Strona główna Blog Rekrutacja zgodna z prawem RODO a projekt ustawy o ochronie danych osobowych – co zmieni się w pracy rekruterów?

RODO a projekt ustawy o ochronie danych osobowych – co zmieni się w pracy rekruterów?

RODO w rekrutacji

Ministerstwo Cyfryzacji we wrześniu br. opublikowało projekt ustawy o ochronie danych osobowych, z którym powinien zapoznać się każdy rekruter. Dlaczego? Dokument zawiera propozycje zmian w kodeksie pracy, które będą miały istotne znaczenie dla obszaru HR. Zapytaliśmy ekspertów – r. pr. dr Mirosława Gumularza oraz r. pr. Patrycję Kozik – jakie szczegółowe zmiany wprowadza nowy projekt i co oznaczają one dla procesów rekrutacyjnych.

Dlaczego resort zdecydował się na taki krok?

r. pr. dr Mirosław Gumularz: Projekt został przygotowany w związku z koniecznością wdrożenia do prawa krajowego unijnego rozporządzenia 2016/679 o ochronie danych osobowych („RODO”). W kwietniu 2016 roku Parlament Europejski przyjął rozporządzenie wprowadzające największą w historii reformę prawa ochrony danych osobowych. Rozporządzenie będzie stosowane we wszystkich krajach Unii Europejskiej od 25 maja 2018 roku i do tego czasu pracodawcy muszą dostosować swoją strukturę organizacyjną i procedury do nowych wymogów. Rozporządzenie daje możliwość uszczegółowienia swojej treści w zakresie prawa pracy. Zgodnie z art. 88 ust. 1 RODO:

Państwa członkowskie mogą zawrzeć w swoich przepisach lub w porozumieniach zbiorowych bardziej szczegółowe przepisy mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem, w szczególności do celów rekrutacji, wykonania umowy o pracę, w tym wykonania obowiązków określonych przepisami lub porozumieniami zbiorowymi, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy, ochrony własności pracodawcy lub klienta oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy.

Projektodawca wykorzystał wskazaną możliwość do rozstrzygnięcia szeregu kontrowersji jakie wywołuje stosowanie obecnych przepisów kodeksu pracy. Opublikowany przez Ministerstwo Cyfryzacji projekt rozstrzyga  m.in. wątpliwości dotyczące możliwości pozyskiwania zgód pracowników i kandydatów do pracy.

Projekt, podobnie jak obecnie obowiązujące przepisy kodeksu pracy, definiuje zakres danych osobowych, które mogą być pozyskiwane na etapie rekrutacji. Jakie konkretnie są to dane?

r. pr. Patrycja Kozik: Katalog danych osobowych kandydatów w projektowanym art. 221 § 1 kodeksu obejmuje następujące informacje:

  • imię (imiona) i nazwisko,
  • data urodzenia,
  • adres do korespondencji,
  • adres poczty elektronicznej albo numer telefonu,
  • wykształcenie,
  • przebieg dotychczasowego zatrudnienia.

Czy katalog tych danych różni się od tego obowiązującego obecnie?

r. pr. Patrycja Kozik: Tak. W porównaniu do obecnego brzmienia wskazanego przepisu kodeksu pracy, w projekcie przewidziano możliwość pozyskiwania przez pracodawcę adresu poczty elektronicznej albo numeru telefonu. Choć trudno wyobrazić sobie przeprowadzenie procesu rekrutacji bez tych informacji, obecne przepisy kodeksu pracy nie wymieniają ich w swej treści. Co istotne, w odniesieniu do przedstawionych dwóch kategorii danych osobowych, projekt posługuje się spójnikiem „albo”. Literalna treść przepisu wskazuje zatem na to, że pracodawca nie będzie mógł żądać jednoczesnego podania numeru telefonu oraz adresu e-mail. Może być to zabieg celowy, zgodny z zasadą minimalizacji danych wyrażoną w RODO, bowiem do nawiązania kontaktu z kandydatem do pracy wystarczająca jest jedna z dwóch wskazanych informacji. Oczywiście pojawi się pytanie czy to pracodawca, czy kandydat ma decydować, która informacja ma być podawana. Moim zdaniem wybór w tym przypadku należeć będzie do pracodawcy. Pracodawca będzie musiał zdecydować się którą informację (nr telefonu albo adres e-mail) będzie chciał pozyskiwać w oparciu o przepis prawa. Oczywiście, jeżeli wybierze np. adres e-mail (a będzie to typowa sytuacja) to pozyskanie numeru telefonu nie będzie wykluczone. Z tym, że w tym przypadku potrzebna będzie zgoda kandydata.

Co, zgodnie z proponowanym projektem, będzie podstawą przetwarzania wymienionych danych osobowych?

r. pr. dr Mirosław Gumularz: Podstawą przetwarzania wymienionych danych osobowych będzie przepis prawa, a dokładnie art. 221 § 1 kodeksu pracy. W związku z tym zbieranie – w zakresie tych danych – zgody na przetwarzanie danych osobowych będzie praktyką błędną. Do tego dodać należy, że zgodnie z treścią projektowanego art. 221 § 4 kodeksu pracy, przetwarzanie – uzyskanego na etapie rekrutacji – adresu do korespondencji oraz adresu e-mail albo numeru telefonu kandydata, możliwe będzie także po nawiązaniu z nim stosunku pracy, ale wyłącznie po uzyskaniu jego zgody.

Jakie jeszcze inne dane pracodawca będzie mógł przetwarzać bez zgody kandydata?

r. pr. Patrycja Kozik: Pracodawca będzie mógł przetwarzać inne niż wymienione powyżej dane, jeżeli obowiązek ich podania wynikać będzie z przepisu prawa lub gdy będzie to niezbędne do wypełnienia obowiązku. Co istotne, dotyczy to także danych wrażliwych, w tym danych osobowych biometrycznych. Podsumowując, pracodawca na etapie rekrutacji powinien w pierwszej kolejności zbadać, czy dane, które chce pozyskiwać mieszczą się w przepisach kodeksu pracy. Jeżeli nie to, czy obowiązek ich podania wynika z przepisów szczególnych lub czy jest to niezbędne do wypełnienia obowiązku przez pracodawcę (np. weryfikacji karalności). Dopiero w przypadku braku podstawy w tym zakresie pracodawca powinien weryfikować możliwość pozyskiwania danych osobowych w oparciu o zgodę kandydata.

A czy projekt dopuszcza możliwość pozyskiwania dodatkowych danych osobowych kandydata do pracy w oparciu o jego zgodę?

r. pr. dr Mirosław Gumularz: Tak i jest to istotna zmiana, bo obecnie jest to kwestią sporną. Zgodnie z projektowanym art. 222 § 1 kodeksu pracy, przetwarzanie przez pracodawcę innych danych osobowych niż wymienione powyżej (np. w ramach testów psychologicznych) jest dopuszczalne tylko wtedy, gdy dotyczą one stosunku pracy a kandydat wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej. Oczywiście zgoda musi być dobrowolna. Czyli pracodawca będzie musiał cały czas wykazać, że brak wyrażenia zgody nie pociągnie negatywnych konsekwencji dla kandydata.

Chciałbym jednak podkreślić, że nie wszystkie dane osobowe będzie można pozyskiwać w oparciu o zgodę kandydata. Zgodnie z projektem możliwość pozyskiwania dodatkowych danych osobowych w oparciu o zgodę kandydata nie obejmie m.in. danych osobowych biometrycznych oraz pewnych kategorii danych wrażliwych.

Biometrycznych danych osobowych, czyli jakich konkretnie?

r. pr. Patrycja Kozik: Są to dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takich jak wizerunek twarzy lub dane daktyloskopijne. W praktyce oznacza to, że – o ile przepis szczególny nie będzie dawał takiej podstawy – to przetwarzanie wizerunku kandydata dopuszczalne będzie w oparciu o jego zgodę, tylko wtedy gdy wizerunek ten nie zostanie zakwalifikowany jako dana biometryczna. W tym ostatnim przypadku nawet zgoda nie zalegalizuje takiego przetwarzania. Co istotne, nie każdy wizerunek jest daną biometryczną – kluczowa jest tutaj kwestia technicznego przetwarzania dającego możliwość jednoznacznej identyfikacji danej osoby. Przykład? Przetwarzanie wizerunku utrwalonego w postaci zdjęcia nadrukowanego w CV kandydata nie będzie przetwarzaniem danych osobowych biometrycznych (ale będzie nim już zastosowanie rozwiązań pozwalających na rozpoznawanie twarzy w urządzeniach mobilnych).

Powyższe oznacza, że pracodawca musi przesądzić czy wizerunek który chce przetwarzać będzie kwalifikowany jako „dane biometryczne”. Jeżeli tak to – o ile przetwarzanie nie będzie opierać się na przepisach prawa – pozyskiwanie w tym zakresie wizerunku nie będzie dopuszczalne na etapie rekrutacji, nawet w oparciu o zgodę.

Jakich innych danych pracodawca nie będzie mógł przetwarzać nawet w oparciu o zgodę kandydata?

r. pr. dr Mirosław Gumularz: Projekt w art. 222 § 5 kodeksu pracy wskazuje, iż w oparciu o zgodę kandydata niemożliwe będzie przetwarzanie także takich danych osobowych jak informacji o nałogach, o stanie zdrowia, o życiu seksualnym lub orientacji seksualnej. Nie oznacza to, jednak, iż – a contrario – przetwarzanie innych danych osobowych wrażliwych (oraz danych o karalności) możliwe będzie na etapie rekrutacji za zgodą kandydata. Takie wnioskowanie byłoby sprzeczne z wyrażoną w RODO zasadą minimalizacji danych. Co do zasady należy wykluczyć możliwość przetwarzania danych osobowych wrażliwych (oraz danych o karalności) w oparciu o zgodę kandydata.

A co z przetwarzaniem danych kandydata na potrzeby przyszłych rekrutacji?

r. pr. Patrycja Kozik: Choć projekt nie odnosi się wprost do przetwarzania danych kandydata na potrzeby przyszłych rekrutacji, to wydaje się słusznym opowiedzieć się za dopuszczalnością takiego przetwarzania w oparciu o zgodę kandydata.

Podobno nowy projekt reguluje kwestię monitoringu pracowników?

r. pr. dr Mirosław Gumularz: Tak, w projekcie uregulowane zostały kwestie dotychczas pominięte w obowiązujących przepisach, jak problem monitoringu pracowników. Otóż pracodawca będzie mógł podjąć decyzję o wdrożeniu monitoringu wizyjnego, z tym, że dopuszczalne to będzie wyłącznie dla zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Monitoring może obejmować miejsce pracy lub teren wokół zakładu pracy. Co ważne, monitoring nie może stanowić środka kontroli wykonywania pracy przez pracownika. Należy zwrócić uwagę, że w powyższym zakresie pracodawca nie musi zbierać zgód od pracowników. Jednocześnie projektowana regulacja dotyczy wyłącznie rejestrowania obrazu. W przypadku rejestrowania dźwięku, podstawą przetwarzania danych osobowych może być zgoda pracownika, chociaż w tym zakresie należy zawsze rozważyć, czy takie przetwarzanie danych osobowych nie naruszy zasady minimalizacji danych. Do tego należy zwrócić uwagę, że przedstawiona regulacja nie dotyczy kandydatów do pracy (np. rejestracji rozmowy rekrutacyjnej).

Dziękujemy za rozmowę