RODO w dziale HR
Zgodnie z RODO pozyskiwanie podstawowych danych osobowych staje się obowiązkiem ustawowym, a konieczność podania imion rodziców kandydata jest naruszeniem przepisów. Zapoznaj się z kluczowymi zmianami w Twoim dziale.
Od 25.05.2018 r. zacznie obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Słynne RODO - ogólne rozporządzenie o ochronie danych - na pracę działów HR wpłynie znacząco. Jego konsekwencją będą istotne zmiany, m.in. w zakresie przetwarzania danych osobowych pracowników i kandydatów do pracy.
Nie tylko RODO dyktuje zmiany
Znaczenie mają nie tylko przepisy samego RODO, ale także planowane zmiany w kodeksie pracy. Znaczne rozbudowanie dotychczasowej regulacji art. 221 dostosowuje przepisy kodeksu pracy do nowych wymogów RODO. Planowane zmiany w kodeksie pracy znajdą się w ustawie Przepisy wprowadzające ustawę o ochronie danych osobowych. Projekt tej ustawy jest jeszcze w trakcie procesu legislacyjnego, a zatem nie jest jeszcze znany ostateczny kształt nowych przepisów. Sam kierunek zmian nakreślony przez przepisy RODO pozostanie jednak niezmieniony.
Zgodnie z projektowanym art. 221 § 1 kodeksu pracy pracodawca wymaga od osoby ubiegającej się o zatrudnienie podania danych osobowych, które obejmują:
- imię (imiona) i nazwisko;
- datę urodzenia;
- adres do korespondencji;
- adres poczty elektronicznej lub numer telefonu;
- wykształcenie;
- przebieg dotychczasowego zatrudnienia.
Dane innego typu i klauzula zgody
Pracodawca może przetwarzać inne dane osobowe kandydata, gdy dotyczą stosunku pracy, a osoba ubiegająca się o zatrudnienie wyrazi na to zgodę - w oświadczeniu złożonym w postaci papierowej lub elektronicznej. Brak zgody nie może powodować jakichkolwiek negatywnych konsekwencji dla osób ubiegających się o pracę - a zwłaszcza stanowić przyczyny uzasadniającej odmowę zatrudnienia.
W zakresie danych wymienionych w znowelizowanym art. 221 § 1 kodeksu pracy nie będzie potrzebna klauzula zgody na przetwarzanie danych osobowych, tak często wymagana obecnie w procesach rekrutacyjnych. Jeżeli jednak dane kandydata mają zostać wykorzystane w rekrutacji na inne stanowisko, należy uzyskać zgodę na przetwarzanie jego danych na potrzeby innego ogłoszenia. Zgoda taka będzie potrzebna także wtedy, gdy CV ma zostać wykorzystane także na potrzeby przyszłych rekrutacji.
Pozyskanie danych osobowych jako obowiązek ustawowy
W świetle projektowanych zmian pracodawca będzie miał obowiązek pozyskania od kandydata do pracy ww. danych osobowych, podczas gdy dotychczas miał po prostu taką możliwość. Zmiana ta jest o tyle istotna, że zmienia podstawę ustawową do przetwarzania danych osobowych kandydata do pracy. Przetwarzanie tych danych odbywa się w celu realizacji obowiązku ustawowego, a więc na podstawie art. 6 ust. 1 lit. c RODO („przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze”).
Minimalizacja danych
Zmienił się również katalog danych wymienionych w art. 221 § 1 k.p. Pracodawca nie będzie mógł już żądać od osoby ubiegającej się o zatrudnienie podania imion rodziców oraz adresu zamieszkania (a jedynie adresu do korespondencji). Należy uznać to za słuszne i zgodne z zasadą minimalizacji danych, wyrażaną przez RODO (dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane).
Wyrazem realizacji zasady minimalizacji danych wydaje się być także to, że pracodawca może domagać się od kandydata podania adresu poczty elektronicznej albo numeru telefonu (a więc nie może żądać obu danych łącznie). Niewątpliwie tylko jedna z tych danych wystarczy do nawiązania kontaktu z kandydatem, a taki jest cel przetwarzania danych kontaktowych na etapie rekrutacji pracowników.
Zdjęcie kandydata w CV
Wątpliwości może budzić dopuszczalność przetwarzania wizerunku kandydata. RODO uznaje bowiem wizerunek za daną biometryczną, co podlega odrębnej regulacji i szczególnej ochronie. Wizerunek nie jest jednak daną biometryczną jeżeli nie wynika z technicznego przetwarzania, dającego możliwość jednoznacznej identyfikacji danej osoby, a takiego charakteru z pewnością nie ma zdjęcie wizerunku kandydata zamieszczone w CV. Zdjęcie takie nie będzie więc podlegało szczególnej regulacji jako dana biometryczna.
Przetwarzanie wizerunku zawartego w CV wymaga jednak zgody kandydata w oświadczeniu złożonym w postaci papierowej lub elektronicznej (zgodnie z projektowanym art. 222 §1 k.p.). Trzeba pamiętać, że brak zgody nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie, o czym wspomniano już powyżej. Za niezgodny z przepisami zostanie więc uznany wymóg złożenia CV ze zdjęciem.
Obowiązek informacyjny pracodawcy, a rekrutacje ukryte
Pracodawca ma obowiązek spełnić wobec kandydata obowiązek informacyjny. Zgodnie z wymogami RODO powinien poinformować go m.in. o swoich danych kontaktowych oraz danych inspektora ochrony danych osobowych (jeżeli został powołany), celu i podstawie prawnej przetwarzania, o odbiorcach danych osobowych lub o kategoriach odbiorców (jeżeli istnieją), a także o okresie przechowywania danych i prawach osoby, której dane dotyczą, w szczególności prawie dostępu do danych osobowych dotyczących swojej osoby, żądania ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawie do sprzeciwu czy wniesienia skargi do organu nadzorczego (szczegółowy zakres obowiązku informacyjnego reguluje art. 13 ust. 1 i 2 RODO). Konieczność zrealizowania obowiązku informacyjnego wyklucza możliwość przeprowadzenia tzw. rekrutacji ukrytych. Każda osoba, która aplikuje w procesie rekrutacyjnym musi wiedzieć, komu powierza swoje dane osobowe.
Portale rekrutacyjne
Jeżeli pracodawcy korzystają z usług portali rekrutacyjnych, nie mogą również zapominać o konieczności zawarcia z nimi umowy o powierzeniu przetwarzania danych osobowych - a przepisy przytaczają szczegółowo katalog elementów, jakie umowa taka powinna zawierać. Ponadto, zgodnie z art. 28 ust. 1 RODO, administrator danych osobowych może korzystać wyłącznie z usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje, by przetwarzanie chroniło prawa kandydatów. Przed powierzeniem danych ADO musi więc ocenić, czy poziom stosowanych zabezpieczeń jest odpowiedni.
Po zatrudnieniu kandydata
Od osoby już zatrudnionej pracodawca będzie mógł się domagać podania:
- adresu zamieszkania;
- numeru PESEL, a w przypadku jego braku – rodzaju i numeru dokumentu potwierdzającego tożsamość;
- innych danych osobowych pracownika, a także danych osobowych dzieci pracownika i innych członków najbliższej rodziny, jeżeli podanie takich danych będzie konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.
Do pracowników ma również zastosowanie wymóg dostarczenia zgody (w postaci papierowej lub elektronicznej) na przetwarzanie innych danych, o ile dotyczą one stosunku pracy (przetwarzanie danych osobowych związanych ze sferą intymną człowieka, takich jak dane o nałogach, stanie zdrowia oraz o życiu seksualnym lub orientacji seksualnej nie będzie możliwe nawet za zgodą pracownika). Brak zgody nie może wywoływać negatywnych konsekwencji dla pracownika, np. być podstawą wypowiedzenia stosunku pracy lub jego rozwiązania bez wypowiedzenia przez pracodawcę.
Projekt zakłada również, że pracodawca może przetwarzać adres do korespondencji, poczty elektronicznej i numer telefonu już po nawiązaniu stosunku pracy tylko wówczas, gdy pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej. Pracodawca musi spełnić wobec pracownika obowiązek informacyjny z art. 13 ust. 1 i 2 RODO, a zatem stosowna klauzula informacyjna musi zostać przekazana pracownikowi wraz z umową o pracę.
Prawo do bycia zapomnianym
Interesująca jest kwestia stosowania wobec pracowników szczegółowo uregulowanego w RODO „prawa do bycia zapomnianym”, które ma do pracowników ograniczone zastosowanie. Zgodnie z art. 16b ust 2 pkt. 6 Ustawy o narodowym zasobie archiwalnym (Dz. U. z 2016 r. poz. 1506) dokumentację osobową pracownika należy przechowywać przez cały okres zatrudnienia oraz przez 50 lat licząc od dnia zakończenia pracy u danego pracodawcy. Po zakończeniu zatrudnienia pracownika jego akta osobowe należy przekazać - z upływem roku kalendarzowego, w którym zakończył się stosunek pracy - do archiwum zakładowego.
W okresie 50 lat od dnia zakończenia pracy pracownik nie może zatem skutecznie powołać się na powyższe prawo w zakresie ww. danych. Może natomiast zażądać usunięcia danych innego typu - np. swojego zdjęcia na stronie internetowej pracodawcy.