Na marginesie sprawy wycieku danych z Pekao SA -- o głośnej sprawie wycieku danych ze strony zainwestujwprzyszłosc.pl napisano już tak dużo, że nie wiadomo do czego li
Wydaje mi się czasem (mam nadzieję, że to mylne wrażenie), że nawet poważne firmy zajmujące się tą działalnością zawodowo zapominają o pewnych zasadach. Nie mówiąc o tym, że świadomość kandydatów ubiegających się o pracę jest praktycznie zerowa.
Podstawową zasadą przetwarzania danych osobowych w rekrutacji jest uzyskanie zgody od osoby, której dane będą przetwarzane (art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych). Dlatego też nie sposób praktycznie spotkać dziś ogłoszenia o pracy bez wzmianki o konieczności dodania przez aplikującego stosownej klauzuli. Standardem jest coś w rodzaju "Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w mojej ofercie pracy dla potrzeb niezbędnych do realizacji procesu rekrutacji (zgodnie z ustawą z dn. 29.08.97 roku o Ochronie Danych Osobowych Dz. Ust Nr 133 poz. 883)" (ściągnięte z popularnego serwisu ogłoszeniowego). Pomijając dość oczywisty błąd w oznaczeniu ustawy -- na dziś promulgacja ustawy to Dz. U. Nr 101 poz. 926 z 2002 r. -- klauzula tego rodzaju nie daje rekrutującemu uprawnień do tego wszystkiego, na czym polega tzw. 'profesjonalna rekrutacja'.
Rzuciwszy okiem na ogłoszenie zadam jeszcze pytanie: a gdzie wszelkie informacje, którymi administrator danych powinien podzielić się z aplikującym, o których mówi, art. 24 ustawy o ochronie danych osobowych? (Mowa tu m.in. o przewidywanych odbiorcach danych, prawie dostępu do danych oraz dobrowolności ich podania...)
Profesjonalna rekrutacja polega bowiem m.in. na sondowaniu opinii o kandydacie wśród byłych i obecnych pracodawców aplikującego. Oznacza to, że dane tej osoby wędrują, bez zgody a nawet wiedzy zainteresowanego, do innych podmiotów.
W takim przypadku nie dochodzi wprawdzie bezpośrednio do przekazywania danych osobowych -- o ile firma, której dane udostępniono nie tworzy z nich odrębnej bazy (o tym więcej poniżej) -- jednak wbrew pobożnym życzeniom rekrutujących działanie polegające na jednostkowym udostępnieniu danych innym podmiotom nie znajduje podstawy w art. 29 ust. 2 ustawy o ochronie danych osobowych, który daje uprawnienie do udostępniania danych innej osobie bez podstawy prawnej, 'jeżeli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą', jednak w literaturze przyjmuje się, iż przepis ten nie dotyczy to pracowników, do których zastosowanie ma art. 22(1) kp (por. rozważania o zaświadczeniu o niekaralności przy przyjęciu do pracy) -- (tak Andrzej Drozd, Zasady przetwarzania danych w aktach osobowych pracowników, PZiS 2005/3/11).
Jeśli zatem podczas procesu rekrutacji najdzie nas ochota zasięgnąć opinii o kandydacie wśród byłych pracodawców, niezbędne jest uzyskanie na to bezpośredniej (czyli nie dorozumianej z samego faktu ubiegania się o pracę!) zgody od osoby zainteresowanej zatrudnieniem. Będzie to jeszcze bardziej oczywiste, jeśli uzmysłowimy sobie, że takie sondowanie -- szczególnie odpytywanie obecnego pracodawcy osoby, która nadal tam pracuje -- może stanowić naruszenie jej dóbr osobistych (sytuacja może nieczęsta, ale jak najbardziej do wyobrażenia).
Skądinąd już sama ustawa nakłada na administratora danych obowiązek odmowy udostępnienia danych ze zbioru innym osobom i podmiotom, które nie są uprawnione do ich otrzymania na podstawie przepisu ustawy, jeśli powodowałoby to istotne naruszenie ich dóbr osobistych (art. 30 pkt 4).
Wcale nie na marginesie warto zapamiętać -- uwagę tę kieruję do czytających Lege Artis rekruterów i pracowników działów HR -- iż art. 29 ustawy wyraźnie wyłącza możliwość włączania udostępnionych danych osobowych do własnych zbiorów, a zatem tworzenia własnej, odrębnej bazy zawierającej dane osobowe kandydatów do pracy. Praktyką z pogranicza szarej strefy w relacjach firm zajmujących się outsourcingiem w zakresie rekrutacji z ich klientami jest wzajemne wymienianie się bazami aplikujących, bądź w celu ułatwienia sobie życia na przyszłość (mityczne 'profile' kandydatów), bądź też oddzieleniu osób, które aplikują na większą ilość stanowisk w krótkim czasie. W ten sposób -- chyba nieumyślnie -- obchodzi się zarówno przepisy o administracji danych (bo któż by się tym przejmował?), jak i o obowiązku poinformowania zainteresowanego o zbieraniu danych od innej osoby, niż tej, której dane są przetwarzane (art. 25).
Osobną sprawą jest rekrutacja na zlecenie anonimowego klienta, czyli w sytuacji gdy firma XYZ szuka kandydatów do pracy dla swojego kontrahenta, który jednak -- z różnych przyczyn -- woli pozostać w cieniu. W zasadzie nic nie stoi na przeszkodzie takiemu działaniu, aczkolwiek... zgodnie z art. 24 ust. 1 pkt 2 ustawy o ochronie danych osobowych administrator powinien poinformować przyszłego pracownika o znanych mu w tym czasie odbiorcach danych -- a zatem o kliencie, na rzecz którego pracuje. (Zwracam też uwagę na wiążące się z tym nakazem przepisu karne -- art. 51 ust. 1 oraz 54 ustawy o ochronie danych osobowych).
Ostatnią sprawą do poruszenia jest powierzenie przez administratora przetwarzania danych innemu podmiotowi (to jest właśnie, jak sądzę, kazus Pekao SA i strony Zainwestujwprzyszłość.pl).
Zgodnie z art. 31 ustawy o ochronie danych osobowych jest to całkowicie dopuszczalne -- na podstawie pisemnej umowy, z zachowaniem celu określonego w umowie (a zarazem celu, w jakim osoba zainteresowana przekazała swoje dane) i po przedsięwzięciu wszelkich środków technicznych i organizacyjnych mających na celu prawidłowe zabezpieczenie bazy.
Z drugiej strony umowa o powierzenie przetwarzania danych osobowych nie wiąże się z:
- nabyciem przez podmiot, któremu powierzono przetwarzanie danych, statusu administratora danych,
- utworzeniem nowej, alternatywnej bazy danych (to jest jedna i ta sama baza!),
- zwolnieniem z odpowiedzialności za naruszeniem zasad przetwarzania danych osobowych przez administratora danych (art. 31 ust. 4) -- odpowiedzialność przetwarzającego jest bowiem ograniczona wyłącznie do naruszenia umownych warunków przetwarzania (co nie zwalnia go jednak z obowiązku poddania się ew. kontroli ze strony GIODO).
Jest więc dopuszczalne -- z zachowaniem tych warunków -- powierzenie przetwarzania danych osobowych osób rekrutowanych do pracy zewnętrznemu profesjonalnemu podmiotowi 'do obrobienia', jednak oczywiście z zachowaniem wszelkich wymogów ustawowych.
Copyright © Money.pl
Skoro o przetwarzaniu danych mowa - ustawa o bardzo przyjemnej nazwie jest
przygotowywana w Sejmie:
http://orka.sejm.gov.pl/proc6.nsf/opisy/720.htm :) skomentuj
Zawsze mnie zastanawiało, czy nie wystarczy napisać "Zgadzam się na przetwarzanie w
celach rekrutacyjnych moich danych zgodnie z zapisami ustawy obowiązującej w tym
temacie w dniu zgłaszania niniejszych danych" :P Poza tym pisać mogę sobie dowoli -
jak wysyłam przez internet, to nie mam jak podpisać, więc taka klauzulka nie ma
większego znaczenia (no, chyba, że kluczem prywatnym taki plik dziabnę :P ) - nikt mi
nie udowodni, że to ode mnie, bo taki plik to można spreparować, logi na serwerze
poczty odbiorcy też (do mojego się nie dobiorą - podania wysyłałem z Rosji a teraz ze
stanów ;) ) skomentuj
Czy dobrze rozumuję, że jeśli rekrutacja odbywa się li tylko na zasadzie przychodzi
kandydat i gada (bez wysyłania życiorysów zawodowych i inszych bzdur; tak jak to
często w mikro-firmach jest), i podaje mi dane już do podpisania umowy, to czy
zgodnie
z ustawy artykułem 23-cim: (a konkretnie: " (...) jest to konieczne do realizacji
umowy, gdy osoba, której dane dotyczą, jest
jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem
umowy na żądanie osoby, której dane dotyczą, ") jego zgoda nie jest mi już
potrzebna?
A czy można to "podjęcie działań przed" wykorzystać jako furtkę w razie czego? W
sensie, że całe przetwarzanie danych odbywało się w mojej głowie po otwarciu kopert,
bezpośrednio po tym nastąpił wybór, dane wybranego do umowy a reszty do kosza. skomentuj