Klauzula informacyjna RODO w procesie rekrutacji

Jak zapewne wiecie, od maja 2018 roku obowiązuje Ogólne Rozporządzenie o Ochronie Danych (RODO). Zawiera ono szereg przepisów regulujących sposób pozyskiwania danych, obowiązki podmiotu przetwarzającego (zwanego administratorem) oraz prawa osób, których dane dotyczą.

W gąszczu regulacji łatwo się pogubić. Sądzimy więc, że warto na konkretnym przykładzie pokazać, jak w praktyce wygląda stosowanie RODO. Do tego celu weźmiemy proces rekrutacji nowego pracownika.

Niezależnie od tego, jaki sposób poszukiwania nowych pracowników wybierzesz, proces rekrutacji zawsze będzie wiązał się z pozyskiwaniem danych osobowych. Ponieważ wątków dotyczących ochrony danych w takim procesie jest wiele, będziemy je krok po kroku analizować w tym i w kolejnych postach. Rozpoczynamy od obowiązku informacyjnego.

Prawo do informacji – fundamentalna zasada RODO

Za każdym razem, gdy dochodzi do zbierania danych osobowych, należy spełnić obowiązek informacyjny wobec osoby, której dane dotyczą. Prawo do informacji jest uznane za jedno z podstawowych praw jednostki w rozumieniu RODO. Jego realizacja jest kluczowa dla zapewnienia zgodności przetwarzania danych z prawem.

Nie ma uniwersalnej informacji RODO

Zakres informacji powinien odpowiadać wymogom RODO oraz być dostosowany do konkretnej sytuacji. Stosowanie jednego wzoru informacji na wszystkie okazje nie jest najlepszym pomysłem. Taki uniwersalny wzór często zawiera treści nieadekwatne do okoliczności i w efekcie jest o wiele mniej czytelny dla adresata.

Co w treści informacji RODO na potrzeby rekrutacji

W klauzuli informacyjnej przygotowanej na potrzeby procesu rekrutacji powinny znaleźć się następujące elementy:

  1. nazwa i dane kontaktowe firmy poszukującej pracownika;
  2. dane kontaktowe inspektora danych osobowych, jeśli został powołany;
  3. cele przetwarzania – w naszym przykładzie podstawowym celem przetwarzania jest prowadzenie procesu rekrutacyjnego na konkretne stanowisko;
  4. podstawa prawna przetwarzania – w procesie rekrutacji dane osobowe przetwarzane są na podstawie dwóch przepisów RODO, w zależności od rodzaju/kategorii danych:
  • dane osobowe wymienione w przepisach prawa pracy zbierane są na podstawie art. 6 ust. 1 lit. b RODO, czyli dlatego, że są one niezbędne do podjęcia działań przed zawarciem umowy (tutaj umowy o pracę);
  • wszystkie inne, dodatkowe dane mogą być przetwarzane, jeśli uzyskamy na to zgodę kandydata (czyli na podstawie art. 6 ust. 1 lit. a RODO).
  1. informacje o odbiorcach danych osobowych, czyli o podmiotach, którym potencjalnie możemy w procesie rekrutacji przekazać/udostępnić dane kandydatów – tutaj wystarczy podać kategorie odbiorców, nie ma potrzeby wskazywać ich nazw, np. firmy rekrutacyjne, partnerzy biznesowi;
  2. informacja o zamiarze przekazania danych poza granice Europejskiego Okręgu Gospodarczego obejmującego kraje Unii Europejskiej, Norwegię, Islandię i Liechtenstein lub do organizacji międzynarodowej – jeśli dotyczy;
  3. planowany okres przetwarzania danych – podaj, przez jaki okres planujesz przechowywać dane lub opisowo wskaż do kiedy będziesz z danych korzystać, np. że dane będziesz przechowywać przez okres konieczny do przeprowadzenia rekrutacji i usuniesz je niezwłocznie po podpisaniu umowy z wybranym kandydatem;
  4. informacje o prawach związanych z ochroną danych osobowych, jakie przysługują osobie, której dane dotyczą – hasłowo informujemy o prawie dostępu do danych, sprostowania, usunięcia lub ograniczenia przetwarzania, o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  5. poinformowanie o prawie do cofnięcia zgody w dowolnym momencie, co dotyczy zakresu danych przetwarzanych na podstawie zgody;
  6. informacje o prawie wniesienia skargi do organu nadzorczego – Urzędu Ochrony Danych Osobowych;
  7. informację o konieczności lub dobrowolności podania danych – w procesie rekrutacji podanie danych osobowych w zakresie wskazanym w prawie pracy jest niezbędne dla potrzeb procesu rekrutacyjnego, a podanie dodatkowych danych jest dobrowolne;
  8. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, jeśli dotyczy.

Jak i kiedy informować

W procesie rekrutacji najlepiej jest zadbać o spełnienie obowiązku informacyjnego już na wstępie. Rekomendujemy uczynić to poprzez umieszczenie treści informacji w samym ogłoszeniu. Pracodawca ma wówczas pewność, że każdy kandydat ma możliwość zapoznania się z klauzulą zanim jego dane trafią do rekrutera.

Umieść klauzulę w miejscu łatwo dostępnym dla kandydata. Najlepiej wyodrębnij ją od innych treści.

Niedopuszczalne jest jej „ukrywanie” wśród innych informacji, stosowanie niewyraźnej małej czcionki lub innych zabiegów utrudniających jej odczytanie. Zadbaj, abyś swój przekaz podał w zwięzły, przejrzysty i zrozumiały sposób. Posługuj się więc jasnym i prostym językiem, unikaj języka naukowego oraz zwrotów prawniczych.

Forma klauzuli informacyjnej

Co ciekawe, przepisy nie narzucają formy klauzuli informacyjnej. Możemy więc informować o przetwarzaniu danych za pośrednictwem maila, bezpośrednio w ogłoszeniu na portalu internetowym lub tradycyjnie – pismem.

Bez względu na wybór formy, zawsze pamiętaj, aby zachować dowód udostępnienia klauzuli kandydatom. Możesz na przykład złożyć do akt zrzut ekranu ogłoszenia o pracę z widoczną klauzulą.

Kary za naruszenie obowiązku informacyjnego RODO

Realizacja obowiązku informacyjnego jest spełnieniem określonych w RODO podstawowych zasad przetwarzania danych. Za ich naruszenie grożą podwyższone sankcje. Narażamy się na kłopoty jeśli w toku kontroli okaże się, że nie informujemy osób, których dane posiadamy lub jeśli robimy to w sposób niewłaściwy. Zagraża nam w takiej sytuacji kara w wysokości do 20 milionów Euro lub do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.

Nie powinniśmy też liczyć na pobłażliwość Prezesa Urzędu Ochrony Danych. RODO zastrzega wyraźnie i wprost, że kara powinna być „skuteczna, proporcjonalna i odstraszająca”. W zamyśle twórców Rozporządzenia, kara ma bowiem przede wszystkim spełniać funkcje odstraszające.

Przy redagowaniu klauzuli informacyjnej warto skorzystać z pomocy doświadczonego doradcy.

Skomentuj