Proces rekrutacyjny wiąże się z przetwarzaniem danych osobowych kandydatów do pracy, co rodzi określone obowiązki po stronie administratora danych, którym zazwyczaj jest pracodawca. W niniejszym artykule omawiamy kluczowe zasady zgodnego z prawem przetwarzania danych osobowych w toku rekrutacji.
Zakres danych osobowych, których pracodawca może żądać od kandydata
Zgodnie z art. 22¹ § 1 Kodeksu pracy, w procesie rekrutacyjnym pracodawca może żądać od osoby ubiegającej się o zatrudnienie następujących danych:
- imienia (imion) i nazwiska,
- daty urodzenia,
- danych kontaktowych wskazanych przez kandydata,
- wykształcenia*,
- kwalifikacji zawodowych*,
- przebiegu dotychczasowego zatrudnienia*.
* Dane wymienione w punktach 4–6 można żądać tylko wtedy, gdy są niezbędne do wykonywania pracy określonego rodzaju lub na konkretnym stanowisku.
Dane wykraczające poza ten zakres, takie jak zdjęcie, zainteresowania, stan zdrowia, narodowość, informacje o rodzinie czy linki do profili w mediach społecznościowych, mogą być przetwarzane wyłącznie na podstawie dobrowolnej zgody kandydata.
Obowiązek informacyjny – klauzula informacyjna
Administrator danych ma obowiązek spełnienia tzw. obowiązku informacyjnego zgodnie z art. 13 RODO. Oznacza to, że kandydat powinien otrzymać stosowne informacje najpóźniej w chwili pozyskiwania jego danych osobowych – co w praktyce oznacza, że klauzula informacyjna powinna być dostępna już na etapie składania aplikacji (np. w ogłoszeniu lub formularzu rekrutacyjnym).
Jeżeli dane kandydatów mają być przetwarzane także na potrzeby przyszłych rekrutacji, należy o tym wyraźnie poinformować w klauzuli i uzyskać odrębną zgodę na takie przetwarzanie.
Przechowywanie danych kandydatów
Zgodnie z zasadą ograniczenia przechowywania (art. 5 ust. 1 lit. e) RODO), dane osobowe mogą być przechowywane wyłącznie przez okres niezbędny do realizacji celu, dla którego zostały zebrane. W praktyce oznacza to, że dane kandydatów powinny być usunięte po zakończeniu konkretnego procesu rekrutacyjnego, chyba że istnieje inna podstawa prawna uzasadniająca ich dalsze przechowywanie.
Wyrok NSA z 20 lutego 2024 r. (III OSK 2700/22) potwierdził, że pracodawca może zachować dane kandydatów po zakończeniu rekrutacji w oparciu o prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO), np. w celu obrony przed potencjalnymi roszczeniami dotyczącymi dyskryminacji. W takim przypadku dane można przechowywać przez okres przedawnienia roszczeń – co do zasady do 3 lat – pod warunkiem, że administrator jest w stanie wykazać rzeczywistą potrzebę i proporcjonalność takiego działania.
Jeśli dane mają być przechowywane na potrzeby przyszłych rekrutacji, należy uzyskać dobrowolną zgodę i określić maksymalny czas ich przechowywania (np. 12 miesięcy). Przechowywanie danych „na wszelki wypadek”, bez wyraźnej podstawy prawnej, jest niezgodne z RODO.
Zabezpieczenia techniczne i organizacyjne
Dane osobowe kandydatów muszą być odpowiednio zabezpieczone. Wymaga to zastosowania zarówno środków technicznych (np. szyfrowania, haseł, oprogramowania zabezpieczającego), jak i organizacyjnych (np. ograniczenia dostępu wyłącznie do osób zaangażowanych w proces rekrutacji, przełożonych i zarządu).
W przypadku korzystania z usług zewnętrznych firm rekrutacyjnych lub platform online, konieczne jest ustalenie ról stron w zakresie przetwarzania danych oraz zweryfikowanie, czy podmioty te zapewniają odpowiednie środki bezpieczeństwa zgodne z RODO.
Podsumowanie
Rekrutacja zgodna z RODO to nie tylko wymóg prawny, ale też element świadomego zarządzania zaufaniem i reputacją pracodawcy. Uporządkowanie procesu rekrutacji pozwala uniknąć naruszeń i sankcji, a jednocześnie wzmacnia profesjonalny wizerunek firmy.
