Obecnie najbardziej popularnym i rozwijającym się narzędziem rekrutacji jest Internet. Pracodawcy umieszczają ogłoszenia o pracę na własnych stronach internetowych ale częściej decydują się na zamieszczania ogłoszeń dotyczących pracy na różnych serwisach internetowych oraz za pomocą platform i aplikacji elektronicznych.

Podmioty, do których należą te portale internetowe, jedynie udostępniają narzędzia do publikowania ogłoszeń lub przesyłają dokumenty rekrutacyjne i  przetwarzają dane kandydatów na rzecz i w imieniu pracodawcy. W związku z powyższym, tego typu organizacje nie decydują o celu przetwarzania danych dlatego nie są Administratorami danych kandydatów.

Przed rozpoczęciem współpracy z tego typu organizacjami pracodawca, jako administrator danych, powinien zawrzeć z nimi umowę powierzenia przetwarzania danych osobowych, w której należy określić m.in. charakter i cel przetwarzania, czas trwania przetwarzania oraz czy po zakończonej współpracy dane te powinny zostać zwrócone Administratorowi czy muszą być trwale usunięte.

Warto pamiętać, że na podstawie wymagań art. 28 ust. 1 RODO Administrator może korzystać wyłącznie z usług wiarygodnych podmiotów przetwarzających, które poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniają odpowiedni stopień bezpieczeństwa przetwarzania danych osób, których dane dotyczą.

Jeżeli w swoim CV kandydat umieścił dane wskazane w Kodeksie pracy, a mianowicie: imię (imiona) i nazwisko; imiona rodziców; datę urodzenia; miejsce zamieszkania; informacje o wykształceniu i przebiegu dotychczasowego zatrudnienia, to podstawą przetwarzania  będzie przepis prawa (art. 22 ¹ KP)  i wbrew powszechnie panującej praktyce zgoda na przetwarzanie tych danych od kandydata nie jest potrzebna.

Może się oczywiście zdarzyć, że osoba ubiegająca się pracę umieści w swoich dokumentach aplikacyjnych inne dane osobowe niż wymienione wyżej,  na przykład  wizerunek lub  informacje o zainteresowaniach, w tych przypadkach podstawą przetwarzania danych jest zgoda kandydata.

W motywie 32 RODO wyjaśniono że zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia.

Oznacza to, że zgoda może być zebrana w każdej formie: pisemnego lub ustnego oświadczenia, wyraźnego działania oraz może polegać na zaznaczeniu przycisku wyboru w trakcie przeglądania strony internetowej.

Mimo to, że  RODO nie wymaga  pisemnej formy zgody i samo wysłanie CV można potraktować jako wyraźne działanie, ze względu na zasadę rozliczalności w interesie administratora jest żeby ta zgoda była udokumentowana.

Warto również pamiętać,  że przechowywanie przez pracodawcę w swojej bazie CV kandydatów dla celów innych rekrutacji  niż wskazana w ogłoszeniu o pracę wymaga od osoby ubiegającej się o pracę zgody  na przyszłe rekrutacje.

W czasie procesu rekrutacyjnego pracodawca jest zobowiązany w momencie zbierania danych  przekazać kandydatom do pracy informacje o przetwarzaniu ich danych.

Spełnienie obowiązku informacyjnego odbywa się poprzez zawarcie w zamieszczanym na portalu internetowym ogłoszeniu rekrutacyjnym klauzuli informacyjnej wskazującej na m.in.  tożsamość i dane kontaktowe  Administratora danych, cel  i okres ich przetwarzania oraz sposób, w który można odwołać zgodę.

Trzeba pamiętać, że w związku z obowiązkiem udostepnienia przez pracodawcę wyżej wymienionej informacji, prowadzenie tzw. rekrutacji „ukrytych” lub ”ślepych” nie może być uznane za zgodne z przepisami o ochronie danych (zobacz "Zgodność prowadzenia rekrutacji „ukrytych”  z  RODO").

Po zakończeniu procesu rekrutacji  zgromadzone przez pracodawcę dane, co do zasady, powinny zostać usunięte (poprzez zniszczenie lub odesłanie). Natomiast w przypadku wyrażenia zgody kandydata na przetwarzanie danych w celu uczestniczenia w przyszłych rekrutacjach, dane kandydata mogą być przechowywane  przez okres wskazany w klauzuli informacyjnej.

Niedopuszczalne jest przetwarzanie przez pracodawcę  danych kandydatów do pracy po zakończeniu rekrutacji wyłącznie w celu obrony przed ewentualnymi roszczeniami osób, których dane dotyczą, na przykład z tytułu dyskryminacji w trakcie rekrutacji.

Olga Sklyarova, audytor JDS Consulting