Audyt GIODO a uchybienia w zakresie przetwarzania danych dla celów rekrutacyjnych

Dodano: 17.11.2015

Ochrona danych osobowych w działalności przedsiębiorstw przysparza wiele praktycznych wątpliwości. Niektóre przedsiębiorstwa utarły sposoby postępowania w odniesieniu do ochrony danych osobowych swoich pracowników i współpracowników, tymczasem w procesie rekrutacji wciąż zauważyć można sporo błędów dotyczących stosowania przepisów w tym zakresie. Jak więc należy postępować na tym wstępnym etapie, aby nie narazić się na odpowiedzialność w przypadku kontroli Generalnego Inspektora Ochrony Danych Osobowych (GIODO)?

Cybersecurity concept - Open and closed locks with digital finge

Przedsiębiorcy, przyszli pracodawcy – jako podstawę przetwarzania danych osobowych kandydatów do pracy najczęściej wskazują zgodę. Proszą tym samym kandydatów o zamieszczenie odpowiedniej klauzuli na ofercie pracy (CV), pod rygorem braku uwzględnienia oferty w procesie rekrutacji. Tymczasem podstawą przetwarzania danych osobowych jest art. do art. 23 ust. 1 pkt 3 in fine ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, „uODO”) – czyli tzw. podstawa umowna, a precyzyjniej rozpoczęcie negocjacji w celu zawarcia przyszłej umowy. Inaczej jeśli przedsiębiorca planowałby przechować uzyskane dane kandydatów, a następnie wykorzystać je podczas kolejnych rekrutacji – wówczas powinien pozyskać klauzule zgody na cele przyszłych rekrutacji. Pomimo powyższego zakres i forma klauzul zgody na przetwarzanie danych osobowych zawartych w przesyłanych do przedsiębiorcy życiorysach nie są weryfikowane. Tymczasem dobrą praktyką u pracodawcy byłoby wprowadzenie procedury określającej sposób oraz osoby odpowiedzialne za przegląd i weryfikację prawidłowości klauzul dotyczących ochrony danych osobowych zawartych na przesyłanych do przedsiębiorstwa dokumentach aplikacyjnych. Procedurę warto rozbudować o ustalenia, jakim osobom powierzono dostęp do dokumentów aplikacyjnych oraz to, czy i po jakim czasie przesyłane aplikacje powinny być trwale usuwane.

Przyszli pracodawcy skupieni na zebraniu odpowiednich zgód zapominają natomiast o tzw. klauzuli obowiązku informacyjnego, której podanie jest obowiązkowe na podstawie art. 24 ust. 1 uODO. Zgodnie z tym przepisem należy poinformować kandydata do pracy o administratorze danych osobowych, dobrowolności lub obowiązku podania danych, celu przetwarzania danych osobowych, czy o prawie dostępu do treści danych.

Niemniej istotna jest dbałość o to, by przetwarzane dane były adekwatne w stosunku do celu, w jakim będą przetwarzane. Dane osobowe jakie może przetwarzać przyszły pracodawca dla celów rekrutacji zostały wskazane w art. 22 1 kodeksu pracy. Najczęstszym błędem potencjalnych pracodawców jest w tym aspekcie każdorazowe, niezależne od oferowanego stanowiska, żądanie przesłania zdjęcia (wizerunku).

Z perspektywy ewentualnej kontroli GIODO właściwe skonstruowanie ogłoszenia o pracę jest niemniej ważne aniżeli sprawdzenie prawidłowości dokumentów aplikacyjnych kandydatów do pracy, które otrzymał przedsiębiorca w odpowiedzi na to ogłoszenie. GIODO ma prawo przeprowadzenia kontroli na miejscu, przykładowo w siedzibie przedsiębiorstwa lub jego oddziałach oraz ma prawo wstępu do wszelkich pomieszczeń, w których zlokalizowane są zbiory danych oraz w których przetwarzane są dane poza zbiorem danych. Naruszenie przepisów o ochronie danych osobowych w procesach rekrutacyjnych zagrożone jest sankcją (odnoszącą się również do ogólniejszych przypadków) z art. 49 oraz 54 uODO. Jednak przy opracowaniu oraz wdrożeniu odpowiednich procedur audyt GIODO nie powinien być podstawą do niepokoju. W tym celu zalecane jest poddanie się dobrowolnemu audytowi bezpieczeństwa informacji, w tym danych osobowych, przeprowadzonemu przez profesjonalistów.