Wróć do artykułów

Prawa osób, których dane dotyczą w procesie rekrutacyjnym

Autor

Adwokat Piotr Pałucki
16.08.2023

Proces poszukiwania nowych pracowników stanowi duże wyzwanie dla pracodawcy, który musi skupić się nie tylko na wyborze odpowiedniego pracownika, ale także na zapewnieniu, aby proces rekrutacyjny odbywał się zgodnie z prawem. RODO stawia w tym zakresie przed pracodawcami kolejne wyzwania, związane z zapewnieniem właściwej ochrony danych osobowych kandydatów, ale także umożliwieniem im realizacji ich praw, które przysługują im na gruncie Rozporządzenia. Kandydaci mogą żądać dostępu do przebiegu rekrutacji, swoich danych, którymi dysponuje firma, a także poprzez uzyskanie dostępu do danych poznać przyczyny, dlaczego nie zostali zatrudnieni. Mogą oni sprawdzić, jakie dane osobowe posiada ich niedoszły pracodawca, zażądać określonego postępowania z danymi, jak np. ich usunięcia. Wreszcie mają możliwość wniesienia skargi do organu nadzorczego. W niniejszym artykule spróbuję przyjrzeć się bliżej niektórym prawom, które zapewnia kandydatom do pracy RODO, z praktycznego punktu widzenia w kontekście procesu rekrutacyjnego.

Prawa osób, które dane dotyczą określone są w art. 15-22 RODO i obejmują prawo do:

– Dostępu do danych,

– Sprostowania danych,

– Usunięcia danych,

– Ograniczenia przetwarzania danych,

– Przenoszenia danych,

– Sprzeciwu,

– Niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu.

Przejrzysty dostęp do informacji- podstawa procesu rekrutacyjnego

Zgodnie z art. 5 ust. 1 lit. a RODO dane osobowe powinny być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Z tą zasadą przejrzystości, rzetelności i legalności wiąże się obowiązek informacyjny, który powinien przez pracodawcę zostać wypełniony w każdym przypadku, w którym prowadzona jest rekrutacja. Zgodnie z art. 12 RODO obowiązek informacyjny musi być przekazany w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Podczas procesu rekrutacyjnego na pracodawcach spoczywa konieczność przedstawienia klauzuli informacyjnej w momencie zbierania danych osobowych. Każdy kandydat ma prawo wiedzieć, kto zbiera jego dane osobowe, znać cel przetwarzania, przybliżony okres przechowywania danych czy też informacje o możliwości dostępu do swoich danych[1]. Nie może dochodzić do sytuacji, w której osoba, której dane dotyczą, nie wie właściwie, komu przekazuje swoje dane. Dzieje się tak niejednokrotnie, kiedy pracodawcy starają się korzystać z rekrutacji w sposób anonimowy, ujawniając swoje dane dopiero w momencie odpowiedzi na wysłane CV –  taki zabieg byłby wykluczony na gruncie RODO. Dla osoby udostępniającej swoje dane osobowe komunikat musi być jasny i przejrzysty- musi ona wiedzieć, do kogo te dane trafią. Świadomy kandydat powinien o tym pamiętać i uważać, gdyż zdarza się, że nieuczciwe podmioty zbierają w ten sposób bazę danych osobowych w ogóle nawet nie prowadząc procesu rekrutacji. Żądanie usunięcia swoich danych czy też złożenie skargi do PUODO byłoby w takim wypadku niemożliwe, ponieważ kandydat nie posiadałby w ogóle danych kontaktowych do takiego administratora.

Sprawdzenie danych i żądanie do nich wglądu

Zgodnie z art. 15 RODO każda osoba, której dane dotyczą może żądać od administratora danych osobowych potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz uzyskania szeregu informacji w tym zakresie, m.in. w zakresie celów przetwarzania, kategorii przetwarzania, informacji o odbiorcach danych, planowanym okresie przetwarzania, prawie żądania sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania, informacje o źródle danych, o zautomatyzowanym podejmowaniu decyzji.

Uprawnienie to nie jest jedynie teoretyczne i kandydaci faktycznie zwracają się do pracodawców celem otrzymania ww. informacji. Ciekawym przykładem jest stan faktyczny, który stał się podstawą do wydania decyzji przez belgijski organ nadzorczy (APD/GBA) z dnia 22.12.2022 r.[2]. W tym wypadku firma z branży HR skontaktowała się z kandydatem oferując swoje usługi w zakresie wsparcia w poszukiwaniu pracy. W związku z powyższym kandydat zwrócił się o podanie szeregu informacji dotyczących przetwarzania, w tym w zakresie źródła pozyskania danych. W korespondencji z kandydatem administrator unikał odpowiedzi na niektóre pytania i podał wymagane informacje z opóźnieniem, w związku z czym kandydat złożył skargę do belgijskiego organu nadzorczego. Organ nadzorczy ocenił, że poprzez swoją postawę administrator nie podał kandydatowi wystarczających informacji, w tym m.in. pełnych informacji o źródle pozyskania danych, co było jego obowiązkiem. Powyższy przykład pokazuje, że administrator danych osobowych powinien zadbać o to, aby pozyskiwać dane wyłącznie z legalnych źródeł, ponieważ kwestie te mogą podlegać kontroli.  

Feedback a nieudana rekrutacja

Co ciekawe, prawo dostępu do danych może także dotyczyć etapu po zakończonej rekrutacji, przy czym nie zawsze musi to być rekrutacja zakończona sukcesem. W mediach społecznościowych często można trafić na historie kandydatów rozczarowanych faktem, że po zakończeniu rekrutacji nie uzyskali oni właściwie żadnej informacji na temat tego, z jakiego powodu ich kandydatura została odrzucona. Poznanie tych przyczyn jest dla kandydatów szczególnie pomocne, ponieważ może okazać się kluczowe przy kolejnych rekrutacjach.

Dlatego tak ważny wydaje się wartościowy feedback. Niestety nie każda firma decyduje się na jego przekazanie. W tym zakresie może nam pomóc właśnie RODO, a w szczególności art. 15. Jak była mowa powyżej, przepis ten umożliwia uzyskanie potwierdzenia, czy dane są przetwarzane, a jeżeli ma to miejsce to dana osoba może uzyskać do takich danych dostęp.

 Na wniosek osoby, której dane dotyczą, administrator powinien dostarczyć kopię danych osobowych podlegających przetwarzaniu[3]. Oznacza to, że kandydat, który nie został zatrudniony może żądać kopii wszystkich danych osobowych, które przetwarza jego niedoszły pracodawca. Oznacza to, że kandydat może także i powinien w tym zakresie otrzymać notatki dotyczące jego osoby, które były tworzone w procesie rekrutacji. Prawa, które ma kandydat wymuszają tym samym większy profesjonalizm po stronie pracodawców. Pracodawcy powinni uważać na język, jakim się posługują, nie tworzyć czarnych list kandydatów, nie stosować kryteriów dyskryminacyjnych. Działanie zgodnie z prawem powinno być dla pracodawcy priorytetem, zwłaszcza mając na uwadze fakt, że niedoszły pracownik ma możliwość skontrolowania jego działań we wskazany wyżej sposób. Z punktu widzenia pracownika natomiast możliwość przekonania się, jakie błędy podczas rozmowy kwalifikacyjnej zostały popełnione może okazać się kluczowe na przyszłość.

Prawo do sprostowania danych

Kolejnym uprawnieniem określonym w art. 16 RODO jest prawo do sprostowania danych. Zgodnie z tym przepisem osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia. Należy podkreślić, że RODO nakazuje, aby przetwarzać dane aktualne. W związku z powyższym, po pewnym czasie, może przykładowo okazać się, że dane osobowe kandydata uległy zmianie (np. kandydat zmienił nazwisko, dane kontaktowe itp.). W takim wypadku kandydat może zwrócić się do pracodawcy o uaktualnienie jego danych osobowych.

Prawo do bycia zapomnianym- czy przysługuje niedoszłym kandydatom?

Prawo do usunięcia danych, tj. prawo do bycia zapomnianym na gruncie prowadzenia rekrutacji wzbudziło ostatnio wiele kontrowersji. Zgodnie z art. 17 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z przesłanek wskazanych w tym przepisie. Na czym polega usunięcie danych? Usunięcie jest rozumiane jako zniszczenie – bezpowrotne usunięcie danych, jak również fizyczne unicestwienie nośników danych – lub modyfikacja danych, która uniemożliwi identyfikację osoby, której dane dotyczą[4]. Zgodnie ze wspomnianym art. 17 administrator ma obowiązek usunięcia danych osobowych na żądanie osoby, której dane dotyczą, jeżeli zachodzi m.in. jedna z poniższych okoliczności:

  1. dane te okażą się już zbędne do celów, w jakich zostały zebrane;
  2. kandydat cofnął zgodę (art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a) i nie ma innej podstawy prawnej przetwarzania;
  3. osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 RODO (tj. w zakresie marketingu bezpośredniego) wobec przetwarzania;
  4. okaże się, że dane były przetwarzane niezgodnie z prawem;
  5. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator.

Czy pracodawca może przetwarzać dane kandydatów po zakończeniu rekrutacji?

Dotychczas obowiązywało stanowisko UODO w tym zakresie, wyrażone w poradniku wydanym przez ten organ „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców” z 2018 r., zgodnie z którym pracodawca powinien usuwać dane kandydatów niezwłocznie po zakończeniu rekrutacji, chyba że kandydat zgodzi się na przetwarzanie danych na potrzeby kolejnych rekrutacji. Zgodnie z twierdzeniem PUODO „co do zasady pracodawca powinien trwale usunąć dane osobowe kandydata (np. poprzez zniszczenie bądź odesłanie), z którym nie zdecydował się zawrzeć umowy o pracę, niezwłocznie po zakończeniu procesu rekrutacji, tj. podpisaniu umowy o pracę z nowozatrudnionym pracownikiem, chyba że ziściły się inne przesłanki uprawniające administratora do ich przetwarzania”.  Stanowisko UODO było krytykowane, ponieważ pracodawca powinien mieć także możliwość przetwarzania takich danych z uwagi na konieczność obrony swoich praw lub celem dochodzenia roszczeń, w tym w przypadku zarzutów związanych z dyskryminacją. Ostatecznie podobne stanowisko zajął Wojewódzki Sąd Administracyjny w Warszawie w Wyroku z dnia 4 sierpnia 2022 r., sygn. akt sygn. akt II SA/Wa 542/22. W sprawie tej Prezes UODO nałożył karę na przedsiębiorstwo, które nie usunęło danych osobowych kandydatki na stanowisko w tamtejszej firmie. Kobieta nie dostała pracy i kiedy dowiedziała się, że jej dane są nadal przetwarzane wniosła skargę do UODO, które zgodnie z treścią wydanego przez siebie poradnika zadecydowało, że przechowywanie danych na wypadek ewentualnych oskarżeń o dyskryminację jest niezgodne z RODO, ponieważ stanowi przetwarzanie danych osobowych „na zapas”. Sąd jednak podważył tę decyzję i opowiedział się po stronie spółki, odwołując się do przepisów Kodeksu Pracy, a mianowicie art.. 183b i 183d KP. Mowa w nich, że osoba, wobec której pracodawca naruszył zasadę równego traktowania w zatrudnieniu, ma prawo do odszkodowania w wysokości nie niższej niż minimalne wynagrodzenie za pracę, ustalane na podstawie odrębnych przepisów[5]. Natomiast przedawnienie takich roszczeń upływa po trzech latach, zgodnie z art. 291 KP, dlatego WSA uznał, że okres przechowywania danych osobowych po zakończeniu rekrutacji byłby dopuszczalny do takiego okresu czasu[6].

Wydaje się, że stanowisko wyrażone przez WSA jest prawidłowe, z tego względu prawo do bycia zapomnianym w przypadku kandydatów do pracy może być ograniczone.  Obawa przedsiębiorców przed wnoszeniem roszczeń przez niedoszłych pracowników (np. o dyskryminację podczas rekrutacji) jest uzasadniona. Usunięcie danych spowodowałoby pozbawienie się możliwości obrony przed tego typu oskarżeniami[7].

Prawo do ograniczenia przetwarzania

Kolejnym uprawnieniem, które przysługuje osobom, których dane dotyczą jest prawo do ograniczenia przetwarzania. Zgodnie z art. 4 pkt 3 RODO ,,ograniczenie przetwarzania” oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania. Ograniczenie przetwarzania polega na tym, że administrator danych osobowych przez pewien czas ogranicza przetwarzanie wyłącznie do przechowywania danych. Osoba, której dane dotyczą może żądać ograniczenia przetwarzania w następujących przypadkach:

a) osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;

b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;

c) administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;

d) osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

Powyższe uprawnienie może dotyczyć także w pewnych wypadkach kandydatów do pracy. Kandydat może przykładowo zakwestionować prawidłowość swoich danych osobowych albo może żądać dalszego przetwarzania swoich danych osobowych przez niedoszłego pracodawcę dla celów dochodzenia roszczeń.

Prawo do sprzeciwu

Prawo sprzeciwu przysługuje na mocy art. 21 RODO kandydatowi z uwagi na przyczyny związane z jego szczególną sytuacją. Prawo do sprzeciwu kandydat może wnieść, jeżeli administrator opiera się m.in. na podstawie art. 6 ust. 1 lit. f RODO, tj. na podstawie uzasadnionego interesu. W takim wypadku administrator nie może przetwarzać tych danych, chyba że administrator wykaże istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. Jeżeli jednak sprzeciw dotyczy marketingu bezpośredniego (art. 21 ust. 2 RODO) to danych osobowych nie można przetwarzać dalej w żadnym wypadku.

Przepisy powyższe mogą znalazły praktyczne zastosowanie w sprawie opisywanej w poprzednim akapicie, gdzie kandydatka faktycznie wniosła sprzeciw wobec przetwarzania jej danych przez niedoszłego pracodawcę. Łatwo także wyobrazić sobie takie sytuacje w przypadku marketingu bezpośredniego, kierowanego do niedoszłych pracowników.

Prawo do niepodlegania decyzji opartej na wyłącznie zautomatyzowanym przetwarzaniu danych

Zgodnie z art. 22 RODO osoba, której dane dotyczą, ma prawo, by nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Dzisiejszych czasach nie tak rzadkim przypadkiem będzie sytuacja, gdy przedsiębiorca zdecyduje się przeprowadzić np. pierwszy etap rekrutacji za pomocą bota, który porozmawia z kandydatami i na podstawie zdobytych odpowiedzi dokonana profilowania najlepiej pasujących osób na dane stanowisko. Kandydat w takim wypadku musi przede wszystkim zostać poinformowany o takiej sytuacji, a poza tym ma prawo oczekiwać, aby decyzja była chociaż wsparta udziałem w rekrutacji osoby fizycznej, która zweryfikuje jej prawidłowość. Na marginesie wskażę, że decyzja może być oparta wyłącznie na automatycznym przetwarzaniu, gdy zachodzi jedna z przesłanek wskazanych w art. 22 ust. 2 RODO (jeśli decyzja jest niezbędna do zawarcia/wykonania umowy, jest dozwolona prawem, na podstawie zgody). Więcej o profilowaniu przeczytasz na stronie…… naszego dodatku.

Z powyższej analizy jasno wynika, że prawa osób, których dane dotyczą nie mają charakteru iluzorycznego, ale stanowią realne narzędzia dla kandydatów. Dzięki uregulowaniom zawartym w RODO kandydaci mogą dowiedzieć się kto, dlaczego i w jakim celu przetwarza ich dane osobowe. Kandydaci mają także realny wpływ na to, co dzieje się z ich danymi, a w razie uznania, że dane te są przetwarzane w sposób nieprawidłowy mogą także złożyć skargę do organu nadzorczego.


[1] Porównaj art. 13 RODO.

[2] Zob. streszczenie decyzji w języku angielskim: https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_189/2022 )

[3] Porównaj art. 15 RODO ust. 3.

[4] Porównaj P. Litwinski (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, Legalis

[5] Porównaj art. 183b KP.

[6] Porównaj wyrok WSA w Warszawie – II SA/Wa 542/22 z dnia 4 sierpnia 2022 r.

[7] Tamże.