8 czerwca 2018 r. odbyło się czwarte z kolei spotkanie grupy roboczej ws. opracowania Kodeksu Ochrony Danych Osobowych w rekrutacji. Niezmiennie wydarzenie miało miejsce w siedzibie Grupy Pracuj, do której w piątkowy poranek przybyli przedstawiciele pracodawców, agencji zatrudnienia i organizacji związanych z rekrutacją pracowników oraz bezpieczeństwem danych osobowych. Goście jak zwykle zostali przywitani kawą oraz przekąskami, które zapewnić miały miły wstęp do wytężonej, ale i owocnej pracy.
Na drodze do wypracowania dokumentu dla branży rekrutacyjnej dotarliśmy do momentu, w którym po etapie działań w mniejszych zespołach przyszedł czas na wspólne dyskusje o istotnych problemach związanych z RODO, Kodeksem Pracy i ochroną danych osobowych. Właśnie takim rozmowom i wymianie poglądów oraz doświadczeń zostało poświęcone ostatnie spotkanie.
Zmiany Projektu Kodeksu Pracy
Ostateczny kształt, jaki uzyska Kodeks w dużej mierze zależy od przepisów Kodeksu Pracy, którego projekt w ostatnich miesiącach ulega zmianie. Z tego powodu proponowane przez Ministerstwo Cyfryzacji zmiany są ważnym elementem pracy i dyskusji wewnątrz grupy roboczej.
Prezentacja nt. Projektu Kodeksu Pracy z dnia 23 maja 2018 r. rozpoczęła ostatnie spotkanie, a poprowadził ją partner merytoryczny Kodeksu, Mirosław Gumularz, radca prawny z GKK Gumularz Kozieł Kozik. Prezentacja dostępna jest tutaj.
Główną część spotkania stanowiła dyskusja o kwestiach istotnych, acz problemowych z punktu widzenia osób rekrutujących pracowników. W kolejności omówione zostały następujące zagadnienia:
1. Klauzula informacyjna
Z badania eRecruiter „RODO w rekrutacji” wynika, że 51% pracodawców przed 25 maja br. obawiało się zwiększonej liczby obowiązków informacyjnych i prawnych* (Zobacz raport z wynikami badania). Obowiązki te wynikają m.in. z konieczności przygotowania, wdrożenia i stosowania właściwych klauzul informacyjnych dla kandydatów odpowiadających na oferty pracy. Choć każda klauzula jest i powinna być inna dla każdego administratora, a nawet odmienna dla różnych procesów rekrutacyjnych, firmy poszukują wzorów i wskazówek do tworzenia własnych treści informacyjnych. W gronie ekspertów zastanawialiśmy się zatem:
- Jaka może być przykładowa treść klauzuli informacyjnej?
- Jakie elementy są obligatoryjne w każdej klauzuli?
- Jakie dobre praktyki powinni stosować pracodawcy formułując klauzule informacyjne dla kandydatów?
2. Testy kompetencyjne i assessment centre
Assessment centre, a także wszelkiego rodzaju testy kompetencyjne i zadania sprawdzające dla kandydatów nie są w obecnych czasach niczym niespotykanym. Wiele firm stosuje je jako element procesu wyboru i zatrudnienia pracowników, jest to zatem praktyka powszechna. Jednak czy w świetle nowych przepisów jest ona zawsze dozwolona i bezpieczna z punktu widzenia bezpieczeństwa danych? Podczas spotkania odpowiadaliśmy na pytania:
- Czy prawo wymaga od rekrutujących pozyskania od kandydata dodatkowej zgody na przeprowadzenie testów?
- Czy istnieje ryzyko, że metodologia testu/zadania ujawni dane wrażliwe (np. o stanie zdrowia psychicznego)?
- Czy przetwarzanie danych utworzonych/pozyskanych w takcie testów i innych etapów jest objęte klauzulą informacyjną? Czy należy ponowić w tym zakresie obowiązek informacyjny?
- Co zrobić, by w trakcie assessment centre nie narazić się na naruszenie poufności danych uczestników? Czy w tym zakresie pozyskać oświadczenie o zachowaniu poufności?
3. Pozyskiwanie kandydatów z social media
Rekrutowanie pracowników za pośrednictwem social media to praktyka równie częsta co poddawanie kandydatów do pracy testom i zadaniom. Widmo rezygnacji z tego źródła spędza sen z powiek niejednej agencji zatrudnienia i rekruterów działających przy pomocy tzw. direct search. Wychodząc naprzeciw potrzebom rynku, dyskusji poddaliśmy również ten temat. Zastanawialiśmy się m.in. nad tym:
- Czy pozyskiwanie danych z social media na potrzeby rekrutacji jest możliwe?
- Czy konieczne jest pozyskanie zgody kandydata na obejrzenie jego profilu w sieci i podjęcie próby kontaktu?
- Kiedy i jak spełnić obowiązek informacyjny wobec kandydatów z sieci społecznościowych?
- Czy i jakie znaczenie mają zasady danego portalu portalu (np. wymagającego od rekruterów dysponowania określonym kontem)?
4. Czarne listy kandydatów
Któż z nas nigdy odpowiednio nie oznaczył kandydata, który nie przyszedł na spotkanie? Co robimy z kandydatami, których zachowanie na rozmowie jest nie tyle niestosowne, co wręcz niedopuszczalne? Choć może się to wydawać naturalne, że nie chcemy już więcej spotykać się z taką osobą, to zgodnie z nowymi regulacjami, tworzenie negatywnych zestawień kandydatów może rodzić wątpliwości. Ostatnim omawianym tematem były „czarne listy”, a pytania które zostały postawione to:
- Czym jest czarna lista?
- Czy każde zestawienie kandydatów może nosić znamiona czarnej listy?
- Czy istnieją sytuacje, kiedy tworzenie czarnej listy jest zasadne?
Komentarz prawnika – partnera merytorycznego Kodeksu Ochrony Danych Osobowych w rekrutacji
Radca Prawny Mirosław Gumularz wyjaśnia:
Zgodnie ze stanowiskiem GIODO, praktyka tworzenia tzw. czarnych list rekrutacyjnych, zawierających dane osobowe kandydatów, których z różnych powodów nie powinno się zatrudniać, nie znajduje oparcia w obowiązujących przepisach, jest zatem niezgodna z prawem. Tworzenie zbiorów danych o charakterze negatywnym może prowadzić do dyskryminacji i podejmowania niekorzystnych dla danej osoby decyzji w oparciu o często nierzetelne, bezpodstawnie pozyskane informacje.
Tworzenie czarnych list kandydatów może naruszać podstawowe zasady ochrony danych osobowych (m.in. art. 5 rodo):
- ograniczenia czasowego – tego typu listy zwykle przechowywane są bez ograniczenia czasowego;
- zgodności z prawem – brak wyraźnej podstawy prawnej prowadzenia tego typu zestawień. Naruszeniem będzie przede wszystkim udostępnienie tej kategorii danych pomiędzy różnymi administratorami danych (pomiędzy podmiotami rekrutującymi);
- minimalizacji danych – bardzo często zakres danych przechowywanych na czarnych listach nie jest niezbędny i może naruszać dobra osobiste.
Oczywiście nie oznacza to, że zaraz po zakończeniu rekrutacji należy usunąć dane dotyczące kandydatów. Dłuższe przechowywanie danych może być uzasadnione np. obroną przed roszczeniami jakie mogą być związane z prowadzoną rekrutacją. W związku z tym istotny jest cel przetwarzania danych a nie sam fakt dysponowania określoną informacją. Oczywiście tworzenie zestawień zbliżonych do „czarnych list” może wynikać w wprost z przepisów prawa. Wtedy nie ma wątpliwości, że podstawą tworzenia zestawień będzie przepis prawa i można to robić (art. 6 ust. 1 lit. c) rodo). – dodaje Mirosław Gumularz
W tym miejscu należy zwrócić uwagę, że uzasadnienie projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, w wersji z dnia 23.05.2018 r., wyjaśnia problem tzw. uzasadnionego interesu w prawie pracy. Wskazano, że:
Mając na względzie konieczność wyjaśnienia spójności przepisów Kodeksu pracy z rozporządzeniem 2016/679 należy wskazać, iż projektowane regulacje stanowią wykonanie uprawnienia określonego w art. 88 ogólnego rozporządzenia o ochronie danych, które umożliwia wprowadzenie przez państwo członkowskie w przepisach krajowych bardziej szczegółowych regulacji mających zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych w zatrudnieniu. Dodatkowo motyw 155 ww. rozporządzenia jednoznacznie przesądził o możliwości unormowania w stosunkach pracy także przetwarzania danych osobowych pozyskiwanych za zgodą kandydata lub pracownika. Należy jednak wyraźnie podkreślić, że w ocenie projektodawcy projektowane przepisy nie wyłączają zastosowania art. 6 i art. 9 rozporządzenia 2016/679. W związku z tym po dokonaniu oceny stanu faktycznego pracodawca będzie mógł powołać się chociażby na przesłankę prawnie uzasadnionego celu interesu bądź niezbędności przetwarzania danych dla wykonania umowy.
Powyższe stwierdzenie jest niezwykle istotne ponieważ przesądza, że pracodawca może powoływać się na uzasadniony interes jako podstawę przetwarzania danych. Np. jeżeli będzie chciał bronić się przed roszczeniami o dyskryminację na etapie rekrutacji.- uzupełnia Mirosław Gumularz
Pomimo zbliżającej się pory wakacyjnej prace grupy roboczej nie ustają. Zadania zostały rozdzielone, a wynik dyskusji na powyższe tematy z pewnością znajdzie odzwierciedlenie w Kodeksie Ochrony Danych Osobowych w rekrutacji.
*Badanie „RODO w rekrutacji” przeprowadzone przez eRecruiter w ramach projektu „Kodeks Ochrony Danych Osobowych w rekrutacji”. Badanie miało miejsce w styczniu 2018 r. na grupie 618 specjalistów i 720 pracodawców. Jego celem jest zaprezentowanie stopnia świadomości zarówno pracodawców, jak i kandydatów w zakresie nadchodzących zmian. Dodatkowo w raporcie przedstawione zostały dotychczasowe praktyki pracodawców przetwarzających dane osobowe oraz przyzwyczajenia kandydatów przy aplikowaniu na oferty pracy.
