Nowe zapisy w dokumentacji HR w związku z procesem rekrutacyjnym

Od 25 maja 2018 r. obowiązują przepisy RODO, które dotyczą większości przedsiębiorców także w związku z ochroną danych osobowych pracowników.

Poniżej przedstawiono wzorcowe zapisy w dokumentacji ochrony danych osobowych dotyczące działu kadr. Należy jednak traktować je wyłącznie jako wskazówki służące do opracowania własnej dokumentacji, ponieważ sytuacja organizacyjna każdego pracodawcy jest odmienna, a dokumentacja winna odzwierciedlać te odmienności. Procesy przetwarzania danych osobowych są różne i w każdej organizacji przebiegają odmiennie. Natomiast RODO kładzie szczególny nacisk na indywidualne dopasowanie procedur ochrony danych osobowych do procesów stosowanych w danym podmiocie – dokumentacja dotycząca ochrony danych osobowych powinna być „szyta na miarę”.

Motyw 155 RODO oraz art. 88 RODO wskazują, że ustawodawca państwa członkowskiego UE może w ustawach krajowych uściślić przepisy o przetwarzaniu danych osobowych pracowników w związku z zatrudnieniem, w szczególności warunki, na których dane osobowe w związku z zatrudnieniem można przetwarzać za zgodą pracownika do celów procedury rekrutacyjnej, wykonywania umowy o pracę, w tym wykonywania obowiązków określonych w przepisach lub w porozumieniach zbiorowych, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy.

WSKAZÓWKA!

W chwili przekazywania materiału trwają prace nad nową ustawą o ochronie danych osobowych. Dodatkowo planowane są zmiany w szeregu innych ustaw, dotyczące ochrony danych osobowych. Takie zmiany przewidziane są w projekcie ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, który przewiduje zmiany także w Kodeksie pracy. Warto zatem śledzić przebieg prac legislacyjnych w tym zakresie, a przede wszystkim pamiętać o tym, że RODO należy interpretować w powiązaniu z innymi przepisami. Natomiast po uchwaleniu wskazanych ustaw konieczne będzie dokładne ich przeanalizowanie, gdyż zwłaszcza zmiany w Kodeksie pracy będą miały bezpośredni wpływ na kształt dokumentacji dotyczącej ochrony danych osobowych w działach HR.

Przykładowe zapisy w dokumentacji HR

  1. Od kandydatów do pracy zbiera się następujące dane:
  • imię (imiona) i nazwisko,
  • imiona rodziców,
  • data urodzenia,
  • miejsce zamieszkania (adres do korespondencji),
  • wykształcenie,
  • przebieg dotychczasowego zatrudnienia.

WSKAZÓWKA!

Jeżeli od kandydatów do pracy dział HR zbiera inne dane osobowe niż wskazane powyżej (tj. wykraczające poza zakres wskazany w art. 221 Kodeksu pracy), to należy odebrać od kandydata do pracy zgodę na przetwarzanie tych danych.

 

  1. Dokumenty kandydatów do pracy są przechowywane w komórce organizacyjnej, która przetwarza te dane. Zwykle jest to dział kadr lub dział HR. Po zakończeniu rekrutacji, jeżeli dokumenty nie zostaną w ciągu 3 miesięcy od zakończenia rekrutacji zwrócone kandydatowi, który nie został zatrudniony, powinny zostać protokolarnie zniszczone.
  2. Jeżeli kandydat do pracy podaje w swoich dokumentach aplikacyjnych inne dane niż te, które wynikają z przepisów Kodeksu pracy, zobowiązany jest dołączyć stosowną klauzulę zgody na przetwarzanie tych danych przez administratora danych.
  3. Jeśli kandydat do pracy chciałby, aby jego dokumenty aplikacyjne zostały wykorzystane w przyszłych rekrutacjach, również wyraża zgodę na przetwarzanie jego danych osobowych w tym zakresie. W tym celu należy taką osobę pouczyć o wspomnianym wyżej uwarunkowaniu i przygotować tekst klauzuli o zgodzie na takie rozszerzone przetwarzanie.
  4. Brak zgody, o której mowa powyżej, lub jej wycofanie nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie, a także nie może powodować wobec niej jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia.

WSKAZÓWKA!

Jeżeli dział HR chciałby wykorzystać dane kandydata do pracy w przyszłych rekrutacjach, może to zrobić, jeśli odbierze od niego zgodę na takie przetwarzanie jego danych osobowych.

Jeśli kandydat przekaże inne dane niż wskazane w 221 Kodeksu pracy, np. swoje zdjęcie, powinien wyrazić zgodę na przetwarzanie tych danych przez dział HR.

Wzór klauzuli zgody dla kandydatów do pracy

 

Wyrażenie zgody na przetwarzanie danych osobowych

 

Na podstawie art. 6 ust. 1 lit. a ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. – RODO wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w ………………….. (formularzu, kwes­tionariuszu, ofercie pracy, CV) przez ……………… w celu udziału w procesie rekrutacji). Jednocześnie oświadczam, że zostałam/em poinformowana/y, że mogę w każdym czasie odwołać niniejszą zgodę. Odwołanie zgody nie będzie miało wpływu na przebieg ani wynik procesu rekrutacyjnego.

 

Wyrażam także/nie wyrażam zgodę/y na przetwarzanie ww. danych osobowych na potrzeby przyszłych rekrutacji.

 

  1. W celu realizacji obowiązku informacyjnego administrator danych zamieszcza w ogłoszeniu o pracę klauzulę informacyjną.

Przepisy art. 13 RODO wymagają, aby każdą osobę, od której dział HR zbiera dane, informować o:

  • danych identyfikujących administratora danych oraz jego danych kontaktowych,
  • celach przetwarzania danych osobowych oraz podstawie prawnej przetwarzania,
  • prawnie uzasadnionych interesach realizowanych przez administratora lub przez stronę trzecią, jeśli na tej podstawie przetwarzane są dane osobowe,
  • odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
  • okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu,
  • prawie do żądania od administratora dostępu do danych osobowych osoby, której dane dotyczą,
  • prawie do ich sprostowania,
  • prawie do usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania,
  • prawie do przenoszenia danych,
  • prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
  • prawie wniesienia skargi do organu nadzorczego,
  • czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
  • zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Ponadto, gdy ma to zastosowanie, należy także podać dane kontaktowe inspektora ochrony danych oraz informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.

 

 

Klauzula informacyjna dla kandydatów do pracy

  • Zgodnie z art. 13 ust. 1 i ust. 2 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. – RODO informuję:
  • Administratorem danych osobowych zawartych w przekazanych przez Pana/Panią dokumentach aplikacyjnych jest .............…………………………
  • Inspektorem ochrony danych w ………………………. jest Pan/Pani ……….… (dane kontaktowe) ………..….................
  • Pana/Pani dane osobowe będą przetwarzane w celu przeprowadzenia procesu rekrutacyjnego, na podstawie art. 6 ust. 1 lit. b. Pana/Pani dane osobowe zostaną usunięte po zakończeniu procesu rekrutacji.
  • Posiada Pani/Pan prawo dostępu do swoich danych osobowych, prawo ich sprostowania, prawo do żądania ich usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec ich przetwarzania, a także prawo wniesienia skargi do GIODO/Prezesa Urzędu Ochrony Danych Osobowych, jeżeli Pani/Pana dane będą przetwarzane niezgodnie z przepisami ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.
  • Zebrane dane osobowe zostały przez Panią/Pana podane dobrowolnie, jednak konsekwencją niepodania danych będzie wykluczenie z procesu rekrutacyjnego.              

Sposoby prowadzenia rekrutacji

  1. Administrator danych może powierzyć zewnętrznemu podmiotowi przeprowadzenie procesu rekrutacji pracowników. W takiej sytuacji administrator danych zawiera ze wskazanym podmiotem umowę powierzenia danych osobowych.

WSKAZÓWKA!

Artykuł 28 RODO zawiera wytyczne dotyczące tego, co powinno się znaleźć w umowie powierzenia danych. Umowa ta powinna stanowić, że podmiot przetwarzający:

  • przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora,
  • zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy,
  • wdraża odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych,
  • pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą,
  • po zakończeniu świadczenia usług związanych z przetwarzaniem, zależnie od decyzji administratora, usuwa lub zwraca mu wszelkie dane osobowe,
  • udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia ciążących na nim obowiązków oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administra tora przeprowadzanie audytów, w tym inspekcji i przyczynia się do nich.
  •  
  1. Administrator danych może prowadzić rekrutację, korzystając z bazy kandydatów udostępnionej mu przez zewnętrzny podmiot. W takiej sytuacji administrator upewnia się, czy kandydaci, których dane uzyskał, wyrazili zgodę na udostępnienie mu ich danych osobowych.
  2. Niezależnie od sprawdzenia wyrażania zgody przez kandydatów do pracy, o której mowa powyżej, w celu realizacji obowiązku informacyjnego, administrator danych przekazuje tym kandydatom klauzulę informacyjną dla kandydatów do pracy uzupełnioną o informacje o źródle pochodzenia danych osobowych.

WSKAZÓWKA!

Art. 14 RODO wymaga, aby administrator danych, który pozyskuje dane osobowe nie od osoby, której dane dotyczą (chodzi tutaj o sytuacje, kiedy dane pozyskiwane są z innych źródeł, np. zakupione bazy danych, publiczne rejestry), przekazał osobie, której dane dotyczą, informacje wskazane w art. 13 RODO, ale także uzupełnił je informacją o źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych.

  1. Administrator danych przekazuje kandydatom do pracy powyższą klauzulę informacyjną w rozsądnym terminie po pozyskaniu danych osobowych, najpóźniej w ciągu miesiąca, mając na uwadze konkretne okoliczności przetwarzania danych osobowych. Jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą, klauzula winna zostać przekazana najpóźniej przy pierwszym kontakcie z taką osobą.