Rekruter nie ma pełnej swobody

Pracodawcy chcą za dużo wiedzieć o kandydatach do pracy – alarmuje generalny inspektor ochrony danych osobowych. Za rok będzie mógł za to dotkliwie ukarać.

Czy to się komuś podoba czy nie, nikt nie może nakazać osobie ubiegającej się o pracę przesłania zdjęcia razem z CV. Ani nawet prosić, czy tylko zaznaczyć, że „byłoby mile widziane”. Żadna, nawet delikatna sugestia, jest niedopuszczalna. Organ nadzorujący przestrzeganie zasad ochrony danych osobowych uzna ją za złamanie prawa. Nie przyjmie tłumaczeń, że prowadzący rekrutację o tym nie wiedział. Pracodawca ma zadbać, aby wiedział.

Imię (imiona) i nazwisko, imiona rodziców, data urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie, przebieg zatrudnienia. I to wszystko, o co można pytać kandydata do pracy. Tak stanowi art. 221 Kodeksu pracy. Niektóre branżowe przepisy przewidują pozyskiwanie dodatkowych danych z uwagi na specyfikę danego zawodu.

Nie pytaj o dzieci

Zbierać można dane bezpośrednio związane z celem ich pozyskiwania. To żelazna zasada wynikająca z ustawy o ochronie danych osobowych. Nie zmieni jej ogólne rozporządzenie o ochronie danych (RODO) przyjęte w Unii Europejskiej w kwietniu 2016 r., które państwa członkowskie zaczną stosować bezpośrednio 25 maja 2018 r. Obecną polską ustawę zastąpi nowa, dostosowująca krajowe prawodawstwo do wymagań RODO. Nie słychać zarazem, aby miał ulec zmianie w Kodeksie pracy wspomniany rekrutacyjny katalog. Jest listą zamkniętą. Ustawodawca uznał ją za wystarczającą, a żądanie dodatkowych danych za wkraczanie w sferę, która może być wykorzystana do pozamerytorycznej opinii o kandydacie, dyskryminując go w kolejce po etat. Wbrew pozorom nawet fotografia może temu posłużyć, chociaż nie należy nawet do danych wrażliwych szczególnie chronionych, jak informacje o poglądach politycznych, przynależności wyznaniowej, partyjnej, czy o orientacji seksualnej. Skoro jednak zdjęcia w wykazie nie ma, to domaganie się go jest bezprawne.

Reforma unijna – obowiązek informacyjny
Przeglądanie dokumentów aplikacyjnych, ich selekcja, rozmowy z kandydatami będą wiązały się z obowiązkiem przekazania im wielu informacji, nie tylko identyfikujących administratora. Dotyczą przetwarzania i uprawnień osoby, od której dane zebrano.

Informacje dotyczące przetwarzania to m.in.:
    – cel przetwarzania i jego podstawa prawna
    – zamiar przekazania danych do państwa trzeciego
    – okres przechowywania danych, a gdy trudno go sprecyzować – kryteria jego ustalania
    – informacja, czy podanie danych osobowych jest wymogiem ustawowym lub umownym albo warunkiem przystąpienia do umowy oraz czy podmiot danych jest zobowiązany do ich przedstawienia i jakie są ewentualne konsekwencje niepodania danych
    – informacja o prowadzeniu przez firmę automatycznego podejmowania decyzji, w tym o profilowaniu, z podaniem trybu jego – działania oraz znaczenia i przewidywanych konsekwencji dla osoby, od której dane pozyskano

Prawa osoby udostępniającej dane, o których należy poinformować,  to m.in.:
    – prawo do zwrócenia się do administratora o dostęp do swoich danych, ich poprawienie, usunięcie, ograniczenie przetwarzania, do sprzeciwu wobec przetwarzania, a także prawo do przenoszenia danych
    – prawo do cofnięcia w każdej chwili zgody na przetwarzanie
    – prawo do skargi do organu nadzorczego

Tak samo jest z innymi, pozornie zwykłymi danymi. W kodeksowym katalogu nie ma np. informacji o poprzednich zarobkach, stanie cywilnym czy dzieciach. O dzieci pracodawcy mogą pytać, kiedy kogoś zatrudnią, bo mogą mu przysługiwać uprawnienia pracownicze związane z rodzicielstwem. Często jednak robią to wcześniej.

Jak mówi dr Edyta Bielak-Jomaa, pełniąca funkcję generalnego inspektora ochrony danych osobowych (GIODO), gdy rekruter pyta kobietę, czy ma dzieci i w jakim wieku, to znaczy, że według jego założeń mama kilkulatków będzie poświęcać im sporo czasu ze szkodą dla obowiązków zawodowych. To prosta droga do skargi na dyskryminację. W razie odmowy zatrudnienia odrzucona kandydatka ma prawo postawić taki zarzut ze względu na zbyt duży zakres żądanych danych. I wysuwać roszczenia o zadośćuczynienie.

Generalny inspektor przestrzega zarazem, że jeśli treść rozmowy kwalifikacyjnej, czy podsuniętego kwestionariusza wybiega poza dopuszczalne prawem granice, kandydat może uznać, że mu wolno udzielać nieprawdziwych odpowiedzi.

Zwierzeń tylko wysłuchaj

Dr Edyta Bielak-Jomaa podkreśla, że prywatność jest jednym z podstawowych praw człowieka. Przepustki do ingerowania w nią nie daje nawet publiczne ujawnianie wszelkiego rodzaju informacji na swój temat na portalach społecznościowych. GIODO nie ma złudzeń, że pracodawcy po nich buszują i widzą tam więcej niż by nawet chcieli. Nic jednak ich nie upoważnia do utrwalania tej wiedzy, ani posłużenia się nią przy decydowaniu o sprawach związanych ze stosunkiem pracy.

Jeśli pracodawca oceni kandydata na podstawie informacji, których nie powinien gromadzić i odmówi przyjęcia go, powołując się na dane szczególnie wrażliwe, naruszy prawo – zwraca uwagę dr Edyta Bielak-Jomaa.

Potencjalny przyszły pracownik może być też wylewny w bezpośrednim kontakcie z rekruterem i z własnej woli mówić o sobie więcej niż tego wymaga kodeks pracy. Lecz to nie oznacza uprawnienia do przetwarzania takich informacji. Jak w każdym innym przypadku, kandydat musi wyraźnie na to się zgodzić. Ten warunek zostanie np. spełniony, jeśli w odpowiedzi na ogłoszenie o pracę ktoś zechce z własnej woli dołączyć zdjęcie do CV, czy opisać swoje hobby i zaznaczy w korespondencji klauzulę o zgodzie na wykorzystanie danych przesłanych dla potrzeb rekrutacji.

Nie jest ona przy tym przyzwoleniem na przetwarzanie danych po zamknięciu rekrutacji. Wielu pracodawców sięga po nie przy kolejnych naborach albo w celach marketingowych. Często bez uzyskania odrębnej koniecznej na to zgody. Gdy jej brak, firma powinna usunąć dane ze wszystkich zbiorów, także z poczty elektronicznej.

Chroń, i jeszcze raz chroń

Zgoda na zachowanie danych wymaga oczywiście zabezpieczenia przed niepowołanymi osobami, tak jak wcześniej w procesie rekrutacji. Tylko osoby, których dostęp do danych jest konieczny, powinny być do tego upoważnione. Życiorysy nie mogą krążyć z rąk do rąk. Pracodawca jako administrator danych osobowych odpowiada za cały system ich gromadzenia, przetwarzania, zabezpieczenia przed zniszczeniem, wyciekiem wewnątrz i na zewnątrz. Nic nie wskóra, usprawiedliwiając uchybienia niedopełnieniem obowiązków przez podległy mu personel. Jego zadaniem jest sprawić, aby ludzie działali zgodnie z prawem, upoważnieniem i nakazami.

Przekazywanie nieuprawnionym osobom, w tym innym pracownikom, informacji z CV czy listów motywacyjnych, jest niedopuszczalne – mówi generalny inspektor, dr Edyta Bielak-Jomaa.

Za skutki niewłaściwych zabezpieczeń administrator danych i administrujący zbiorem ponoszą odpowiedzialność karną. Grożą za to grzywny, ograniczenie wolności i jej pozbawienie, zależnie od tego m.in., czy uchybienie dotyczy informacji zwykłych czy wrażliwych, np. o niepełnosprawności.

Sankcje karne
20 mln EUR albo 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zależnie od tego, która kwota okaże się wyższa) – takie maksymalne kary będą grozić za brak zgodności ochrony danych osobowych z unijnym rozporządzeniem

Gdy ruszy wspólnotowa reforma, GIODO będzie uprawniony do nakładania kar finansowych. Sankcje mają sięgać nawet 20 mln EUR. Jednocześnie nowe przepisy dadzą większą swobodę w wypracowaniu procedur przetwarzania i ochrony posiadanych zbiorów. Marcin Lewoszewski, radca prawny z kancelarii CMS zauważa, że nie będzie sztywnych reguł dbania o bezpieczeństwo danych. Można sobie wypracować dowolny system, ale gdy coś zaszwankuje, konsekwencje mogą być kosztowne.

Według Mirosława Gumularza, radcy prawnego z eRecruiter, pracodawcy prowadzący nabory na wolne stanowiska będą musieli bardziej dbać o każdy dokument aplikacyjny. Muszą też przygotować szersze niż dotychczas oświadczenia informacyjne dla kandydatów, dotyczące m.in. ich praw. Jego zdaniem, nowe warunki wynikające z RODO oznaczają też większe zaangażowanie działów IT, bo np. gdy kandydat zażąda usunięcia danych, muszą być one wykasowane na stałe. Należy też poinformować innych administratorów, że życzy on sobie likwidacji wszelkich łączy do nich czy ich kopii.