Jak zgodnie z RODO zbierać i przetwarzać CV kandydatów – Q&A

Jeśli zamierzasz zatrudnić w swojej firmie ludzi albo już prowadzisz rekrutację, to RODO dotyczy także Ciebie. I to nawet zanim jeszcze kandydat wyśle do Ciebie CV. 

Wielu przedsiębiorców i zespołów HR nieświadomie łamie przepisy, zbierając zbyt wiele danych, przechowując je za długo lub nie informując kandydatów o przetwarzaniu ich danych. Wcale mnie to nie dziwi. Przepisy RODO budzą wiele wątpliwości. A jednocześnie może to skończyć się skargą do UODO, a nawet karą finansową. 

Ten artykuł przeprowadzi Cię przez najczęstsze pytania pracodawców i najważniejsze zasady, które pozwolą Ci legalnie i bez stresu przetwarzać dane osobowe kandydatów. 

Jakie dane mogę zbierać od kandydatów zgodnie z RODO

Zgodnie z przepisami kodeksu pracy, pracodawca może żądać od kandydata do pracy jedynie następujących danych:

• imię i nazwisko,
• data urodzenia,
• dane kontaktowe wskazane przez kandydata,
• wykształcenie,
• kwalifikacje zawodowe,
• przebieg dotychczasowego zatrudnienia.

Trzy ostatnie tylko kiedy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.

Powyższe dane kandydat przekazuje przekazuje w formie oświadczenia, natomiast Ty jako pracodawca możesz żądać dokumentów  niezbędnych do ich potwierdzenia.

Dodatkowe dane mogą być przetwarzane wyłącznie na podstawie wyraźnej zgody kandydata, np. zgody na przetwarzanie danych w przyszłych rekrutacjach lub zgody na przetwarzania innych danych, nie wymienionych w przepisach np. wizerunku (jeśli kandydat wysyła zdjęcie).

Uwaga! Nie możesz pozyskiwać informacji o kandydacie do pracy od poprzedniego pracodawcy, jeśli kandydat nie wyraził na to zgody.

Klauzula informacyjna w ogłoszeniu o pracę – co musi zawierać?

Już na etapie publikacji ogłoszenia o pracę jako pracodawca masz obowiązek poinformować kandydata o przetwarzaniu jego danych. W klauzuli informacyjnej powinny znaleźć się informacje o:

• administratorze danych,
• inspektorze ochrony danych (jeśli został wyznaczony),
• celu i podstawie prawnej przetwarzania danych,
• odbiorcach danych,
• zamiarze transgranicznego przetwarzania danych (jeśli taki istnieje),
• okresie przechowywania danych,
• prawach kandydata (np. dostępu do danych, ich sprostowania, usunięcia, wniesienia skargi do UODO),
• dobrowolności podania danych i konsekwencjach ich niepodania.

Jeśli klauzula nie znalazła się w ogłoszeniu, należy ją przekazać kandydatowi niezwłocznie po otrzymaniu jego aplikacji np. jeśli napisał maila.

Osoba starająca się o pracę musi od samego początku wiedzieć, kto jest administratorem jej danych. 

Jak długo mogę przechowywać CV kandydatów?

Do niedawna raczej niekwestionowane było stanowisku Prezesa Urzędu Ochrony Danych Osobowych (PUODO), zgodnie z którym dane osobowe kandydatów powinny być usuwane niezwłocznie po zakończeniu rekrutacji. Jednak wielu prawników słusznie wskazywało, że powinien to być przynajmniej okres przedawnienia roszczeń w zakresie prawa pracy – czyli 3 lata. Obecnie przeważa stanowisko, że dane kandydatów, którzy nie zostali zatrudnieni mogą być przechowywane do czasu przednaiwnie roszczeń czyli przez 3 lata od zakończenia procesu rekrutacji.

Czy mogę tworzyć bazę kandydatów na przyszłe rekrutacje? Czy mogę przechowywać CV kandydatów „na przyszłość”?

To jedno z najczęstszych pytań pracodawców. Odpowiedź brzmi: tylko za zgodą kandydata.

Jeśli nie chcesz go zatrudnić teraz, ale myślisz, że może przydać się w przyszłości, poproś o zgodę na przechowywanie jego CV.
Bez tej zgody nie możesz przechowywać CV na potrzeby przyszłych rekrutacji. 

Czyli jeśli kandydat nie wyraził zgody to możesz CV przechowywać tylko w celu ochrony przed potencjalnymi roszczeniami, Alę nie możesz do takiego kandydat odezwać się w sprawie wakatu.

UWAGA! Nie wystarczy samo milczenie kandydata – jego zgoda musi być świadoma, dobrowolna i jednoznaczna.

Czy mogę kontaktować się poprzednimi pracodawcami kandydata?

Pracodawca nie może kontaktować się z poprzednimi pracodawcami kandydata bez jego zgody, nawet jeśli kandydat dostarczył referencje. Podobnie niedopuszczalne jest kontaktowanie się z uczelniami w celu potwierdzenia dyplomu. Pracodawca powinien opierać się na oświadczeniach kandydata i dokumentach przez niego przedstawionych.

Czy mogę sprawdzać kandydatów w mediach społecznościowych?

Weryfikacja kandydatów w mediach społecznościowych przez pracodawców jest dość kontrowersyjnym tematem z perspektywy prawa i ochrony prywatności.

PUODO twierdzi, że gromadzenie informacji o kandydatach z mediów społecznościowych jest zasadniczo niezgodne z prawem. Ja jednak uważam, że trzeba rozróżnić typy profili.

• LinkedIn i inne portale zawodowe – tutaj moim zdaniem weryfikacja kandydatów jest dozwolona, ale zgodnie z regulaminem serwisu i zasadą minimalizacji danych. Po to one w końcu są.
• Facebook, Instagram, prywatne profile – tutaj przyszli pracodawcy nie powinni szukać danych o kandydatach, no chyba że kandydat sam udostępnił pracodawcy link do swojego profilu i wyraził zgodę na przetwarzanie danych tam zawartych.

Podsumowując, pracodawcy powinni zachować ostrożność przy weryfikacji kandydatów w mediach społecznościowych, i minimalizować zakres danych stamtąd pozyskanych.

Być może zainteresuje Cię również artykuł o monitoringu w miejscu pracy. 

Po więcej informacji o ochronie danych osobowych w kadrach warto zaglądać na stronę Urzędu Ochrony Danych Osobowych. 

Zdjęcie pochodzi z portalu Unsplash.