Przetwarzanie danych osobowych przy rekrutacji do pracy
 Oceń wpis
   

Na marginesie sprawy wycieku danych z Pekao SA -- o głośnej sprawie wycieku danych ze strony zainwestujwprzyszłosc.pl napisano już tak dużo, że nie wiadomo do czego linkować; podlinkuję zatem kontrowersyjny wywiad z odkrywcą sprawy (niestety, słowo 'odkrywca' ma w tym przypadku podwójne znaczenie...) -- warto napisać pięć zdań na temat zasad ochrony i przetwarzania danych osobowych w rekrutacji i w outsourcingu rekrutacji.
Wydaje mi się czasem (mam nadzieję, że to mylne wrażenie), że nawet poważne firmy zajmujące się tą działalnością zawodowo zapominają o pewnych zasadach. Nie mówiąc o tym, że świadomość kandydatów ubiegających się o pracę jest praktycznie zerowa.
 
Podstawową zasadą przetwarzania  danych osobowych w rekrutacji jest uzyskanie zgody od osoby, której dane będą przetwarzane (art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych). Dlatego też nie sposób praktycznie spotkać dziś ogłoszenia o pracy bez wzmianki o konieczności dodania przez aplikującego stosownej klauzuli. Standardem jest coś w rodzaju "Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w mojej ofercie pracy dla potrzeb niezbędnych do realizacji procesu rekrutacji (zgodnie z ustawą z dn. 29.08.97 roku o Ochronie Danych Osobowych Dz. Ust Nr 133 poz. 883)" (ściągnięte z popularnego serwisu ogłoszeniowego). Pomijając dość oczywisty błąd w oznaczeniu ustawy -- na dziś promulgacja ustawy to Dz. U. Nr 101 poz. 926 z 2002 r. -- klauzula tego rodzaju nie daje rekrutującemu uprawnień do tego wszystkiego, na czym polega tzw. 'profesjonalna rekrutacja'.

Rzuciwszy okiem na ogłoszenie zadam jeszcze pytanie: a gdzie wszelkie informacje, którymi administrator danych powinien podzielić się z aplikującym, o których mówi, art. 24 ustawy o ochronie danych osobowych? (Mowa tu m.in. o przewidywanych odbiorcach danych, prawie dostępu do danych oraz dobrowolności ich podania...)
 
Profesjonalna rekrutacja polega bowiem m.in. na sondowaniu opinii o kandydacie wśród byłych i obecnych pracodawców aplikującego. Oznacza to, że dane tej osoby wędrują, bez zgody a nawet wiedzy zainteresowanego, do innych podmiotów.
W takim przypadku nie dochodzi wprawdzie bezpośrednio do przekazywania danych osobowych -- o ile firma, której dane udostępniono nie tworzy z nich odrębnej bazy (o tym więcej poniżej) -- jednak wbrew pobożnym życzeniom rekrutujących działanie polegające na jednostkowym udostępnieniu danych innym podmiotom nie znajduje podstawy w art. 29 ust. 2 ustawy o ochronie danych osobowych, który daje uprawnienie do udostępniania danych innej osobie bez podstawy prawnej, 'jeżeli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą', jednak w literaturze przyjmuje się, iż przepis ten nie dotyczy to pracowników, do których zastosowanie ma art. 22(1) kp  (por. rozważania o zaświadczeniu o niekaralności przy przyjęciu do pracy) -- (tak Andrzej Drozd, Zasady przetwarzania danych w aktach osobowych pracowników, PZiS 2005/3/11).

Jeśli zatem podczas procesu rekrutacji najdzie nas ochota zasięgnąć opinii o kandydacie wśród byłych pracodawców, niezbędne jest uzyskanie na to bezpośredniej (czyli nie dorozumianej z samego faktu ubiegania się o pracę!) zgody od osoby zainteresowanej zatrudnieniem. Będzie to jeszcze bardziej oczywiste, jeśli uzmysłowimy sobie, że takie sondowanie -- szczególnie odpytywanie obecnego pracodawcy osoby, która nadal tam pracuje -- może stanowić naruszenie jej dóbr osobistych (sytuacja może nieczęsta, ale jak najbardziej do wyobrażenia).
Skądinąd już sama ustawa nakłada na administratora danych obowiązek odmowy udostępnienia danych ze zbioru innym osobom i podmiotom, które nie są uprawnione do ich otrzymania na podstawie przepisu ustawy, jeśli powodowałoby to istotne naruszenie ich dóbr osobistych (art. 30 pkt 4).


Wcale nie na marginesie warto zapamiętać -- uwagę tę kieruję do czytających Lege Artis rekruterów i pracowników działów HR -- iż art. 29 ustawy wyraźnie wyłącza możliwość włączania udostępnionych danych osobowych do własnych zbiorów, a zatem tworzenia własnej, odrębnej bazy zawierającej dane osobowe kandydatów do pracy. Praktyką z pogranicza szarej strefy w relacjach firm zajmujących się outsourcingiem w zakresie rekrutacji z ich klientami jest wzajemne wymienianie się bazami aplikujących, bądź w celu ułatwienia sobie życia na przyszłość (mityczne 'profile' kandydatów), bądź też oddzieleniu osób, które aplikują na większą ilość stanowisk w krótkim czasie. W ten sposób -- chyba nieumyślnie -- obchodzi się zarówno przepisy o administracji danych (bo któż by się tym przejmował?), jak i o obowiązku poinformowania zainteresowanego o zbieraniu danych od innej osoby, niż tej, której dane są przetwarzane (art. 25).

Osobną sprawą jest rekrutacja na zlecenie anonimowego klienta, czyli w sytuacji gdy firma XYZ szuka kandydatów do pracy dla swojego kontrahenta, który jednak -- z różnych przyczyn -- woli pozostać w cieniu. W zasadzie nic nie stoi na przeszkodzie takiemu działaniu, aczkolwiek... zgodnie z art. 24 ust. 1 pkt 2 ustawy o ochronie danych osobowych administrator powinien poinformować przyszłego pracownika o znanych mu w tym czasie odbiorcach danych -- a zatem o kliencie, na rzecz którego pracuje. (Zwracam też uwagę na wiążące się z tym nakazem przepisu karne -- art. 51 ust. 1 oraz 54 ustawy o ochronie danych osobowych).

Ostatnią sprawą do poruszenia jest powierzenie przez administratora przetwarzania danych innemu podmiotowi (to jest właśnie, jak sądzę, kazus Pekao SA i strony Zainwestujwprzyszłość.pl).
Zgodnie z art. 31 ustawy o ochronie danych osobowych jest to całkowicie dopuszczalne -- na podstawie pisemnej umowy, z zachowaniem celu określonego w umowie (a zarazem celu, w jakim osoba zainteresowana przekazała swoje dane) i po przedsięwzięciu wszelkich środków technicznych i organizacyjnych mających na celu prawidłowe zabezpieczenie bazy.

Z drugiej strony umowa o powierzenie przetwarzania danych osobowych nie wiąże się z:
- nabyciem przez podmiot, któremu powierzono przetwarzanie danych, statusu administratora danych,
- utworzeniem nowej, alternatywnej bazy danych (to jest jedna i ta sama baza!),
- zwolnieniem z odpowiedzialności za naruszeniem zasad przetwarzania danych osobowych przez administratora danych (art. 31 ust. 4) -- odpowiedzialność przetwarzającego jest bowiem ograniczona wyłącznie do naruszenia umownych warunków przetwarzania (co nie zwalnia go jednak z obowiązku poddania się ew. kontroli ze strony GIODO).

Jest więc dopuszczalne -- z zachowaniem tych warunków -- powierzenie przetwarzania danych osobowych osób rekrutowanych do pracy zewnętrznemu profesjonalnemu podmiotowi 'do obrobienia', jednak oczywiście z zachowaniem wszelkich wymogów ustawowych.

Komentarze (5)
eBay nie odpowiada za przedaż... Facebook mówi: StudiVZ zapatrzył...

bezczelna reklama:

Firma Prawnicza Lege Artis
www.LegeArtis.org

O mnie
Olgierd Rudak
Jesteś na stronie czasopisma internetowego "Lege Artis", które ukazywało się od 17 listopada 2006 r. do 16 maja 2014 r.
Najnowsze komentarze
2017-10-13 06:09
Gina Acampora:
O ochronie wizerunku złodziei
Nazywam się Gina Acampora i rozmawiam dzisiaj jako najszczęśliwszy człowiek na całym dzikim[...]
2017-10-10 01:40
jance:
Uważajcie na oszustów sprzedających samochody z UK
Witam wszystkich, Nazywam się Ketesha Frank, jestem z Alabama, Stanów Zjednoczonych, jestem tu,[...]
2017-10-05 19:48
ArturZpl:
Rekordowe odszkodowanie za spam
Teraz to też my będziemy mogli starać się o odszkodowanie. Szukając informacji na ten temat -[...]
2017-10-02 10:03
CARO CATO:
Uważajcie na oszustów sprzedających samochody z UK
¿Necesita dinero para iniciar un negocio propio ...? ¿Necesita dinero también pagar[...]
2017-09-04 13:15
Walls:
Uważajcie na oszustów sprzedających samochody z UK
Dobry dzień,   Jesteśmy prawowitym, renomowanym rządowym pożyczkodawcą. Jesteśmy firma[...]