Czy po zakończeniu procesu rekrutacji można zatrzymać dokumenty rekrutacyjne kandydatów, którzy nie zostali zatrudnieni? Jak długo przechowywać CV, listy motywacyjne i inne dane osobowe zgodnie z przepisami RODO i Kodeksu pracy? Od 2018 roku – po wejściu w życie ogólnego rozporządzenia o ochronie danych osobowych – obowiązują nowe zasady, które doprecyzowały dopuszczalny czas retencji danych oraz obowiązek informacyjny wobec kandydatów. Poniżej wyjaśniamy, jak w zgodzie z prawem przetwarzać dane osób uczestniczących w procesie rekrutacji, nawet jeśli nie zostały zatrudnione.
Zgodnie z ustawą o ochronie danych osobowych w przypadku rekrutacji – pracodawca, musi zapewnić, aby dane kandydatów były przechowywane nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. W rekrutacji takim celem jest zatrudnienie pracownika.
Gromadzone dane na straży interesu pracodawcy
Powszechnie twierdzi się, iż po zakończonej rekrutacji, pracodawca powinien usunąć dane kandydatów, bo osiągnął już cel – zatrudnił pracownika. Nie jest to jednak takie oczywiste i możliwa jest inna interpretacja ponieważ kandydaci, którzy nie zostali zatrudnienie mogą wystąpić z roszczeniami dotyczącymi np. dyskryminacji na etapie zatrudniania. Bez posiadania dokumentów aplikacyjnych, pracodawca nie mógłby skutecznie chronić się przed takimi roszczeniami. Dlatego prawo zezwala firmom na przechowywanie danych dłużej niż czas trwania samego procesu rekrutacyjnego.
Po zakończeniu rekrutacji dane osobowe kandydatów mogą być przechowywane wyłącznie tak długo, jak jest to niezbędne do realizacji celu ich przetwarzania. W przypadku kandydatów nieprzyjętych do pracy, jedynym uzasadnieniem dalszego przechowywania danych jest prawnie uzasadniony interes administratora, polegający na możliwości obrony przed ewentualnymi przyszłymi roszczeniami osoby niezatrudnionej – np. z tytułu naruszenia zasad równego traktowania. Zgodnie z aktualnym orzecznictwem NSA, okres ten nie powinien przekraczać 3 lat od zakończenia rekrutacji, ponieważ odpowiada on terminowi przedawnienia potencjalnych roszczeń pracowniczych. Po tym czasie dalsze ich przetwarzanie traci podstawę prawną, chyba że osoba udzieliła zgody na inne cele, np. udział w przyszłych rekrutacjach.
Potwierdza to Mirosław Gumularz – Specjalista ds. Ochrony danych osobowych
Dokumenty aplikacyjne, z których pracodawca już nie korzysta, mogą być przechowywane tylko w celu ochrony przed roszczeniami i tylko tak długo, jak długo roszczenia takie mogą być do pracodawcy kierowane. Z zapisów polskiego prawa wynika, że roszczenie o naprawienie szkody wyrządzonej czynem niedozwolonym na etapie rekrutacji (np. pytanie o stan cywilny, co może być podstawą do oskarżenia), ulega przedawnieniu po upływie 3 lat od dnia, w którym kandydat dowiedział się o szkodzie i o osobie obowiązanej do jej naprawienia (w tym przypadku pracodawcę).
Czy nadal można przechowywać dokumenty rekrutacyjne przez 10 lat?
Przez wiele lat w praktyce stosowano zasadę, że dokumenty rekrutacyjne mogą być przechowywane do 10 lat – powoływano się przy tym na przepisy o odpowiedzialności cywilnej oraz ochronę przed ewentualnymi roszczeniami z tytułu dyskryminacji. Takie podejście miało swoje źródło m.in. w interpretacjach prawników jeszcze przed wejściem w życie RODO.
Jednak po 2018 roku podejście to zostało jednoznacznie zakwestionowane przez urząd ochrony danych osobowych oraz sądy administracyjne. Obecnie przyjmuje się, że maksymalny dopuszczalny czas retencji danych kandydatów (w tym CV i listów motywacyjnych) dla celów ewentualnego dochodzenia roszczeń to 3 lata. Taki okres odpowiada terminowi przedawnienia roszczeń z tytułu naruszenia zasady równego traktowania, uregulowanemu w Kodeksie pracy. Co więcej, kandydat musi zostać jasno poinformowany o podstawie prawnej przetwarzania danych osobowych i wyrazić na nie udokumentowaną zgodę.
Wydłużenie tego okresu, np. do 5 czy 10 lat, może być uznane za niezgodne z prawnie uzasadnionym interesem administratora, ponieważ naruszałoby zasadę ograniczenia celu i czasu przetwarzania danych osobowych wynikającą z art. 5 ust. 1 lit. b i e RODO.
Czy potrzebna jest zgoda na potrzeby przyszłych rekrutacji?
Po zakończeniu procesu rekrutacji, dane kandydatów, którzy nie zostali zatrudnieni, mogą być przechowywane wyłącznie na określonym gruncie prawnym. Jeśli pracodawca chce wykorzystywać te dane na potrzeby przyszłych rekrutacji, musi posiadać odrębną, dobrowolną i konkretną zgodę kandydata. Brak takiej zgody oznacza, że po zakończeniu obecnego naboru dane powinny zostać niezwłocznie usunięte – chyba że są zachowywane na podstawie prawnie uzasadnionego interesu administratora, np. w celu zabezpieczenia przed ewentualnymi roszczeniami.
Zgoda na przyszłe rekrutacje powinna być jasno sformułowana i najlepiej ograniczona czasowo (np. do 12 lub 24 miesięcy). Pracodawca musi dopełnić obowiązku informacyjnego – informując o celu, czasie przetwarzania oraz prawach kandydata, w tym o możliwości cofnięcia zgody w dowolnym momencie. Tematowi zgód na przechowywanie danych osobowych kandydatów w kolejnych rekrutacjach poświęciliśmy osobny wpis blogowy: http://go.erecruiter.pl/l/37402/2016-06-01/4w3gf3
Co zrobić z dokumentami po zakończeniu rekrutacji?
Po zakończeniu procesu rekrutacji dane kandydatów, którzy nie zostali zatrudnieni i nie wyrazili zgody na udział w przyszłych rekrutacjach, powinny zostać niezwłocznie usunięte. Wyjątkiem jest sytuacja, w której pracodawca zdecyduje się je przechowywać na podstawie prawnie uzasadnionego interesu administratora – w celu ochrony przed ewentualnymi roszczeniami.
Taka decyzja musi być jednak uzasadniona i ograniczona czasowo – zgodnie z obowiązującym prawem dane osobowe kandydatów nieprzyjętych mogą być w takim przypadku przechowywane maksymalnie przez 3 lata od zakończenia rekrutacji.
Po upływie tego okresu dane muszą zostać usunięte lub – jeśli nie są już potrzebne do żadnych innych celów – zanonimizowane. W przypadku danych w wersji papierowej należy je zniszczyć w sposób uniemożliwiający identyfikację kandydata.
Jak bezpiecznie przechowywać dane kandydatów?
Jeśli przechowywanie danych kandydatów odrzuconych odbywa się w celu ochrony przed ewentualnymi roszczeniami, pracodawca ma obowiązek zapewnić odpowiednie środki bezpieczeństwa.
Przede wszystkim dane te powinny zostać zarchiwizowane lub zablokowane – tzn. wyłączone z aktywnego systemu rekrutacyjnego. Należy też ograniczyć dostęp wyłącznie do osób uprawnionych (np. działu HR lub prawnego).
Administrator danych musi również spełnić obowiązek informacyjny – informując kandydata o czasie przechowywania, podstawie prawnej oraz jego prawach. Dane powinny być przechowywane w sposób zgodny z zasadą minimalizacji oraz ograniczenia celu – co oznacza, że nie mogą być wykorzystywane w żadnym innym celu bez odrębnej zgody.
FAQ – najczęstsze pytania rekruterów
Jak długo należy przechowywać dokumenty z rekrutacji?
W przypadku kandydatów, którzy nie zostali zatrudnieni, maksymalny czas przechowywania danych to 3 lata – wyłącznie w celu ochrony przed ewentualnymi roszczeniami. Po tym czasie należy je usunąć.
Co zrobić z dokumentami po zakończeniu rekrutacji?
Jeśli kandydat nie został zatrudniony i nie wyraził zgody na kolejne rekrutacje, dane należy usunąć niezwłocznie – chyba że są potrzebne do ochrony przed potencjalnymi roszczeniami.
Czy można trzymać CV „na przyszłość”?
Tylko jeśli kandydat wyraził na to wyraźną i dobrowolną zgodę. W przeciwnym razie przechowywanie danych w celu potencjalnego zatrudnienia w przyszłości jest niezgodne z RODO.
Jakie dokumenty trzeba trzymać 10 lat?
Tylko dokumentacja pracowników (np. akta osobowe), a nie kandydatów. Dane kandydatów mogą być przechowywane maksymalnie przez 3 lata po zakończeniu procesu rekrutacyjnego, jeśli wynika to z prawnie uzasadnionego interesu administratora.