Na rynku funkcjonuje mechanizm umieszczania ogłoszeń bez podawania danych pracodawcy (administratora danych), który dodatkowo zastrzega sobie prawo do kontaktowania się z wybranymi kandydatami. Część kandydatów udostępni więc swoje dane osobowe i nigdy nie dowie się, kto uzyskał do nich dostęp.
Dostosowywanie na wielu szczeblach przepisów prawa oraz działalności przedsiębiorców do rozporządzenia Parlamentu Europejskiego i Rady 2016/679 o ochronie danych osobowych (RODO) wydaje się świetną okazją do spojrzenia wstecz na dotychczasowe praktyki ochrony danych osobowych w procesie rekrutacji do pracy. Analiza ukazuje pewną ciekawą prawidłowość, która zarówno na tle unijnej nowelizacji, jak i dotychczasowych przepisów jest błędem popełnianym mniej bądź bardziej świadomie przez przyszłych pracodawców.
Potrzebna będzie zgoda
Po pierwsze, niewątpliwie wszyscy zdają się zgadzać, że dane osobowe kandydata w procesie rekrutacji powinny być przetwarzane zgodnie z rygorami narzuconymi przez ustawę o ochronie danych osobowych oraz przez kodeks pracy, który zakreśla, jakie dane pracodawca może pozyskać.
Po drugie, zarówno w teorii, jak i w praktyce powszechnie przyjmuje się, że podstawą przetwarzania danych kandydata jest jego zgoda. Dlatego, co do zasady, każde ogłoszenie o pracę informuje kandydatów o konieczności zaopatrzenia przesyłanych dokumentów (np. CV lub listu motywacyjnego) w odpowiednie oświadczenie, iż kandydat ? zgodnie z ustawą ? wyraża zgodę na przetwarzanie danych zawartych w dokumentach potrzebnych w procesie rekrutacji. Dodatkową może być zgoda na pozostawienie CV w bazie potencjalnego pracodawcy lub pośrednika.
Warto zaznaczyć, że o ile pogląd o zgodzie jako podstawie przetwarzania danych jest bezwzględnie dominujący, o tyle słyszy się opinie, że zgoda nie powinna być warunkiem koniecznym ? wszakże ustawodawca przewidział inne przesłanki pozwalające na przetwarzanie danych, może to być np. prawnie usprawiedliwiony cel lub czynności zmierzające do zawarcia umowy. Kwestia słuszności takich poglądów to temat do osobnej dyskusji ? niemniej warto odnotować, że są i takie głosy.
Wydaje się, że ogromna większość pracodawców z łatwością łączy te dwa elementy z trzecim ? niewypełnieniem obowiązku informacyjnego z art. 24 i 25 ustawy o ochronie danych osobowych ? mimo że jest to stanowisko wewnętrznie niespójne. Z jednej strony pracodawcy (lub pośrednicy) uznają, iż proces przetwarzania danych osobowych podlega rygorowi ustawy, a zatem kandydat powinien spełnić wymagania wynikające z ustawy (tj. wyrazić zgodę na przetwarzanie danych), z drugiej zaś pracodawcy i pośrednicy jako administrator danych nie muszą już informować kandydata o niczym. Warto jeszcze zwrócić uwagę, że na rynku funkcjonuje mechanizm umieszczania ogłoszeń bez podawania danych pracodawcy (administratora danych), który dodatkowo zastrzega sobie prawo do kontaktowania się z wybranymi kandydatami. Oznacza to, że nie tylko pracodawca zaniecha spełnienia obowiązku informacyjnego, ale w praktyce część kandydatów udostępni swoje dane osobowe i nigdy nie dowie się, kto uzyskał do nich dostęp. Będzie również pozbawiona możliwości usunięcia tych danych, co w efekcie powoduje, że ich dane mogą pozostać w ?tajemniczej? bazie na zawsze.
Wystarczyłby zwrotny e-mail
Wdrażanie RODO może być doskonałą okazją do zmiany tej praktyki. Można śmiało założyć, iż przygotowanie np. zwrotnego e-maila informującego kandydata o administratorze danych i podstawowych przysługujących mu prawach (np. do żądania usunięcia danych) nie będzie stanowić żadnego wyzwania organizacyjnego i nie wygeneruje nadmiernych kosztów po stronie administratora danych, znacznie natomiast zminimalizuje ryzyko niezgodności i otrzymania kary za taki prosty do naprawienia błąd. Nie bez znaczenia jest również, że byłby to po prostu krok w stronę normalizacji stosunków pracodawcy z (potencjalnym) pracownikiem i rezygnacja z wykorzystywania silniejszej pozycji w tej relacji, co być może poprawi wizerunek danego pracodawcy.