Zgody w RODO – jak wygląda praktyka po 25 maja? (Część 3)

  |   Bezpieczeństwo danych w HR

Kiedy przyglądamy się wymogom RODO, zwykle jako pierwsze nasuwa się pytanie:

Czy do zbierania danych kandydatów w ogóle wymagana jest zgoda?

Tak i nie. Kodeks Pracy (art. 22 ust. 1) jasno stwierdza, że część danych osobowych kandydatów można zbierać bez wymaganej zgody – są to: imię (imiona) i nazwisko kandydata, imiona rodziców, data urodzenia, miejsce zamieszkania (adres korespondencyjny), wykształcenie oraz przebieg dotychczasowego zatrudnienia. Nie jest tego dużo i nie jest to niestety praktyczne (kontakt tylko drogą pocztową). Na zbieranie wszelkich pozostałych danych osobowych wymagana jest jasna zgoda kandydata.

Co musimy zatem wiedzieć o zgodach w związku z RODO?

Główną podstawą prawną przetwarzania danych osobowych kandydatów jest ich zgoda. Muszą zostać spełnione konkretne warunki, aby uznać zgodę za ważną w kontekście przepisów RODO:

Zgoda powinna zostać wyrażona dobrowolnie, chyba że zebranie danych jest wymagane dla konkretnego procesu. Oznacza to, że większość zgód powinna być opcjonalna – kandydat decyduje, na co wyraża zgodę.

Jak to wygląda w praktyce?

Można poprosić o zgodę na obecny proces rekrutacyjny, aczkolwiek obecnie widać tendencję do odchodzenia od zgody wymaganej na rzecz tzw. zgody domyślnej (tekstowa informacja o wyrażeniu zgody poprzez aplikowanie). Czyli albo kandydat wyraża zgodę na obecny proces rekrutacyjny, albo odpowiednio opisujemy zgodę domyślną.

  1. Zgoda powinna być oddzielna na każdy cel przetwarzania. Oznacza to, że nie można w treści pojedynczej klauzuli wprowadzić kilku celów przetwarzania, np. zgód na obecny i na przyszłe procesy rekrutacyjne.
  2. Zgoda powinna zawierać przynajmniej nazwę spółki, dla której przeprowadzana jest rekrutacja.
  3. Zgoda może zostać pobrana od osób niepełnoletnich, ale tylko od 16 roku życia. Przetwarzanie danych osobowych osób poniżej 16 roku życia wymaga zgody ich rodzica lub opiekuna.
  4. W przypadku przetwarzania szczególnych kategorii danych osobowych [„(…) ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.” ], możliwe jest ich przetwarzanie tylko po uzyskaniu zgody od podmiotu danych osobowych oraz tylko w celu, w jakim są one wymagane.

O co najczęściej pytają rekruterzy w obszarze zbierania zgód od kandydatów?

Czy można wymusić klauzulę o zgodzie na przyszłe rekrutacje?

Tak, ale tylko w jednym przypadku – gdy mówimy o aplikacjach spontanicznych. Wtedy, przy zastosowaniu odpowiedniej treści, można taką klauzulę wymusić.

Alternatywnie, można umieścić ją na formularzu jako klauzulę domyślną/informacyjną – ale również wyłącznie przy aplikacjach spontanicznych. W każdym innym wypadku, klauzula na przyszłe rekrutacje powinna być oddzielna i opcjonalna.

Czy można wymuszać pozostałe klauzule (np. marketing)?

Tak i nie. Tak, ale tylko w przypadku, gdy stanowią one część regulaminu świadczenia usług (np. przy zakładaniu konta w danym serwisie). Ponieważ wykonanie usługi jest oferowane przez daną firmę, kandydat nie ma obowiązku korzystania z tej usługi – co pozwala firmie na wymuszenie zgód.

Zgody nie mogą być jednak wymuszane na formularzach aplikacyjnych, ponieważ kandydat bierze udział w rekrutacji, a do tego nie jest konieczne otrzymywanie materiałów marketingowych (jeden jasny cel: rekrutacja).

Czy klauzula może być domyślna (bez checkboxa)?

Tak, aczkolwiek zależy to od interpretacji prawnej. W niektórych interpretacjach, samo przesłanie aplikacji/CV jest traktowane jako zgoda na przetwarzanie danych osobowych – kandydat dobrowolnie, jasno i bezpośrednio wykonał akcję, przesyłając swoje dane osobowe. W innych interpretacjach, należy kandydata przynajmniej poinformować o tym, że przesłanie aplikacji/CV jest równoznaczne z wyrażeniem zgody na ich przetwarzanie. Z obserwacji praktyk wśród naszych klientów dopuszczalne są dwie opcje:

  1. Wymuszenie zgody na obecny proces rekrutacyjny, na wypadek załączenia przez kandydata nadmiarowych danych (w tym tych nie wymaganych do przeprowadzenia procesu rekrutacji).
  2. Utworzenie klauzuli domyślnej z informacją, że przesłanie aplikacji/CV jest równoznaczne z wyrażeniem zgody na przetwarzanie danych osobowych.

Co zrobić w sytuacji, gdy kandydat sam poda dane szczególnych kategorii?

Podanie danych przez kandydata dobrowolnie (czy to w pliku CV, czy też w inny sposób) może być traktowane jako zgoda na ich przetwarzanie. Ponieważ podanie takich danych jest niewymagane, zrobienie tego przez kandydata z własnej woli to jasna i czytelna akcja, która może być traktowana jako zgoda.

Monitorowanie spełnienia obowiązku informacyjnego i zarządzanie zgodami nie jest aż tak skomplikowane, ale może przysporzyć nam trudności i przede wszystkim pochłonąć mnóstwo czasu, jeśli mielibyśmy wszystko spisywać i kontrolować ręcznie. System ATS przychodzi nam tu z ogromną pomocą:

dzięki automatyzacji procesu możemy przechowywać, wykorzystywać i ewentualnie anonimizować dane kandydatów zgodnie z przepisami i bez wysiłku z naszej strony.

Część 1 Obowiązek informacyjny jednym z najważniejszych wymagań RODO
Część 2 Anonimizacja a pseudoanonimizacja danych osobowych

Chcesz dowiedzieć się, jak system HRlink dba o przestrzeganie przepisów dot. przetwarzania danych osobowych?

Zostaw swój kontakt — oddzwonimy do Ciebie!

Poproś o demo

Autor:
Alina Michałek Expert HR