczy agencji rekrutacyjnych, które na co dzień przetwarzają dane tysięcy osób fizycznych. Aby móc to zrobić, firma musi uzyskać bezpośrednią, pisemną zgodę kandydata. Zgodnie z treścią art. 13 RODO każdy administrator danych, w tym również agencja rekrutacyjna, musi wypełnić obowiązek informacyjny, poprzez udostępnienie kandydatowi odpowiedniej klauzuli informacyjnej.
Najczęściej dzieje się to w momencie złożenia formularza zgłoszeniowego, ale zgoda w formie tzw. klauzuli RODO powinna być również dołączona do CV. Upoważnienie może dotyczyć jedynie konkretnego procesu rekrutacyjnego, ale może mieć też szerszy zakres. Jeśli kandydat wyrazi zgodę na przetwarzanie danych w przyszłych procesach rekrutacyjnych, to agencja rekrutacyjna może zgodnie z prawem składać kolejne oferty zatrudnienia.
RODO nakłada również na agencje rekrutacyjne obowiązek dbania o bezpieczeństwo danych. Należy ograniczyć do nich dostęp wszystkim pracownikom, którzy nie są niezbędni w procesie rekrutacyjnym. Dane osobowe trzeba zabezpieczyć przed osobami trzecimi oraz zniszczyć po zakończeniu rekrutacji, jeśli kandydat nie wyraził zgody na ich dalsze przetwarzanie.
Jakie dane osobowe podaje się w procesie rekrutacji?
Agencje rekrutacyjne oraz firmy prywatne powinny otrzymać od kandydata następujące informacje:
- imię i nazwisko,
- datę urodzenia,
- wykształcenie,
- kwalifikacje zawodowe,
- historię dotychczasowego zatrudnienia (także na podstawie umów cywilnoprawnych),
- dane kontaktowe kandydata.
Kwestię podawania osobowych podczas rekrutacji reguluje art. 221 § 1 Kodeksu pracy. Z treści przepisu wynika, że dane osobowe podaje się w formie oświadczenia. Pracodawca lub agencja rekrutacyjna ma prawo poprosić pracownika o przedstawienie dowodów, np. dyplomu ukończenia studiów wyższych lub świadectwa pracy. Teoretycznie można przechowywać kopie tych dokumentów, ale w praktyce lepiej tego nie robić, a okazanie oryginałów podczas rozmowy rekrutacyjnej powinno wystarczyć.
O jakie dane nie wolno pytać?
Agencja rekrutacyjna nie może prosić kandydatów o podanie tzw. danych wrażliwych. Dotyczą one sfery prywatnej życia każdego z nas, przez co podlegają specjalnej ochronie prawnej. Zgodnie z art. 27 Ustawy o ochronie danych osobowych do danych wrażliwych zalicza się:
- wyznanie religijne,
- poglądy polityczne,
- przynależność do związków zawodowych,
- orientację seksualną,
- stan zdrowia, w tym informację o uzależnieniach i chorobach psychicznych,
- kod genetyczny.
W niektórych sytuacjach za dane wrażliwe uznaje się także dane biometryczne takie jak odcisk palca czy wzór siatkówki oka.
Kandydat może dobrowolnie podać dane wrażliwe, a agencja rekrutacyjna ma prawo je przetwarzać do potrzeb rekrutacji. Należy jednak objąć je szczególną ochroną, a za ich udostępnienie lub nielegalne przetwarzanie grożą znacznie wyższe kary finansowe oraz odpowiedzialność karna dla ADO.
Jakie są obowiązki agencji rekrutacyjnej wynikające z RODO?
Przepisy Ustawy o ochronie danych osobowych nakładają na agencje rekrutacyjne szereg obowiązków. Są to m.in.:
- obowiązek informacyjny, czyli konieczność poinformowania kandydatów o zakresie przetwarzania ich danych osobowych,
- obowiązek poufności, czyli konieczność zachowania danych osobowych w poufności i nieudostępniania im osobom trzecim,
- zasada celowości, czyli obowiązek przetwarzania danych osobowych tylko w zakresie niezbędnym do osiągnięcia celu przetwarzania,
- obowiązek usunięcia danych osobowych po zakończeniu ich przetwarzania,
- obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych.
W przypadku, gdy agencja rekrutacyjna przekazuje dane osobowe kandydatów pracodawcy, musi zawrzeć z nim umowę powierzenia przetwarzania danych osobowych. Umowa ta powinna określać, w jakim zakresie i na jakich zasadach pracodawca przetwarza dane osobowe kandydatów.
Jakie kary grożą za złamanie RODO?
Najwyższy możliwy wymiar kary to 20 milionów euro lub 4 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Oczywiście w praktyce kary są niższe, a ich wysokość zależy nie tylko od okoliczności, ale też reakcji firmy na wykrycie naruszenia. Kary za złamanie RODO są nakładane przez Prezesa Urzędu Ochrony Danych Osobowych. Firma może odwołać się od decyzji Prezesa UODO. Wówczas sprawą naruszenia zajmie się sąd administracyjny właściwy dla siedziby spółki.
