Przeprowadzasz rekrutację i znajdujesz kilku odpowiednich kandydatów, z których ostatecznie wybierasz jednego – taka sytuacja to marzenie każdego rekrutera. Nie tylko ze względu na to, że znalazłeś odpowiedniego kandydata. Zachowując CV odrzuconych, ale wartościowych osób, możesz w przyszłości zaprosić ich do udziału w kolejnych rekrutacjach. Ale czy zawsze? Nie. Na ponowne wykorzystanie CV przez pracodawcę, kandydat musi wyrazić zgodę.
We wpisie Zgoda na przetwarzanie danych osobowych kandydata – potrzebna czy nie? pisaliśmy o tym, że formułka na życiorysie wyrażająca zgodę kandydata na przetwarzanie jego danych osobowych, to zbędny element, bo pracodawca gromadzi informacje na podstawie przepisów Kodeksu Pracy. Kiedy jednak pisemna zgoda potencjalnego pracownika jest niezbędna? W momencie ponownego wykorzystania nadesłanego wcześniej CV.
Bez zgody ani rusz – kiedy potrzebna jest zgoda na przyszłe rekrutacje?
W procesie rekrutacji standardem jest przetwarzanie danych osobowych kandydatów na potrzeby konkretnego naboru. W takiej sytuacji nie trzeba uzyskiwać dodatkowej zgody – podstawą przetwarzania jest Kodeks pracy oraz działania zmierzające do zawarcia umowy. Problem pojawia się wtedy, gdy pracodawca chce wykorzystać otrzymane dokumenty aplikacyjne w przyszłych rekrutacjach.
Tu nie wystarczy milczenie ani domniemanie. Po stronie kandydata musi pojawić wyraźne działanie potwierdzające, że zgadza się na przetwarzanie danych także w zakresie przyszłych procesów rekrutacyjnych. Może to być zaznaczenie checkboxa z odpowiednią klauzulą lub podpisanie formularza papierowego – ważne, by działanie było świadome, konkretne i dobrowolne.
W praktyce oznacza to, że jeśli pracodawca chce utworzyć bazę kandydatów „na przyszłość”, musi pozyskać zgodę na przyszłe rekrutacje jeszcze na etapie składania dokumentów. Brak takiej zgody oznacza, że po zakończeniu rekrutacji dane kandydatów powinny zostać usunięte – niezależnie od tego, jak dobrze kandydat rokuje.
Warto też podkreślić, że zgoda na przyszłe rekrutacje nie może być domyślna. Pracodawca nie ma prawa interpretować wysłania CV jako zgody na inne procesy. RODO jasno wskazuje, że podstawą przetwarzania danych może być tylko zgoda udzielona w konkretnym celu – w tym wypadku, celu prowadzenia przyszłych rekrutacji.
Wyrażam dobrowolną zgodę na wykorzystanie CV w przyszłych procesach rekrutacyjnych organizowanych przez firmę X – tylko w momencie, gdy zdobędziemy od kandydata pisemną zgodę o takiej lub podobnej treści, będziemy mogli wykorzystać jego życiorys w kolejnych procesach rekrutacyjnych. Co istotne, zgoda taka może zostać pozyskana na etapie gromadzenia CV – na przykład w formularzu rekrutacyjnym. Należy tylko pamiętać o tym, aby zamieścić odpowiednią klauzulę informacyjną, a zgoda była w formie „check boxa”.
Od wejścia w życie RODO, czyli 25.05.2018 r., nie można mówić o jednym wzorze klauzuli informacyjnej oraz zgody na przetwarzanie danych. Wszystko zależy od tego, w jaki sposób Rozporządzenie jest interpretowane przez Twoją organizację. Jeżeli chcesz zapoznać się z przykładowymi klauzulami i zgodami, przeczytaj nasz wpis na ten temat.
Legalnie, czyli zgodnie z celem
O legalności przetwarzania danych osobowych decyduje zgodność z celem. W przypadku rekrutacji, kandydat przesyła CV, aby wziąć udział w konkretnym procesie rekrutacyjnym, dotyczącym określonego stanowiska. O ile więc nie wskaże on wyraźnie, że przesyłane dane mogą być wykorzystywane również w innych rekrutacjach, działanie takie jest bezprawne.
Praca z danymi osobowymi jest niełatwa, gdyż różne przepisy prawa regulują kwestie w zakresie wykorzystywania danych osobowych. Na pomoc przychodzą rekruterowi systemy rekrutacyjne, które umożliwiają tworzenie szablonów odpowiednich zgód na wykorzystanie danych osobowych i pozwalają na tworzenie bazy kandydatów odrzuconych.
Masz wątpliwości względem ochrony danych osobowych w procesie rekrutacji? Pobierz bezpłatny e-book „RODO w rekrutacji: najczęściej zadawane pytania”.
Zgoda a RODO – przepisy i pułapki
Od 25 maja 2018 roku, po wejściu w życie ogólnego rozporządzenia o ochronie danych (RODO), każda zgoda na przetwarzanie danych osobowych musi spełniać konkretne wymagania. Nie wystarczy ogólnik. Pracodawca, który chce zgodnie z prawem przechowywać CV po zakończeniu konkretnej rekrutacji, musi zadbać o legalność przetwarzania danych w kontekście przyszłych rekrutacji.
Podstawą prawną jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych oraz uchylenia dyrektywy 95/46/WE. Dokument ten jasno określa, że przetwarzanie danych w celach wykraczających poza pierwotny cel (czyli konkretną rekrutację) wymaga zgody – dobrowolnej, świadomej, konkretnej i udokumentowanej.
Najczęstszy błąd? Przechowywanie danych „na zapas”, bez zgody. Takie działanie – choć pozornie praktyczne – jest bezprawne. Nawet jeśli kandydat sam wysłał świetne CV, a firma chciałaby go zaprosić do innej rekrutacji w przyszłości, nie ma takiej możliwości bez uprzedniego wyrażenia zgody w formie oświadczenia.
Co ważne – zgoda musi jasno wskazywać konkretną firmę, cel oraz czas przetwarzania danych. Klauzule typu „na potrzeby przyszłych rekrutacji przez dowolnego pracodawcę” są nieważne. Każdy pracodawca ma obowiązek zebrać własną, indywidualną zgodę, a nie powoływać się na zapisy zawarte w CV, które nie odnoszą się do niego bezpośrednio.
Na tym nie koniec – kandydat w każdej chwili może cofnąć swoją zgodę. Dlatego firmy powinny mieć gotowe procedury reagowania na takie sytuacje i usuwać dane zgodnie z obowiązującymi przepisami, w tym zasadą minimalizacji.
Trendy 2024/2025 – rekrutacja a ochrona danych
W ciągu ostatnich dwóch lat sposób prowadzenia rekrutacji zmienił się znacząco. Automatyzacja procesów, rekrutacje hybrydowe, rosnące oczekiwania kandydatów – to wszystko wpływa na to, jak firmy powinny dziś podchodzić do przetwarzania danych osobowych i zgód na przyszłe rekrutacje.
Z raportu Candidate Experience w Polsce 2023/2024 wynika, że aż 70% specjalistów uważa, że sposób rekrutacji odzwierciedla to, jak działa firma wewnętrznie. Kandydaci oczekują nie tylko sprawnej komunikacji i szybkiej decyzji, ale też pełnej transparentności – w tym w zakresie ochrony danych osobowych i informacji o tym, jak długo ich dane będą przechowywane, w jakim celu i kto będzie je przetwarzał.
Tymczasem w praktyce wiele organizacji wciąż nie nadąża za regulacjami. Tylko 27% pracodawców prowadzi regularne badania candidate experience, a jeszcze mniej informuje kandydatów o tym, co dzieje się z ich dokumentami po zakończeniu procesu.
Z drugiej strony – coraz więcej firm inwestuje w systemy ATS (Applicant Tracking System), które automatyzują realizację procesu rekrutacji zgodnie z RODO, umożliwiając np. zbieranie zgód checkboxami, ustalanie terminów retencji danych oraz zarządzanie bazą kandydatów zgodnie z wymaganiami ogólnego rozporządzenia.
W praktyce oznacza to, że działy HR muszą dziś działać dwutorowo: po pierwsze zadbać o doświadczenia kandydatów, po drugie – zapewnić zgodność z rozporządzeniem Parlamentu Europejskiego i Rady UE w sprawie ochrony danych. Dobrze zaprojektowana klauzula CV i właściwa dokumentacja zgód to nie opcja – to obowiązek każdego pracodawcy, który chce legalnie pozyskiwać i przechowywać dane „na przyszłość”.
Klauzula CV 2025 – rekomendacje dla pracodawców
Jeśli chcesz legalnie przetwarzać dane kandydatów w celu prowadzenia przyszłych rekrutacji, musisz zadbać o kilka kluczowych elementów. Sam zapis w CV to za mało – to pracodawca ponosi odpowiedzialność za spełnienie wymagań RODO.
Gdzie umieścić klauzulę?
Najbezpieczniejsze i najwygodniejsze rozwiązanie to umieszczenie checkboxa z klauzulą w formularzu aplikacyjnym. Jeśli dokumenty trafiają mailem, warto poprosić kandydata o dopisanie odpowiedniej formułki w treści wiadomości lub w stopce CV. W każdym przypadku zgoda musi być świadoma, wyraźna i udzielona w formie działania potwierdzającego.
Jak długo przechowywać dane?
Nie dłużej niż to konieczne – najlepiej 12 miesięcy od zakończenia rekrutacji, chyba że kandydat wyrazi zgodę na dłuższy okres. Zawsze warto wskazać konkretną datę lub ramy czasowe, np. „na okres 12 miesięcy” albo „do wycofania zgody”.
Co, jeśli kandydat nie wyrazi zgody?
Nie masz prawa przechowywać jego danych po zakończeniu procesu rekrutacyjnego. Dotyczy to również CV nadesłanych „na zapas”. Nawet jeśli kandydat napisał, że „jest otwarty na nowe propozycje”, to nie jest to równoznaczne ze zgodą na przetwarzanie danych w zakresie przyszłych procesów rekrutacyjnych.
Przykład nieprawidłowy:
„Wyrażam zgodę na przetwarzanie moich danych osobowych przez inne firmy współpracujące z firmą X.”
Ten zapis jest zbyt ogólny i nie spełnia wymogu konkretności. Kandydat musi wiedzieć, kto przetwarza dane i w jakim celu.
Przykład właściwy:
„Wyrażam zgodę na przetwarzanie moich danych osobowych przez firmę XYZ w celu realizacji procesu rekrutacji oraz prowadzenia przyszłych rekrutacji przez wyżej wskazaną firmę, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679”.
Warto dodać też informacje o przysługujących prawach (dostęp, sprostowanie, usunięcie danych), dane kontaktowe administratora oraz możliwość cofnięcia zgody.
Rekomendacje końcowe
- Nie kopiuj gotowych klauzul z Internetu. Każda organizacja powinna przygotować własną wersję zgody dostosowaną do konkretnego procesu i narzędzi.
- Upewnij się, że dokumenty aplikacyjne nie trafiają do „złych” skrzynek – ogranicz dostęp tylko do osób uprawnionych.
- Zadbaj o zgodność z polityką retencji danych i aktualizuj procedury zgodnie z przepisami o ochronie danych osobowych.
Dobrze przygotowana aktualna klauzula CV to nie tylko wymóg prawny, ale też dowód profesjonalizmu, który kandydaci coraz częściej doceniają.
FAQ – Najczęściej zadawane pytania
1. Czy muszę mieć osobną zgodę na każdą rekrutację?
Nie. Jeśli kandydat wyrazi zgodę na przetwarzanie danych osobowych w celu prowadzenia przyszłych rekrutacji, możesz wykorzystać jego CV ponownie – pod warunkiem że klauzula była prawidłowo sformułowana, konkretna i dobrowolna. Bez takiej zgody każde ponowne użycie danych będzie nielegalne.
2. Jak długo mogę przechowywać dane kandydatów po zakończeniu rekrutacji?
Jeśli kandydat nie wyraził zgody na przyszłe rekrutacje, jego dane należy usunąć niezwłocznie po zakończeniu procesu rekrutacji. Jeśli zgoda została udzielona, okres przechowywania musi być wskazany – np. „na okres 12 miesięcy” lub „do odwołania zgody”. Wszystko zgodnie z zasadą ograniczenia czasowego przetwarzania.
3. Czy muszę informować kandydata o jego prawie do cofnięcia zgody?
Tak. Obowiązek informacyjny wynika bezpośrednio z rozporządzenia Parlamentu Europejskiego i Rady UE w sprawie ochrony osób fizycznych. Kandydat ma prawo do wglądu, poprawienia i wycofania zgody na przetwarzanie danych – i musi o tym wiedzieć od początku.
4. Co, jeśli kandydat nie zamieścił klauzuli w swoim CV?
Jeśli kandydat nie zawarł żadnej formułki w CV ani nie zaznaczył zgody w formularzu, nie możesz przetwarzać jego danych na potrzeby przyszłych rekrutacji. Możesz jednak poprosić go o uzupełnienie zgody – np. mailowo, z zaznaczeniem, że jest to wymóg RODO.
5. Czy muszę umieszczać klauzulę w stopce CV?
Nie ma takiego obowiązku, ale to częsta praktyka. Można też zbierać zgody poprzez checkboxy w systemie rekrutacyjnym lub formularzu aplikacyjnym. Najważniejsze, by kandydat świadomie i jednoznacznie ją wyraził, zgodnie z ogólnym rozporządzeniem o ochronie danych.
6. Czy jedna zgoda może dotyczyć kilku firm?
Nie. Kandydat musi wiedzieć, który podmiot przetwarza jego dane. Zgoda ogólna „dla firm współpracujących z XYZ” jest nieprawidłowa. Każdy potencjalny pracodawca powinien uzyskać własną wersję zgody, odnoszącą się do jego firmy i procesu.
