Przetwarzanie danych osobowych w rekrutacji i zatrudnieniu

Przetwarzanie danych osobowych w rekrutacji i zatrudnieniu

Przetwarzanie danych osobowych w rekrutacji i zatrudnieniu

Każdy pracodawca ma obowiązek chronić dane osobowe osób, które zatrudnia, zgodnie z przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Nakaz ten obejmuje nie tylko pracowników, lecz także kandydatów, których dane zdobył w procesie rekrutacji. Jak powinno wyglądać przetwarzanie danych osobowych w takim przypadku? Odpowiadamy.

Przetwarzanie danych osobowych w procesie rekrutacji  

W trakcie rekrutacji kandydaci na pracowników przekazują potencjalnemu pracodawcy niektóre dane osobowe, na przykład te zawarte w CV. Czy pracodawca może je wykorzystać?  To zależy od tego, czy osoba, której one dotyczą, wyrazi na to zgodę. W innym przypadku można przetwarzać dane osobowe tylko, gdy:

  • jest to konieczne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
  • jest to niezbędne do realizacji umowy, kiedy osoba, której dane dotyczą, jest jej stroną lub kiedy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
  • jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
  • jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych osobowych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Rekrutacja nie spełnia żadnego z powyższych warunków, więc by pracodawca mógł przetwarzać dane kandydatów, powinni oni wyrazić na to zgodę, koniecznie w formie pisemnej. Powinna być ona wyrażona jasno i wyraźnie – nie może być dorozumiana, domniemana, wymuszona lub wynikać z innego oświadczenia woli.  

Co istotne, zgodnie z art. 221 kodeksu pracy przetwarzanie danych osobowych takich jak:

  • imię i nazwisko,
  • imiona rodziców,
  • data urodzenia,
  • miejsce zamieszkania (adres do korespondencji),
  • wykształcenie,
  • przebieg dotychczasowego zatrudnienia

nie wymaga odrębnej zgody kandydującej na konkretne stanowisko osoby. W dokumentach aplikacyjnych często jednak zamieszcza się więcej danych – w takim przypadku konieczne jest udzielenie przez kandydata zgody na ich przetwarzanie. Zazwyczaj  udzielają jej oni w osobnej klauzuli w CV i dotyczy ona wyłącznie procesu rekrutacji – później dane osobowe osoby aplikującej powinny zostać usunięte.  

Przetwarzanie danych osobowych w zatrudnieniu  

Jeżeli kandydat zostanie przyjęty, powinien podać więcej danych takich jak:

  • dane osobowe pracownika wymagane przez pracodawcę, w tym dane dzieci pracownika, jeżeli jest to konieczne ze względu na korzystanie przez niego ze szczególnych uprawnień przewidzianych w prawie pracy;
  • numer PESEL,
  • inne dane osobowe, jeżeli wymagają tego odrębne przepisy.

Pracodawca może wymagać od zatrudnionego jedynie danych wskazanych w rozporządzeniu  Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika. Zatrudniający może też wymagać potwierdzenia danych oświadczeniem o ich zgodności z dowodem osobistym, z podaniem serii i numeru dokumentu.

Co ważne, przetwarzanie danych osobowych musi odbywać się w konkretnym celu – pracodawca nie może zbierać danych pracowników bez uzasadnienia. W aktach osobowych nie można też  przechowywać kserokopii dowodu osobistego pracownika czy też kopii aktów zgonu i małżeństwa uprawniających do urlopów okolicznościowych. Zupełnie wystarczające są w takiej sytuacji seria i numer takich dokumentów.   

Pracodawca jako administrator danych osobowych może upoważnić innych pracowników do przetwarzania danych osobowych, którymi zarządza, musi to jednak zrobić pisemnie, podać w dokumencie konkretny cel jego wystawienia i prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych.  

Nieprawidłowe przetwarzanie danych osobowych – odpowiedzialność

Odpowiedzialność karną za nieprawidłowości w przetwarzaniu danych osobowych określa art. 51 ustawy o ochronie danych osobowych:  

Art. 51 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych, udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

W kontekście przytoczonego przepisu szczególnie istotne jest to, że za dołożenie szczególnej staranności, aby dane pracowników były przetwarzane zgodnie z prawem, niepoddawane dalszemu przetwarzaniu niezgodnemu z pierwotnym celem, a także przechowywane w bezpiecznym miejscu i nie dłużej niż jest to niezbędne dla osiągnięcia celu ich przetwarzania, odpowiada pracodawca – jest przecież administratorem danych osobowych osób, które zatrudnia. Jeżeli wskutek jego działalności lub zaniechania dojdzie do incydentu w ochronie danych osobowych, może on ponieść wymienione wyżej kary.

Zobacz też:

kalkulator umowa o pracę