Nadchodząca reforma prawa ochrony danych osobowych, a dokładniej Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 (RODO), która wejdzie w życie już 25 maja 2018 r. wymusza wiele zmian, w tym m.in. takie, które wpłyną na proces przeprowadzania rekrutacji. Działy HR pracowników muszą zatem odpowiednio dostosować politykę rekrutacyjną, aby była ona zgodna z prawem i odpowiednio efektywna. Szczególną ostrożność należy zachować, jeżeli pracodawca planuje prowadzić rekrutację bez podania swojej tożsamości, czyli tzw. rekrutację „ukrytą” czy „anonimową”.
Obowiązek informacyjny
Stosownie do treści art. 13 ust. 1 RODO jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie wymienione w treści przepisu informacje, w tym m.in. swoją tożsamość i dane kontaktowe. Powyższe oznacza zatem, iż prowadzenie rekrutacji anonimowej bezpośrednio przez pracodawcę, który w opisanej sytuacji jest administratorem danych osobowych, jest niezgodne z regulacjami RODO, gdyż niespełniony zostanie obowiązek informacyjny nakazany w rozporządzeniu.
Obowiązek informacyjny nie zostanie spełniony również w sytuacji, gdy klauzula informacyjna zostanie wysłana w odpowiedzi na otrzymaną aplikację. Rozwiązanie to nie jest do końca zgodne z prawem, ponieważ w chwili zbierania danych osoba je przekazująca nie będzie miała wiedzy odnośnie tego, kto jest podmiotem, do którego te dane trafią, a także z uwagi na to, iż przepis wyraźnie wskazuje, iż obowiązek informacyjny ma być spełniony podczas pozyskiwania danych osobowych, a nie już po ich uzyskaniu.
Rekrutacja za pomocą serwisów internetowych
Wielu pracodawców celem pozyskania pracowników decyduje się na zamieszczenie oferty pracy na różnych portalach internetowych. Pamiętać jednak należy, iż takie portale oferują jedynie narzędzia do publikowania ofert pracy, nie są natomiast podmiotem, który przeprowadza rekrutację „za pracodawcę”.
Portale pośredniczące w tego typu rekrutacjach nie będą zatem administratorem danych osobowych. Mogą być co najwyżej procesorem, czyli przetwarzać dane osobowe na zlecenie administratora. Obowiązek informacyjny spoczywa zatem na pracodawcy, gdyż to on jest administratorem danych osobowych. W takiej sytuacji niepodanie tożsamości pracodawcy skutkować będzie, podobnie jak powyżej, niespełnieniem obowiązku informacyjnego. Taka rekrutacja będzie zatem niezgodna z RODO.
Agencje rekrutacyjne
Rozwiązaniem umożliwiającym pracodawcy utrzymanie anonimowości na wstępnym etapie rekrutacji może być zlecenie jej przeprowadzenia firmie rekrutacyjnej w taki sposób, iż to do tej firmy kandydaci kierować będą swoje zgłoszenia, a następnie firma ta przeprowadzi selekcję kandydatów, spośród których wyłoni tylko odpowiednie kandydatury. Na etapie zbierania CV od kandydatów i ich selekcjonowania to firma rekrutacyjna jest administratorem danych osobowych. Na pracodawcy nie ciąży zatem wskazany wyżej obowiązek informacyjny.
Obowiązek ten powstaje w momencie, kiedy dane wybranych przez agencję kandydatów mają być przekazane do pracodawcy. Wtedy osoby te należy poinformować o danych potencjalnego pracodawcy i zapytać je o zgodę na przekazanie ich kandydatur.
Sankcje
Naruszenia przepisów dotyczących obowiązku informacyjnego zagrożone jest na gruncie RODO karą pieniężną w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Autorzy:
aplikantka radcowska Kamila Kopeć
radca prawny dr Małgorzata Mędrala
Newsy HR