GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Przetwarzanie danych osobowych kandydata w procesie rekrutacji w GDPR

Czy inspektor ochrony danych musi posiadać upoważnienie?

W obszarze przetwarzania danych w związku z zatrudnieniem kraje członkowskie Unii Europejskiej na podstawie art. 88 GDPR będą mogły wprowadzać własne regulacje. Ponieważ w momencie pisania niniejszego artykułu szczególne przepisy dotyczące przetwarzania danych w kontekście zatrudnienia nie są nawet w fazie tworzenia założeń, można przyjąć, że do przetwarzania danych osobowych kandydata czasowo będą miały zastosowanie ogólne zasady wynikające
z GDPR.

Podstawy prawne zbierania danych w rekrutacji

Analizując podstawy prawne przetwarzania danych osobowych określone w art. 6 Ogólnego Rozporządzenia można zauważyć, że są to w zasadzie zbieżne dyspozycje z obecnym przepisem art. 23 uodo[1] określającym dopuszczalność przetwarzania danych osobowych. Sama konstrukcja przepisu polegająca na wskazaniu, kiedy (w jakich sytuacjach) przetwarzanie danych osobowych zwykłych jest dopuszczalne (zgodne z prawem) znalazła odzwierciedlenie w nowych przepisach. „Ponownie” wyliczono w przepisie art. 6 Ogólnego Rozporządzenia, że przetwarzanie danych osobowych może następować gdy:

  1. podmiot danych wyrazi zgodę;
  2. jest to niezbędne do wykonania umowy, lub wynika z żądania strony przed zawarciem umowy;
  3. jest niezbędne do wypełnienia obowiązku prawnego
  4. jest niezbędne do wykonania zadania realizowanego w interesie publicznym w ramach sprawowania władzy publicznej[2]
  5. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów

Nowym rozwiązaniem jest wyodrębnienie przesłanki przetwarzania danych osobowych określonej w art. 6 ust. 1 pkt d) Ogólnego rozporządzenia stanowiącej, że przetwarzanie jest zgodne z prawem gdy „jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej”. Nie jest jasne, o jakie „żywotne interesy” może chodzić w praktyce. Wydaje się, że przedmiotowa podstawa prawna przetwarzania danych będzie miała charakter incydentalny a sytuacje w jakich ta przesłanka będzie spełniona, będą występować niezmiernie rzadko. Obecnie podobną dyspozycję zawiera art. 23 ust. 3 uodo, z tą różnicą, że administrator danych może powoływać się na ochronę żywotnego interesu tylko w przypadku czasowej przeszkody w zebraniu oświadczenia zgody na przetwarzanie danych.

Warte odnotowania jest również dookreślenie w tekście GDPR, występującego obecnie powszechnie na gruncie krajowych rozwiązań państw członkowskich „uzasadnionego interesu”, poprzez wskazanie, że chodzi o „prawnie uzasadniony interes” (art. 6 ust. 1 lit. f GDPR). Dotychczas w prawodawstwie państw członkowskich występowało określenie „legitimate interest”, czyli po prostu „uzasadniony interes”, które jest bardzo szerokie i w zasadzie każdy cel przetwarzania można uzasadniać interesem administratora danych. Polski ustawodawca wprowadzając dyrektywę WE 95/46 posłużył się właśnie sformułowaniem „prawnie usprawiedliwionego celu”, co w praktyce ograniczało działania polskich administratorów w porównaniu z podmiotami działającymi w innych krajach wspólnotowych, gdzie interpretacja nie była zawężana do „prawnego uzasadnienia”. Wydaje się, że ta zmiana w GDPR przysporzy więcej wątpliwości interpretacyjnych poza granicami naszego kraju, ponieważ dysponujemy w tym względzie licznymi orzeczeniami, których tezy powinny w większości zachować swoją aktualność.

Istotne jest także wprowadzone ograniczonej możliwości powoływania się na „prawnie uzasadniony interesprzez podmioty publiczne, co wynika z art. 6 ust. 1 GDPR (ostatnie zdanie). Jednostki budżetowe nie mogą powoływać się na podstawę „prawnie usprawiedliwionego celu” w ramach realizacji swoich zadań.

Wydaje się, że zagadnienie „obszaru kadrowego” nie dotyczy bezpośrednio zadań wyznaczonych urzędom, czy instytucjom państwowym, choć niewątpliwie działania podejmowane w związku z rekrutacją lub zatrudnieniem mają (w znaczeniu bardzo ogólnym) na celu realizację tych zadań. Pracownik stanowi bowiem podstawowe ogniwo obsługi interesantów i bez kadr sektor publiczny nie zrealizowałby żadnego zadania. Interpretacja rozszerzająca może doprowadzić do pewnych trudności formalnych związanych z przetwarzaniem danych przez podmioty publiczne w procesie rekrutacji i w trakcie trwania stosunku pracy. Brakuje jednak na chwilę obecną wyraźnych wytycznych do pełnego zrozumienia zagadnienia wskazanego „zakazu”.

Mimo pewnej więzi, jaka łączy procesy prowadzone w celu zatrudnienia z zasadniczym celem funkcjonowania urzędu/instytucji, trudno przedstawić rzeczowe argumenty uzasadniające rozszerzenie ograniczenia na działalność dotyczącą zagadnień naboru pracowników, czy realizowanie uprawnień pracodawcy.

Same podstawy prawne przetwarzania danych w celu prowadzenia rekrutacji, jakie obecnie stosujemy, będą co do zasady nadal obowiązywać przynajmniej do momentu wdrożenia szczególnych przepisów, o których traktuje art. 88 GDPR przez Państwa członkowskie.

Zgoda kandydata

Obecnie dane osobowe kandydata do pracy w ramach konkretnej rekrutacji muszą ograniczać się do zakresu określonego w art. 221 Kodeksu Pracy.  W zakresie wykraczającym poza (notabene wąski) katalog art. 221 Kodeksu Pracy, pracodawca może posiłkować się przesłanką realizacji prawnie usprawiedliwionego celu oraz dążeniem do zawarcia umowy na żądanie osoby, której dane dotyczą. Warto jednak zwrócić uwagę, że od momentu rozpoczęcia bezpośredniego stosowania GDPR, łatwiej będzie uprawdopodobnić posiadaną zgodę kandydata.

Motyw 32 GDPR określając warunki, jakim odpowiadać ma prawidłowe udzielenie zgody wskazuje, że powinna być ona „wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie (…) na przetwarzanie (…). Może to polegać na (…) zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą zaakceptowała proponowane przetwarzanie jej danych osobowych.”

Mając na uwadze, że kryteria ustalenia, czy zgoda została udzielona, w motywie 32 Ogólnego Rozporządzenia wyraźnie odchodzą od rozumienia zgody wyłącznie jako „oświadczenia woli”. Należy przyjąć, że cel rekrutacji realizowany bardzo często za pomocą zakładek na stronach internetowych firm albo dedykowanych adresów e-mail, czy po prostu ogłoszeń określających drogę jaką należy złożyć dokumenty aplikacyjne, stanowi bardzo wyraźny przykład sytuacji, w której zachowanie osób, których dane dotyczą, świadczy o aprobacie dla przetwarzania przekazanych informacji. Stwierdzić można nawet, że kandydat nie tylko akceptuje konieczność przetwarzania jego danych, ale wręcz oczekuje, że to nastąpi, ponieważ w wyniku przetwarzania danych może otrzymać atrakcyjną ofertę pracy.

Wobec powyższego powinny stracić na znaczeniu rozważania dotyczące nierówności stron przy wyrażeniu zgody, które są obecnie podnoszone w doktrynie i orzecznictwie. Żaden pracodawca nie ma bowiem władczej pozycji, która zmusza kandydatów do odpowiedzi na przedstawioną ofertę. Jest to każdorazowo autonomiczna decyzja jednostki. Opisane elementy składające się na zgodę w procesie rekrutacyjnym skłaniają do uznania, że powinna być to zasadnicza podstawa prawna, w pełni legalizująca przetwarzanie wszystkich przekazywanych przez kandydatów danych.

W ten sposób unikniemy ryzyka jakie może powstawać przy szczególnych aplikacjach, gdy kandydat zgłosi udział do procesu rekrutacyjnego, np. w formie nagrania wideo. Trudno uzasadniać przetwarzanie utrwalonego wizerunku i głosu niezbędnością do zawarcia umowy, jeszcze trudniej (z uwagi na obszerne techniki jakimi można się posłużyć do zaprezentowania własnej osoby i pomysłowość kandydatów) określić w przepisach pełny dopuszczalny zakres. W przypadku danych składanych samodzielnie przez kandydata wnioskowanie o zgodę osoby, której dane dotyczą jest zasadne i jednocześnie trudno uznać, że mogłoby to naruszać, czy ograniczać prawa kandydata.

Rekrutacja ukryta

Ostatnim elementem zapewniającym legalność przetwarzania danych w toku rekrutacji jest spełnienie obowiązku informacyjnego. Jak powinna wyglądać klauzula informacyjna opisywaliśmy TU i TU. Rozbudowana treść klauzuli informacyjnej może przysparzać trudności technicznych związanych z umiejscowieniem obszernego tekstu na stronie internetowej czy w samym ogłoszeniu. Co jednak ważniejsze, należy ponownie rozważyć prowadzenie „ukrytych” czy „poufnych” rekrutacji, czyli takich w których tożsamość potencjalnego pracodawcy nie jest ujawniana. Praktyka pokazuje, że firmy często w procesach dotyczących wyższych stanowisk decydują się na takie rozwiązanie pomimo jego niezgodności z przepisami. Od 25 maja 2018 r. takie działanie może doprowadzić do nałożenia kary administracyjnej w wysokości do 20 000 000 EUR albo 4 % obrotu światowego za poprzedni rok.

Podsumowanie

W chwili obecnej ogólne przepisy GDPR w zakresie danych przekazywanych z woli kandydatów zapewniają duże udogodnienie. W tym względzie ewentualne przyszłe przepisy krajowe powinny określić wyłącznie informacje jakich pracodawca nie może zażądać od kandydata. Jednak zachowania kandydatów wynikające wyłącznie z ich inicjatywy powinny być zgodnie z motywem 32 GDPR traktowane jak wyrażenie zgody na przetwarzanie danych.


[1] Zasady oraz Prawa osoby, której dane dotyczą (rozdział II i III)

[2] W ocenie autora jest to przesłanka zbieżna z obecnie określoną w art. 23 ust. 1 pkt 4 tj. gdy przetwarzanie danych jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego.